> Tech > Edition du fichier ICA pour la traduction d’adresse réseau

Edition du fichier ICA pour la traduction d’adresse réseau

Tech - Par iTPro - Publié le 24 juin 2010
email

On peut utiliser NAT (Network Address Translation) pour minimiser les risques de sécurité qu'impliquent l'ouverture d'un port sur un firewall. NAT réadresse le trafic de façon que le frafic sortant semble provenir du firewall et non d'un serveur du réseau.
Contrairement aux passerelles proxy, les passerelles NAT opèrent à 

Edition du fichier ICA pour la traduction d’adresse réseau

l’intérieur
de la couche de routage et sont plus rapides. Le réseau peut utiliser des adresses
Internet externes routables pour les routeurs et des adresse internes non routables
pour l’intranet protégé à  l’intérieur du firewall. On peut alors utiliser NAT
pour traduire l’adresse externe en adresse interne en fonction d’un numéro de
port.

Par exemple, comme le montre la figure 1, un client Internet tentant d’utiliser
NAT pour se connecter à  un serveur Web derrière le routeur se connecte à  l’adresse
207.92.5.3:80. Ensuite, le système redirige le client vers l’adresse 192.168.1.2:80.
Cette procédure empêche le reste du monde de voir votre réseau directement.Lorsqu’un
administrateur utilise le gestionnaire d’applications publiées pour créer un fichier
ICA, ce dernier aura comme adresse privée l’adresse d’un firewall utilisant NAT.
Dans la figure 1, par exemple, l’adresse du navigateur est 192.168.1.3. Cette
procédure fonctionne bien pour les connexions internes, mais pour les connexions
extérieures, vous devez éditer le fichier ICA afin qu’il pointe vers l’adresse
IP externe du Navigateur principal. Dans le listing 1, par exemple, TcpBrowserAdress
reflète le port externe.Pour utiliser NAT afin d’ajouter une couche de sécurité,
le client doit également demander l’adresse IP externe du Navigateur principal.

En ajoutant le paramètre UseAlternateAddress (avec une valeur à  1) à  la section
WSFClient du fichier ICA (comme dans le listing 1), le Navigateur maître renvoie
l’adresses du bon navigateur au client. Sans ce paramétrage, le client contactera
avec succès le serveur, mais le serveur ne renverra pas la bonne adresse.Pour
enregistrer une adresse IP de substitution sur vos serveurs internes via le Navigateur
principal, on utilise la commande Altaddr sur le serveur Citrix.

Par exemple, pour donner à  un serveur l’adresse IP de substitution 207.92.5.3,
connectez-vous au serveur Citrix, allez à  l’invite de commande et tapez : altaddr
/set 207.92.5.3
Ensuite, éditez le fichier ICA pour qu’il pointe vers l’adresse externe et utilise
l’adresse IP de substitution. Le listing 1 montre le fichier ICA édité. Avec cette
méthode, vous devez attribuer à  chaque adresse IP intranet d’un serveur Citrix
une adresse IP Internet externe valide.
Certains routeurs ne permettent pas l’utilisation d’adresses externes multiples
pour un même port, ou il est possible que vous n’ayez pas ou ne vouliez pas avoir
d’adresses externes multiples. L’affectation transparente de ports statiques élimine
le besoin d’avoir une adresse externe pour chaque adresse interne. Plutôt que
d’affecter à  vos serveurs internes des adresses uniques, vous leur affectez un
numéro de port avec la même adresse IP externe. Vous devez affecter un serveur
au port 1604 afin qu’il devienne l’agent pour situer le Navigateur principal.

Les autres serveurs peuvent être affectés à  n’importe quel port disponible comme
le montre la figure 2.
Pour affecter des numéros de port de substitution, commencez par vous connecter
au serveur Citrix que vous voulez désigner comme navigateur. Allez à  une invite
de commande et utilisez le port ICA et des commandes Altaddr. Par exemple, dans
la figure 2, le serveur Citrix à  l’adresse 192.168.1.2 trouve le Navigateur maître.
Tapez : icaport /port:1604
altaddr /set 207.92.5.3:1604
Ensuite, connectez-vous à  un autre serveur Citrix et tapez par exemple :
icaport /port:421
altaddr /set 207.92.5.3:421
Cette méthode permet d’équilibrer la charge d’une application à  travers un firewall
sans exposer tout votre réseau. Vous n’exposez ainsi qu’une seule adresse externe.
Toutes les connexions ICA utiliseront cette adresse pour se connecter à  la ferme
de serveurs. Pour assigner le serveur, le Navigateur maître utilisera les paramètres
de l’administrateur d’équilibrage des charges dans le menu Démarrer, Outils Metaframe.
Le client recevra alors la bonne adresse et le port de substitution.

Téléchargez gratuitement cette ressource

TOP 5 Modernisation & Sécurité des Postes Clients

TOP 5 Modernisation & Sécurité des Postes Clients

Pour aider les entreprises à allier les restrictions liées à la crise et la nécessaire modernisation de leurs outils pour gagner en réactivité, souplesse et sécurité, DIB-France lance une nouvelle offre « Cloud-In-One » combinant simplement IaaS et DaaS dans le Cloud, de façon augmentée.

Tech - Par iTPro - Publié le 24 juin 2010