Citrix Application Delivery Management service

SSL Insight

SSL Insight offre une visibilité sur les transactions Web sécurisées (HTTPS) et permet aux administrateurs informatiques de surveiller toutes les applications Web sécurisées desservies par Citrix ADC en fournissant une surveillance historique et intégrée des transactions Web sécurisées. Avec cette visibilité, l’administrateur peut évaluer les éléments suivants :

  • Déterminez l’impact des modifications de configuration sur l’utilisation du client. L’administrateur peut comprendre l’impact sur les clients d’une modification de configuration comme la désactivation de SSLv3 ou la suppression d’un chiffrement tel que RC4-MD5. Cela peut être fait en évaluant les données de transaction historiques sur ce protocole et en chiffrement.
  • Quantifiez les performances du client. L’administrateur peut comprendre l’impact sur le temps de réponse de l’application en fonction des chiffres/protocoles SSL utilisés ou des certificats négociés.
  • Sécurité des applications. Évaluez si l’une des applications a des transactions exécutées sur des protocoles de sécurité faibles, des chiffrements ou une faible force de clé.

Lorsque SSL Analytics est activé sur une instance ADC, les statistiques SSL sont enregistrées et consignées pour chaque transaction SSL. Les statistiques montrent les détails du flux SSL. En outre, chaque connexion réussie est enregistrée et affichée par Citrix Application Delivery Management (ADM).

SSL Insight fournit les informations critiques suivantes, affichées par Citrix ADM Analytics :

  • Version du protocole SSL négociée
  • Chiffrement négocié, et force de chiffrement
  • Algorithme de hachage de signature du certificat utilisé
  • Type et taille du certificat
  • Erreurs SSL frontend et backend

Remarque

Pour les connexions SSL réussies, la journalisation SSL AppFlow se produit à la fin de chaque transaction.

Conditions préalables

  • L’instance Citrix ADC sur laquelle vous avez l’intention de configurer SSL Insight doit exécuter le logiciel Citrix ADC version 11.1 51.21 et ultérieure. Exécutez les commandes suivantes sur l’instance ADC exécutant 11.1 51.21 pour activer Logstream comme type de transport pour SSL Insight.
  1. enable ns mode ulfd

  2. add ulfd server <IP Address of the ADM>

    Pour les instances ADC exécutant la version 12.0 et supérieure, sélectionnez Logstream comme type de transport tout en activant AppFlow à partir d’ADM.

  • La version et la build de Citrix ADM doivent être égales ou supérieures à la version et à la build de Citrix ADC. Par exemple, si vous avez installé Citrix ADM 11.1 build 61.7, vérifiez que vous avez installé Citrix ADC 11.1 build 60.14 ou une version antérieure.

Configuration de SSL Insight

Les mesures SSL Insight sont incluses dans les rapports Web Insight si vous activez les éléments suivants :

  • Activez AppFlow pour Web Insight sur chaque instance ADC.
  • Activez le mode ULFD sur chaque instance ADC.
  • Activez les paramètres AppFlow requis sur chaque instance ADC.

Activation de l’aperçu

Remarque

Vous pouvez activer la fonctionnalité AppFlow à partir de Citrix ADM ou de chaque instance ADC.

Activer la fonctionnalité AppFlow à partir de Citrix ADM

  1. Accédez à Réseaux > Instances, puis sélectionnez l’instance ADC sur laquelle vous souhaitez activer l’analyse.

  2. Dans la liste Sélectionner une action, sélectionnez Configurer Analytics.

  3. Sur la page Configurer les analyses sur les serveurs virtuels  :

    1. Sélectionnez les serveurs virtuels que vous souhaitez activer les informations Web et cliquez sur Activer Analytics

      La fenêtre Activer Analytics s’affiche.

    2. Sélectionner Web Insight

    3. Sous Options avancées, sélectionnez Logstream ou IPFIX comme mode de transport

      Remarque

      Pour Citrix ADC 12.0 ou version antérieure, IPFIX est l’option par défaut du mode Transaport. Pour Citrix ADC 12.0 ou version ultérieure, vous pouvez sélectionner Logstream ou IPFIX comme mode de transport.

