Guía de PoC: Redireccionamiento de URL con Secure Browser y Citrix ADC en Azure

Información general

Estos son los pasos de configuración para configurar un ADC, configurar SSL Forward Proxy e Intercepción SSL mediante la plantilla de mercado de Citrix ADC más reciente. La capacidad de redirección URL a explorador seguro del ADC permite a los administradores definir categorías específicas de sitios web que se redirigirán del explorador local a Secure Browser automáticamente. Citrix ADC actúa como un proxy intermedio para realizar la interceptación entre la navegación local e Internet, logrando así el aislamiento web y protegiendo la red corporativa. Esta capacidad aumenta la seguridad sin comprometer la experiencia del usuario.

Arquitectura Conceptual

Ámbito

Esta guía de prueba de concepto describe lo siguiente:

1. Obtener una cuenta de prueba de explorador seguro
2. Configurar ADC en Azure
3. Configurar el dispositivo Citrix ADC como proxy
4. Configurar la intercepción SSL
5. Configurar directivas y acciones de reescritura

Pasos de implementación

Sección 1: Obtener una cuenta de prueba de explorador seguro

Documento de referencia para Secure Browser Service

Solicitar una prueba del explorador seguro

1. Navegue a su cuenta de Citrix Cloud e introduzca el nombre de usuario y la contraseña

2. Haga clic en Sign In. Si su cuenta gestiona más de un cliente, seleccione el adecuado

   

3. Haga doble clic en elicono Secure Browser.

   

4. Si sabes quién es su equipo de cuentas, ponte en contacto con ellos para obtener la aprobación de la prueba. Si no estás seguro de quién es su equipo de cuentas, continúa con el siguiente paso.

5. Haga clic enSolicitar una llamada

   

6. Introduzca sus datos y en la secciónComentariosespecifique“Prueba del servicio del explorador seguro”.

7. Haga clic enSubmit.

   

   Nota:

   Citrix Sales se pondrá en contacto con usted para darle acceso al servicio. Esto no es inmediato, un representante de ventas de Citrix contactará

8. Una vez que haya aprobado la prueba de Secure Browser, consulte lasecciónPublicar un navegador segurodel documento de Citrixpara publicar una aplicación Secure Browser.

Habilitar parámetros de URL

1. En su suscripción a Citrix Cloud, haga doble clic en el iconoExplorador seguro

2. En el explorador publicado, denominado “explorador” en este ejemplo, haga clic en los tres puntos y seleccioneDirectivas

   

3. Habilitarla directiva Parámetros de URLen el explorador publicado

   

Sección 2: Configurar ADC en Azure

El ADC se puede configurar en cualquier nube de elección. En este ejemplo, Azure es nuestra nube de elección.

Configurar una instancia de ADC

1. Desplácese hastaTodos los recursosy haga clic en el botón+ Agregar, busque Citrix ADC

2. Seleccionarplantilla de Citrix ADC

3. Seleccione el plan de software según sus requisitos (en este ejemplo Traiga su propia licencia)

4. Haga clic enCrear

   

Configurar tarjeta NIC

1. Vaya aTodos los recursosy seleccione la tarjeta NIC para la instancia de ADC

2. SeleccioneConfiguraciones IP, anote ladirección de administración de ADC

3. Habilite la configuración de reenvío de IP, guarde los cambios.

   

Configurar IP virtual

1. Haga clic enAgregar, definavirtualipcomo el nombre de la nueva configuración.

2. SeleccioneEstáticay agregue una nueva dirección IP después de la dirección de administración

3. Habilitar la opción Dirección pública y crear una nueva dirección IP pública

4. Guardar los cambios

   

Configurar el FQDN en el cliente

1. Desplácese hasta el recurso Dirección IP pública creado para lavirtualipconfiguración

2. Haga clic enConfiguracióny agregue una etiqueta DNS (en este ejemplo,urlredirection.eastus.cloudapp.azure.com)

   

Configurar reglas de red

1. Agregue las siguientes reglas de red

   

   Nota:

   Puede optar por cerrar los puertos 22 y 443 una vez finalizada la configuración, ya que esos puertos solo son necesarios para iniciar sesión en la consola de administración con fines de configuración.

2. En este punto,la instancia de ADC en Azure está configurada

Sección 3: Configurar el dispositivo Citrix ADC como proxy

Configure el ADC como proxy para redirigir el tráfico desde el explorador cliente a Internet.

