Un des sujets qui fonctionne le mieux sur ce site concerne Citrix Secure Gateway, passerelle VPN SSL logiciel gratuit chez Citrix.

La vidéo qui suit vient à la suite de l’article « video-installation-basique-de-web-interface-5-2-pour-iis/« /

Dans cet exemple, je vous montre les options à configurer pour que vos utilisateurs passent obligatoirement par une Citrix Secure Gateway.

Bonne lecture,
Durée de la vidéo : 03 minutes 43 sec | format (flash en .swf) 1024×786 pixels
Taille de la vidéo : 1,02 Mo | Auteur : tescitrixoupas | Date de création : 14 Janvier 2010

Pour ceux qui ne savent pas encore installer une Citrix Secure Gateway, lisez :
Les fondamentaux – Architecture Citrix Secure Gateway – Part 1
Les fondamentaux – Architecture Citrix Secure Gateway – Part 2
Vidéo – installation basique de Citrix Secure Gateway 3.1 sous Windows 2003
Vidéo – creation basique d’un certificat SSL à partir d’une autorité certifiante Microsoft

Retrouvez toutes les vidéos dans la section Téléchargement.

A bientôt,
Patrice Jacques-gustave

Je ne sais pas si vous aviez tous suivit ceci, mais non seulement NetScaler VPX Express est gratuit sous XenServer mais aussi sous ESX en TechPreview.

En effet, vous avez la possibilité d’avoir une passerelle VPN SSL, du load balancing, accélération d’application Web, etc…gratis chez Citrix.

Citrix nous fournit les appliances virtuelles sous mycitrix.com.

Pour mettre NetScaler VPX sur ESX vous devez :

1. Obtenir ESXi sur le site de vmware
2. Télécharger le client vSphere sur le site de vmware et l’installer sous Windows XP ou 2003
3. Télécharger NetScaler VPX for ESX (.zip qui fait 1,28 Go)
4. Dans vSphere, utilisez « File -> Deploy OVF Template » pour installer le Netscaler VPX Express
5. Récupérer une licence gratuite au même endroit où vous avez télécharger la machine virtuelle
6. Pour récupérer plusieurs licences vous passerez au même endroit

A bientôt,
Patrice Jacques-gustave

Citrix depuis hier a mis en téléchargement sur www.citrix.com, une version gratuite d’un Netscaler (incluant Access Gateway) virtuel limité à 1Mo de bande passante. Il vous faut juste avoir un compte mycitrix (enregistrement gratuit aussi).

Ce qui me permet de remplacer mon Citrix Secure Gateway sous Windows (gratuit) dans ma DMZ de démo par une version sous Linux (aussi gratuit).

Merci à Citrix devrais je dire

A bientôt,
Patrice Jacques-gustave

Pour ceux qui ne connaissent pas Netscaler, et pour faire court. NetScaler est soit sous forme de boiter ou d’appliance virtuelle (VPX) sous XenServer. Cette technologie vous permet soit (pour les fonctions principales) :
- Load Balancing de toutes applications IP (qui est sa première fonction)
- de créer de multiple VPN SSL sur un seul et même boitier, avec personnalisation de l’interface utilisateur selon sa provenance par exemple.
- d’accélérer vos applications web
- Firewall Applicatif Web et XML
- Vérification, surveillance d’une architecture XenApp

Je vous laisse juge de cette étude. http://citrix.com/English/ps2/products/product.asp?contentID=21679 ou enregistrez vous (c’est gratuit) sur le site de http://www.tolly.com/

Extraction de la source :
« …
• Delivers web traffic at least 3X faster than the F5 BIG-IP in most tests.
• Consistently demonstrates lower latency & CPU utilization and higher throughput
• Under heavy loads and high connection counts the F5 BIG-IP adds considerable latency that could degrade user experience
… »

A bientôt,
Patrice Jacques-gustave

Je continue dans la lancée d’une mise en place de Citrix Secure Gateway. Cette article suit donc le post « Les fondamentaux – Architecture Citrix Secure Gateway – Part 1″.

