Configuración de red y seguridad de Federated Authentication Service
Citrix Federated Authentication Service (FAS) está estrechamente integrado con Microsoft Active Directory y la autoridad de certificación (CA) de Microsoft. Es fundamental asegurarse de que el sistema se administre y proteja adecuadamente, desarrollando una política de seguridad como lo haría para un controlador de dominio u otra infraestructura crítica.
Este documento ofrece una descripción general de los problemas de seguridad que deben tenerse en cuenta al implementar FAS. También proporciona una descripción general de las funciones disponibles que pueden ayudar a proteger su infraestructura.
Arquitectura de red
El siguiente diagrama muestra los componentes principales y los límites de seguridad utilizados en una implementación de FAS.
El servidor FAS debe tratarse como parte de la infraestructura crítica para la seguridad, junto con la CA y el controlador de dominio. En un entorno federado, Citrix NetScaler y Citrix StoreFront™ son componentes de confianza para realizar la autenticación de usuarios; otros componentes de XenApp y XenDesktop no se ven afectados por la introducción de FAS.
Firewall y seguridad de red
La comunicación entre los componentes de NetScaler, StoreFront y Delivery Controller™ debe protegerse mediante TLS a través del puerto 443. El servidor StoreFront solo realiza conexiones salientes, y NetScaler Gateway solo debe aceptar conexiones a través de Internet mediante el puerto HTTPS 443.
El servidor StoreFront se comunica con el servidor FAS a través del puerto 80 mediante Kerberos con autenticación mutua. La autenticación utiliza la identidad Kerberos HOST/fqdn del servidor FAS y la identidad de la cuenta de máquina Kerberos del servidor StoreFront. Esto genera un “identificador de credenciales” de un solo uso necesario para que Citrix Virtual Delivery Agent (VDA) inicie sesión del usuario.
Cuando una sesión HDX se conecta al VDA, el VDA también se comunica con el servidor FAS a través del puerto 80. La autenticación utiliza la identidad Kerberos HOST/fqdn del servidor FAS y la identidad de la máquina Kerberos del VDA. Además, el VDA debe proporcionar el “identificador de credenciales” para acceder al certificado y a la clave privada.
La CA de Microsoft acepta la comunicación mediante DCOM autenticado por Kerberos, que se puede configurar para usar un puerto TCP fijo. La CA también requiere que el servidor FAS proporcione un paquete CMC firmado por un certificado de agente de inscripción de confianza.
| Servidor | Puertos de firewall |
|---|---|
| Federated Authentication Service | [in] Kerberos over HTTP desde StoreFront y VDA, [out] DCOM a Microsoft CA |
| Netscaler | [in] HTTPS desde máquinas cliente, [in/out] HTTPS hacia/desde el servidor StoreFront, [out] HDX a VDA |
| StoreFront | [in] HTTPS desde NetScaler®, [out] HTTPS a Delivery Controller, [out] Kerberos HTTP a FAS |
| Delivery Controller | [in] HTTPS desde el servidor StoreFront, [in/out] Kerberos over HTTP desde VDA |
| VDA | [in/out] Kerberos over HTTP desde Delivery Controller, [in] HDX desde NetScaler Gateway, [out] Kerberos HTTP a FAS |
| Microsoft CA | [in] DCOM y firmado desde FAS |
Responsabilidades de administración
La administración del entorno se puede dividir en los siguientes grupos:
| Nombre | Responsabilidad |
|---|---|
| Administrador de empresa | Instalar y proteger plantillas de certificados en el bosque |
| Administrador de dominio | Configurar la configuración de directivas de grupo |
| Administrador de CA | Configurar la entidad de certificación |
| Administrador de FAS | Instalar y configurar el servidor FAS |
| Administrador de StoreFront/Netscaler | Configurar la autenticación de usuario |
| Administrador de XenDesktop® | Configurar VDA y controladores |
Cada administrador controla diferentes aspectos del modelo de seguridad general, lo que permite un enfoque de defensa en profundidad para proteger el sistema.
Configuración de directivas de grupo
Las máquinas FAS de confianza se identifican mediante una tabla de búsqueda de «número de índice -> FQDN» configurada a través de la Directiva de grupo. Al ponerse en contacto con un servidor FAS, los clientes verifican la identidad Kerberos HOST\<fqdn> del servidor FAS. Todos los servidores que acceden al servidor FAS deben tener configuraciones FQDN idénticas para el mismo índice; de lo contrario, StoreFront y los VDA pueden ponerse en contacto con diferentes servidores FAS.
Para evitar una configuración incorrecta, Citrix recomienda aplicar una única política a todas las máquinas del entorno. Tenga cuidado al modificar la lista de servidores FAS, especialmente al eliminar o reordenar entradas.
El control de esta GPO debe limitarse a los administradores de FAS (y/o administradores de dominio) que instalan y desmantelan servidores FAS. Tenga cuidado de no reutilizar un nombre FQDN de máquina poco después de desmantelar un servidor FAS.