Iniciar sesión en la consola de administración de ADC

1. Vaya a la consola de administración de Citrix ADC introduciendo la dirección IP pública de la instancia en la barra de búsqueda del explorador

   Nota:

   Utilice la dirección IP de la máquina aprovisionada en los pasos anteriores, en este ejemplohttps://40.88.150.164/

2. Inicie sesión en la consola introduciendo el nombre de usuario y la contraseña que configuró en los pasos anteriores

   

3. En la pantalla de configuración inicial, haga clic enContinuar

Cargar las licencias

1. Vaya aSistema > Licencias > Administrar licencias

2. Cargue las licencias necesarias para ADC.

   Nota:

   Las licencias que aportes deben admitir las funciones resaltadas en los pasos 11 y 13 en Configurar funciones básicas y configurar funciones avanzadas (por ejemplo, CNS_v3000_server_plt_retail.lic y cns_webf_sserver_retail.lic)

   

3. Reinicieel servidor después de cargar ambas licencias.

4. Después de reiniciar, vuelva a iniciar sesión en la administración

5. Vaya aSistema > Configuración > Configurar Modos

6. Solo se deben habilitar dos opciones dereenvío basado en MacyDescubrimiento MTU de ruta

   

   

7. Vaya aSistema > Configuración > Configurar funciones básicas

   

8. Seleccione:SSL Offloading,Load BalancingRewrite,Authentication, Authorization, and Auditing,Content Switching, yIntegrated Caching

   

9. Vaya aSistema > Configuración > Configurar funciones avanzadas

   

10. Seleccione:Cache Redirection,IPv6 Protocol Translation,AppFlow,Reputation,Forward Proxy,Content Inspection,Responder,URL Filtering, ySSL Interception

    

Configurar el servidor NTP

1. Vaya aSistema > Servidores NTP > Agregar

   

2. Crear un servidor, por ejemplopool.ntp.org

   

3. Habilitar NTP cuando se le solicite y configure el servidor como habilitado

   

4. Guardar la configuración desde la acción de guardar el portal de administración

   

5. Abra la sesión SSH a la dirección de administración de ADC, inicie sesión con las credenciales que utilizó mientras aprovisionaba el ADC desde Azure

Configurar perfil TCP y vServer

1. Obtener洛杉矶virtualippasos de la Sección 2 y entrar en el comando (en este ejemplo 10.1.0.5)

2. Ejecute los siguientes comandos con lasslproxydirección, por ejemplovirtualip:

3. Para agregar perfil TCP:

   add ns tcpProfile proxy-tcpprofile01 -dynamicReceiveBuffering ENABLED -KA ENABLED -mptcp ENABLED -mptcpDropDataOnPreEstSF ENABLED -mptcpSessionTimeout 360 -builtin MODIFIABLE 

4. Para agregar un servidor virtual

   add cs vserver sslproxy01 PROXY 10.1.0.5 8080 -cltTimeout 360 -tcpProfileName proxy-tcpprofile01 -persistenceType NONE bind cs vserver sslproxy01 -lbvserver azurelbdnsvserver add netProfile proxy-netprofile01 -srcIP 10.1.0.5 -srcippersistency ENABLED -MBF ENABLED -proxyProtocol ENABLED -proxyProtocoltxversion V2 set cs vserver sslproxy01 -netProfile proxy-netprofile01 set ssl vserver sslproxy01 -sslProfile ns_default_ssl_profile_frontend save ns config 

5. Para cambiar laconfiguración de cachévolver a la sesión de administración en el explorador

6. Vaya aOptimización > Almacenamiento en caché integrado

7. Vaya aConfiguración > Cambiar configuración de caché

   

8. Establezca ellímite de uso de memoria250 MBy haga clic enAceptar

   

Configurar el cliente para la redirección de URL

1. En un cliente, por ejemplo Firefox

2. Configure el proxy del explorador envirtualip, IP pública o FQDN: 8080 configurado en la Sección 2 (por ejemplo,urlredirection.eastus.cloudapp.azure.com:8080)

   

3. Ahora que tenemos un ADC configurado, pruebe cualquier conectividad del sitio web desde el explorador con el ADC actuando como proxy.

Sección 4: Configurar la intercepción SSL

La intercepción SSL utiliza una directiva que especifica el tráfico que interceptar, bloquear o permitir. Citrix recomienda configurar una directiva genérica para interceptar tráfico y directivas más específicas para omitir parte del tráfico.

