Evaluation Par la Pratique

1
Evaluation Par la Pratique

• Citrix Access Gateway avec Advanced Access
  Control
• Version 4.2

2
Recommandations

• Ce séminaire EPP est un séminaire de prise en
  main pratique de Citrix Access Gateway avec
  Advanced Access Control.
• Ce séminaire nest pas une formation officielle
  Citrix et à ce titre ne couvrira pas lensemble
  des fonctionnalités de Citrix Access Gateway avec
  Advanced Access Control.
• Ce séminaire ne couvrira pas lutilisation et la
  configuration de Citrix Access Gateway seule.
• Ce séminaire nabordera pas lensemble des
  paramètres et fonctionnalités de Citrix Access
  Gateway avec Advanced Access Control 4.2.

3
Formations Citrix

• Architectural Overview
• CTX-1305
• E-Learning
• Appliance Administration
• CTX-1307
• E-Learning
• Advanced Access Control Administration
• CTX-1306
• Cours tutorat

4
Objectif
- Installer cette infrastructure - réaliser un
test sur le poste client.
Presentation Server
Advanced Access Control
E-mail Servers
Firewall
Firewall
Client Device
Web/App Servers
File Servers
IP PBX
5
Agenda

• Principes de bases et Licencing
• Architectures et trafics
• Exercice 1 Installation de Advanced Access
  Control
• Exercice 2 Configuration de Access Gateway
• Exercice 3 Configuration dun point de
  connexion
• Ressources contrôlées
• Exercice 4 définition des ressources
• Condition contrôlées
• Exercice 5 contrôle des ressources

6
Principes de bases
7
Composants

Citrix Access Gateway
Advanced Access Control

• Déployé au sein du réseau sécurisé
• Déployé sur des serveurs Windows
• Administration centralisée et gestion des
  stratégies de contrôle daccès
• Reporting et Audit centralisés
• Contrôle lanalyse du poste client et les règles
  de sécurité
• Permet la refactorisation des interfaces

• Passerelle daccès sécurisée installée dans la
  DMZ
• Etablis la communication chiffrée en SSL avec le
  poste client
• Authentifie lutilisateur et le poste client
• Répercute les règles de sécurité générées par
  Advanced Access Control

8
Advanced Access Control fonctionnalités et
bénéfices
9
Advanced Access Control Option Contrôle du
point daccès (Endpoint Analysis)

• Teste et analyse le poste le poste doit être
• Sûr (Safe) assure que la connexion ne peut
  nuire à linfrastructure de la société
• De confiance (Trusted) analyse lutilisateur,
  sa machine et son identité réseau pour contrôler
  la régularité de la connexion
• Sécurisé (Secure) Assure la sécurité de
  laccès à linfrastructure de la société (vis à
  vis dattaques de parties tierces à partir du
  poste client)
• Architecture souple et extensible pour
  intégration avec dautres solutions tierces

Analyse du poste client

• Identité machine
• Nom NetBIOS
• Membre dun domaine
• Adresse MAC
• Configuration machine
• Système dexploitation
• Système Anti-Virus
• Firewall personnel
• Navigateur
• Zone de connexion réseau
• Login Agent
• Méthode dauthentification
• Analyse du poste personnalisée

10
Advanced Access Control Option Moteur de
stratégie daccès(Policy Based Access Control)

• Contrôle de laccès de façon situationnelle ou
  contextuelle basé sur lutilisateur, son poste et
  sa connexion réseau pour assurer laccès aux
  ressources définies (protection des ressources)

Analyse du poste client
Implémentation du contrôle daccès

• Applications MPS
• Partages réseaux et fichiers (UNCs)
• Email web
• Sites Web (URLs)
• Applications Web
• Synchronisation de mail ou dapplication

• Identité machine
• Nom NetBIOS
• Membre dun domaine
• Adresse MAC
• Configuration machine
• Système dexploitation
• Système Anti-Virus
• Firewall personnel
• Navigateur
• Zone de connexion réseau
• Login Agent
• Méthode dauthentification
• Analyse du poste personnalisée

