Guide PoC : Redirection d’URL avec Secure Browser et Citrix ADC dans Azure

Vue d’ensemble

Voici les étapes de configuration pour configurer un ADC, configurer SSL Forward Proxy et Interception SSL à l’aide du dernier modèle de marché Citrix ADC. La fonction Redirection d’URL vers Secure Browser de l’ADC permet aux administrateurs de définir automatiquement des catégories de sites Web spécifiques à rediriger du navigateur local vers Secure Browser. Le Citrix ADC agit comme un proxy intermédiaire pour effectuer l’interception entre la navigation locale et Internet, ce qui permet d’isoler le Web et de protéger le réseau d’entreprise. Cette fonctionnalité améliore la sécurité sans compromettre l’expérience utilisateur.

Architecture conceptuelle

Étendue

Ce guide de validation de concept décrit les éléments suivants :

1. Obtenir un compte d’évaluation du navigateur sécurisé
2. Configurer ADC dans Azure
3. Configurer l’appliance Citrix ADC en tant que proxy
4. Configurer l’interception SSL
5. Configurer la stratégie et les actions de réécriture

Étapes de déploiement

Section 1 : Obtenir un compte d’évaluation sécurisé du navigateur

[Document de référence pour le service Remote Browser Isolation] /en-us/citrix-remote-browser-isolation)

Demander une version d’essai du navigateur sécurisé

1. Accédez à votre compte Citrix Cloud et entrez le nom d’utilisateur et le mot de passe

2. Cliquez sur Sign In. Si votre compte gère plus d’un client, sélectionnez le

   

3. Double-cliquez sur la vignette du navigateur sécurisé.

   

4. Si vous savez qui est votre équipe de compte, contactez-lui pour obtenir l’évaluation approuvée. Si vous ne savez pas qui est votre équipe de compte, passez à l’étape suivante.

5. Cliquez sur Demander un appel

   

6. Entrez vos coordonnées et, dans la section Commentaires, indiquez « Essai du service d’isolation du navigateur à distance ».

7. Cliquez sur Envoyer.

   

   Remarque :

   Citrix Sales vous contactera pour vous donner accès au service. Ce n’est pas immédiat, un représentant commercial Citrix contactera

8. Une fois la version d’évaluation de Secure Browser approuvée, consultez la section Publier un navigateur sécurisé du document Citrix pour publier une application Secure Browser.

Activer les paramètres d’URL

1. Dans votre abonnement Citrix Cloud, double-cliquez sur la vignette Secure Browser

2. Dans votre navigateur publié, appelé « navigateur » dans cet exemple, cliquez sur les trois points et sélectionnez Stratégies

   

3. Activer la stratégie Paramètres d’URL sur votre navigateur publié

   

Section 2 : Configurer ADC dans Azure

L’ADC peut être configuré dans n’importe quel cloud de votre choix. Dans cet exemple, Azure est notre Cloud de choix.

Configurer une instance ADC

1. Accédez à Toutes les ressources et cliquez sur + le bouton Ajouter, recherchez Citrix ADC

2. Sélectionner un modèle Citrix ADC

3. Sélectionnez le plan logiciel en fonction de vos besoins (dans cet exemple Bring Your Own License)

4. Cliquez sur Créer.

   

Configurer la carte NIC

1. Accédez à Toutes les ressources et sélectionnez la carte NIC pour l’instance ADC

2. Sélectionnez Configurations IP, notez l’ adresse de gestion ADC

3. Activez les paramètres de transfert IP, enregistrez les modifications.

   

Configurer l’adresse IP virtuelle

1. Cliquez sur Ajouter, définissez virtualip comme nom de la nouvelle configuration.

2. Sélectionnez Static et ajoutez une nouvelle adresse IP après l’adresse de gestion

3. Activer l’option Adresse publique et créer une nouvelle adresse IP publique

4. Enregistrer les modifications

   

Configurer le nom de domaine complet sur le client

1. Accédez à la ressource Adresse IP publique créée pour la virtualip configuration

2. Cliquez sur Configurationet ajoutez une étiquette DNS (dans cet exemple, urlredirection.eastus.cloudapp.azure.com)

   

Configurer les règles de mise en réseau

1. Ajouter les règles de mise en réseau suivantes

   

   Remarque :

   Vous pouvez choisir de fermer les ports 22 et 443 une fois la configuration terminée, car ces ports ne sont nécessaires qu’à la connexion à la console de gestion à des fins de configuration.

2. À ce stade, l’instance ADC dans Azure est configurée

Section 3 : Configurer l’appliance Citrix ADC en tant que proxy

Configurez l’ADC en tant que proxy pour acheminer le trafic depuis le navigateur client vers Internet.