Referencias:

Intercepción SSL

Categorías de URL

Ejemplo de configuración de vídeo

Crear una clave RSA

1. Vaya aGestión del tráfico > SSL > Archivos SSL > Claves

2. SeleccioneCrear clave RSA

   

3. Seleccione el nombre del archivo de clave y el tamaño de clave requerido

   

4. Una vez creada la clave, descargue el archivo.keypara usarlo más tarde

   

Crear una solicitud de firma de certificados (CSR)

1. Vaya aAdministración de tráfico > SSL > Archivos SSL > CSR > Crear solicitud de firma de certificado (CSR)

   

2. Asigne联合国数量al de solicitud archivo穷ejemplosemesec_req1.req

   

3. Haga clic en Nombre dearchivo de clave > Aplicarel nombre del archivo de clave es el que se creó en el paso anterior, en este ejemplosmesec_key1.key

   

4. Después de seleccionar la Clave continúe rellenando los espacios en blanco necesarios: Nombre común, Nombre de la organización y Estado o provincia

5. Haga clic en Crear

Crear un certificado

1. Vaya aGestión del tráfico > SSL > Archivos SSL > Certificados > Crear certificado

   

2. Asigne un nombre al certificado y elija el archivo de solicitud de certificado (.req) y el nombre del archivo de clave (.key) creados en los pasos anteriores

   

3. Haga clic en Crear

4. Una vez creado el certificado, descargue el archivo.certpara su uso posterior

   

Crear directiva SSL INTERCEPT

1. Vaya aAdministración de tráfico > SSL > Directivas

2. Haga clic en Agregar.

   

3. Asigne un nombre a la directiva y seleccione la acción INTERCEPTAR

4. Expresión para interceptar noticias:

   client.ssl.detected_domain.url_categorize(0,0).category.eq("News")

5. Haga clic en Crear

   

6. Para enlazar la directiva Interceptar al servidor virtual, vaya aSeguridad > Proxy de reenvío SSL > Servidores virtuales proxy

   

7. Seleccione el servidor virtual, en este ejemplosslproxy01

8. Seleccioneagregar directivas SSLy haga clic enSin enlace de directivas SSL

9. Enlazar la directiva de interceptación:

   

Crear directiva de BYPASS SSL

1. Vaya aAdministración de tráfico > SSL > Directivas

2. Haga clic en Agregar.

   

3. Asigne un nombre a la directiva y seleccione la acción NOOP: No hay opción BYPASS, consulte el siguiente paso

4. Expresión para omitir la directiva:CLIENT.SSL.DETECTED_DOMAIN.CONTAINS("cloud")

   

5. Vaya aSeguridad > Proxy de reenvío SSL > Directivas de intercepción SSL

   

6. Seleccione la directiva para editarla

7. Cambiar acción de NOOP a BYPASS

8. Haga clic en Aceptar

   

9. Verifique dos veces que la acción sea ahora BYPASS

10. Volver aAdministración de tráfico > SSL > Directivaspara volver a comprobar el cambio

    

11. Para enlazar la directiva Omitir al servidor virtual, vaya aSeguridad > Proxy de reenvío SSL > Servidores virtuales proxy

    

12. Haga doble clic en el servidor virtual, en este ejemplosslproxy01

13. Seleccioneagregar directivas SSLy haga clic enEnlace de directivas SSL

14. Enlazar la directiva de omisión > Agregar

    

15. Haga clic en Enlazar

    

    Nota:

    Esta directiva se crea para omitir la intercepción de ADC para el tráfico que va a un explorador segurolaunch.cloud.com

Crear perfil SSL

1. Vaya aSistema > Perfiles > Perfil SSL > Agregar

   

2. Crear el perfil dándole un nombre, en este ejemplosmesec_swg_sslprofile

   

3. Marque la casilla para habilitar la Intercepción de sesiones SSL y, a continuación, haga clic en Aceptar

   

4. Haga clic en Aceptar para crear un perfil SSL

5. Debe instalar el par de llaves de certificado

6. Asegúrese de tener un.pfxformato del par cert-key antes. Consulte el siguiente paso para obtener instrucciones sobre cómo generar un archivo.pfxa partir de los archivos.certy.keyque descargó anteriormente.

