Citrix Application Delivery Management 13.0

SSL Insight

SSL Insight bietet Einblick in sichere Webtransaktionen (HTTPS) und ermöglicht IT-Administratoren, alle vom Citrix ADC bereitgestellten sicheren Webanwendungen zu überwachen, indem sie eine integrierte Echtzeit- und historische Überwachung sicherer Webtransaktionen bereitstellen. Mit dieser Sichtbarkeit kann der Administrator Folgendes beurteilen:

  • Ermitteln der Auswirkung der Konfigurationsänderung auf die Kundennutzung: Der Administrator kann verstehen, wie sich eine Konfigurationsänderung wie das Deaktivieren von SSLv3 oder das Entfernen einer Chiffre wie RC4-MD5 auf Clients auswirkt. Dies kann durch Bewertung der historischen Transaktionsdaten auf diesem Protokoll und Chiffre erfolgen.

  • Quantifizierung der Clientleistung: Der Administrator kann die Auswirkungen auf die Reaktionszeit der Anwendung anhand der verwendeten SSL-Verschlüsselungen/-Protokoll oder der ausgehandelten Zertifikate verstehen.

  • Anwendungssicherheit: Prüfen Sie, ob bei einer der Anwendungen Transaktionen mit Protokollen, Verschlüsselungen oder schwacher Schlüsselstärke ausgeführt werden.

Wenn SSL Analytics auf einer Citrix ADC Instanz aktiviert ist, werden SSL-Statistiken für jede SSL-Transaktion aufgezeichnet und protokolliert. Die Statistiken zeigen die Details des SSL-Flows. Außerdem wird jede erfolgreiche Verbindung von Citrix Application Delivery Management (ADM) Analytics protokolliert und angezeigt.

SSL Insight stellt die folgenden wichtigen Informationen bereit, die von Citrix ADM Analytics angezeigt werden:

  • SSL-Protokollversion ausgehandelt

  • Chiffre ausgehandelt, und die Verschlüsselungsstärke

  • Signatur-Hash-Algorithmus des verwendeten Zertifikats

  • Typ und Größe des Zertifikats

  • SSL-Front-End- und Back-End-Fehler

Hinweis:

Bei erfolgreichen SSL-Verbindungen erfolgt die SSL-AppFlow Protokollierung am Ende jeder Transaktion.

Voraussetzungen

  • Auf der Citrix ADC Instanz, auf der Sie SSL Insight konfigurieren möchten, muss die Citrix ADC -Softwareversion 11.1 51.21 und höher ausgeführt werden. Führen Sie die folgenden Befehle auf der ADC-Instanz unter 11.1 51.21 aus, um Logstream als Transporttyp für SSL Insight zu aktivieren.
  1. enable ns mode ulfd

  2. add ulfd server <IP Address of the ADM>

    Wählen Sie für ADC-Instanzen mit Version 12.0 und höher Logstream als Transporttyp aus, während Sie AppFlow von ADM aktivieren.

  • Citrix ADM Version und -Build müssen gleich oder höher sein als die Citrix ADC Version und -Build. Wenn Sie beispielsweise Citrix ADM 11.1 Build 61.7 installiert haben, stellen Sie sicher, dass Sie Citrix ADC 11.1 Build 60.14 oder früher installiert haben.

Konfigurieren von SSL Insight

SSL Insight Metriken sind in Web Insight-Berichten enthalten, wenn Sie die folgenden Elemente aktivieren:

  • Aktivieren Sie AppFlow für Web Insight auf jeder Citrix ADC Instanz.

  • Aktivieren Sie den ULFD-Modus auf jeder Citrix ADC Instanz.

  • Aktivieren Sie die erforderlichen AppFlow Parameter auf jeder Citrix ADC Instanz.

Aktivieren der AppFlow Funktion

Hinweis:

Sie können die AppFlow Funktion entweder von Citrix ADM oder von jeder Citrix ADC Instanz aus aktivieren.

So aktivieren Sie die AppFlow Funktion von Citrix ADM:

  1. Navigieren Sie zu Netzwerke > Instanzen, und wählen Sie die Citrix ADC Instanz aus, für die Sie Analysen aktivieren möchten.

  2. Wählen Sie in der Liste Aktion auswählen die Option Analytics konfigurieren aus.

  3. Wählen Sie die virtuellen Server aus, und klicken Sie auf AppFlow aktivieren.

  4. Geben Sie im Feld AppFlow aktivieren trueein, und wählen Sie Web Insightaus.

  5. Wiederholen Sie die Schritte 3 bis 6 auf jeder Citrix ADC Instanz.

  6. Klicken Sie auf OK.

    ssl-insight1

Hinweis:

Sie können die Datenerfassung auf einem virtuellen Server nicht aktivieren, wenn der Betriebszustand des virtuellen Servers nicht UP ist.

So aktivieren Sie das AppFlow Feature mithilfe der Citrix ADC GUI:

Navigieren Sie in der Benutzeroberfläche einer Citrix ADC Instanz zu Konfiguration > System > Einstellungen, klicken Sie auf Erweiterte Funktionen konfigurierenund wählen Sie AppFlowaus.

Aktivieren von SSL Insight-Parametern

Auf jeder Citrix ADC Instanz müssen Sie einige HTTP-Parameter aktivieren, um SSL-Insight-Datensätze in Citrix ADM anzuzeigen.

So aktivieren Sie SSL-Insight-Parameter über das Citrix ADC Konfigurationsprogramm:

  1. Navigieren Sie zu Konfiguration > System > AppFlow, und klicken Sie auf AppFlowSettings ändern.

  2. Aktivieren Sie die folgenden Kontrollkästchen: HTTP-Domäne, HTTP-Host, HTTP-Methode, HTTP-URL, HTTP-User-Agent, HTTP-Inhaltstyp.  

