Comment les utilisateurs se connectent au plug-in Citrix Gateway
Citrix Gateway fonctionne comme suit :
- Lorsque les utilisateurs tentent d’accéder aux ressources réseau via le tunnel VPN, le plug-in Citrix Gateway chiffre tout le trafic réseau destiné au réseau interne de l’organisation et transfère les paquets à Citrix Gateway.
- Citrix Gateway met fin au tunnel SSL, accepte tout trafic entrant destiné au réseau privé et transfère le trafic vers le réseau privé. Citrix Gateway renvoie le trafic vers l’ordinateur distant via un tunnel sécurisé.
Lorsque les utilisateurs saisissent l’adresse Web, ils reçoivent une page d’ouverture de session dans laquelle ils entrent leurs informations d’identification et ouvrent une session. Si les informations d’identification sont correctes, Citrix Gateway termine la liaison avec la machine utilisateur.
Si l’utilisateur se situe derrière un serveur proxy, il peut spécifier des informations d’identification pour le serveur proxy et l’authentification. Pour plus d’informations, consultez Activation de la prise en charge du proxy pour les connexions utilisateur.
Le plug-in Citrix Gateway est installé sur la machine utilisateur. Après la première connexion, si les utilisateurs ouvrent une session à l’aide d’un ordinateur Windows, ils peuvent utiliser l’icône de la zone de notification pour établir la connexion.
Établir le tunnel sécurisé
Lorsque les utilisateurs se connectent au plug-in Citrix Gateway, Secure Hub ou à l’application Citrix Workspace, le logiciel client établit un tunnel sécurisé sur le port 443 (ou tout port configuré sur Citrix Gateway) et envoie des informations d’authentification. Lorsque le tunnel est établi, Citrix Gateway envoie des informations de configuration au plug-in Citrix Gateway, Secure Hub ou à l’application Citrix Workspace décrivant les réseaux à sécuriser et contenant une adresse IP si vous activez les pools d’adresses.
Tunnel du trafic réseau privé sur des connexions sécurisées
Lorsque le plug-in Citrix Gateway démarre et que l’utilisateur est authentifié, tout le trafic réseau destiné aux réseaux privés spécifiés est capturé et redirigé vers Citrix Gateway via le tunnel sécurisé. L’application Citrix Workspace doit prendre en charge le plug-in Citrix Gateway pour établir la connexion via le tunnel sécurisé lorsque les utilisateurs ouvrent une session.
Secure Hub, Secure Mail et WorxWeb utilisent Micro VPN pour établir le tunnel sécurisé pour les appareils mobiles iOS et Android.
Citrix Gateway intercepte toutes les connexions réseau établies par la machine utilisateur et les multiplexe via Secure Sockets Layer (SSL) vers Citrix Gateways, où le trafic est démultiplexé et les connexions sont transmises à la bonne combinaison hôte/port.
Les connexions sont soumises à des stratégies de sécurité administratives qui s’appliquent à une seule application, à un sous-ensemble d’applications ou à un intranet complet. Vous spécifiez les ressources (plages de paires d’adresses IP/sous-réseaux) auxquelles les utilisateurs distants peuvent accéder via la connexion VPN.
Le plug-in Citrix Gateway intercepte et tunnelle les protocoles suivants pour les applications intranet définies :
- TCP (tous les ports)
- UDP (tous les ports)
- ICMP (types 8 et 0 - demande/réponse d’écho)
Les connexions des applications locales sur la machine utilisateur sont mises en tunnel de manière sécurisée vers Citrix Gateway, ce qui rétablit les connexions au serveur cible. Les serveurs cibles considèrent les connexions comme provenant de Citrix Gateway local sur le réseau privé, masquant ainsi la machine utilisateur. C’est ce qu’on appelle également la traduction d’adresses réseau inversée (NAT). Le masquage des adresses IP renforce la sécurité des emplacements sources.
Localement, sur la machine utilisateur, tout le trafic lié à la connexion, tel que les paquets SYN-ACK, PUSH, ACK et FIN, est recréé par le plug-in Citrix Gateway pour apparaître à partir du serveur privé.
Connectez-vous via des pare-feu et des proxys
Les utilisateurs du plug-in Citrix Gateway se trouvent parfois à l’intérieur du pare-feu d’une autre organisation, comme illustré dans la figure suivante :
Les pare-feu NAT conservent une table qui leur permet de router les paquets sécurisés de Citrix Gateway vers la machine utilisateur. Pour les connexions orientées circuit, Citrix Gateway gère une table de traduction NAT inverse mappée par port. La table de traduction NAT inverse permet à Citrix Gateway de faire correspondre les connexions et de renvoyer les paquets via le tunnel vers la machine utilisateur avec les numéros de port corrects afin que les paquets retournent vers la bonne application.