Se connecter à la console de gestion ADC

1. Accédez à la console de gestion Citrix ADC en entrant l’adresse IP publique de l’instance dans la barre de recherche de votre navigateur

   Remarque :

   Utilisez l’adresse IP de la machine que vous avez provisionnée dans les étapes précédentes, dans cet exemple https://40.88.150.164/

2. Connectez-vous à la console en saisissant le nom d’utilisateur et le mot de passe que vous avez configurés lors des étapes précédentes

   

3. Dans l’écran de configuration initiale, cliquez sur Continuer

Télécharger les licences

1. Accédez à Système > Licences > Gérer les licences

2. Chargez les licences nécessaires pour ADC.

   Remarque :

   Les licences que vous apportez doivent prendre en charge les fonctionnalités mises en évidence dans les étapes 11 et 13 sous Configurer les fonctionnalités de base et configurer les fonctionnalités avancées (par exemple CNS_v3000_Server_plt_retail.lic et CNS_webf_sserver_retail.lic)

   

3. Redémarrez le serveur après avoir téléchargé les deux licences.

4. Après le redémarrage, connectez-vous à nouveau à la gestion

5. Accédez à Système > Paramètres > Configurer les modes

6. Seules deux options doivent être activées le transfert basé sur Mac et la découverte du MTU de chemin

   

   

7. Accédez à Système > Paramètres > Configurer les fonctionnalités de base

   

8. Sélectionnez : SSL OffloadingLoad Balancing, RewriteAuthentication, Authorization, and Auditing, Content Switching, et Integrated Caching

   

9. Accédez à Système > Paramètres > Configurer les fonctionnalités avancées

   

10. Sélectionnez : Cache Redirection, IPv6 Protocol Translation, AppFlow, Reputation, Forward Proxy, Content Inspection, Responder, URL Filtering, et SSL Interception

    

Configurer le serveur NTP

1. Accédez à Système > Serveurs NTP > Ajouter

   

2. Créer un serveur par exemple pool.ntp.org

   

3. Activer NTP lorsque vous y êtes invité et définissez le serveur sur activé

   

4. Enregistrer la configuration à partir de l’action d’enregistrement du portail de gestion

   

5. Ouvrez une session SSH à l’adresse de gestion ADC, connectez-vous avec les informations d’identification que vous avez utilisées lors du provisionnement de l’ADC à partir d’Azure

Configurer le profil TCP et vServer

1. Obtenir les étapes virtualip de la Section 2 et entrer dans la commande (dans cet exemple 10.1.0.5)

2. Exécutez les commandes suivantes avec l’ sslproxy adresse, par exemple virtualip :

3. Pour ajouter un profil TCP :

   add ns tcpProfile proxy-tcpprofile01 -dynamicReceiveBuffering ENABLED -KA ENABLED -mptcp ENABLED -mptcpDropDataOnPreEstSF ENABLED -mptcpSessionTimeout 360 -builtin MODIFIABLE
   <!--NeedCopy-->
   

4. Pour ajouter un serveur virtuel

   add cs vserver sslproxy01 PROXY 10.1.0.5 8080 -cltTimeout 360 -tcpProfileName proxy-tcpprofile01 -persistenceType NONE
   
   bind cs vserver sslproxy01 -lbvserver azurelbdnsvserver
   
   add netProfile proxy-netprofile01 -srcIP 10.1.0.5 -srcippersistency ENABLED -MBF ENABLED -proxyProtocol ENABLED -proxyProtocoltxversion V2
   
   set cs vserver sslproxy01 -netProfile proxy-netprofile01
   
   set ssl vserver sslproxy01 -sslProfile ns_default_ssl_profile_frontend
   
   save ns config
   <!--NeedCopy-->
   

5. Pour modifier les paramètres du cache, revenez à la session de gestion sur le navigateur

6. Accédez à Optimisation > Mise en cache intégrée

7. Accédez à Paramètres > Modifier les paramètres du cache

   

8. Définissez la limite d’utilisation de la mémoire sur 250 MB et cliquez sur OK

   

Configurer le client pour la redirection d’URL

1. Sur un client, par exemple Firefox

2. Configurer le proxy de votre navigateur pour virtualip, IP publique ou nom de domaine complet : 8080 que vous avez configuré dans la Section 2 (par exemple, urlredirection.eastus.cloudapp.azure.com:8080)

   

3. Maintenant que nous avons un ADC configuré, testez toute connectivité de site Web à partir du navigateur avec l’ADC agissant comme un proxy.

Section 4 : Configurer l’interception SSL

L’interception SSL utilise une stratégie qui spécifie le trafic à intercepter, bloquer ou autoriser. Citrix vous recommande de configurer une stratégie générique pour intercepter le trafic et des stratégies plus spécifiques pour contourner un certain trafic.

