Seguridad y configuración de red del Servicio de autenticación federada
El Servicio de autenticación federada (FAS) de Citrix está estrechamente integrado con Microsoft Active Directory y con la entidad de certificación (CA) de Microsoft. Es fundamental asegurarse de que el sistema está administrado y protegido correctamente mediante el desarrollo de una directiva de seguridad del mismo modo que lo haría para un controlador de dominio o para otra parte importante de la infraestructura.
Este documento presenta un resume de las cuestiones de seguridad que se deben tener en cuenta al implementar los servicios FAS. También proporciona una visión general de las funciones disponibles que pueden ayudarle a proteger su infraestructura.
Arquitectura de red
El diagrama siguiente muestra los componentes principales y los límites de seguridad usados en una implementación de FAS.
El servidor de FAS debe tratarse como una parte de la infraestructura fundamental para la seguridad, junto con la entidad de certificación (CA) y el controlador de dominio. En un entorno federado, Citrix NetScaler y Citrix StoreFront son componentes de confianza para realizar la autenticación de usuarios; otros componentes de XenApp y XenDesktop no se ven afectados por la introducción de FAS.
Seguridad de red y firewalls
La comunicación entre NetScaler, StoreFront y los componentes de Delivery Controller debe estar protegida con TLS a través del puerto 443. El servidor StoreFront realiza únicamente conexiones salientes y NetScaler Gateway debe aceptar solo conexiones a través de Internet que usen HTTPS en el puerto 443.
El servidor de StoreFront contacta con el servidor de FAS a través del puerto 80 mediante autenticación mutua con Kerberos. En la autenticación se utiliza la identidad Kerberos HOST/FQDN del servidor de FAS y la identidad Kerberos de la cuenta de máquina del servidor de StoreFront. Esto genera un identificador de credenciales de un solo uso, necesario para que el Citrix Virtual Delivery Agent (VDA) inicie la sesión del usuario.
Cuando una sesión HDX se conecta al VDA, el VDA también se comunica con el servidor de FAS en el puerto 80. En la autenticación, se utiliza la identidad Kerberos HOST/FQDN del servidor de FAS y la identidad Kerberos de máquina del VDA. Además, el VDA debe proporcionar el identificador de credenciales para acceder al certificado y la clave privada.
La entidad de certificación (CA) de Microsoft acepta la comunicación con DCOM autenticado con Kerberos, que se puede configurar para usar un puerto TCP fijo. La CA también requiere que el servidor de FAS proporcione un paquete CMC firmado por un certificado de agente de inscripción de confianza.
Servidor | Puertos de firewall |
---|---|
Servicio de autenticación federada | [entrada] Kerberos por HTTP desde StoreFront y los VDA, [salida] DCOM hacia la entidad de certificación (CA) de Microsoft |
NetScaler | [entrada] HTTPS desde las máquinas cliente, [entrada o salida] HTTPS hacia o desde el servidor StoreFront, [salida]HDX hacia VDA |
StoreFront | [entrada] HTTPS desde NetScaler, [salida] HTTPS a Delivery Controller, [salida] Kerberos HTTP a FAS |
Delivery Controller | [entrada] HTTPS desde el servidor StoreFront, [entrada o salida] Kerberos por HTTP desde VDA |
VDA | [entrada o salida] Kerberos por HTTP desde Delivery Controller, [entrada] HDX desde NetScaler Gateway, [salida] Kerberos HTTP hacia FAS |
Entidad de certificación de Microsoft | [entrada] DCOM y firmado desde FAS |
Responsabilidades de administración
La administración del entorno se puede dividir en los siguientes grupos:
Nombre | Responsabilidad |
---|---|
Administrador de la organización | Instalar y proteger las plantillas de certificado en el bosque |
Administrador del dominio | Configurar parámetros de directivas de grupo |
Administrador de CA | Configurar la entidad de certificación |
Administrador de FAS | Instalar y configurar el servidor de FAS |
Administrador de StoreFront y NetScaler | Configurar la autenticación de usuarios |
Administrador de XenDesktop | Configurar los VDA y los Controllers |
Cada administrador controla diferentes aspectos del modelo de seguridad global, lo que permite aplicar un enfoque de defensa en profundidad para proteger el sistema.
