Gateway

Comment les utilisateurs se connectent au client Citrix Secure Access

NetScaler Gateway fonctionne comme suit :

  • Lorsque les utilisateurs tentent d’accéder aux ressources réseau via le tunnel VPN, le client Citrix Secure Access chiffre tout le trafic réseau destiné au réseau interne de l’organisation et transmet les paquets à NetScaler Gateway.
  • NetScaler Gateway met fin au tunnel SSL, accepte tout trafic entrant destiné au réseau privé et transfère le trafic vers le réseau privé. NetScaler Gateway renvoie le trafic vers l’ordinateur distant via un tunnel sécurisé.

Lorsque les utilisateurs saisissent l’adresse Web, ils reçoivent une page d’ouverture de session dans laquelle ils entrent leurs informations d’identification et ouvrent une session. Si les informations d’identification sont correctes, NetScaler Gateway termine la liaison avec la machine utilisateur.

Si l’utilisateur se situe derrière un serveur proxy, il peut spécifier des informations d’identification pour le serveur proxy et l’authentification. Pour plus d’informations, consultez Activation de la prise en charge du proxy pour les connexions utilisateur.

Le client Citrix Secure Access est installé sur la machine utilisateur. Après la première connexion, si les utilisateurs ouvrent une session à l’aide d’un ordinateur Windows, ils peuvent utiliser l’icône de la zone de notification pour établir la connexion.

Établir le tunnel sécurisé

Lorsque les utilisateurs se connectent au client Citrix Secure Access, à Secure Hub ou à l’application Citrix Workspace, le logiciel client établit un tunnel sécurisé sur le port 443 (ou tout port configuré sur NetScaler Gateway) et envoie des informations d’authentification. Lorsque le tunnel est établi, NetScaler Gateway envoie des informations de configuration au client Citrix Secure Access, à Secure Hub ou à l’application Citrix Workspace décrivant les réseaux à sécuriser et contenant une adresse IP si vous activez les pools d’adresses.

Tunnel du trafic réseau privé sur des connexions sécurisées

Lorsque le client Citrix Secure Access démarre et que l’utilisateur est authentifié, tout le trafic réseau destiné à des réseaux privés spécifiés est capturé et redirigé via le tunnel sécurisé vers NetScaler Gateway. L’application Citrix Workspace doit prendre en charge le client Citrix Secure Access pour établir la connexion via le tunnel sécurisé lorsque les utilisateurs ouvrent une session.

Secure Hub, Secure Mail et WorxWeb utilisent Micro VPN pour établir le tunnel sécurisé pour les appareils mobiles iOS et Android.

NetScaler Gateway intercepte toutes les connexions réseau établies par la machine utilisateur et les multiplexe via SSL (Secure Sockets Layer) vers NetScaler Gateway, où le trafic est démultiplexé et les connexions sont transférées vers la combinaison hôte et port appropriée.

Les connexions sont soumises à des stratégies de sécurité administratives qui s’appliquent à une seule application, à un sous-ensemble d’applications ou à un intranet complet. Vous spécifiez les ressources (plages de paires d’adresses IP/sous-réseaux) auxquelles les utilisateurs distants peuvent accéder via la connexion VPN.

Le client Citrix Secure Access intercepte et tunnelise les protocoles suivants pour les applications intranet définies :

  • TCP (tous les ports)
  • UDP (tous les ports)
  • ICMP (types 8 et 0 - demande/réponse d’écho)

Les connexions provenant d’applications locales sur la machine utilisateur sont transférées de manière sécurisée vers NetScaler Gateway, qui rétablit les connexions avec le serveur cible. Les serveurs cibles considèrent les connexions comme provenant du NetScaler Gateway local sur le réseau privé, masquant ainsi la machine utilisateur. C’est ce qu’on appelle également la traduction d’adresses réseau inversée (NAT). Le masquage des adresses IP renforce la sécurité des emplacements sources.

Localement, sur la machine utilisateur, tout le trafic lié à la connexion, tel que les paquets SYN-ACK, PUSH, ACK et FIN, est recréé par le client Citrix Secure Access pour apparaître depuis le serveur privé.

Connectez-vous via des pare-feu et des proxys

Les utilisateurs du client Citrix Secure Access se trouvent parfois à l’intérieur du pare-feu d’une autre organisation, comme le montre la figure suivante :

Connexion utilisateur via deux pare-feu internes

Les pare-feux NAT tiennent à jour une table qui leur permet d’acheminer des paquets sécurisés depuis NetScaler Gateway vers la machine utilisateur. Pour les connexions orientées circuit, NetScaler Gateway gère une table de traduction NAT inversée mappée aux ports. La table de traduction NAT inverse permet à NetScaler Gateway de faire correspondre les connexions et de renvoyer les paquets via le tunnel à la machine utilisateur avec les numéros de port corrects afin que les paquets soient renvoyés vers la bonne application.

