SSL Insight

SSL Insight bietet Einblick in sichere Webtransaktionen (HTTPS) und ermöglicht IT-Administratoren, alle vom Citrix ADC bereitgestellten sicheren Webanwendungen zu überwachen, indem sie eine integrierte Echtzeit- und historische Überwachung sicherer Webtransaktionen bereitstellen. Mit dieser Sichtbarkeit kann der Administrator Folgendes beurteilen:

  • Bestimmen Sie die Auswirkungen der Konfigurationsänderung auf die Kundennutzung. Der Administrator kann die Auswirkungen auf Clients verstehen, wenn er eine Konfigurationsänderung wie das Deaktivieren von SSLv3 oder das Entfernen einer Verschlüsselung wie RC4-MD5 vornimmt. Dies kann durch Bewertung der historischen Transaktionsdaten auf diesem Protokoll und Chiffre erfolgen.
  • Quantifizieren der Client-Leistung. Der Administrator kann die Auswirkungen auf die Antwortzeit der Anwendung basierend auf den verwendeten SSL-Verschlüsselungen/-Protokollen oder den ausgehandelten Zertifikaten verstehen.
  • Anwendungssicherheit. Prüfen Sie, ob eine der Anwendungen Transaktionen mit niedrigen Sicherheitsprotokollen, Verschlüsselungen oder einer schwachen Schlüsselstärke ausgeführt wird.

Wenn SSL Analytics auf einer ADC-Instanz aktiviert ist, werden SSL-Statistiken für jede SSL-Transaktion aufgezeichnet und protokolliert. Die Statistiken zeigen die Details des SSL-Flows. Außerdem wird jede erfolgreiche Verbindung von Citrix Application Delivery Management (ADM) protokolliert und angezeigt.

SSL Insight stellt die folgenden wichtigen Informationen bereit, die von Citrix ADM Analytics angezeigt werden:

  • SSL-Protokollversion ausgehandelt
  • Chiffre ausgehandelt, und die Verschlüsselungsstärke
  • Signatur-Hash-Algorithmus des verwendeten Zertifikats
  • Typ und Größe des Zertifikats
  • SSL-Frontend- und Backend-Fehler

Hinweis:

Bei erfolgreichen SSL-Verbindungen erfolgt die SSL-AppFlow Protokollierung am Ende jeder Transaktion.

Voraussetzungen

  • Auf der Citrix ADC Instanz, auf der Sie SSL Insight konfigurieren möchten, muss die Citrix ADC -Softwareversion 11.1 51.21 und höher ausgeführt werden. Führen Sie die folgenden Befehle auf der ADC-Instanz unter 11.1 51.21 aus, um Logstream als Transporttyp für SSL Insight zu aktivieren.
  1. enable ns mode ulfd

  2. add ulfd server <IP Address of the ADM>

    Wählen Sie für ADC-Instanzen mit Version 12.0 und höher Logstream als Transporttyp aus, während Sie AppFlow von ADM aktivieren.

  • Citrix ADM Version und -Build müssen gleich oder höher sein als die Citrix ADC Version und -Build. Wenn Sie beispielsweise Citrix ADM 11.1 Build 61.7 installiert haben, stellen Sie sicher, dass Sie Citrix ADC 11.1 Build 60.14 oder früher installiert haben.

Konfigurieren von SSL Insight

SSL Insight Metriken sind in Web Insight-Berichten enthalten, wenn Sie die folgenden Elemente aktivieren:

  • Aktivieren Sie AppFlow for Web Insight für jede ADC-Instanz.
  • Aktivieren Sie den ULFD-Modus für jede ADC-Instanz.
  • Aktivieren Sie die erforderlichen AppFlow Parameter für jede ADC-Instanz.

Ermöglichen der Einsicht

Hinweis:

Sie können die AppFlow Funktion entweder von Citrix ADM oder von jeder ADC-Instanz aus aktivieren.