Plantillas de certificado
Si no desea utilizar la plantilla de certificado Citrix_SmartcardLogon suministrada con FAS, puede modificar una copia de la misma. Se admiten las siguientes modificaciones.
Cambiar el nombre de una plantilla de certificado
Si desea cambiar el nombre de Citrix_SmartcardLogon para que coincida con el estándar de nomenclatura de plantillas de su organización, debe:
- Crear una copia de la plantilla de certificado y cambiarle el nombre para que coincida con el estándar de nomenclatura de plantillas de su organización.
- Utilizar los comandos de PowerShell de FAS para administrar FAS, en lugar de la interfaz de usuario administrativa. (La interfaz de usuario administrativa solo está diseñada para usarse con los nombres de plantilla predeterminados de Citrix).
- Utilizar el complemento MMC Plantillas de certificado de Microsoft o el comando Publish-FasMsTemplate para publicar su plantilla, y
- Utilizar el comando New-FasCertificateDefinition para configurar FAS con el nombre de su plantilla.
Modificar las propiedades generales
Puede modificar el período de validez en la plantilla de certificado.
No modifique el período de renovación. FAS ignora esta configuración en la plantilla de certificado. FAS renueva automáticamente el certificado a la mitad de su período de validez.
Modificar las propiedades de control de solicitudes
No modifique estas propiedades. FAS ignora esta configuración en la plantilla de certificado. FAS siempre desmarca Permitir la exportación de la clave privada y desmarca Renovar con la misma clave.
Modificar las propiedades de Criptografía
No modifique estas propiedades. FAS ignora esta configuración en la plantilla de certificado.
Consulte (/es-es/xenapp-and-xendesktop/7-15-ltsr/secure/federated-authentication-service/fas-config-manage/fas-private-key-protection.html) para ver la configuración equivalente que proporciona FAS.
Modificar las propiedades de Atestación de clave
No modifique estas propiedades. FAS no admite la atestación de clave.
Modificar las propiedades de Plantillas reemplazadas
No modifique estas propiedades. FAS no admite la sustitución de plantillas.
Modificar las propiedades de Extensiones
Puede modificar esta configuración para que coincida con la política de su organización.
Nota: Una configuración de extensión inadecuada puede causar problemas de seguridad o dar lugar a certificados inutilizables.
Modificar las propiedades de Seguridad
Citrix recomienda que modifique esta configuración para permitir los permisos de Lectura e Inscripción solo para las cuentas de máquina de los servidores FAS. El servicio FAS no requiere ningún otro permiso. Sin embargo, al igual que con otras plantillas de certificado, es posible que desee:
- permitir a los administradores leer o escribir la plantilla
- permitir a los usuarios autenticados leer la plantilla
Modificar las propiedades del nombre del sujeto
Puede modificar esta configuración para que coincida con la política de su organización, si es necesario.
Modificar las propiedades del servidor
Aunque Citrix no lo recomienda, puede modificar esta configuración para que coincida con la política de su organización, si es necesario.
Modificar las propiedades de los requisitos de emisión
No modifique esta configuración. Esta configuración debe ser la que se muestra:
Modificar las propiedades de compatibilidad
Puede modificar esta configuración. La configuración debe ser al menos Windows Server 2003 CAs (versión de esquema 2). Sin embargo, FAS solo admite CA de Windows Server 2008 y posteriores. Además, como se explicó anteriormente, FAS ignora la configuración adicional disponible al seleccionar Windows Server 2008 CAs (versión de esquema 3) o Windows Server 2012 CAs (versión de esquema 4).
Administración de la entidad de certificación
El administrador de CA es responsable de la configuración del servidor de CA y de la clave privada del certificado de emisión que utiliza.
Publicar plantillas
Para que una entidad de certificación emita certificados basados en una plantilla proporcionada por el administrador de la empresa, el administrador de CA debe optar por publicar esa plantilla.
Una práctica de seguridad sencilla es publicar solo las plantillas de certificado de RA cuando se instalan los servidores FAS, o insistir en un proceso de emisión completamente sin conexión. En cualquier caso, el administrador de CA debe mantener un control total sobre la autorización de las solicitudes de certificado de RA y tener una política para autorizar los servidores FAS.
Configuración del firewall
Generalmente, el administrador de CA también tendrá control de la configuración del firewall de red de la CA, lo que permite controlar las conexiones entrantes. El administrador de CA puede configurar reglas de firewall y DCOM TCP para que solo los servidores FAS puedan solicitar certificados.
Inscripción restringida
De forma predeterminada, cualquier titular de un certificado de RA puede emitir certificados a cualquier usuario, utilizando cualquier plantilla de certificado que permita el acceso. Esto debe restringirse a un grupo de usuarios no privilegiados mediante la propiedad de CA “Restringir agentes de inscripción”.
Módulos de directivas y auditoría
Para implementaciones avanzadas, se pueden utilizar módulos de seguridad personalizados para rastrear y vetar la emisión de certificados.