Preparar par de llaves de cert

1. Comience porinstalar la herramienta SSL

2. Agregar la rutaopensslde instalación a las variables de entorno del sistema

   

3. Desde PowerShell, ejecute el comando:

   openssl pkcs12 -export -out smesec_cert1.pfx -inkey smesec.key1.key -in smesec.cert1.cert

   

Enlazar un certificado de CA de intercepción SSL al perfil SSL

1. Vaya aSistema > Perfiles > Perfil SSL

2. Seleccione el perfil creado anteriormente

3. Haga clic en+ Clave de certificado

4. Haga clic en Instalar

5. Elija el archivo.pfx preparado previamente

6. Crea una contraseña (la necesitas más tarde)

7. Haga clic en Instalar

   

Enlazar el perfil SSL al servidor virtual

1. Vaya aSeguridad > Proxy de reenvío SSL > Servidores virtuales proxy

   

2. Seleccione el servidor virtual, en este ejemplosslproxy01

3. Haga clic para modificar el perfil SSL

   

4. Elija el perfil SSL creado en anteriormente, en este ejemplosmesec_swg_sslprofile

5. Completado

Sección 5: Configurar directivas y acciones de reescritura

Una directiva de reescritura consiste en una regla y una acción. La regla determina el tráfico en el que se aplica la reescritura y la acción determina la acción que debe realizar el dispositivo Citrix ADC. La directiva de reescritura es necesaria para que la redirección URL se produzca en Secure Browser en función de la categoría de la URL introducida en el explorador, en este ejemplo “Noticias”.

Referencia

Crear directiva y acción de reescritura

1. Vaya aAppExpert > Reescribir > Directiva

2. Haga clic en Agregar.

   

3. Cree la directiva nombrándola, cloud_pol en este ejemplo y utilice la expresión:HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL).URL_CATEGORIZE(0,0).CATEGORY.EQ("News")

4. Haga clic en crear

   

5. Crear la acción en PutTY

6. Ejecute este comando:

   add rewrite action cloud_act REPLACE_HTTP_RES q{"HTTP/1.1 302 Found" + "\r\n" + "Location: https://launch.cloud.com//?url=https://" + HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL.PATH) + "\r\n\r\n\" "}

   Nota:

   En el comando reemplacecon el nombre de su cuenta de cliente de Citrix Cloud yreemplácelo por el nombre de la aplicación publicada en Secure Browser para la que está habilitada la directiva de parámetros de URL. Refiriéndose a la aplicación publicada que creó en la Sección 1.

Enlazar directiva de reescritura al servidor virtual

1. Volver a la consola de administración de ADC

2. Vaya aAppExpert > Reescribir > Directiva

3. Vaya像directiva cloud_pol y cambie la accioncloud_act (la creada anteriormente)

   

4. Para elegir el tipo de directiva de reescritura, vaya aSeguridad > Proxy de reenvío SSL > Servidores virtuales proxy

5. Seleccione “+ Directivas”

6. Directiva: Reescribir

7. Tipo: Respuesta

   

8. Seleccione la directiva creada, en este ejemplocloud_pol

9. Prioridad: 10

10. Vincular

    

11. Haga clic en listo

12. Guardar configuración

Enlazar clave de certificado al perfil

1. Vaya aSistema > Perfiles > Perfil SSL

2. Seleccione el perfil creado, por ejemplosmesec_swg_sslprofile

3. Haga doble clic en+ Clave de certificado

   

4. Seleccione la clave de certificado, por ejemplosmesec_cert_overall

   

5. Haga clic en Seleccionar
6. Haga clic en Enlazar
7. Haga clic en Listo
8. Guardar configuración

Importar el archivo de certificado al explorador

1. Sube el certificado en Firefox (según nuestro ejemplo con sitios web de la categoría Noticias)

2. Vaya aOpcionesen su explorador de elección, Firefox en este ejemplo

3. Buscar“certs” > haga clic en “Ver certificados”

   

4. En la ventana del Administrador de certificados, haga clic en “Importar…”

   

5. Busque su certificado y haga clic en abrir,smesec_cert1.certen este ejemplo

   

6. Introduzca la contraseña que creó al crear el certificado

7. La entidad emisora de certificados debe estar instalada correctamente

   

Demo

Los sitios web de noticias del explorador local se redirigen automáticamente a Secure Browser. Vea la siguientedemostración

Resumen

En esta guía de PoC, ha aprendido a configurar Citrix ADC en Azure y Configurar el proxy de reenvío SSL y la intercepción SSL. Esta integración permite la entrega dinámica de recursos mediante la redirección de la navegación al servicio Explorador seguro. Por lo tanto, proteger la red de la empresa sin sacrificar la experiencia del usuario.