Contrôlez la mise à niveau des clients Citrix Secure Access

Les administrateurs système contrôlent les performances du plug-in NetScaler lorsque sa version ne correspond pas à la révision de NetScaler Gateway. Les nouvelles options contrôlent le comportement de mise à niveau du plug-in pour Mac, Windows ou les systèmes d’exploitation.

Pour les plug-ins VPN, l’option de mise à niveau peut être définie à deux endroits dans l’interface utilisateur de l’appliance NetScaler :

  • Dans les paramètres globaux
  • Au niveau du profil de session

Exigences

  • La version du plug-in Windows EPA et VPN doit être supérieure à 11.0.0.0

  • La version du plug-in Mac EPA doit être supérieure à 3.0.0.31

  • La version du plug-in VPN Mac doit être supérieure à 3.1.4 (357)

Remarque :

Si l’appliance NetScaler est mise à niveau vers la version 11.0, tous les plug-ins VPN (et EPA) précédents sont mis à niveau vers la dernière version, quelle que soit la configuration du contrôle de mise à niveau. Pour les mises à niveau suivantes, elles respectent la configuration précédente du contrôle de mise à niveau.

Comportements des plug-ins

Pour chaque type de client, NetScaler Gateway propose les trois options suivantes pour contrôler le comportement de mise à niveau des plug-ins :

  • Always

Le plug-in est toujours mis à niveau chaque fois que la version du plug-in de l’utilisateur final ne correspond pas au plug-in fourni avec l’appliance NetScaler. Il s’agit du comportement par défaut. Sélectionnez cette option si vous ne souhaitez pas que plusieurs versions de plug-in soient exécutées dans votre entreprise.

  • Essentiel (et sécurité)

Le plug-in n’a été mis à niveau que lorsque cela est jugé nécessaire. Les mises à niveau sont jugées nécessaires dans les deux cas suivants :

  • Le plug-in installé n’est pas compatible avec la version actuelle de l’appliance NetScaler.

  • Le plug-in installé doit être mis à jour pour obtenir le correctif de sécurité nécessaire.

Sélectionnez cette option si vous souhaitez réduire le nombre de mises à niveau de plug-in, mais ne souhaitez pas manquer de mises à jour de sécurité de plug-in

  • Jamais

Le plug-in n’est pas mis à niveau.

Paramètres CLI pour contrôler la mise à niveau du plug-in VPN

NetScaler Gateway prend en charge deux types de plug-ins (EPA et VPN) pour les systèmes d’exploitation Windows et Mac. Pour permettre le contrôle de la mise à niveau des plug-ins VPN au niveau de la session, NetScaler Gateway prend en charge deux paramètres de profil de session nommés WindowsInPluginUpgrade et MacPluginUpgrade.

Ces paramètres sont disponibles au niveau global, au niveau du serveur virtuel, du groupe et de l’utilisateur. Chaque paramètre peut avoir la valeur Toujours, Essentiel ou Jamais. Pour obtenir une description de ces paramètres, reportez-vous à la section Comportements des plug-ins.

Paramètres CLI pour contrôler la mise à niveau du plug-in EPA

NetScaler Gateway prend en charge les plug-ins EPA pour les systèmes d’exploitation Windows et Mac. Pour prendre en charge le contrôle de la mise à niveau des plug-ins EPA au niveau du serveur virtuel, NetScaler Gateway prend en charge deux paramètres de serveur virtuel nommés WindowsePAPluginUpgrade et MacEPAPluginUpgrade.

Les paramètres sont disponibles au niveau du serveur virtuel. Chaque paramètre peut avoir la valeur Toujours, Essentiel ou Jamais. Pour obtenir une description de ces paramètres, voir Comportements des plug-ins.

Configuration VPN

Suivez ces étapes pour configurer le VPN des plug-ins Windows, Linux et Mac.

  1. Accédez à NetScaler > StratégiesSession.

  2. Sélectionnez la stratégie de session souhaitée, puis cliquez sur Modifier.

  3. Sélectionnez l’onglet Expérience client.

  4. Ces options de boîte de dialogue affectent le comportement de mise à niveau.

    • Always
    • Essentiel
    • Jamais

    La valeur par défaut est Toujours.

  5. Cochez la case située à droite de chaque option. Sélectionnez la fréquence à laquelle appliquer le comportement de mise à niveau.

    Option de mise

Configuration EPA

Suivez ces étapes pour la configuration EPA des plug-ins Windows, Linux et Apple.

  1. Accédez à NetScaler Gateway > Serveurs virtuels.

  2. Sélectionnez un serveur et cliquez sur le bouton Modifier.

  3. Cliquez sur l’icône représentant un crayon.

    Cliquez sur l'icône crayon

  4. Cliquez sur Plus

  5. Les boîtes de dialogue qui s’affichent affectent le comportement de mise à niveau. Les options disponibles sont :

    • Always
    • Essentiel
    • Jamais
Comment les utilisateurs se connectent au client Citrix Secure Access