Citrix Application Delivery Management

Insight SSL

Insight SSL proporciona visibilidad de transacciones web seguras (HTTPS) y permite a los administradores de TI supervisar todas las aplicaciones web seguras a las que presta Citrix ADC, proporcionando supervisión histórico e integrado en tiempo real de transacciones web seguras. Con esta visibilidad, el administrador puede evaluar lo siguiente:

  • Determinar el impacto del cambio de configuración en el uso del cliente: El administrador puede comprender el impacto en los clientes de realizar un cambio de configuración como desactivar SSLv3 o quitar un cifrado como RC4-MD5. Esto se puede hacer evaluando los datos históricos de transacciones en este protocolo y cifrado.

  • Cuantificar el rendimiento del cliente: El administrador puede comprender el impacto en el tiempo de respuesta de la aplicación según los cifrados/protocolo SSL utilizados o los certificados negociados.

  • Seguridad de la aplicación: Evalúe si alguna de las aplicaciones tiene transacciones ejecutándose en protocolos de baja seguridad, cifrados o fortaleza de clave débil.

Cuando SSL Analytics está habilitado en una instancia de Citrix ADC, las estadísticas SSL se registran y registran para cada transacción SSL. Las estadísticas muestran los detalles del flujo SSL. Además, Citrix Application Delivery Management (ADM) Analytics registra y muestra todas las conexiones correctas.

Insight SSL proporciona la siguiente información crítica, que se muestra en Citrix ADM Analytics:

  • Versión del protocolo SSL negociada

  • Cifrado negociado y la fuerza de cifrado

  • Algoritmo hash de firma del certificado utilizado

  • Tipo y tamaño de certificado

  • Errores de front-end y back-end SSL

Nota

Para conexiones SSL correctas, el registro SSL AppFlow ocurre al final de cada transacción.

Requisitos previos

  • La instancia de Citrix ADC en la que quiere configurar Insight SSL debe ejecutar el software Citrix ADC versión 11.1 51.21 y posterior. Ejecute los siguientes comandos en la instancia ADC que ejecuta 11.1 51.21 para habilitar Logstream como un tipo de transporte para Insight SSL.
  1. enable ns mode ulfd

  2. add ulfd server <IP Address of the ADM>

    Para las instancias ADC que ejecutan la versión 12.0 y superior, seleccione Logstream como el tipo de transporte mientras habilita AppFlow desde ADM.

  • La versión y compilación de Citrix ADM deben ser iguales o superiores a la versión y compilación de Citrix ADC. Por ejemplo, si ha instalado Citrix ADM 11.1 build 61.7, asegúrese de haber instalado Citrix ADC 11.1 build 60.14 o anterior.

Configuración de Insight SSL

Las Métricas de Insight SSL se incluyen en los informes de Web Insight si habilita los siguientes elementos:

  • Habilite AppFlow for Web Insight en cada instancia de Citrix ADC.

  • Habilite el modo ULFD en cada instancia de Citrix ADC.

  • Habilite los parámetros necesarios de AppFlow en cada instancia de Citrix ADC.

Habilitar la función AppFlow

Nota

Puede habilitar la función AppFlow desde Citrix ADM o desde cada instancia de Citrix ADC.

Para habilitar la función AppFlow desde Citrix ADM:

  1. Vaya a Redes > Instancias y seleccione la instancia de Citrix ADC en la que quiere habilitar el análisis.

  2. En la lista Seleccionar acción, seleccione Configurar análisis.

  3. Seleccione los servidores virtuales y haga clic en Habilitar AppFlow.

  4. En el campo Habilitar AppFlow, escriba true y seleccione Web Insight.

  5. Repita los pasos 3 a 6 en cada instancia de Citrix ADC.

  6. Haga clic en Aceptar.

    ssl-insight1

Nota

No puede habilitar la recopilación de datos en un servidor virtual si el estado operativo del servidor virtual es distinto de UP.

Para habilitar la función AppFlow mediante la GUI de Citrix ADC:

En la GUI de una instancia de Citrix ADC, vaya a Configuración > Sistema > Configuración, haga clic en Configurar funciones avanzadas y seleccione AppFlow.

Habilitación de parámetros SSL Insight

En cada instancia de Citrix ADC, debe habilitar algunos parámetros HTTP para mostrar registros SSL Insight en Citrix ADM.