Une fois que vous avez en tête les différents composant, je vais vous décrire comment techniquement tout cela s’enchaîne. Tout ce que je décris en dessous se déroule en très peu de seconde, mais il s’en passe des choses en fait, bonne lecture à tous:

1- l’utilisateur ouvre un navigateur Web et lance une URL en HTTPS. L’url correspond au nom FQDN d’une passerelle Citrix Secure Gateway (tescitrixoupas.demo.fr par exemple),

2- La passerelle CSG envoie son certificat serveur vers le navigateur Web. Le poste utilisateur doit donc posséder le certificat racine de l’entité certifiante qui a créée le certificat serveur,

3- Une fois la liaison SSL établie, la passerelle CSG présente la page d’authentification de la Web Interface. Donc par défaut, l’utilisateur est en HTTPS vers la CSG et CSG communique en HTTP avec la Web Interface (ce flux peut être aussi sécurisé par un certificat SSL),

4- L’utilisateur entre son identification, Web Interface soumet cette identification au serveur XenApp via le port XML de XenApp. XenApp interroge l’Active Directory ou la NDS Novell ou la base SAM local, et si le compte est valide, il retourne la liste des applications aux-quelles l’identifiant à droit et l’envoie à la Web Interface,

5- La Web Interface construit donc une page HTML avec les icônes des applications publiées.

6- L’utilisateur clique sur une icône d’application publiée,

7- Web Interface interroge le serveur XenApp, pour connaître l’adresse IP du serveur XenApp de la ferme le plus disponible à l’instant T,

8- Web Interface soumet cette adresse IP au Secure Ticket Authority. le STA sotcke cette adresse IP et donne un ticket de session tronqué à Web Interface,

9- Web Interface construit un fichier de connexion .ica à partir d’un fichier template. Ce fichier de connexion .ica comprend l’adresse FQDN de la passerelle CSG, le ticket de session STA tronqué, l’identifiant du STA (qui n’est exploitable que par la CSG), le nom de l’application publiée et pleins d’autres options de session. Ce fichier est envoyé via le canal SSL vers le poste utilisateur,

10- Ce fichier .ica est interprété par un client Citrix. Ce dernier tente d’ouvrir une session ICA sous SSL vers la passerelle CSG,

11- La passerelle CSG envoie son certificat serveur vers le poste utilisateur. le poste utilisateur doit donc avoir le certificat racine de l’autorité de certification qui à créée le certificat serveur de la passerelle CSG,

12- une fois le tunnel SSL créée, le client ICA ouvre une session ICA vers la passerelle CSG en présentant les informations contenu dans le fichier .ica. La passerelle CSG envoie le ticket de session STA vers celui qui l’a créée et lui demande si ce ticket de session est bien valide. Si oui le STA envoie l’adresse IP du serveur XenApp, qu’il avait stocké à la demande de la Web Interface, à la passerelle CSG,

13- la passerelle établie une connexion ICA sous le port 1494 vers le serveur XenApp.

Donc l’utilisateur se connecte toujours à la passerelle CSG en ICA sous SSL (port 443) et la passerelle CSG se connecte en ICA (port 1494 ou 2598).

J’espère que ça vous éclaire un peu plus

A bientôt pour la partie 3

PS: je vais décrire ce type de connexion sécurisée en plusieurs partie, histoire de ne pas faire de long article (chiant à lire )

Patrice Jacques-gustave

Ca faisait longtemps que j’avais pas écrit un article sans vidéo . Je vais répondre à certaines interrogations du moment. En essayant d’être le plus simple possible. Faites moi signe si ce qui suit n’est pas clair.

Citrix Secure Gateway:
Chaque édition de XenApp possède un logiciel de VPN SSL pour le protocol ICA. Ce logiciel est inclut directement sur le CD ou dans l’iso XenApp, c’est une fonctionnalité de XenApp. Cet outil se nomme Citrix Secure Gateway. L’idée est de mettre à disposition une architecture XenApp à des utilisateurs externes à l’entreprise de manière sécurisée.

Comment ça marche techniquement du coté utilisateur:
1 – l’utilisateur se connecte à une Web Interface via HTTPS. Il rentre son identification et reçoit en échange la liste des applications publiées par l’administrateur de l’infrastructure XenApp.
2 – l’utilisateur clique alors sur une icône d’application publiée
3 – l’utilisateur se connecte en ICA sous SSL vers cette application publiée

Toute la session utilisateur est donc sous SSL.