Configuración de directivas de grupo
Las máquinas FAS de confianza se identifican en una tabla de búsqueda de “número de índice -> FQDN” configurada mediante Directiva de grupo. Al contactar con un servidor FAS, los clientes verifican la identidad Kerberos HOST\<fqdn> del servidor FAS. Todos los servidores que tienen acceso al servidor de FAS deben tener configuraciones idénticas de FQDN con el mismo índice; de lo contrario, StoreFront y los VDA pueden contactar con servidores de FAS distintos.
Para evitar errores de configuración, Citrix recomienda aplicar una única directiva a todas las máquinas del entorno. Ponga cuidado a la hora de modificar la lista de servidores de FAS, especialmente al quitar o reordenar las entradas.
El control de este objeto de directiva de grupo debe estar limitado a los administradores de FAS (y/o los administradores de dominio) encargados de instalar y retirar servidores de FAS. Ponga cuidado para no reutilizar un nombre de dominio completo (FQDN) al poco tiempo de retirar un servidor FAS.
Plantillas de certificado
Si no quiere utilizar la plantilla de certificado Citrix_SmartcardLogon suministrada con FAS, puede modificar una copia de ella. Se admiten las siguientes modificaciones.
Cambiar el nombre de una plantilla de certificado
Si quiere cambiar el nombre de Citrix_SmartcardLogon para que coincida con la nomenclatura de nombramiento de plantillas que estipula la organización, debe:
- Crear una copia de la plantilla de certificado y cambiarle el nombre para que coincida con la nomenclatura de la denominación de la organización.
- Use comandos de PowerShell FAS para administrar FAS, en lugar de la interfaz del usuario administrador. (La interfaz del usuario administrador se diseñó para usarla únicamente con los nombres de plantilla predeterminados de Citrix.)
- Utilice el complemento Plantillas de certificados de MMC de Microsoft o el comando Publish-FasMsTemplate para publicar la plantilla, y
- Utilice el comando New-FasCertificateDefinition para configurar FAS con el nombre de su plantilla.
Modificar propiedades generales
Puede modificar el período de validez de la plantilla de certificado.
No modifique el período de renovación. FAS ignora este parámetro en la plantilla de certificado. FAS renovará automáticamente el certificado a mitad de su período de validez.
Modificar propiedades de gestión de peticiones
No modifique estas propiedades. FAS ignora esta configuración en la plantilla de certificado. FAS siempre desmarca Permitir que la clave privada se pueda exportar y Renovar con la misma clave.
Modificar propiedades de criptografía
No modifique estas propiedades. FAS ignora esta configuración en la plantilla de certificado.
Consulte Protección de claves privadas para el Servicio de autenticación federada para conocer los parámetros equivalentes que ofrece FAS.
Modificar propiedades de atestación de clave
No modifique estas propiedades. FAS no admite la atestación de claves.
Modificar propiedades de plantillas reemplazadas
No modifique estas propiedades. FAS no admite la sustitución de plantillas.
Modificar propiedades de extensiones
Puede modificar estas opciones de configuración para que coincidan con la directiva de la organización.
Nota: Una configuración inadecuada de las extensiones puede causar problemas de seguridad o resultar en certificados inutilizables.
Modificar propiedades de seguridad
Citrix recomienda modificar estas opciones de configuración para conceder los permisos de lectura y de inscripción solo a las cuentas de máquina de los servidores de FAS. El servicio FAS no requiere otros permisos. Sin embargo, al igual que con otras plantillas de certificado, es posible que quiera:
- Conceder a los administradores permisos de lectura o escritura en la plantilla
- Conceder a los usuarios autenticados permisos de lectura en la plantilla
Modificar propiedades de nombre del sujeto
Si fuera necesario, puede modificar estas opciones de configuración para que coincidan con la directiva de la organización.