11
Advanced Access Control Option Contrôle de
lusage des ressources (Resource Usage Control)

• Contrôle lutilisation des ressources sensibles
  en
• Contrôlant COMMENT linformation est accédée et
  utilisée (MPS, prévisualisation HTML, )
• Contrôlant ce quil est possible de faire avec
  linformation (impression, sauvegarde, copie,
  )
• Contrôlant quaucune donnée nexiste sur le poste
  local
• Permet la traçabilité de laccès aux informations

Analyse du poste client
Contrôle de lusage des ressources
Implémentation du contrôle daccès

• Applications MPS
• Accès aux disques locaux
• Presse papier
• Impression
• Partages réseaux et fichiers
• Lecture/prévisualisation
• Sauvegarde réseau
• Sauvegarde locale
• Copie
• Impression
• Protection des sites web internes
• Contrôle des pièces jointes (email)
• Traçabilité des accès utilisateurs

• Applications MPS
• Partages réseaux et fichiers (UNCs)
• Email web
• Sites Web (URLs)
• Applications Web
• Synchronisation de mail ou dapplication

• Identité machine
• Nom NetBIOS
• Membre dun domaine
• Adresse MAC
• Configuration machine
• Système dexploitation
• Système Anti-Virus
• Firewall personnel
• Navigateur
• Zone de connexion réseau
• Login Agent
• Méthode dauthentification
• Analyse du poste personnalisée

SSL VPN traditionnel
12
Gestion de laccès et Contrôle des actions
13
La pièce centrale Smart Access
Control, Manage, and Log Access and Resource Usage

• Published Apps
• Mapped Drives
• Local Printing

MPS Applications
Corporate Laptops
Internal Users

• Email Synchronization
• Attachment Access
• Launch locally
• ICA Launch
• Launch to memory
• Preview read-only

Firewall
Firewall
loginagent
loginagent
Email Servers
External Users
UI
HTTPS

• URL Access
• File Access
• Launch locally
• ICA Launch
• Launch to memory
• Preview read-only

Home PCs
Web Servers
Advanced Access Control Option
endpointanalysis

• File Access
• Launch locally
• ICA Launch
• Launch to memory
• Preview read-only

Kiosks
File Servers
PDAs
unsecured network
DMZ
secured network

• Other protocols

App Servers
14
La pièce centrale Smart Access
Control, Manage, and Log Access and Resource Usage

• Published Apps
• Mapped Drives
• Local Printing

MPS Applications
Corporate Laptops
Internal Users

• Email Synchronization
• Attachment Access
• Launch locally
• ICA Launch
• Launch to memory
• Preview read-only

Firewall
Firewall
loginagent
loginagent
Email Servers
External Users
UI
HTTPS

• URL Access
• File Access
• Launch locally
• ICA Launch
• Launch to memory
• Preview read-only

Home PCs
Web Servers
Advanced Access Control Option
endpointanalysis

• File Access
• Launch locally
• ICA Launch
• Launch to memory
• Preview read-only

Kiosks
File Servers
PDAs
unsecured network
DMZ
secured network

• Other protocols

App Servers
15
La pièce centrale Smart Access
Control, Manage, and Log Access and Resource Usage

• Published Apps
• Mapped Drives
• Local Printing

MPS Applications
Corporate Laptops
Internal Users

• Email Synchronization
• Attachment Access
• Launch locally
• ICA Launch
• Launch to memory
• Preview read-only

Firewall
Firewall
loginagent
loginagent
Email Servers
External Users
UI
HTTPS

• URL Access
• File Access
• Launch locally
• ICA Launch
• Launch to memory
• Preview read-only

Home PCs
Web Servers
Advanced Access Control Option
endpointanalysis

• File Access
• Launch locally
• ICA Launch
• Launch to memory
• Preview read-only

Kiosks
File Servers
PDAs
unsecured network
DMZ
secured network

• Other protocols

App Servers
16
La pièce centrale Smart Access
Control, Manage, and Log Access and Resource Usage

• Published Apps
• Mapped Drives
• Local Printing

MPS Applications
Corporate Laptops
Internal Users

• Email Synchronization
• Attachment Access
• Launch locally
• ICA Launch
• Launch to memory
• Preview read-only

