Configuraciones de directiva de Seguridad
La sección Seguridad contiene la configuración de directiva para configurar el cifrado de sesiones y el cifrado de los datos de inicio de sesión.
Nivel de cifrado mínimo de SecureICA
Esta configuración permite especificar el nivel mínimo de cifrado para los datos de sesión enviados entre el servidor y el dispositivo de usuario.
Importante: Para Virtual Delivery Agent 7.x, esta configuración de directiva se puede usar solo para habilitar el cifrado de los datos de inicio de sesión con el cifrado RC5 de 128 bits. Hay otras configuraciones que se proporcionan únicamente para la compatibilidad con versiones anteriores de Citrix Virtual Apps and Desktops.
Para VDA 7.x, el cifrado de los datos de inicio de sesión se configura mediante los parámetros básicos del grupo de entrega del VDA. Si se selecciona “Habilitar Secure ICA” para el grupo de entrega, los datos de la sesión se cifran mediante RC5 (128 bits). Si no se selecciona la opción Habilitar Secure ICA para el grupo de entrega, los datos de la sesión se cifran con Cifrado básico.
Al agregar esta configuración a una directiva, seleccione una de las siguientes opciones:
- Básico. Cifra la conexión de cliente mediante un algoritmo distinto de RC5. Este nivel de cifrado protege el flujo de datos para que no pueda leerse directamente, pero puede ser descifrado. De forma predeterminada, el servidor utiliza el cifrado básico para el tráfico entre el cliente y el servidor.
- RC5 (128 bits) solo inicios de sesión. Cifra los datos de inicio de sesión mediante un cifrado RC5 de 128 bits y cifra la conexión de cliente mediante un cifrado básico.
- RC5 (40 bits). Cifra la conexión de cliente mediante un cifrado RC5 de 40 bits.
- RC5 (56 bits). Cifra la conexión de cliente mediante un cifrado RC5 de 56 bits.
- RC5 (128 bits). Cifra la conexión de cliente mediante un cifrado RC5 de 128 bits.
La configuración especificada para el cifrado cliente-servidor puede interactuar con cualquier otra configuración de cifrado existente en el entorno y en el sistema operativo Windows. Si se establece un cifrado de alta prioridad en un servidor o un dispositivo de usuario, se pueden sobrescribir las configuraciones especificadas en los recursos publicados.
Se pueden elevar los niveles de cifrado para proteger aún más las comunicaciones y la integridad de los mensajes de ciertos usuarios. Si una directiva exige un nivel de cifrado mayor, se impide la conexión de Citrix Receivers que usen un nivel de cifrado inferior.
SecureICA no realiza ninguna autenticación ni comprueba la integridad de los datos. Para proporcionar un cifrado integral de extremo a extremo para su sitio, use SecureICA con cifrado TLS.
SecureICA no utiliza algoritmos compatibles con FIPS. Si esto supone algún problema, configure el servidor y Citrix Receivers para que no utilicen SecureICA.
Por motivos de confidencialidad, SecureICA usa el cifrado de bloques RC5 como se describe en RFC 2040. El tamaño del bloque es de 64 bits (un múltiplo de unidades de palabras de 32 bits). La longitud de la clave es de 128 bits. La cantidad de rondas es 12.
Las claves del cifrado de bloques RC5 se negocian cuando se crea una sesión. La negociación se lleva a cabo mediante el algoritmo Diffie-Hellman. Esta negociación utiliza parámetros públicos de Diffie-Hellman, que se almacenan en el Registro de Windows cuando se instala el Virtual Delivery Agent. Los parámetros públicos no son secretos. El resultado de la negociación de Diffie-Hellman es una clave secreta, de la que se derivan las claves de sesión para el cifrado de bloques RC5. Se utilizan claves de sesión independientes para el inicio de sesión de los usuarios y para la transferencia de datos, y también se utilizan claves de sesión independientes para el tráfico hacia y desde el Virtual Delivery Agent. Por lo tanto, hay cuatro claves de sesión para cada sesión. No se almacenan ni las claves secretas ni las claves de sesión. Los vectores de inicialización del cifrado de bloques RC5 también se derivan de la clave secreta.