Modificar propiedades de servidor
Aunque Citrix no lo recomienda, puede modificar estas opciones de configuración para que coincidan con la directiva de la organización si fuera necesario.
Modificar propiedades de requisitos de emisión
No modifique estos parámetros. Estos parámetros deben ser como se muestra a continuación:
Modificar propiedades de compatibilidad
Puede modificar estos parámetros. El valor debe ser al menos Windows Server 2003 CAs (versión 2 del esquema). Sin embargo, FAS solo admite entidades emisoras de certificados Windows Server 2008 y posterior. Además, como se ha explicado anteriormente, FAS pasa por alto la configuración adicional disponible si se selecciona Windows Server 2008 CAs (versión 3 del esquema) o Windows Server 2012 CAs (versión 4 del esquema).
Administrar la entidad de certificación
El administrador de la entidad de certificación (CA) es responsable de la configuración del servidor CA y de la clave privada de emisión de certificados que se usa.
Publicar plantillas
Para que una entidad de certificación emita certificados basados en una plantilla proporcionada por el administrador de la empresa, el administrador de CA debe elegir publicar esa plantilla.
Una sencilla medida de seguridad consiste en publicar solo las plantillas de RA cuando se están instalando los servidores FAS, o insistir en un proceso de emisión que tenga lugar completamente fuera de línea. En ambos casos, el administrador de la CA debe mantener el control total de la autorización de las solicitudes de certificados de RA, y tener una directiva para autorizar los servidores de FAS.
Parámetros de firewall
Por lo general, el administrador de la entidad de certificación (CA) también tiene el control de los parámetros de firewall de red de la CA, lo que permite controlar las conexiones entrantes. El administrador de la CA puede configurar reglas de firewall y DCOM TCP para que solo los servidores de FAS puedan solicitar certificados.
Inscripción restringida
De forma predeterminada, cualquier titular de un certificado RA puede emitir certificados a cualquier usuario mediante cualquier plantilla de certificado que permita el acceso. Esto debe restringirse a un grupo de usuarios sin privilegios usando la propiedad “Restringir agentes de inscripción” de la CA.
Módulos de directiva y auditoría
Para implementaciones avanzadas, se pueden usar módulos de seguridad personalizados con los que se puede hacer un rastreo y vetar la emisión de certificados.
Administrar FAS
FAS tiene varias funciones de seguridad.
Restringir StoreFront, usuarios y VDA mediante una lista de control de acceso
En el centro del modelo de seguridad de FAS está el control del acceso a la funcionalidad para las cuentas de Kerberos:
Vector de acceso | Descripción |
---|---|
[Proveedor de identidades] de StoreFront | Estas cuentas de Kerberos son de confianza para declarar que un usuario se ha autenticado correctamente. Si una de estas cuentas está en situación de riesgo, se pueden crear y usar certificados para los usuarios permitidos por la configuración de FAS. |
[Entidad de confianza] de los VDA | Estas son las máquinas a las que se permite acceder a los certificados y las claves privadas. Se necesita también un identificador de credencial obtenido por el IdP, de modo que una cuenta de VDA de este grupo que esté en situación de riesgo tendrá un ámbito muy limitado para atacar el sistema. |
Usuarios | Esto controla qué usuarios pueden ser objeto de aserciones de proveedor de identidades (IdP). Tenga en cuenta que esto se solapa con las opciones de configuración de Agente de inscripción restringido (Restricted Enrollment Agent) en la CA. En general, se recomienda incluir solo cuentas sin privilegios en esta lista. Esto evita que una cuenta de StoreFront que esté en situación de riesgo pueda aumentar sus privilegios a un nivel administrativo superior. En concreto, las cuentas de administrador de dominio no deben permitirse en esta lista de control de acceso. |
Configurar reglas
Las reglas son útiles cuando hay varias implementaciones de XenApp o XenDesktop independientes que usan la misma infraestructura de servidor FAS. Cada regla tiene un conjunto de opciones de configuración aparte; en concreto, las listas de control de acceso se pueden configurar de forma independiente.