Firewall
Firewall
loginagent
loginagent
Email Servers
External Users
UI
HTTPS

• URL Access
• File Access
• Launch locally
• ICA Launch
• Launch to memory
• Preview read-only

Home PCs
Web Servers
Advanced Access Control Option
endpointanalysis

• File Access
• Launch locally
• ICA Launch
• Launch to memory
• Preview read-only

Kiosks
File Servers
PDAs
unsecured network
DMZ
secured network

• Other protocols

App Servers
17
Exemple

• File Download
• Local Edit and Save
• File Upload
• Local Print

• E-mail Sync
• Web E-mail
• Full Presentation Server Access
• Full Presentation Server App Set

• Edit in Memory
• Limited Presentation Server Access
• Limited Presentation Server Application Set
• File Preview
• File Upload
• E-mail Sync
• Web E-mail

• File Preview
• Web E-mail
• Controlled Presentation Server Access

Ladministrateur définie et contrôle les niveaux
daccès en fonction des scénarii.
18
Migration depuis la Secure Gateway
Local Users
CPS Applications
Corporate Laptop
Advanced Access Control
Email Servers
Mobile PDA
Firewall
Firewall
Web or App Servers
Internet
Home Computer
File Servers
Desktops Phones
Partner Machine
19
Migration vers Advanced Access Control
Local Users
CPS Applications
Corporate Laptop
Access Gateway
Email Servers
Mobile PDA
Firewall
Firewall
Web or App Servers
Internet
Home Computer
Management Console
File Servers
Desktops Phones
Partner Machine
20
Licence AG AAC 4.2

• Exemple
• Achat de AG 4.2 sans AAC
• Achat de AG avec AAC 4.2
• Mise à jour de AAC 4.0 avec SG vers AAC 4.2
• Mise à jour de Access Gateway Enterprise 4.0
  (avec licence Access Suite) vers AAC 4.2
• Mise à jour de Access Gateway 4.x vers AAC 4.2

21
Scénario 1 Achat de AG 4.2 sans AAC
AG License File

• Achat du boitier Access Gateway et des licences
  de connexion (ccu). Les licences sont obtenues
  auprès de MyCitrix et installées sur le boitier.
• Les licences sont attachées au nom FQDN de
  lAccess Gateway. Le chargement des licences dans
  le boitier deffectue au travers de loutils
  dadministration standard de lAccess Gateway

IP Phones
22
Scénario 2 Achat de AG avec AAC 4.2
AGAAC License File

• Achat du boitier Access Gateway et des licences
  Access Gateway avec Advanced Access Control. Le
  fichier de licence est obtenu auprès de My.Citrix
  et installé sur le serveur de licence.
• Le fichier de licence est attaché au nom de
  machine du serveur de licence. Le serveur de
  licence peut aussi servir des licences pour
  Presentation Serve.

IP Phones
23
Scenario 3 Mise à jour de AAC 4.0 avec SG vers
AAC 4.2 avec AG
AGE bundle License File

• Obtention des licences de migration de AAC 4.0
  vers AAC 4.2 auprès de My.Citrix ou achat des
  licences de migration vers 11C 4.2.. Le fichier
  de licence est obtenu auprès de My.Citrix et
  installé sur le serveur de licence.
• Après la mise à jour en 4.2, achat nécessaire
  dun boitier Access Gateway. Le boitier doit
  remplacer simplement la Secure Gateway. Pas de
  changement de licence

24
Scénario 4AG (Licence Access Suite) vers AAC 4.2
AGE License File
AGE License File
AGE License File

• En Juin dernier, achat de lAccess Suite ou du
  bundle Access Gateway Entreprise.
• Nécessite de rehoster les licences sru
  My.Citrix pour obtenir les nouvelles licences et
  de les installer sur le serveur de licence
  Citrix..

25
Scenario 5Access Gateway 4.x vers AAC 4.2
AAC Upgrade License File
AG License File
AG License File
AG License File

• Possession des licences pour Access Gateway. Le
  fichier de licence est installé sur le boitier
  Access Gateway.
• Achat des licences complémentaires Advanced
  Access Control. Nécessite de rehoster les
  licences Access Gateway sur My.Citrix pour
  obtenir les nouvelles (Access Gateway et mise à
  jour Advanced Access Control) pour installation
  sur le serveur de licence Citrix.