Para habilitar los parámetros SSL Insight desde la utilidad de configuración de Citrix ADC:

  1. Vaya a Configuración > Sistema > AppFlow y haga clic en Cambiar AppFlowSettings.

  2. Seleccione las siguientes casillas de verificación: Dominio HTTP, HostHTTP, Método HTTP, URL HTTP, Agente de usuarioHTTP, Tipo de contenido HTTP.  

  3. Haga clic en Aceptar.

    ssl-insight2

Visualización de las métricas de SSL Insight

Las métricas SSL Insight de Citrix ADM proporcionan una vista detallada del rendimiento de las transacciones SSL servidas por las instancias Citrix ADC. Puede ver las métricas SSL Insight en el nivel de cliente, servidor o aplicación, y las métricas de las transacciones de éxito y error SSL. Con la ayuda de estas métricas, puede analizar y optimizar la configuración de Citrix ADC HTTPS y la configuración del certificado SSL, y realizar un seguimiento de los problemas de rendimiento.

Nota

Al crear un grupo, puede asignar roles al grupo, proporcionar acceso a nivel de aplicación al grupo y asignar usuarios al grupo. El análisis de Citrix ADM ahora admite la autorización basada en direcciones IP virtuales. Ahora los usuarios pueden ver informes de todas las Insights solo para las aplicaciones (servidores virtuales) a las que están autorizados. Para obtener más información sobre los grupos y la asignación de usuarios al grupo, consulte Configurar grupos.

Para supervisar las métricas de SSL Insight en Citrix ADM:

  1. En la ficha Analytics, desplácese hasta Web Insight y haga clic en el nodo Cliente, Servidoro Aplicación para mostrar las métricas sobre los clientes, el servidor o las aplicaciones, respectivamente.

  2. En el panel superior izquierdo, en la lista de períodos, seleccione el período de tiempo cuyas métricas quiere mostrar. Puede personalizar el marco de tiempo mediante el control deslizante de marco de tiempo. Haga clic en Ir.

  3. Las métricas Insight SSL aparecen como gráficos circulares, en los que puede hacer clic para obtener más detalles.

    Nota

    Los gráficos circulares muestran las métricas de todas las aplicaciones, clientes o servidores.

    ssl-insight3

  4. Para mostrar los detalles de una aplicación, cliente o servidor específicos, haga clic en el valor correspondiente en el gráfico de barras.

    ssl-insight4

  5. Para ver las transacciones SSL fallidas, en la sección SSL, seleccione el botón de opción en la sección SSL.

Caso de uso: Obtenga una visión general de las transacciones SSL de aplicaciones, clientes o servidores

El siguiente caso de uso describe cómo puede utilizar Insight SSL para evaluar el uso de varios parámetros SSL en aplicaciones, clientes y servidores, y mejorar las medidas de seguridad.

Tenga en cuenta que tiene un conjunto de aplicaciones que utilizan transacciones SSL (HTTPS) para la comunicación y que ha configurado Citrix ADM para supervisar los componentes SSL. Es posible que tenga que revisar con frecuencia las aplicaciones para poder centrarse primero en las aplicaciones que necesitan más atención. El panel de información SSL proporciona un resumen de varios parámetros SSL utilizados por las aplicaciones durante un período de tiempo que elija y para un dispositivo Citrix ADC seleccionado. Se trata de:

  • Certificados SSL

  • Protocolos SSL

  • Cifrado SSL negociado

  • Seguridad de la clave SSL

  • Error de SSL: Frontend

  • Error de SSL: Backend

ssl-nsight5

En el siguiente ejemplo, puede ver la lista de clientes (identificados por sus direcciones IP) y los hits SSL por cliente. Además, a la derecha, puede ver los parámetros SSL para todos los clientes.

ssl-insight5

Para mostrar los detalles SSL de un cliente, seleccione el cliente en el gráfico de barras o en la tabla debajo del gráfico. En el ejemplo siguiente, las transacciones del cliente seleccionado utilizan un certificado SSL SHA1 y cuatro protocolos principales: TLSv1.3, TLSv1.2, TLSv1.1, TLSv1 y SSLv3. También puede ver que se negociaron cifrados de varias fortalezas. El código de color indica la fuerza del protocolo SSL, que le proporciona información sobre los cifrados débiles y los cifrados fuertes.

ssl-insight5

Del mismo modo, para ver la información sobre las transacciones SSL fallidas, seleccione el botón de opción en la sección SSL. Los errores de front-end y back-end SSL se muestran por separado en dos gráficos circulares. En el ejemplo siguiente, puede ver que los principales errores SSL de back-end son errores de protocolo de enlace y los principales errores SSL de front-end son parámetros ilegales.

Error de SSL