  3. Klicken Sie auf OK.

    ssl-insight2

Anzeigen der SSL-Insight-Metriken

SSL Insight-Metriken in Citrix ADM bieten einen detaillierten Überblick über die Leistung der SSL-Transaktionen, die von den Citrix ADC Instanzen bereitgestellt werden. Sie können die SSL-Insight-Metriken auf Client-, Server- oder Anwendungsebene sowie die Metriken der SSL-Erfolgs- und Fehlertransaktionen anzeigen. Mit Hilfe dieser Metriken können Sie die Citrix ADC HTTPS-Einstellungen und SSL-Zertifikateinstellungen analysieren und optimieren und Leistungsprobleme nachverfolgen.

Hinweis

Wenn Sie eine Gruppe erstellen, können Sie der Gruppe Rollen zuweisen, Zugriff auf Anwendungsebene für die Gruppe gewähren und Benutzer der Gruppe zuweisen. Citrix ADM Analytics unterstützt jetzt virtuelle IP-Adressen basierte Autorisierung. Ihre Benutzer können jetzt Berichte für alle Insights nur für die Anwendungen (virtuelle Server) anzeigen, für die sie autorisiert sind. Weitere Informationen zu Gruppen und dem Zuweisen von Benutzern zur Gruppe finden Sie unterGruppen konfigurieren.

So überwachen Sie SSL-Insight-Metriken in Citrix ADM:

  1. Navigieren Sie auf der Registerkarte Analytics zu Web Insight , und klicken Sie auf den Knoten Client, Serveroder Anwendung, um die Metriken zu Clients, dem Server bzw. den Anwendungen anzuzeigen.

  2. Wählen Sie im oberen linken Bereich in der Periodenliste den Zeitrahmen aus, dessen Metriken angezeigt werden sollen. Sie können den Zeitrahmen mithilfe des Zeitrahmen-Schiebereglers anpassen. Klicken Sie auf Go.

  3. Die SSL Insight-Metriken werden als Kreisdiagramme angezeigt, auf die Sie klicken können, um weitere Details zu erhalten.

    Hinweis:

    Die Kreisdiagramme zeigen die Metriken aller Anwendungen, Clients oder Server an.

    ssl-insight3

  4. Um Details für eine bestimmte Anwendung, einen bestimmten Client oder einen bestimmten Server anzuzeigen, klicken Sie auf den entsprechenden Wert im Balkendiagramm.

    ssl-insight4

  5. Um die fehlgeschlagenen SSL-Transaktionen anzuzeigen, wählen Sie im Abschnitt SSL das Optionsfeld im Abschnitt SSL aus.

Anwendungsfall: Erhalten Sie einen Überblick über die SSL-Transaktionen von Anwendungen, Clients oder Servern

Im folgenden Anwendungsfall wird beschrieben, wie Sie SSL Insight verwenden können, um die Verwendung verschiedener SSL-Parameter in Anwendungen, Clients und Servern zu bewerten und Sicherheitsmaßnahmen zu verbessern.

Beachten Sie, dass Sie über eine Reihe von Anwendungen verfügen, die SSL-Transaktionen (HTTPS) für die Kommunikation verwenden, und Sie Citrix ADM konfiguriert haben, um die SSL-Komponenten zu überwachen. Möglicherweise müssen Sie die Anwendungen häufig überprüfen, damit Sie sich zuerst auf die Anwendungen konzentrieren können, die die größte Aufmerksamkeit benötigen. Das SSL-Insight-Dashboard bietet eine Zusammenfassung der verschiedenen SSL-Parameter, die von Ihren Anwendungen über einen von Ihnen gewählten Zeitraum und für ein ausgewähltes Citrix ADC Gerät verwendet werden. Sie sind:

  • SSL-Zertifikate

  • SSL-Protokolle

  • SSL-Verschlüsselung ausgehandelt

  • SSL-Schlüsselstärke

  • SSL-Fehler — Frontend

  • SSL-Fehler — Backend

ssl-nsight5

Im folgenden Beispiel sehen Sie eine Liste der Clients (identifiziert durch ihre IP-Adressen) und die SSL-Zugriffe pro Client. Rechts können Sie auch die SSL-Parameter für alle Clients anzeigen.

ssl-insight5

Um SSL-Details für einen Client anzuzeigen, wählen Sie den Client im Balkendiagramm oder in der Tabelle unterhalb des Diagramms aus. Im folgenden Beispiel verwenden die Transaktionen des ausgewählten Clients ein SHA1-SSL-Zertifikat und vier Hauptprotokolle: TLSv1.3, TLSv1.2, TLSv1.1, TLSv1 und SSLv3. Sie können auch sehen, dass Chiffre verschiedener Stärken ausgehandelt wurden. Der Farbcode gibt die Stärke des SSL-Protokolls an, das Ihnen Informationen über schwache Chiffre und starke Chiffre gibt.

ssl-insight5

Um die Informationen über die fehlgeschlagenen SSL-Transaktionen anzuzeigen, wählen Sie das Optionsfeld im Abschnitt SSL. SSL-Front-End- und Back-End-Fehler werden separat in zwei Kreisdiagrammen angezeigt. Im folgenden Beispiel können Sie anzeigen, dass die wichtigsten Back-End-SSL-Fehler Handshake-Fehler sind und die wichtigsten Front-End-SSL-Fehler Unzulässige Parameter sind.

SSL-Fehler