26
Architectures et trafics
27
Architecture
Presentation Server
Advanced Access Control
E-mail Servers
Firewall
Firewall
Client Device
Web/App Servers
File Servers
IP PBX
28
Trafic - VPN
Presentation Server
E-mail Servers
Firewall
Firewall
Client Device
Web/App Servers
File Servers
Advanced AccessControl
IP PBX
29
Trafic ICA/CGP
Presentation Server
E-mail Servers
Firewall
Firewall
Client Device
Web/App Servers
File Servers
Advanced AccessControl
IP PBX
30
Trafic Par navigateur
Presentation Server
E-mail Servers
Firewall
Firewall
Client Device
Web/App Servers
Advanced AccessControl
File Servers
IP PBX
31
Exercice 1

• Installation de Advanced Access Control

32
Installation du serveur Advanced Access Control

• Exercice 1

INSTALLATION DU SERVEUR ADVANCED ACCESS
CONTROL (portable en Windows 2003 server)
33
Débriefing Exercice 1

• Pour une infrastructure Advanced Access Control
  
• 1 base de données SQL ou MSDE
• 1 serveur Web au minimum
• 3 rôles pour des serveurs
• Web Server serveur indispensable
• Agent Serveur pour les centres daccès (mode
  MSAM)
• HTML Preview pour isoler les taches de
  transformation
• La même notion de batterie que dans CPS
• Base de données
• Serveur de licence

34
Création dun point de connexion (Logon Point)

• Exercice 2

CONFIGURATION DUN POINT DE CONNEXION EXTERNE A
PARTIR DU SERVEUR ADVANCED ACCESS CONTROL (à
partir du portable en Windows 2003 server)
35
Quest ce quun LogonPoint

• Notion logique de point de connexion
• Prend la forme dune URL
• https//gatewayX.ctxfr/ CitrixLogonPoint/SampleLog
  onPoint
• https//ltpoint dentrée physiquegt / ltpoint
  dentrée logiquegt
• Permet de distinguer une population
  dutilisateurs
• Participe à la segmentation du réseau

36
Nouveautés 4.2 du mode Access Gateway uniquement

• Double authentification administrateur
• 1 nom dutilisateur, 2 mots de passe
• Toute combinaison de type dauthentification
  possible
• Installation du Client Secure Access
• Client Secure Access ajouté au Access Client
  Packager
• Contrôle daccès pour le trafic ICA/SSL
• Restriction daccès aux serveurs Presentation
  Server en mode SG
• Doit être reconfiguré après la mise à jour

Mais tout cela nest pas couvert par cette
session pratique
37
Configuration de Access Gateway avec Advanced
Access Control

• Le boitier Access Gateway peut être configuré
  pour être piloté à partir des serveurs Advanced
  Access Control.
• Les serveurs Advanced Access Control de la liste
  sont en répartition de charge.

38
REMARQUE !
39
Configuration de lAccess Gateway

• Exercice 2

CONFIGURATION DU BOITIER ACCESS GATEWAY A PARTIR
DU SERVEUR ADVANCED ACCESS CONTROL (à partir du
portable en Windows 2003 server) Remarque la
configuration réseau ainsi que le chargement des
certificats ont déjà été réalisés.
40
Débriefing Exercice 2

• Linfrastructure est en place
• Access Gateway est le point de connexion physique
• Plusieurs Access Gateway peuvent utiliser la même
  infrastructure Advanced Access Control
• Utilisé pour la segmentation des réseaux

41
Débriefing Exercice 3

• Linfrastructure est maintenant en place
• Elle est maintenant configurée pour permettre la
  connexion
• La combinaison Citrix Access Gateway et
  LogonPoint peut être multipliée en fonction des
  réseaux et des points dentrée.

