ユースケース:企業のインターネットアクセスをコンプライアンスとセキュリティで保護する

金融組織のネットワークセキュリティのディレクターは、マルウェアの形でWebから来る外部の脅威から企業ネットワークを保護したいと考えています。これを行うには、ディレクタは、そうでなければ暗号化されたトラフィックをバイパスし、悪意のある Web サイトへのアクセスを制御することを可視化する必要があります。ディレクタは、次のことを行う必要があります。

• 企業ネットワークに出入りする SSL/TLS（暗号化されたトラフィック）を含むすべてのトラフィックを傍受し、調べます。
• ユーザーの財務情報や電子メールなどの機密情報を含むウェブサイトへのリクエストの傍受をバイパスします。
• 有害またはアダルトコンテンツを提供していると識別された有害な URL へのアクセスをブロックします。
• 悪意のある Web サイトにアクセスしている企業内のエンドユーザー (従業員) を特定し、これらのユーザーのインターネットアクセスをブロックするか、有害な URL をブロックします。

上記のすべてを実現するために、ディレクターは組織内のすべてのデバイスにプロキシを設定し、Citrix Secure Web Gateway（SWG）をポイントします。SWG（SWG）は、ネットワーク内でプロキシサーバーとして機能します。プロキシサーバは、企業ネットワークを通過する暗号化および暗号化されていないすべてのトラフィックを代行受信します。ユーザ認証を要求し、トラフィックをユーザに関連付けます。URL カテゴリを指定して、違法/有害、アダルトサイト、マルウェアおよびスパム Web サイトへのアクセスをブロックすることができます。

上記を実現するには、次のエンティティを設定します。

• DNS ネームサーバーを使用してホスト名を解決します。
• サブネット IP (SNIP) アドレスを使用して、オリジナルサーバーとの接続を確立します。SNIP アドレスはインターネットにアクセスできる必要があります。
• エクスプリシットモードのプロキシサーバで、すべてのアウトバウンド HTTP および HTTPS トラフィックを代行受信します。
• SSL プロファイルを使用して、接続の SSL 設定（暗号やパラメータなど）を定義します。
• SSLインターセプション用のサーバ証明書に署名するための CA 証明書とキーのペア。
• SSL ポリシーを使用して、傍受およびバイパスする Web サイトを定義します。
• 仮想サーバ、ポリシー、およびアクションを認証し、有効なユーザのみにアクセスを許可します。
• Appflowコレクタを使用して、Citrix Application Delivery Management（ADM）にデータを送信します。

この設定例では、CLI と GUI の両方の手順がリストされています。次のサンプル値が使用されます。IP アドレス、SSL 証明書とキー、および LDAP パラメータの有効なデータに置き換えます。

Secure Web Gateway ウィザードを使用して、企業ネットワークとの間で送受信されるトラフィックの代行受信と検査を設定します

ネットワークとの間で送受信される他のトラフィックに加えて、暗号化されたトラフィックを傍受および検査するための設定を作成するには、プロキシ設定、SSLi 設定、ユーザ認証設定、および URL フィルタリング設定を構成する必要があります。次に、入力した値の例を示します。

SNIP アドレスと DNS ネームサーバーの構成

1. Web ブラウザで、NSIP アドレスを入力します。たとえば、http://192.0.2.5などです。

2. ［User Name］ ボックスと ［Password］ ボックスに管理者資格情報を入力します。次の画面が開きます。

   

3. [ サブネット IP アドレス ] セクションをクリックし、IP アドレスを入力します。

   

4. ［完了］ をクリックします。

5. [ ホスト名]、[DNS IP アドレス]、[タイムゾーン ] セクションをクリックし、これらのフィールドに値を入力します。

   

6. ［完了］ 、［続行］ の順にクリックします。

プロキシ設定を構成する

1. [ Secure Web Gateway ] > [ Secure Web Gateway ウィザード]に移動します。

2. [は じめに] をクリックし、[続行] をクリックします。

3. [プロキシ設定] ダイアログボックスで、明示的なプロキシサーバーの名前を入力します。

4. [ キャプチャモード]で、[ 明示的]を選択します。

5. IP アドレスとポート番号を入力します。

   

6. ［続行］ をクリックします。

SSLインターセプション設定の構成

1. [ SSL インターセプトを有効にする] を選択します。

   

2. 「 SSLプロファイル」で、「+」をクリックして新しいフロントエンドSSLプロファイルを追加し、 このプロファイルでSSLセッションインターセプトを有効にします 。

   

3. [OK] をクリックし、[完了] をクリックします。

4. [ SSL インターセプト CA 証明書とキーペアの選択] で、[+] をクリックして、SSL インターセプト用の CA 証明書とキーのペアをインストールします。

   

5. [インストール] をクリックし、[閉じる] をクリックします。

6. すべてのトラフィックを代行受信するポリシーを追加します。[バインド] をクリックし、[追加] をクリックします。

   

7. ポリシーの名前を入力し、[詳細設定] を選択します。式エディタで true と入力します。

8. [アクション] で、[インターセプト] を選択します。

   

9. [Create] をクリックし、[Add] をクリックして、機密情報をバイパスする別のポリシーを追加します。

10. ポリシーの名前を入力し、[URL カテゴリ] で [追加] をクリックします。

11. 「 財務 」および「 電子メール 」カテゴリを選択し、「 構成済み 」リストに移動します。

12. [アクション] で [BYPASS] を選択します。

    