Configurar la entidad de certificación (CA) y las plantillas
Se pueden configurar plantillas de certificados y entidades de certificación diferentes para distintos derechos de acceso. En configuraciones avanzadas, se puede elegir usar certificados más o menos potentes en función del entorno. Por ejemplo, los usuarios identificados como “externos” pueden tener un certificado con menos privilegios que los usuarios “internos”.
Certificados de sesión y de autenticación
El administrador de FAS puede controlar si el certificado usado para autenticar está disponible para su uso también dentro de la sesión del usuario. Por ejemplo, puede tener solo certificados de “firma” disponibles durante la sesión, y usar el certificado más potente de “inicio de sesión” solo para iniciar sesión.
Protección de claves privadas y longitud de las claves
El administrador de FAS puede configurar FAS para almacenar las claves privadas en un módulo de seguridad de hardware (HSM) o en un módulo de plataforma de confianza (TPM). Citrix recomienda que se almacene, por lo menos, la clave privada del certificado de RA en un módulo TPM para protegerla; esta opción se ofrece como parte del proceso de solicitud de certificado “sin conexión”.
Del mismo modo, las claves privadas de certificado de usuario se pueden guardar en un módulo TPM o HSM. Todas las claves deben generarse como “no-exportables” y deben tener una longitud mínima de 2048 bits.
Registros de eventos
El servidor de FAS proporciona registros de eventos detallados sobre configuración y tiempo de ejecución, que se pueden utilizar para la auditoría y la detección de intrusiones.
Acceso administrativo y herramientas de administración
El servicio FAS incluye herramientas y funciones de administración remota (autenticación Kerberos mutua). Los miembros del grupo de “Administradores locales” tienen control total sobre la configuración de FAS. Esta lista se debe mantener con cuidado.
Administradores XenApp, XenDesktop y VDA
En general, el uso de FAS no cambia el modelo de seguridad de Delivery Controller y los administradores de VDA, ya que el “identificador de credencial” de FAS simplemente reemplaza la “contraseña de Active Directory”. Los grupos de administración de Controller y VDA deben contener solo usuarios de confianza. Deben mantenerse registros de eventos y auditoría.
Seguridad general de los servidores Windows
Todos los servidores deben contar con las revisiones disponibles y tener instalado un software de firewall y antivirus estándar. Los servidores de la infraestructura de importancia crítica para la seguridad deben ubicarse en un lugar protegido físicamente, y hay que poner especial cuidado en las opciones de cifrado de los discos y el mantenimiento de las máquinas virtuales.
Los registros de eventos y auditoría deben almacenarse de forma segura en una máquina remota.
El acceso RDP debe limitarse solo a administradores autorizados. Cuando sea posible, las cuentas de usuario deben requerir el inicio de sesión con tarjeta inteligente, especialmente para las cuentas de administradores de dominio y de CA.
Información relacionada
- El artículo Servicio de autenticación federada (FAS - Federated Authentication Service) es la referencia principal para la instalación y la configuración de este servicio.
- Las arquitecturas de FAS se resumen en el artículo Introducción a las arquitecturas del Servicio de autenticación federada.
- En el artículo Administrar y configurar el Servicio de autenticación federada se indican otros artículos de procedimientos.
En este artículo
- Arquitectura de red
- Seguridad de red y firewalls
- Responsabilidades de administración
- Configuración de directivas de grupo
- Plantillas de certificado
- Administrar la entidad de certificación
- Administrar FAS
- Administradores XenApp, XenDesktop y VDA
- Seguridad general de los servidores Windows
- Información relacionada