Administración de FAS
FAS tiene varias funciones de seguridad.
Restringir StoreFront, usuarios y VDA mediante una ACL
En el centro del modelo de seguridad de FAS está el control de qué cuentas de Kerberos pueden acceder a la funcionalidad:
| Vector de acceso | Descripción |
|---|---|
| StoreFront [IdP] | Se confía en estas cuentas de Kerberos para declarar que un usuario se ha autenticado correctamente. Si una de estas cuentas se ve comprometida, entonces se pueden crear y usar certificados para los usuarios permitidos por la configuración de FAS. |
| VDA [Relying party] | Estas son las máquinas a las que se les permite acceder a los certificados y claves privadas. También se necesita un identificador de credenciales recuperado por el IdP, por lo que una cuenta VDA comprometida en este grupo tiene un alcance limitado para atacar el sistema. |
| Usuarios | Esto controla qué usuarios pueden ser autenticados por el IdP. Tenga en cuenta que hay una superposición con las opciones de configuración de “Agente de inscripción restringido” en la CA. En general, es aconsejable incluir solo cuentas no privilegiadas en esta lista. Esto evita que una cuenta de StoreFront comprometida eleve los privilegios a un nivel administrativo superior. En particular, esta ACL no debe permitir las cuentas de administrador de dominio. |
Configurar reglas
Las reglas son útiles si varias implementaciones independientes de XenApp® o XenDesktop utilizan la misma infraestructura de servidor FAS. Cada regla tiene un conjunto de opciones de configuración independiente; en particular, las ACL se pueden configurar de forma independiente.
Configurar la CA y las plantillas
Se pueden configurar diferentes plantillas de certificados y CA para diferentes derechos de acceso. Las configuraciones avanzadas pueden optar por utilizar certificados menos o más potentes, según el entorno. Por ejemplo, los usuarios identificados como “externos” pueden tener un certificado con menos privilegios que los usuarios “internos”.
Certificados en sesión y de autenticación
El administrador de FAS puede controlar si el certificado utilizado para autenticarse está disponible para su uso en la sesión del usuario. Por ejemplo, esto podría usarse para que solo los certificados de “firma” estén disponibles en la sesión, y el certificado de “inicio de sesión” más potente se use solo al iniciar sesión.
Protección de clave privada y longitud de clave
El administrador de FAS puede configurar FAS para almacenar claves privadas en un Módulo de seguridad de hardware (HSM) o un Módulo de plataforma segura (TPM). Citrix recomienda que al menos la clave privada del certificado RA esté protegida almacenándola en un TPM; esta opción se proporciona como parte del proceso de solicitud de certificado “sin conexión”.
Del mismo modo, las claves privadas de los certificados de usuario se pueden almacenar en un TPM o HSM. Todas las claves deben generarse como “no exportables” y tener al menos 2048 bits de longitud.
Registros de eventos
El servidor FAS proporciona registros de eventos detallados de configuración y tiempo de ejecución, que se pueden utilizar para auditorías y detección de intrusiones.
Acceso administrativo y herramientas de administración
El FAS incluye funciones y herramientas de administración remota (Kerberos autenticado mutuamente). Los miembros del “Grupo de administradores locales” tienen control total sobre la configuración de FAS. Esta lista debe mantenerse con cuidado.
Administradores de XenApp, XenDesktop y VDA
En general, el uso de FAS no cambia el modelo de seguridad de los administradores de Delivery Controller y VDA, ya que el “identificador de credenciales” de FAS simplemente reemplaza la “contraseña de Active Directory”. Los grupos de administración de Controller y VDA solo deben contener usuarios de confianza. Se deben mantener los registros de auditoría y de eventos.
Seguridad general del servidor Windows
Todos los servidores deben estar completamente actualizados y disponer de software de firewall y antivirus estándar. Los servidores de infraestructura críticos para la seguridad deben mantenerse en una ubicación físicamente segura, prestando especial atención al cifrado de disco y a las opciones de mantenimiento de máquinas virtuales.
Los registros de auditoría y de eventos deben almacenarse de forma segura en una máquina remota.
El acceso RDP debe limitarse a los administradores autorizados. Siempre que sea posible, las cuentas de usuario deben requerir el inicio de sesión con tarjeta inteligente, especialmente para las cuentas de CA y de administrador de dominio.
Información relacionada
- El artículo Federated Authentication Service es la referencia principal para la instalación y configuración de FAS.
- Las arquitecturas de FAS se presentan en el artículo Información general sobre las arquitecturas de Federated Authentication Service.
- Otros artículos “prácticos” se presentan en el artículo Configuración y administración de Federated Authentication Service.
En este artículo
- Arquitectura de red
- Firewall y seguridad de red
- Responsabilidades de administración
- Configuración de directivas de grupo
- Plantillas de certificado
- Administración de la entidad de certificación
- Administración de FAS
- Administradores de XenApp, XenDesktop y VDA
- Seguridad general del servidor Windows
- Información relacionada