Contrôle de la mise à niveau des plug-ins Citrix Gateway
Les administrateurs système contrôlent le fonctionnement du plug-in Citrix ADC lorsque sa version ne correspond pas à la révision Citrix Gateway. Les nouvelles options contrôlent le comportement de mise à niveau du plug-in pour Mac, Windows ou les systèmes d’exploitation.
Pour les plug-ins VPN, l’option de mise à niveau peut être définie à deux endroits dans l’interface utilisateur de l’appliance Citrix ADC :
- Dans les paramètres globaux
- Au niveau du profil de session
Exigences
-
La version du plug-in Windows EPA et VPN doit être supérieure à 11.0.0.0
-
La version du plug-in Mac EPA doit être supérieure à 3.0.0.31
-
La version du plug-in VPN Mac doit être supérieure à 3.1.4 (357)
Remarque :
Si l’appliance Citrix ADC est mise à niveau vers la version 11.0, tous les plug-ins VPN (et EPA) précédents sont mis à niveau vers la dernière version, quelle que soit la configuration du contrôle de mise à niveau. Pour les mises à niveau suivantes, elles respectent la configuration précédente du contrôle de mise à niveau.
Comportements des plug-ins
Pour chaque type de client, Citrix Gateway offre les trois options suivantes pour contrôler le comportement de mise à niveau du plug-in :
- Always
Le plug-in est toujours mis à niveau chaque fois que la version du plug-in de l’utilisateur final ne correspond pas au plug-in fourni avec l’appliance Citrix ADC. Il s’agit du comportement par défaut. Sélectionnez cette option si vous ne souhaitez pas que plusieurs versions de plug-in soient exécutées dans votre entreprise.
- Essentiel (et sécurité)
Le plug-in n’a été mis à niveau que lorsque cela est jugé nécessaire. Les mises à niveau sont jugées nécessaires dans les deux cas suivants :
-
Le plug-in installé n’est pas compatible avec la version actuelle de l’appliance Citrix ADC.
-
Le plug-in installé doit être mis à jour pour obtenir le correctif de sécurité nécessaire.
Sélectionnez cette option si vous souhaitez réduire le nombre de mises à niveau de plug-in, mais ne souhaitez pas manquer de mises à jour de sécurité de plug-in
- Jamais
Le plug-in n’est pas mis à niveau.
Paramètres CLI pour contrôler la mise à niveau du plug-in VPN
Citrix Gateway prend en charge deux types de plug-ins (EPA et VPN) pour les systèmes d’exploitation Windows et Mac. Pour prendre en charge le contrôle de mise à niveau du plug-in VPN au niveau de la session, Citrix Gateway prend en charge deux paramètres de profil de session nommés WindowsInPluginUpgrade et MacPluginUpgrade.
Ces paramètres sont disponibles au niveau global, au niveau du serveur virtuel, du groupe et de l’utilisateur. Chaque paramètre peut avoir la valeur Toujours, Essentiel ou Jamais. Pour obtenir une description de ces paramètres, reportez-vous à la section Comportements des plug-ins.
Paramètres CLI pour contrôler la mise à niveau du plug-in EPA
Citrix Gateway prend en charge les plug-ins EPA pour les systèmes d’exploitation Windows et Mac. Pour prendre en charge le contrôle de mise à niveau du plug-in EPA au niveau du serveur virtuel, Citrix Gateway prend en charge deux paramètres de serveur virtuel nommés WindowsePAPluginUpgrade et MacEpaPluginUpgrade.
Les paramètres sont disponibles au niveau du serveur virtuel. Chaque paramètre peut avoir la valeur Toujours, Essentiel ou Jamais. Pour obtenir une description de ces paramètres, voir Comportements des plug-ins.
Configuration VPN
Suivez ces étapes pour configurer le VPN des plug-ins Windows, Linux et Mac.
-
Accédez à Citrix ADC > Stratégies > Session.
-
Sélectionnez la stratégie de session souhaitée, puis cliquez sur Modifier.
-
Sélectionnez l’onglet Expérience client.
-
Ces options de boîte de dialogue affectent le comportement de mise à niveau.
- Always
- Essentiel
- Jamais
La valeur par défaut est Toujours.
-
Cochez la case située à droite de chaque option. Sélectionnez la fréquence à laquelle appliquer le comportement de mise à niveau.
Configuration EPA
Suivez ces étapes pour la configuration EPA des plug-ins Windows, Linux et Apple.
-
Accédez à Citrix Gateway > Virtual Servers.
-
Sélectionnez un serveur et cliquez sur le bouton Modifier.
-
Cliquez sur l’icône représentant un crayon.
-
Cliquez sur Plus
-
Les boîtes de dialogue qui s’affichent affectent le comportement de mise à niveau. Les options disponibles sont :
- Always
- Essentiel
- Jamais