Configuration du Firewall

1494. Pour pouvoir naviguer
dans le réseau Citrix à  la recherche de serveurs et d’applications publiées, le
client doit pouvoir entrer dans le réseau du serveur via le port 1604 et en ressortir
par tout port supérieur à  1023. Vous pouvez cependant vous connecter au bureau
du serveur sur le port 1494 sans avoir besoin d’ouvrir le port 1604.

ICA est un protocole relativement récent, ce qui fait qu’il est difficile d’utiliser
un firewall. Vous devez configurer ce dernier de façon à  ce qu’il autorise une
session client via les ports ICA. La méthode de configuration à  utiliser est spécifique
à  chaque architecture de firewall. Les quatre grandes architectures de firewall
sont les passerelles de filtrage de paquets, les passerelles de niveau circuit,
l’inspection déclarative et les serveurs proxy.

Tout port ouvert est une brèche par laquelle les hackers peuvent s’introduire
dans votre réseauPasserelles de filtrage de paquets.

La passerelle de filtrage de paquets est l’architecture la plus
facile à  configurer, mais c’est la moins sûre. Pour configurer une passerelles
de filtrage de paquets ICA, il suffit de fixer une règle qui permette au client
d’envoyer un message entrant sur les ports TCP 1494 et UDP 1604 du serveur et
qui laisse passer les réponses des ports supérieurs à  1023. La méthode pour le
faire dépend de votre firewall.

Passerelles de niveau circuit. Les passerelles de niveau
circuit offrent une sécurité supérieure car ils opèrent au niveau de la session
et créent des connexions logiques que NT ne maintient que pour un temps limité.
Lorsqu’une connexion client crée le circuit, le firewall vérifie que la session
nécessite la création d’une connexion, puis laisse le client envoyer toutes les
données associées sans autre forme de vérification. Les passerelles de niveau
circuit de la même façon que les passerelles de filtrage de paquets.

Inspection déclarative. Cette méthode renforce
le filtrage de paquets en ajoutant des informations d’état à  l’inspection des
paquets, sur la base des communications passées et des autres applications. Ces
firewall peuvent être configurés (comme les passerelles de filtrage de paquets)
pour que les nouveaux protocoles puissent traverser le firewall sur certains ports
spécifiques. En outre, en réalisant l’inspection des paquets alors même que ces
derniers traversent le firewall, l’inspection déclarative offre une sécurité renforcée.
Pour configurer le protocole ICA, vous devez le définir comme un service du réseau.

Serveurs proxy. On utilise généralement les serveurs
proxy pour surveiller le trafic sortant. Certains proxy d’applications cachent
également des données demandées et les informations de connexion, réduisant ainsi
les besoins en bande passante tout en diminuant les temps d’accès et en fournissant
une preuve des données transférées. Les deux types de serveurs proxy sont les
proxy d’application et SOCKS.

Les proxies d’application sont extrêmement sûrs. Il faut avoir une règle proxy
spéciale pour chaque application ou protocole. Les proxies d’application réalisent
une analyse au niveau de l’application en examinant chaque paquet lorsqu’il emprunte
la passerelle. Une personne utilisant FTP pour se connecter à  un autre serveur
illustre le processus du proxy d’application. La personne utilise FTP pour se
connecter au serveur proxy et se connecte au monde extérieur à  travers le proxy.
Un serveur proxy d’application automatise ce processus.

Les serveurs proxy prennent en charge toutes les communications. Ils peuvent donc
journaliser toutes les actions des clients. Par exemple, un proxy http peut vous
montrer toutes les URL que vous avez visitées, tandis qu’un proxy FTP peut révéler
tous les fichiers que vous avez téléchargés. Ces proxies peuvent appliquer des
filtres et éliminer des mots interdits, des sites ou des fichiers que vous avez
téléchargés et rechercher les virus. Les proxies d’application peuvent même authentifier
les utilisateurs avant de leur permettre une connexion extérieure. Pour un utilisateur
du Web, tous les sites peuvent donner l’impression de nécessiter un logon. L’administrateur
a un contrôle complet sur la façon dont les utilisateurs se servent de leur connexion
extérieure.

Un proxy http peut vous montrer toutes les URL que vous avez visitées,
un proxy FTP peut révéler tous les fichiers que vous avez téléchargés

Les serveurs proxy SOCKS ressemblent à  un autocommutateur téléphonique.
Le serveur est l’équivalent logiciel d’un opérateur croisant des fils pour réaliser
des connexions à  travers le système vers des sites extérieurs (autrement dit,
traverser le firewall). La plupart des serveurs SOCKS ne fonctionnent que sur
des connexions TCP. On peut utiliser le service SOCKS pour permettre à  un nouveau
protocole de traverser le serveur proxy. Il existe de nombreuses solutions tierces
pour faciliter l’accès à  une session ICA à  travers un serveur proxy (par exemple
Aventail Connect 3.01, Hummingbird SOCKS ou NEC SocksCap32). Educational Technology
a récemment développé Surogate Socket, un plufin de Microsoft Proxy Server qui
permet au serveur proxy de supporter les connexions ICA et RDP. Les logiciels
d’accès distant de la Sun-Netscape Alliance permettent au réseau d’authentifier
un utilisateur et de lui donner des droits d’accès (basés sur des règles prédéfinies)
aux applications et aux données de l’entreprise. Les utilisateurs autorisés peuvent
accéder aux applications à  travers un navigateur Web supportant Java.

En août dernier, Citrix a annoncé le renforcement de la sécurité d’ICA grâce au
support de SOCKS 4.0 et 5.0. Dans la version compatible Windows 2000 de Metaframe,
lorsque l’on installe une session client sur un nouveau poste de travail, l’assistant
vous demandera si vous souhaitez utiliser SOCKS pour vous connecter à  travers
un firewall.