Aktivieren der AppFlow Funktion von Citrix ADM

  1. Navigieren Sie zu Netzwerke > Instanzen, und wählen Sie die ADC-Instanz aus, für die Sie die Analyse aktivieren möchten.

  2. Wählen Sie in der Liste Aktion auswählen die Option Analytics konfigurieren aus.

  3. Auf der Seite Analytics auf virtuellen Servern konfigurieren:

    1. Wählen Sie die virtuellen Server aus, die Sie Web Insight aktivieren möchten, und klicken Sie auf Analytics aktivieren.

      Das Fenster Analytics aktivieren wird angezeigt.

    2. Web Insight auswählen

    3. Wählen Sie unter Erweiterte Optionen die Option Logstream oder IPFIX als Transportmodus aus.

      Hinweis:

      Für Citrix ADC 12.0 oder früher ist IPFIX die Standardoption für den Transaport-Modus. Für Citrix ADC 12.0 oder höher können Sie entweder Logstream oder IPFIX als Transportmodus auswählen.

      Weitere Hinweise zu IPFIX und Logstream finden Sie unter Übersicht über den Logstream.

    4. Der Ausdruck ist standardmäßig true

    5. Klicken Sie auf OK.

      Web-Insight

Hinweis:

Sie können die Datenerfassung auf einem virtuellen Server nicht aktivieren, wenn der Betriebszustand des virtuellen Servers nicht UP ist.

Aktivieren der AppFlow Funktion mithilfe der ADC-GUI

Navigieren Sie in der GUI einer ADC-Instanz zu Konfiguration > System > Einstellungen, klicken Sie auf Erweiterte Funktionen konfigurieren und wählen Sie AppFlow aus.

Aktivieren des ULFD-Modus

Nachdem Sie den ULFD-Modus für die ADC-Instanzen aktiviert haben, auf denen die virtuellen Server konfiguriert sind, streamt der ULFD-Server die Analysedaten von den ADC-Instanzen an Citrix ADM.

SSL Insight-Parameter aktivieren

Auf jeder ADC-Instanz müssen Sie einige HTTP-Parameter aktivieren, um SSL Insight-Datensätze in Citrix ADM anzuzeigen.

Aktivieren von SSL Insight-Parametern über das ADC-Konfigurationsdienstprogramm

  1. Navigieren Sie zu Konfiguration > System > AppFlow, und klicken Sie auf AppFlowSettings ändern.

  2. Aktivieren Sie die folgenden Kontrollkästchen: HTTP-Domäne, HTTP-Host, HTTP-Methode, HTTP-URL, HTTP-User-Agent, HTTP-Inhaltstyp.

  3. Klicken Sie auf OK.

    lokalisiertes Bild

Anzeigen der SSL Insight-Metriken

SSL Insight-Metriken in Citrix ADM bieten einen detaillierten Überblick über die Performance der SSL-Transaktionen, die von den ADC-Instanzen bedient werden. Sie können die SSL Insight-Metriken auf Client-, Server- oder Anwendungsebene sowie die Kennzahlen der SSL-Erfolgs- und Fehlertransaktionen anzeigen. Mithilfe dieser Metriken können Sie Ihre ADC-HTTPS-Einstellungen und SSL-Zertifikateinstellungen analysieren und optimieren und Leistungsprobleme nachverfolgen.

Hinweis

Wenn Sie eine Gruppe erstellen, können Sie der Gruppe Rollen zuweisen, Zugriff auf Anwendungsebene für die Gruppe gewähren und Benutzer der Gruppe zuweisen. Citrix ADM Analytics unterstützt jetzt virtuelle IP-Adressen basierte Autorisierung. Ihre Benutzer können jetzt Berichte für alle Insights nur für die Anwendungen (virtuelle Server) anzeigen, für die sie autorisiert sind. Weitere Informationen zu Gruppen und dem Zuweisen von Benutzern zur Gruppe finden Sie unterKonfigurieren von Gruppen auf Citrix ADM.