42
Ressources Contrôlées
43
Citrix Access Gateway avec Advanced Access
Control

• Lensemble est ensuite piloté à partir des
  serveurs Advanced Access Control.
• Stratégies de contrôle des accès pour
• Quel scénario daccès peut utiliser les tunnels
  VPN du boitier Access Gateway
• Contrôler le Split Tunneling
• Configurer lanalyse en continue du poste client
• Ne pas hésiter à utiliser les groupes de
  ressources pour simplifier ladministration.

44
Advanced Access Control Contrôle les ressources

• Ressources réseau
• Ouverture de tunnel TCP/IP (_at_IPport)
• Ressources Web
• Accès aux applications et serveurs Web
• Incluant Presentation Server
• Partage de fichier
• Au travers dune interface Web
• Web Mail
• Synchronisation de messagerie
• Centre daccès

45
E-Mail

• Web Mail based access
• Microsoft Outlook Web Access
• iNotes 6
• Advanced Access Control Navigation UI (acces PDA)
• Exchange 5.5 uniquement
• Synchronisation E-Mail
• Microsoft Outlook
• Lotus Notes

46
NavUI
47
Définition des ressources

• Exercice 4

DEFINITION DES RESSOURCES DISPONIBLE SUR LE
RESEAU INTERNE DE LENTREPRISE (Web, Share, PS,
) (à partir du portable en Windows 2003 server)
48
Débriefing Exercice 4

• La définition de la batterie CPS au niveau de la
  batterie AAC sert UNIQUEMENT pour lassociation
  de fichier.
• La ressource Web Interface 4.2 sert uniquement au
  lancement direct dapplication.
• Il y a plusieurs façon de voir un document
• Aperçu (Preview)
• Démarrer (Launch) (use File Type Association)
• Télécharger (Download)
• Live Edit
• Dans la barre de menu du partage de fichier, il
  est possible dautoriser le téléchargement
• Si linterface mail est configuré, ajout de
   Send by Mail 

49
Contrôle des ressources
50
Contrôle dAction HTML Preview

• Permet un rendu par le serveur en HTML de
• Feuille de calcul Microsoft Excel
• Présentations Microsoft PowerPoint
• Documents Microsoft Word
• Diagrammes Microsoft Visio
• Documents Adobe PDF
• Fournit un accès aux documents quand le client ne
  possède pas de lecteur approprié (comme par
  exemple à partir dun poste en libre service ne
  disposant pas de Microsoft Office)
• Etend laccès aux documents aux périphériques de
  type PDA
• HTML Preview peut être installé sur des serveurs
  spécifiques pour contrôler les ressources
  utilisées.

Microsoft Office doit être installé sur le
serveur pour généré la prévisualisation
Nécessite un convertisseur PDF -gt HTML externe
51
Contrôle daction Live Edit

• Permet la gestion des documents de façon
  sécurisée
• Permet une manipulation du document en local en
  utilisant les ressources (Office) du poste client
• Evite la persistance dune copie du document sur
  le poste client nécessitant un nettoyage lors de
  la fin de connexion
• Permet la modification de fichier en central
• Contrôle les commandes Save et Save As pour
  contrôler la destination du document (central ou
  local)

52
Contrôle daction File Type Association

• Permet laccès aux documents tout en garantissant
  que ceux-ci ne quittent jamais lenvironnement
  sécurisé et contrôlé.
• Lutilisateur ne fait pas de choix entre
  fonctionnalités et sécurité
• Permet un accès natif à tout type de périphérique
• Utilise Presentation Server pour fournir un accès
  aux documents à partir de
• Un serveur Web protégé
• Un attachement de messagerie
• Un partage de fichier
• Compatible avec le client ICA Java

53
Endpoint Analysis Aperçu
Analyse la machine cliente pour déterminer son
niveau de sécurité

• Clients Endpoint Analysis
• ActiveX client pour navigateurs IE browsers
  (nécessite les droits Admin ou Power user )
• Installation Win32 (MSI)
• Plug-in Netscape ou Mozilla
• Intégration avec des solutions tierces
• Symantec/Norton, McAfee, TrendMicro, Microsoft,
  WholeSecurity, Check Point ICS, etc.
• Personnalisable à lenvie avec le Citrixs EPA
  SDK
• SDK disponible sur le site www.citrix.com/cdn
• SDK est intégré avec Visual Studio.NET

