Citrix Application Delivery Management

Insight SSL

Insight SSL proporciona visibilidad de transacciones web seguras (HTTPS) y permite a los administradores de TI supervisar todas las aplicaciones web seguras a las que presta Citrix ADC, proporcionando supervisión histórica e integrada en tiempo real de transacciones web seguras. Con esta visibilidad, el administrador puede evaluar lo siguiente:

  • Determinar el impacto del cambio de configuración en el uso del cliente: El administrador puede comprender el impacto en los clientes de realizar un cambio de configuración como desactivar SSLv3 o quitar un cifrado como RC4-MD5. Esto se puede hacer evaluando los datos históricos de transacciones en este protocolo y cifrado.

  • Cuantificar el rendimiento del cliente: El administrador puede comprender el impacto en el tiempo de respuesta de la aplicación según los cifrados/protocolo SSL utilizados o los certificados negociados.

  • Seguridad de la aplicación: Evalúe si alguna de las aplicaciones tiene transacciones ejecutándose en protocolos de baja seguridad, cifrados o fortaleza de clave débil.

Cuando SSL Analytics está habilitado en una instancia de Citrix ADC, las estadísticas SSL se registran y registran para cada transacción SSL. Las estadísticas muestran los detalles del flujo SSL. Además, Citrix Application Delivery Management (ADM) Analytics registra y muestra todas las conexiones correctas.

Insight SSL proporciona la siguiente información crítica, que se muestra en Citrix ADM Analytics:

  • Versión del protocolo SSL negociada

  • Cifrado negociado y la fuerza de cifrado

  • Algoritmo hash de firma del certificado utilizado

  • Tipo y tamaño de certificado

  • Errores de front-end y back-end SSL

Nota

Para conexiones SSL correctas, el registro SSL AppFlow ocurre al final de cada transacción.

Requisitos previos

  • La instancia de Citrix ADC en la que quiere configurar Insight SSL debe ejecutar el software Citrix ADC versión 11.1 51.21 y posterior. Ejecute los siguientes comandos en la instancia ADC que ejecuta 11.1 51.21 para habilitar Logstream como un tipo de transporte para Insight SSL.
  1. enable ns mode ulfd

  2. add ulfd server <IP Address of the ADM>

    Para las instancias ADC que ejecutan la versión 12.0 y superior, seleccione Logstream como el tipo de transporte mientras habilita AppFlow desde ADM.

  • La versión y compilación de Citrix ADM deben ser iguales o superiores a la versión y compilación de Citrix ADC. Por ejemplo, si ha instalado Citrix ADM 11.1 build 61.7, asegúrese de haber instalado Citrix ADC 11.1 build 60.14 o anterior.

Configurar SSL Insight

Las Métricas de Insight SSL se incluyen en los informes de Web Insight si habilita los siguientes elementos:

  • Habilite AppFlow for Web Insight en cada instancia de Citrix ADC.

  • Habilite el modo ULFD en cada instancia de Citrix ADC.

  • Habilite los parámetros necesarios de AppFlow en cada instancia de Citrix ADC.

Habilite la función AppFlow

Nota

Puede habilitar la función AppFlow desde Citrix ADM o desde cada instancia de Citrix ADC.

Para habilitar la función AppFlow desde Citrix ADM:

Si su Citrix ADM es 13.0 compilación 41.x o posterior:

  1. Vaya a Redes > Instancias > Citrix ADC y seleccione el tipo de instancia. Por ejemplo, VPX.

  2. Seleccione la instancia y, en la lista Seleccionar acción, haga clic en Configurar análisis.

  3. En la página Configurar análisis en servidores virtuales, seleccione el servidor virtual y haga clic en Habilitar Analytics.

  4. En la ventana Habilitar análisis:

    1. Seleccionar Web Insight

    2. Seleccionar flujo logstream como modo de transporte

      Nota

      Para Citrix ADC 12.0 o versiones anteriores, IPFIX es la opción predeterminada para el modo de transporte. Para Citrix ADC 12.0 o posterior, puede seleccionar Logstream o IPFIX como Modo de transporte.

      Para obtener más información sobre IPFIX y Logstream, consulte Descripción general de Logstream.

    3. La expresión es verdadera por defecto

    4. Haga clic en OK.

      Habilitar análisis

      Nota

      • Si selecciona servidores virtuales que no tienen licencia, Citrix ADM primero concede licencias a esos servidores virtuales y, a continuación, habilita el análisis

      • Para particiones de administración, solo se admite Web Insight

      • Para servidores virtuales como Redirección de caché, Autenticación y GSLB, no puede habilitar el análisis. Aparece un mensaje de error.

Después de hacer clic en Aceptar, Citrix ADM procesa para habilitar el análisis en los servidores virtuales seleccionados.