Références :

Interception SSL

Catégories d’URL

Exemple vidéo de configuration

Créer une clé RSA

1. Accédez à Gestion du trafic > SSL > Fichiers SSL > Clés

2. Sélectionnez Créer une clé RSA

   

3. Sélectionnez le nom du fichier de clé et la taille de clé requise

   

4. Une fois la clé créée, téléchargez le .key fichier pour une utilisation ultérieure

   

Créer une demande de signature de certificat (CSR)

1. Accédez à Gestion du trafic > SSL > Fichiers SSL > CSR > Créer une demande de signature de certificat (CSR)

   

2. Nommez le fichier de requête, par exemple semesec_req1.req

   

3. Cliquez sur Nom du fichier de clé > Appliquer le nom du fichier clé est celui créé à l’étape précédente, dans cet exemple smesec_key1.key

   

4. Après avoir sélectionné la clé, continuez à remplir les espaces requis : Nom commun, Nom de l’organisation et État ou province

5. Cliquez sur Créer.

Créer un certificat

1. Accédez à Gestion du trafic > SSL > Fichiers SSL > Certificats > Créer un certificat

   

2. Donnez un nom au certificat et choisissez le fichier de demande de certificat (.req) et le nom de fichier de clé (.key) créés lors des étapes précédentes

   

3. Cliquez sur Créer.

4. Une fois le certificat créé, téléchargez le .cert fichier pour une utilisation ultérieure

   

Créer une stratégie SSL INTERCEPT

1. Accédez à Gestion du trafic > SSL > Stratégies

2. Cliquez sur Ajouter.

   

3. Donnez un nom à la stratégie et sélectionnez l’action INTERCEPT

4. Expression pour intercepter les nouvelles :

   client.ssl.detected_domain.url_categorize(0,0).category.eq("News")

5. Cliquez sur Créer.

   

6. Pour lier la stratégie Interception au serveur virtuel, accédez à Sécurité > Proxy de transfert SSL > Serveurs virtuels proxy

   

7. Sélectionnez le serveur virtuel, dans cet exemple sslproxy01

8. Sélectionnez Ajouter des stratégies SSL et cliquez sur Aucune liaison de stratégie SSL.

9. Liez la stratégie d’interception :

   

Créer une stratégie de contournement SSL

1. Accédez à Gestion du trafic > SSL > Stratégies

2. Cliquez sur Ajouter.

   

3. Donnez un nom à la stratégie et sélectionnez l’action NOOP - il n’y a pas d’option BYPASS, voir étape suivante

4. Expression pour contourner la stratégie : CLIENT.SSL.DETECTED_DOMAIN.CONTAINS("cloud")

   

5. Accédez à Sécurité > Proxy de transfert SSL > Stratégies d’interceptionSSL

   

6. Sélectionnez la stratégie pour la modifier

7. Changer l’action de NOOP à BYPASS

8. Cliquez sur OK.

   

9. Vérifiez que l’action est maintenant BYPASS

10. Retournez à Gestion du trafic > SSL > Stratégies pour vérifier la modification

    

11. Pour lier la stratégie de contournement au serveur virtuel, accédez à Sécurité > Proxy de transfert SSL > Serveurs virtuels proxy

    

12. Double-cliquez sur le serveur virtuel, dans cet exemple sslproxy01

13. Sélectionnez Ajouter des stratégies SSL et cliquez sur Liaison de stratégie SSL.

14. Liez la stratégie de contournement > Ajouter

    

15. Cliquez sur Bind

    

    Remarque :

    Cette stratégie est créée pour contourner l’interception ADC pour le trafic vers un navigateur sécurisé launch.cloud.com

Créer un profil SSL

1. Accédez à Système > Profils > Profil SSL > Ajouter

   

2. Créez le profil en lui donnant un nom, dans cet exemple smesec_swg_sslprofile

   

3. Cochez la case pour activer l’interception des sessions SSL, puis cliquez sur OK.

   

4. Cliquez sur OK pour créer un profil SSL.

5. Doit installer la paire de clés de certificat

6. Assurez-vous d’avoir un .pfx format de la paire de clés cert-clef avant. Reportez-vous à l’étape suivante pour obtenir des instructions sur la façon de générer un .pfx fichier à partir des .key fichiers .cert et que vous avez précédemment téléchargés.

