Insight SSL

Insight SSL proporciona visibilidad de transacciones web seguras (HTTPS) y permite a los administradores de TI supervisar todas las aplicaciones web seguras a las que presta Citrix ADC, proporcionando supervisión histórico e integrado en tiempo real de transacciones web seguras. Con esta visibilidad, el administrador puede evaluar lo siguiente:

  • Determinar el impacto del cambio de configuración en el uso del cliente. El administrador puede comprender el impacto en los clientes de realizar un cambio de configuración como desactivar SSLv3 o eliminar un cifrado como RC4-MD5. Esto se puede hacer evaluando los datos históricos de transacciones en este protocolo y cifrado.
  • Cuantificar el rendimiento del cliente. El administrador puede comprender el impacto en el tiempo de respuesta de la aplicación en función de los cifrados/protocolo SSL utilizados o de los certificados negociados.
  • Seguridad de la aplicación. Evalúe si alguna de las aplicaciones tiene transacciones ejecutándose en protocolos de baja seguridad, cifrados o fortaleza de clave débil.

Cuando SSL Analytics está habilitado en una instancia ADC, las estadísticas SSL se registran y registran para cada transacción SSL. Las estadísticas muestran los detalles del flujo SSL. Además, Citrix Application Delivery Management (ADM) registra y muestra cada conexión correcta.

Insight SSL proporciona la siguiente información crítica, que se muestra en Citrix ADM Analytics:

  • Versión del protocolo SSL negociada
  • Cifrado negociado y la fuerza de cifrado
  • Algoritmo hash de firma del certificado utilizado
  • Tipo y tamaño de certificado
  • Errores de Frontend y Backend SSL

Nota

Para conexiones SSL correctas, el registro SSL AppFlow ocurre al final de cada transacción.

Requisitos previos

  • La instancia de Citrix ADC en la que quiere configurar Insight SSL debe ejecutar el software Citrix ADC versión 11.1 51.21 y posterior. Ejecute los siguientes comandos en la instancia ADC que ejecuta 11.1 51.21 para habilitar Logstream como un tipo de transporte para Insight SSL.
  1. enable ns mode ulfd

  2. add ulfd server <IP Address of the ADM>

    Para las instancias ADC que ejecutan la versión 12.0 y superior, seleccione Logstream como el tipo de transporte mientras habilita AppFlow desde ADM.

  • La versión y compilación de Citrix ADM deben ser iguales o superiores a la versión y compilación de Citrix ADC. Por ejemplo, si ha instalado Citrix ADM 11.1 build 61.7, asegúrese de haber instalado Citrix ADC 11.1 build 60.14 o anterior.

Configuración de Insight SSL

Las Métricas de Insight SSL se incluyen en los informes de Web Insight si habilita los siguientes elementos:

  • Habilite AppFlow para Web Insight en cada instancia de ADC.
  • Habilite el modo ULFD en cada instancia de ADC.
  • Habilite los parámetros necesarios de AppFlow en cada instancia de ADC.

Habilitar la información

Nota

Puede habilitar la función AppFlow desde Citrix ADM o desde cada instancia de ADC.

Habilitar la función AppFlow desde Citrix ADM

  1. Desplácese hasta Redes > Instancias y seleccione la instancia ADC en la que quiere habilitar el análisis.

  2. En la lista Seleccionar acción, seleccione Configurar análisis.

  3. En la página Configurar análisis en servidores virtuales :

    1. Seleccione los servidores virtuales que quiere habilitar Web Insight y haga clic en Habilitar análisis

      Aparece la ventana Habilitar análisis.

    2. Seleccionar Web Insight

    3. En Opciones avanzadas, seleccione Logstream o IPFIX como Modo de transporte

      Nota

      Para Citrix ADC 12.0 o versiones anteriores, IPFIX es la opción predeterminada para el modo Transaport. Para Citrix ADC 12.0 o posterior, puede seleccionar Logstream o IPFIX como Modo de transporte.

      Para obtener más información acerca de IPFIX y Logstream, consulte Visión general de Logstream.

    4. La expresión es verdadera por defecto

    5. Haga clic en Aceptar.

      Web Insight

Nota

No puede habilitar la recopilación de datos en un servidor virtual si el estado operativo del servidor virtual es distinto de UP.

Habilite la función AppFlow mediante la GUI de ADC

En la GUI de una instancia de ADC, vaya a Configuración > Sistema > Configuración, haga clic en Configurar funciones avanzadas y seleccione AppFlow.

Activación del modo ULFD

Después de habilitar el modo ULFD en las instancias ADC en las que están configurados los servidores virtuales, el servidor ULFD transmite los datos de análisis desde las instancias ADC a Citrix ADM.

