J’avais dans la première version de site parler d’un article très intéressant sur le fait que beaucoup d’administrateur laissaient des portes ouvertes de leur entreprises sur le Net.

J’ai retrouvé l’article en question (puisque que mon précédent site avait crashé). Je vous livre donc l’article et je vous laisse réfléchir sur le fait qu’il est bon de toujours sécuriser votre infrastructure de test ou de maquette (Citrix Secure Gateway minimun fournit de base dans XenApp), même si c’est temporaire. Car avec une simple recherche dans Google ou Yahoo sur l’extension .ica, on y trouve des choses intéressantes.

C’est un vieille article daté de 2007 mais je viens encore de faire le test avec Google et comment dire…;).

Et là dans l’affaire les trous de sécurités sont les administrateurs eux mêmes

Je vous laisse juger. J’ai pris un exemple au hasard sur les pages de résultats Google. Par contre il ne faut pas se méprendre sur ma démarche, l’idée est de sensibiliser ceux qui seraient tenté de laisser des portes ouvertes Citrix sur Internet.

http://www.gnucitizen.org/blog/citrix-owning-the-legitimate-backdoor/

Et la preuve en image, bonne lecture,
Durée de la vidéo : 01 minutes et 11 secondes | format (flash en .swf) 1064×682 pixels
Taille de la vidéo : 990 ko | Auteur : tescitrixoupas | Date de création : 06 août 2009

A bientôt,
Patrice Jacques-gustave

Ca faisait longtemps que j’avais pas écrit un article sans vidéo . Je vais répondre à certaines interrogations du moment. En essayant d’être le plus simple possible. Faites moi signe si ce qui suit n’est pas clair.

Citrix Secure Gateway:
Chaque édition de XenApp possède un logiciel de VPN SSL pour le protocol ICA. Ce logiciel est inclut directement sur le CD ou dans l’iso XenApp, c’est une fonctionnalité de XenApp. Cet outil se nomme Citrix Secure Gateway. L’idée est de mettre à disposition une architecture XenApp à des utilisateurs externes à l’entreprise de manière sécurisée.

Comment ça marche techniquement du coté utilisateur:
1 – l’utilisateur se connecte à une Web Interface via HTTPS. Il rentre son identification et reçoit en échange la liste des applications publiées par l’administrateur de l’infrastructure XenApp.
2 – l’utilisateur clique alors sur une icône d’application publiée
3 – l’utilisateur se connecte en ICA sous SSL vers cette application publiée

Toute la session utilisateur est donc sous SSL.

Comment ça marche techniquement du coté administration:
1 – l’administrateur doit installer un serveur XenApp, et définir un port XML à l’installation. Le service STA (gestionnaire sécurisée des tickets de sessions) est automatiquement installé aussi par défaut sur le XenApp. Il utilisera le même port que le service XML.
2 – l’administrateur doit installer une Web Interface, qui pointera vers le service XML du serveur XenApp, vers le service STA et vers une passerelle VPN SSL ICA (Citrix Secure Gateway).
3 – l’administrateur doit installer Citrix Secure Gateway dans la DMZ, qui pointera vers le serveur Web Interface et le STA (Secure Ticket Authority – fonctionnalité de XenApp).

Avec ce modèle d’infrastructure, l’utilisateur ne se connecte jamais en direct vers le serveur XenApp, car il ne connait jamais l’adresse IP de ce dernier. Mais uniquement l’adresse de la passerelle Citrix Secure Gateway.

Et dans ce modèle d’infrastructure, seul la passerelle Citrix Secure Gateway peut se connecter au serveur XenApp.

A bientôt

PS: je vais décrire ce type de connexion sécurisée en plusieurs partie, histoire de ne pas faire de long article (chiant à lire )

Patrice Jacques-gustave

Je vous met en ligne la création d’un certificat SSL serveur pour, par exemple, votre passerelle SSL Citrix Secure Gateway. Pour rappel, quand vous achetez votre XenApp, vous avez un soft vous permettant de créer une passerelle VPN SSL pour vos connections Citrix ICA. Du coup dans la vidéo je vous met la création du certificat SSL et la configuration de Citrix Secure Gateway.

Dans l’exemple, je suis sur un Windows 2003, jouant le rôle d’autorité de certification et en même temps de passerelle vpn SSL Citrix. A ne pas faire en production, n’est ce pas !

Pour faire bref, l’idée est que depuis l’extérieur de l’entreprise je me connecte en SSL vers une Web Interface au travers de Citrix Secure Gateway. Je ne me connecte donc jamais en ICA directement sur un des serveurs XenApp dans le LAN. Seul la Citrix Secure Gateway peut le faire.

Alors à la question que l’on me pose souvent ; « Quand remets tu les concepts d’infra en ligne ? », ma réponse pour le moment est, dès que j’ai un plus de temps Mais c’est prévue pas de soucis…

En attendant, je continue à mettre en ligne des vidéos d’installations et de configuration. ET pour faire plaisir à Pierre de www.citrixtools.net, j’ai rajouté une barre de navigation permettant de surfer sur la vidéo . Par contre du coup elle est plus grosse en taille (mais toujours de bonne qualité), je verrais bien comment optimiser plus tard…

Bonne lecture,
Durée de la vidéo : 02 minutes 44 minutes

Pour télécharger toutes les vidéos, allez dans la section Téléchargement en haut à droite du site.

Sinon faites un clic droite et « enregistrez la cible sous » : [download#24]

Patrice Jacques-gustave