Préparer une paire de clés cert-clé

1. Commencez par installer l’outil SSL

2. Ajouter le chemin openssl d’installation aux variables d’environnement système

   

3. À partir de PowerShell, exécutez la commande :

   openssl pkcs12 -export -out smesec_cert1.pfx -inkey smesec.key1.key -in smesec.cert1.cert

   

Lier un certificat d’autorité de certification d’interception SSL au profil SSL

1. Accédez à Système > Profils > Profil SSL

2. Sélectionnez le profil créé précédemment

3. Clique+Clé de certificat

4. Cliquez sur Installer

5. Choisissez le fichier .pfx préparé précédemment

6. Créez un mot de passe (vous en aurez besoin plus tard)

7. Cliquez sur Installer

   

Liez le profil SSL au serveur virtuel

1. Accédez à Sécurité > Proxy de transfert SSL > Serveurs virtuels proxy

   

2. Sélectionnez le serveur virtuel, dans cet exemple sslproxy01

3. Cliquez pour modifier le profil SSL

   

4. Choisissez le profil SSL créé précédemment, dans cet exemple smesec_swg_sslprofile

5. Terminé

Section 5 : Configurer des stratégies et des actions de réécriture

Une stratégie de réécriture consiste en une règle et une action. La règle détermine le trafic sur lequel la réécriture est appliquée et l’action détermine l’action à entreprendre par Citrix ADC. La stratégie de réécriture est nécessaire pour que la redirection d’URL se produise vers Secure Browser en fonction de la catégorie de l’URL saisie dans le navigateur, dans cet exemple « Actualités ».

Reference

Créer une stratégie et une action de réécriture

1. Accédez à AppExpert > Réécrire > Stratégie

2. Cliquez sur Ajouter.

   

3. Créez la stratégie en la nommant, cloud_pol dans cet exemple et utilisez l’expression : HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL).URL_CATEGORIZE(0,0).CATEGORY.EQ("News")

4. Cliquez sur Créer

   

5. Créer l’action dans PuTTY

6. Exécutez la commande suivante :

   add rewrite action cloud_act REPLACE_HTTP_RES q{"HTTP/1.1 302 Found" + "\r\n" + "Location: https://launch.cloud.com/<customername>/<appname>?url=https://" + HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL.PATH) + "\r\n\r\n\" "}

   Remarque :

   dans la commande remplacez <customername> par votre nom de compte client Citrix Cloud et remplacez par <appname> le nom de l’application publiée Secure Browser pour lequel la stratégie de paramètres d’URL est activée. Se référant à l’application publiée que vous avez créée dans la section 1.

Lier la stratégie de réécriture au serveur virtuel

1. Retour à la console de gestion ADC

2. Accédez à AppExpert > Réécrire > Stratégie

3. Accédez à la stratégie cloud_pol et changez l’action en cloud_act (celle créée précédemment)

   

4. Pour choisir le type de stratégie de réécriture, accédez à Sécurité > Proxy de transfert SSL > Serveurs virtuels proxy

5. Sélectionnez « + Stratégies »

6. Stratégie : Réécrire

7. Type : Réponse

   

8. Sélectionnez la stratégie créée, dans cet exemple cloud_pol

9. Priorité : 10

10. Lier

    

11. Cliquez sur Terminé

12. Enregistrer la configuration

Lier la clé de certificat au profil

1. Accédez à Système > Profils > Profil SSL

2. Sélectionnez le profil créé, par exemple smesec_swg_sslprofile

3. Double-cliquez + Clé de certificat

   

4. Sélectionnez la clé de certificat, par exemple smesec_cert_overall

   

5. Cliquez sur Sélectionner
6. Cliquez sur Bind
7. Cliquez sur OK
8. Enregistrer la configuration

Importer le fichier de certificat dans le navigateur

1. Téléchargez le certificat dans firefox (par exemple avec les sites Web de la catégorie Nouvelles)

2. Accédez à Options dans votre navigateur de choix, Firefox dans cet exemple

3. Rechercher « certs » > cliquez sur « Afficher les certificats »

   

4. Dans la fenêtre Gestionnaire de certificats, cliquez sur « Importer… »

   

5. Recherchez votre certificat et cliquez sur Ouvrir, smesec_cert1.cert dans cet exemple

   

6. Saisissez le mot de passe que vous avez créé lors de la création du certificat

7. Votre autorité de certification doit être installée correctement

   

Démo

Les sites Web d’actualité du navigateur local sont automatiquement redirigés vers Secure Browser. Voir la démosuivante

Résumé

Dans ce guide de PoC, vous avez appris à configurer Citrix ADC dans Azure et à configurer SSL Forward Proxy et SSL Interception. Cette intégration permet la distribution dynamique des ressources en redirigeant la navigation vers le service Remote Browser Isolation. Ainsi, protéger le réseau de l’entreprise sans sacrifier l’expérience utilisateur.