13. ［作成］ をクリックします。

14. 前に作成した 2 つのポリシーを選択し、[Insert] をクリックします。

    

15. ［続行］ をクリックします。

    

ユーザー認証設定の構成

1. [ユーザー認証を有効にする]を選択します。[認証タイプ] フィールドで、[LDAP] を選択します。

   

2. LDAP サーバの詳細を追加します。

   

3. ［作成］ をクリックします。

4. ［続行］ をクリックします。

URL フィルタリング設定の構成

1. [URL の分類を有効にする] を選択し、 [バインド] をクリックします。

   

2. ［追加］ をクリックします。

   

3. ポリシーの名前を入力します。[アクション] で、[拒否] を選択します。[URL カテゴリ] で、[不正/有害]、[アダルト]、[マルウェアとスパム] を選択し、[構成済み] リストに移動します。

   

4. ［作成］ をクリックします。

5. ポリシーを選択し、[Insert] をクリックします。

   

6. ［続行］ をクリックします。

   

7. ［続行］ をクリックします。

8. [アナリティクスの有効化] をクリックします。

9. Citrix ADMのIPアドレスを入力し、［ ポート］に5557と指定します。

   

10. ［続行］ をクリックします。

11. ［完了］ をクリックします。

    

Citrix ADMを使用して、ユーザーの主要なメトリックを表示し、次の項目を決定します。

• 企業内のユーザーのブラウズの動作。
• 社内ユーザーがアクセスしたURLカテゴリ。
• URLまたはドメインへのアクセスに使用されたWebブラウザー。

この情報を使用して、ユーザーのシステムがマルウェアに感染しているかどうかを判断するか、ユーザーの帯域幅消費パターンを理解します。Citrix SWGアプライアンスのポリシーを微調整して、これらのユーザーを制限したり、さらに一部のウェブサイトをブロックしたりできます。MAS でのメトリックスの表示の詳細については、MAS ユースケースの「エンドポイントの検査」ユースケースを参照してください。

注

CLI を使用して、次のパラメータを設定します。

set syslogparams -sslInterception ENABLED

set cacheparameter -memLimit 100

set appflow param -AAAUserName ENABLED
 

CLI の例

次に、企業ネットワークとの間で送受信されるトラフィックのインターセプションと検査を設定するために使用されるすべてのコマンドの例を示します。

一般的な構成：

    add ns ip 192.0.2.5 255.255.255.0

    add ns ip 198.51.100.5 255.255.255.0 -type SNIP

    add dns nameServer 203.0.113.2

    add ssl certKey ns-swg-ca-certkey -cert ns_swg_ca.crt -key ns_swg_ca.key

    set syslogparams -sslInterception ENABLED

    set cacheparameter -memLimit 100

    set appflow param -AAAUserName ENABLED
 

認証の設定:

add authentication vserver explicit-auth-vs SSL

bind ssl vserver explicit-auth-vs -certkeyName ns-swg-ca-certkey

add authentication ldapAction swg-auth-action-explicit -serverIP 192.0.2.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword zzzzzz -ldapLoginName sAMAccountName

add authenticationpolicy swg-auth-policy -rule true -action swg-auth-action-explicit

bind authentication vserver explicit-auth-vs -policy swg-auth-policy -priority 1
 

プロキシサーバと SSLインターセプションの設定：

add cs vserver explicitswg PROXY 192.0.2.100 80 –Authn401 ENABLED –authnVsName explicit-auth-vs

set ssl parameter -defaultProfile ENABLED

add ssl profile swg_profile -sslInterception ENABLED

bind ssl profile swg_profile -ssliCACertkey ns-swg-ca-certkey

set ssl vserver explicitswg -sslProfile swg_profile

add ssl policy ssli-pol_ssli -rule true -action INTERCEPT

bind ssl vserver explicitswg -policyName ssli-pol_ssli -priority 100 -type INTERCEPT_REQ
 

URL カテゴリの設定:

add ssl policy cat_pol1_ssli -rule "client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Finance") || client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Email")" -action BYPASS

bind ssl vserver explicitswg -policyName cat_pol1_ssli -priority 10 -type INTERCEPT_REQ

add ssl policy cat_pol2_ssli -rule "client.ssl.client_hello.sni.url_categorize(0,0).GROUP.EQ("Adult") || client.ssl.client_hello.sni.url_categorize(0,0).GROUP.EQ("Malware and SPAM") || client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Illegal/Harmful")" -action RESET

bind ssl vserver explicitswg -policyName cat_pol2_ssli -priority 20 -type INTERCEPT_REQ
 

Citrix ADMにデータをプルするためのAppFlow構成：

add appflow collector _swg_testswg_apfw_cl -IPAddress 192.0.2.41 -port 5557 -Transport logstream

set appflow param -templateRefresh 60 -httpUrl ENABLED -AAAUserName ENABLED -httpCookie ENABLED -httpReferer ENABLED -httpMethod ENABLED -httpHost ENABLED -httpUserAgent ENABLED -httpContentType ENABLED -httpVia ENABLED -httpLocation ENABLED -httpDomain ENABLED -cacheInsight ENABLED -urlCategory ENABLED

add appflow action _swg_testswg_apfw_act -collectors _swg_testswg_apfw_cl -distributionAlgorithm ENABLED

add appflow policy _swg_testswg_apfw_pol true _swg_testswg_apfw_act

bind cs vserver explicitswg -policyName _swg_testswg_apfw_pol -priority 1