Comment ça marche techniquement du coté administration:
1 – l’administrateur doit installer un serveur XenApp, et définir un port XML à l’installation. Le service STA (gestionnaire sécurisée des tickets de sessions) est automatiquement installé aussi par défaut sur le XenApp. Il utilisera le même port que le service XML.
2 – l’administrateur doit installer une Web Interface, qui pointera vers le service XML du serveur XenApp, vers le service STA et vers une passerelle VPN SSL ICA (Citrix Secure Gateway).
3 – l’administrateur doit installer Citrix Secure Gateway dans la DMZ, qui pointera vers le serveur Web Interface et le STA (Secure Ticket Authority – fonctionnalité de XenApp).

Avec ce modèle d’infrastructure, l’utilisateur ne se connecte jamais en direct vers le serveur XenApp, car il ne connait jamais l’adresse IP de ce dernier. Mais uniquement l’adresse de la passerelle Citrix Secure Gateway.

Et dans ce modèle d’infrastructure, seul la passerelle Citrix Secure Gateway peut se connecter au serveur XenApp.

A bientôt

PS: je vais décrire ce type de connexion sécurisée en plusieurs partie, histoire de ne pas faire de long article (chiant à lire )

Patrice Jacques-gustave

J’avais écris (sur l’ancienne version du site) un article sur l’utilisation d’un proxy gratuit (3 connections simultanées) sous windows pour mes phases de tests avec Web Interface, et de montrer basiquement que WI pouvait fonctionner avec un proxy. Ce qui ne veut pas dire que tout les proxy de la planète supporte WI, voyez vous ce que je veux dire…

Ceci dit, quand je donnais des formations, je l’utilisais aussi pour montrer comment configurer WI quand il y a un proxy dans la chaine de liaison. Ce qui permet parfois d’élever le niveau de sécurité quand vous utilisez du vpn ssl avec un partenaire externe, qui aurait accès à une application (sous XenApp) ou un bureau virtuel (sous XenDektop).

Mais à l’époque j’avais pas mis la vidéo en ligne, chose réparé maintenant,

Bonne lecture,
Durée de la vidéo : 01 minutes 47 minutes

Pour télécharger toutes les vidéos, allez dans la section Téléchargement en haut à droite du site.

Sinon faites un clic droite et « enregistrez la cible sous » : [download#25]

Patrice Jacques-gustave

Le soft est gratuit à cette adresse ; www.youngzsoft.net/ccproxy/

Je vous met en ligne la création d’un certificat SSL serveur pour, par exemple, votre passerelle SSL Citrix Secure Gateway. Pour rappel, quand vous achetez votre XenApp, vous avez un soft vous permettant de créer une passerelle VPN SSL pour vos connections Citrix ICA. Du coup dans la vidéo je vous met la création du certificat SSL et la configuration de Citrix Secure Gateway.

Dans l’exemple, je suis sur un Windows 2003, jouant le rôle d’autorité de certification et en même temps de passerelle vpn SSL Citrix. A ne pas faire en production, n’est ce pas !

Pour faire bref, l’idée est que depuis l’extérieur de l’entreprise je me connecte en SSL vers une Web Interface au travers de Citrix Secure Gateway. Je ne me connecte donc jamais en ICA directement sur un des serveurs XenApp dans le LAN. Seul la Citrix Secure Gateway peut le faire.

Alors à la question que l’on me pose souvent ; « Quand remets tu les concepts d’infra en ligne ? », ma réponse pour le moment est, dès que j’ai un plus de temps Mais c’est prévue pas de soucis…

En attendant, je continue à mettre en ligne des vidéos d’installations et de configuration. ET pour faire plaisir à Pierre de www.citrixtools.net, j’ai rajouté une barre de navigation permettant de surfer sur la vidéo . Par contre du coup elle est plus grosse en taille (mais toujours de bonne qualité), je verrais bien comment optimiser plus tard…

Bonne lecture,
Durée de la vidéo : 02 minutes 44 minutes

Pour télécharger toutes les vidéos, allez dans la section Téléchargement en haut à droite du site.

Sinon faites un clic droite et « enregistrez la cible sous » : [download#24]

Patrice Jacques-gustave