Normalmente installata nell'area DMZ, lo Unified Access Gateway (UAG) è un'appliance utilizzata per garantire che il traffico in entrata proviene da un utente remoto autenticato.
L'Unified Access Gateway ridirige le richieste di autenticazione al server appropriato e solo per desktop ed applicazioni in cui l'utente ha effettivamente diritto di utilizzo.
Unified Access Gateway
L'Unified Access Gateway agisce come host proxy per le connessioni all'interno della propria rete aziendale aggiungendo un ulteriore strato di sicurezza.
L'appliance presenta alcune impostazioni di hardening poichè è pensata specificatamente per la DMZ:
- Un Linux Kernel aggiornato e patch software
- Supporto per NIC multipli per il traffico Internet ed intranet
- SSH disabilitata
- Servizi FTP, Telnet, Rlogin o Rsh disabilitati
- Disabilitati i servizi non richiesti
Rispetto alla VPN, l'appliance UAG present alcuni vantaggi:
- L'UAG è progettato per le performance e la sicurezza.
- Gli utenti possono accedere ai propri virtual desktop utilizzando solamente il Client Horizon senza la necessità di utilizzare software diversi per connettersi.
- L'UAG applica le regole di accesso automaticamente richiedendo una gestione minore per mantenere le regole richieste.
Impostazioni di installazione
L'Unified Access Gateway può essere installato con diverse configurazioni. E' possibile specificare una configurazione che utilizzi uno, due o tre NIC:
- 1 NIC - questa è la configurazione più semplice dove tutto il traffico di rete è combinato in una rete singola.
- 2 NIC - un NIC utilizzato per accessi non autenticati e il traffico autenticato in back-end e il traffico di gestione sono separati nel secondo NIC.
- 3 NIC - tutto il traffico è separato in reti specifiche.
Porte del Firewall da aprire
Per evitare problematiche di connessione nell'infrastruttura Horizon, devono essere aperte le porte opportune nel proprio firewall. La tabella seguente elenca le porte da aprire.
Installare l'appliance UAG
Dopo aver scaricato il software UAG in formato OVA, dal vSphere Client effettuare un click con il tasto destro sull'oggetto in cui installare l'appliance e selezionare la voce Deploy OVF Template.
Cliccare su Browse e selezionare il file .OVA scaricato da VMware. Cliccare su Next.
inserire il Virtual machine name e selezionare una locazione. Cliccare Next.
Specificare le risorse computazionali e cliccare su Next.
Cliccare Next.
Selezionare la Configuration richiesta e cliccare su Next.
Selezionare lo Storage in cui salvare l'appliance e cliccare Next.
Specificare la Destination Network e cliccare Next.
Inserire i parametri di rete e cliccare Next.
Cliccare Finish per procedere con l'installazione dell'UAG.
Configurare l'appliance Unified Access Gateway
Una volta installato l'UAG, aprire il browser preferito e digitare l'indirizzo https://<IP_UAG>:9443. Inserire le credenziali e cliccare su Login.
Cliccare Select nel lato Configure Manually.
Abilitare lo switch Edge Service Setting sotto la voce General Settings per configurare l'ambiente Horizon.
Cliccare sull'icona Horizon Settings.
Inserire il Connection Server URL e il Connection Server URL Thumbprint. Abilitare i protocolli richiesti come PCOIP e Blast e specificare l'URL per i protocolli configurati utilizzati per connettersi con l'infrastruttura Horizon dall'esterno. Cliccare Save quando fatto.
Per trovare il corretto Connection Server URL Thumbprint, effettuare un click con il tasto destro sul certificato presente nel browser utilizzato per la connessione con il Connection Server. Nella sezione Details cercare la voce Thumbrint e copiarne il valore. Questo valore deve essere incollato poi nel campo appropriato.
Se i parametri inseriti sono corretti e le porte del firewall aperte, tutti i parametri dovrebbero avere un cerchio verde. Se l'Horizon Destination Server è rosso, significa che l'UAG non è in grado di risolvere l'FQDN del Connection Sever. Come soluzione, utilizzare l'indirizzo IP del Connection Server invece dell'FQDN.
Nella Console Horizon, accedere all'area Servers sotto la voce Settings e posizionarsi nella sezione Connection Servers. Selezionare il Connection Server e cliccare su Edit.
Disabilitare l'HTTP(s) Secure Tunnel ed entrambi i PCoIP e Blast Secure Gateways. Cliccare su OK per salvare la configurazione.
Ora accedere alla sezione Gateways e cliccare su Register.
Inserire il nome dell'appliance specificata negli Advanced Settings dell'UAG e cliccare su OK.
L'appliance è stata registrata correttamente.
Sotto Monitor, selezionare Dashboard e cliccare su View.
Nella sezione Gateway è possibile trovare l'UAG configurato.
Testando la connessione con un VD, il Security Gateway utilizzato da Horizon è l'UAG configurato.
Esportare la configurazione dell'UAG
Per esportare la configurazione, nell'interfaccia grafica di configurazione dell'UAG è possibile trovare l'opzione Export Unified Access Gateway Settings sotto la voce Support Settings. E' possibile esportare la configurazione nei formati JSON o INI cliccando sull'opzione appropriata.
Le impostazioni sono esportate nel proprio computer. Cliccare OK per salvare.
La configurazione dell'Unified Access Gateway è ora completa e l'appliance è pronta per gestire le richieste di connessione.