54
Exemple

• File Download
• Local Edit and Save
• File Upload
• Local Print

• E-mail Sync
• Web E-mail
• Full Presentation Server Access
• Full Presentation Server App Set

• Edit in Memory
• Limited Presentation Server Access
• Limited Presentation Server Application Set
• File Preview
• File Upload
• E-mail Sync
• Web E-mail

• File Preview
• Web E-mail
• Controlled Presentation Server Access

Ladministrateur définie et contrôle les niveaux
daccès en fonction des scénarii.
55
Scan Classes

• Anti-virus
• McAfee, Symantec Trend
• Personal Firewall
• McAfee, Microsoft, Symantec ZoneLabs
• Machine Identity Checks
• MAC Address Enumeration
• Domain Membership
• Machine Installation State
• Operating System Checks
• Browser Checks
• Custom

56
Anti Virus
57
Personal Firewall
58
Machine Identity
59
OS Checks
60
Browser ChecksInternet Explorer
61
Browser ChecksNetscape
62
Contrôle du poste client

• Exercice 5

DEFINITION DES CONDITIONS DACCESS AUX
RESSOURCES TEST DU POSTE CLIENT (à partir du
portable en Windows XP)
63
Débriefing Exercice 5

• Attention aux valeurs
• Il est important de comprendre le cheminement
  pour les ressources
• Dans les Ressources
• Définition de la ressources
• Publication de la ressources
• Dans les stratégie daccès
• Création dune stratégie daccès
• Autorisation daccès à la ressource
• Définition des droits dans la ressource

64
Troubleshooting
65
Contrôle du poste client

• Exercice 6

AUTORISER LES LOG DEVENEMENTS TEST DU POSTE
CLIENT (à partir du portable en Windows XP)
66
Débriefing Exercice 6

• Il est important de procéder pas à pas
• Valider laccès aux ressources 1 par 1
• Valider les conditions 1 par 1
• Construire ensuite les stratégies daccès

67
Informations additionnelles
68
Méthodologie 1/2

• Définir un groupe dutilisateur de confiance
• Leur donner un accès sans restriction à toutes
  les ressources
• Restreindre laccès par des analyses du postes
  clients (si désiré)
• Préparer les stratégies et les appliquer aux
  utilisateurs souhaités.

69
Méthodologie 2/2

• Inventorier toutes les ressources
• Les grouper par niveau de sensibilité
• Définir les différents scénarios daccès
• Associer les scénarios daccès aux niveaux de
  sensibilité
• Valider les stratégies au moyen du journal
  dévènement
• Mettre en production le system

70
Navigateur uniquement

• Permet laccès depuis un simple navigateur
• Absolument AUCUN nest installé
• Masque les URL internes
• Permet le contrôle des documents et de leur
  stockage sur le poste client (temporaire ou non)
• Permet de contrôler le poste client
• Donne accès à
• Site Web interne Web Proxy
• Partage de fichier Nav UI
• Web email Outlook Web Access, iNotes, Nav UI
• Application Windows Web Interface
• Permet la visualisation des documents Microsoft
  en HTML

71
Accès pour périphérique mobile (PDA)

• Support des affichage réduits
• NavUI
• Web Email
• Partage de fichier
• Prévisualisation HTML
• Attachement de messagerie
• Plateformes supportées
• Palm
• RIM Blackberry
• PocketPC 2000/2003
• Microsoft Smartphones

72
Mobile Device AwarenessUser Experience

• User types in the logon point URL into the PDA
  browser
• User enters login credentials, including
  two-factor as necessary
• After successful authentication, user is informed
  of session start
• User is presented with the file and email
  interface

73
Mobile Device AwarenessUser Experience

• Create/view email
• Access shared or mapped drives
• Access, view and email Microsoft Office files
  without download
• Email documents from file shares

74
Formations Citrix sur le sujet

• Architectural Overview
• CTX-1305
• E-Learning
• Appliance Administration
• CTX-1307
• E-Learning
• Advanced Access Control Administration
• CTX-1306
• Cours tutorat

75
MerciDes questions ?

• La plateforme est à votre disposition pour que
  vous puissiez manipuler à votre convenance.