Habilitar parámetros Insight SSL

En cada instancia de ADC, debe habilitar algunos parámetros HTTP para mostrar registros Insight SSL en Citrix ADM.

Habilitar los parámetros Insight SSL desde la utilidad de configuración ADC

  1. Vaya a Configuración > Sistema > AppFlow y haga clic en Cambiar AppFlowSettings.

  2. Seleccione las siguientes casillas de verificación: Dominio HTTP, HostHTTP, Método HTTP, URL HTTP, Agente de usuarioHTTP, Tipo de contenido HTTP.

  3. Haga clic en Aceptar.

    Imagen localizada

Ver las métricas de Insight SSL

Las métricas Insight SSL de Citrix ADM proporcionan una vista detallada del rendimiento de las transacciones SSL servidas por las instancias ADC. Puede ver las métricas Insight SSL en el nivel de cliente, servidor o aplicación, y las métricas de las transacciones de éxito y error SSL. Con la ayuda de estas métricas, puede analizar y optimizar la configuración HTTPS de ADC y la configuración del certificado SSL, y realizar un seguimiento de los problemas de rendimiento.

Nota

Al crear un grupo, puede asignar roles al grupo, proporcionar acceso a nivel de aplicación al grupo y asignar usuarios al grupo. El análisis de Citrix ADM ahora admite la autorización basada en direcciones IP virtuales. Ahora los usuarios pueden ver informes de todas las Insights solo para las aplicaciones (servidores virtuales) a las que están autorizados. Para obtener más información sobre los grupos y la asignación de usuarios al grupo, consulte Configuración de grupos en Citrix ADM.

Supervisar las métricas de Insight SSL en Citrix ADM

  1. En la ficha Analytics, desplácese hasta Web Insight y haga clic en el nodo Cliente, Servidor o Aplicación para mostrar las métricas sobre los clientes, el servidor o las aplicaciones, respectivamente.
  2. En el panel superior izquierdo, en el menú, seleccione el período de tiempo cuyas métricas quiere mostrar. Puede personalizar el marco de tiempo mediante el control deslizante de marco de tiempo. Haga clic en Ir.
  3. Las métricas Insight SSL aparecen como gráficos circulares, en los que puede hacer clic para obtener más detalles.

    Nota

    Los gráficos circulares muestran las métricas de todas las aplicaciones, clientes o servidores.

    Imagen localizada

  4. Para mostrar los detalles de una aplicación, cliente o servidor específicos, haga clic en el valor correspondiente en el gráfico de barras.

    Imagen localizada

  5. Para ver las transacciones SSL fallidas, en la sección SSL, seleccione el botón de opción en la sección SSL.

Caso de uso: Obtenga una visión general de las transacciones SSL de aplicaciones, clientes o servidores

El siguiente caso de uso describe cómo puede utilizar Insight SSL para evaluar el uso de varios parámetros SSL en aplicaciones, clientes y servidores, y mejorar las medidas de seguridad.

Tenga en cuenta que tiene un conjunto de aplicaciones que utilizan transacciones SSL (HTTPS) para la comunicación y que ha configurado Citrix ADM para supervisar los componentes SSL. Es posible que tenga que revisar con frecuencia las aplicaciones para poder centrarse primero en las aplicaciones que necesitan más atención. El panel de información SSL proporciona un resumen de varios parámetros SSL utilizados por las aplicaciones durante un período de tiempo que usted elija, y para un dispositivo ADC seleccionado. Se enumeran de la siguiente manera:

  • Certificados SSL
  • Protocolos SSL
  • Cifrado SSL negociado
  • Seguridad de la clave SSL
  • Error de SSL: Frontend
  • Error de SSL: Backend

Imagen localizada

En el siguiente ejemplo, puede ver la lista de clientes (identificados por sus direcciones IP) y los hits SSL por cliente. Además, a la derecha, puede ver los parámetros SSL para todos los clientes.

Imagen localizada

Para mostrar los detalles SSL de un cliente, seleccione el cliente en el gráfico de barras o en la tabla debajo del gráfico. En el ejemplo siguiente, las transacciones del cliente seleccionado utilizan un certificado SSL SHA1 y cuatro protocolos principales: TSLv1.2, TSLv1.1, TSLv1 y SSLv3. También puede ver que se negociaron cifrados de varias fortalezas. El código de color indica la fuerza del protocolo SSL, que le proporciona información sobre los cifrados débiles y los cifrados fuertes.

Imagen localizada

Del mismo modo, para ver la información sobre las transacciones SSL fallidas, seleccione el botón de opción en la sección SSL. Los errores de front-end y back-end SSL se muestran por separado en dos gráficos circulares. En el ejemplo siguiente, puede ver que los principales errores SSL de back-end son errores de protocolo de enlace y los principales errores SSL de front-end son parámetros ilegales.

Imagen localizada