Análisis de procesamiento

Si su Citrix ADM es 13.0 compilación 36.27 o anterior:

  1. Vaya a Redes > Instancias > Citrix ADC y seleccione la instancia de Citrix ADC en la que quiere habilitar el análisis.

  2. En la lista Seleccionar acción, seleccione Configurar análisis.

    Configurar análisis

  3. En la página Configurar información :

    1. Seleccione la Lista de aplicaciones para Equilibrio de carga o Content Switching.

      Lista de aplicaciones

    2. Seleccione el servidor virtual y haga clic en Habilitar AppFlow.

      Servidor virtual

  4. En el cuadro de diálogo Habilitar AppFlow:

    • Escriba true en el cuadro de texto

    • Seleccione Logstream como modo de transporte

      Nota Citrix recomienda seleccionar Logstream como modo de transporte

    • Seleccione Web Insight y haga clic en Aceptar.

      Modo de transporte

Para habilitar la función AppFlow mediante la GUI de Citrix ADC:

En la GUI de una instancia de Citrix ADC, vaya a Configuración > Sistema > Configuración, haga clic en Configurar funciones avanzadas y seleccione AppFlow.

Habilitar parámetros Insight SSL

En cada instancia de Citrix ADC, debe habilitar algunos parámetros HTTP para mostrar registros SSL Insight en Citrix ADM.

Para habilitar los parámetros SSL Insight desde la utilidad de configuración de Citrix ADC:

  1. Vaya a Configuración > Sistema > AppFlow y haga clic en Cambiar AppFlowSettings.

  2. Seleccione las siguientes casillas de verificación: Dominio HTTP, HostHTTP, Método HTTP, URL HTTP, Agente de usuarioHTTP, Tipo de contenido HTTP.  

  3. Haga clic en Aceptar.

    ssl-insight2

Ver las métricas de Insight SSL

Las métricas SSL Insight de Citrix ADM proporcionan una vista detallada del rendimiento de las transacciones SSL servidas por las instancias Citrix ADC. Puede ver las métricas SSL Insight en el nivel de cliente, servidor o aplicación, y las métricas de las transacciones de éxito y error SSL. Con la ayuda de estas métricas, puede analizar y optimizar la configuración de HTTPS y la configuración del certificado SSL de Citrix ADC, y realizar un seguimiento de los problemas de rendimiento.

Nota

Al crear un grupo, puede asignar roles al grupo, proporcionar acceso a nivel de aplicación al grupo y asignar usuarios al grupo. El análisis de Citrix ADM ahora admite la autorización basada en direcciones IP virtuales. Ahora los usuarios pueden ver informes de todas las Insights solo para las aplicaciones (servidores virtuales) a las que están autorizados. Para obtener más información sobre los grupos y la asignación de usuarios al grupo, consulte Configurar grupos.

Para supervisar las métricas de SSL Insight en Citrix ADM:

Puede ver las métricas de SSL para:

  • Una aplicación. Vaya a Aplicaciones > Panel, haga clic en una aplicación y seleccione la ficha Web Insight para ver las métricas detalladas. Para obtener más información, consulte Análisis de uso de aplicaciones.

  • Todas las aplicaciones. Vaya a Aplicaciones > Web Insight y haga clic en las fichas Aplicaciones y Clientes para ver las métricas de SSL.

Caso de uso: obtener una visión general de las transacciones SSL

El siguiente caso de uso describe cómo puede usar SSL Insight para evaluar el uso de varios parámetros SSL y mejorar las medidas de seguridad.

Tenga en cuenta que tiene un conjunto de aplicaciones que utilizan transacciones SSL (HTTPS) para la comunicación y que ha configurado Citrix ADM para supervisar los componentes SSL. Es posible que tenga que revisar con frecuencia las aplicaciones para poder centrarse primero en las aplicaciones que necesitan más atención. El panel de control de Web Insight para una aplicación o todas las aplicaciones proporciona un resumen de los siguientes parámetros de SSL en Errores de SSL y uso de SSL:

  • Certificados SSL

  • Protocolos SSL

  • Cifrado SSL

  • Seguridad de la clave SSL

  • Fallo SSL — Front end

  • Fallo de SSL — Back end

    ssl-nsight5

Puede hacer clic en cada ficha para ver los detalles.

Caso de uso: métricas de SSL para clientes

Puede ver la lista de clientes (identificados por sus direcciones IP) y las ocurrencias totales por cliente. Vaya a Aplicaciones > Web Insight y seleccione la ficha Clientes para ver los detalles en Uso de SSL.

Haga clic en una métrica para ver los detalles y, en Clientes, haga clic en cualquier dirección IP del cliente para ver las métricas de SSL para el cliente seleccionado.

Métrica de cliente SSL