Überwachung von SSL Insight-Metriken in Citrix ADM

  1. Navigieren Sie auf der Registerkarte Analytics zu Web Insight, und klicken Sie auf den Knoten Client, Serveroder Anwendung, um die Metriken zu Clients, dem Server bzw. den Anwendungen anzuzeigen.
  2. Wählen Sie im linken oberen Bereich im Menü den Zeitrahmen aus, dessen Metriken Sie anzeigen möchten. Sie können den Zeitrahmen mithilfe des Zeitrahmen-Schiebereglers anpassen. Klicken Sie auf Go.
  3. Die SSL Insight-Metriken werden als Kreisdiagramme angezeigt, auf die Sie klicken können, um weitere Details zu erhalten.

    Hinweis:

    Die Kreisdiagramme zeigen die Metriken aller Anwendungen, Clients oder Server an.

    lokalisiertes Bild

  4. Um Details für eine bestimmte Anwendung, einen bestimmten Client oder einen bestimmten Server anzuzeigen, klicken Sie auf den entsprechenden Wert im Balkendiagramm.

    lokalisiertes Bild

  5. Um die fehlgeschlagenen SSL-Transaktionen anzuzeigen, wählen Sie im Abschnitt SSL das Optionsfeld im Abschnitt SSL aus.

Anwendungsfall: Erhalten Sie einen Überblick über die SSL-Transaktionen von Anwendungen, Clients oder Servern

Im folgenden Anwendungsfall wird beschrieben, wie Sie SSL Insight verwenden können, um die Verwendung verschiedener SSL-Parameter in Anwendungen, Clients und Servern zu bewerten und Sicherheitsmaßnahmen zu verbessern.

Beachten Sie, dass Sie über eine Reihe von Anwendungen verfügen, die SSL-Transaktionen (HTTPS) für die Kommunikation verwenden, und Sie Citrix ADM konfiguriert haben, um die SSL-Komponenten zu überwachen. Möglicherweise müssen Sie die Anwendungen häufig überprüfen, damit Sie sich zuerst auf die Anwendungen konzentrieren können, die die größte Aufmerksamkeit benötigen. Das SSL-Insight-Dashboard bietet eine Zusammenfassung der verschiedenen SSL-Parameter, die von Ihren Anwendungen über einen bestimmten Zeitraum Ihrer Wahl und für ein ausgewähltes ADC-Gerät verwendet werden. Sie werden folgendermaßen aufgelistet:

  • SSL-Zertifikate
  • SSL-Protokolle
  • SSL-Verschlüsselung ausgehandelt
  • SSL-Schlüsselstärke
  • SSL-Fehler — Frontend
  • SSL-Fehler — Backend

Lokalisiertes Bild

Im folgenden Beispiel sehen Sie eine Liste der Clients (identifiziert durch ihre IP-Adressen) und die SSL-Zugriffe pro Client. Rechts können Sie auch die SSL-Parameter für alle Clients anzeigen.

Lokalisiertes Bild

Um SSL-Details für einen Client anzuzeigen, wählen Sie den Client im Balkendiagramm oder in der Tabelle unterhalb des Diagramms aus. Im folgenden Beispiel verwenden die Transaktionen des ausgewählten Clients ein SHA1-SSL-Zertifikat und vier Hauptprotokolle: TSLv1.2, TSLv1.1, TSLv1 und SSLv3. Sie können auch sehen, dass Chiffre verschiedener Stärken ausgehandelt wurden. Der Farbcode gibt die Stärke des SSL-Protokolls an, das Ihnen Informationen über schwache Chiffre und starke Chiffre gibt.

Lokalisiertes Bild

Um die Informationen über die fehlgeschlagenen SSL-Transaktionen anzuzeigen, wählen Sie das Optionsfeld im Abschnitt SSL. SSL-Front-End- und Back-End-Fehler werden separat in zwei Kreisdiagrammen angezeigt. Im folgenden Beispiel können Sie anzeigen, dass die wichtigsten Back-End-SSL-Fehler Handshake-Fehler sind und die wichtigsten Front-End-SSL-Fehler Unzulässige Parameter sind.

Lokalisiertes Bild