      Pour plus d’informations sur IPFIX et Logstream, reportez-vous à la section Vue d’ensemble de Logstream.

    4. L’expression est true par défaut

    5. Cliquez sur OK.

      web-insight

Remarque

Vous ne pouvez pas activer la collecte de données sur un serveur virtuel si l’état de fonctionnement du serveur virtuel est autre que UP.

Activer la fonctionnalité AppFlow à l’aide de l’interface graphique ADC

Dans l’interface graphique d’une instance ADC, accédez à Configuration > Système > Paramètres, cliquez sur Configurer les fonctionnalités avancées et sélectionnez AppFlow .

Activation du mode ULFD

Après avoir activé le mode ULFD sur les instances ADC sur lesquelles les serveurs virtuels sont configurés, le serveur ULFD diffuse les données d’analyse des instances ADC vers Citrix ADM.

Activer les paramètres SSL Insight

Sur chaque instance ADC, vous devez activer certains paramètres HTTP pour afficher les enregistrements SSL Insight dans Citrix ADM.

Activer les paramètres SSL Insight à partir de l’utilitaire de configuration ADC

  1. Accédez à Configuration > Système > AppFlow, puis cliquez sur Modifier AppFlowSettings .

  2. Cochez les cases suivantes : Domaine HTTP, Hôte HTTP, Méthode HTTP, URL HTTP, HTTP User-Agent, HTTP Content-Type.

  3. Cliquez sur OK.

    image localisée

Afficher les mesures SSL Insight

Les mesures SSL Insight dans Citrix ADM fournissent une vue détaillée des performances des transactions SSL desservies par les instances ADC. Vous pouvez afficher les mesures SSL Insight au niveau du client, du serveur ou de l’application, ainsi que les mesures des transactions de succès et d’échec SSL. À l’aide de ces mesures, vous pouvez analyser et optimiser vos paramètres ADC HTTPS et de certificat SSL, et suivre les problèmes de performances.

Remarque

Lorsque vous créez un groupe, vous pouvez affecter des rôles au groupe, fournir un accès au niveau de l’application au groupe et affecter des utilisateurs au groupe. Citrix ADM Analytics prend désormais en charge l’autorisation basée sur l’adresse IP virtuelle. Vos utilisateurs peuvent désormais voir des rapports pour tous les Insights uniquement pour les applications (serveurs virtuels) auxquelles ils sont autorisés à accéder. Pour plus d’informations sur les groupes et l’affectation d’utilisateurs au groupe, reportez-vous à la section Configuration de groupes sur Citrix ADM.

Surveiller les mesures SSL Insight dans Citrix ADM

  1. Sous l’onglet Analytics, accédez à Web Insight et cliquez sur le nœud Client, Serveur ou Application pour afficher les mesures relatives aux clients, au serveur ou aux applications, respectivement.
  2. Dans le volet supérieur gauche, dans le menu, sélectionnez la période de temps dont vous souhaitez afficher les mesures. Vous pouvez personnaliser la période à l’aide du curseur temporel. Cliquez sur OK.
  3. Les mesures SSL Insight apparaissent sous forme de graphiques à secteurs, sur lesquels vous pouvez cliquer pour plus de détails.

    Remarque

    Les graphiques à secteurs affichent les mesures de toutes les applications, clients ou serveurs.

    image localisée

  4. Pour afficher les détails d’une application, d’un client ou d’un serveur spécifique, cliquez sur la valeur correspondante dans le graphique à barres.

    image localisée

  5. Pour afficher les transactions SSL en échec, dans la section SSL, sélectionnez le bouton radio de la section SSL.

Cas d’utilisation : Obtenir une vue d’ensemble des transactions SSL des applications, des clients ou des serveurs

Le cas d’utilisation suivant décrit comment utiliser SSL Insight pour évaluer l’utilisation de divers paramètres SSL dans les applications, les clients et les serveurs, et améliorer les mesures de sécurité.

Considérez que vous disposez d’un ensemble d’applications qui utilisent des transactions SSL (HTTPS) pour la communication et que vous avez configuré Citrix ADM pour surveiller les composants SSL. Il se peut que vous deviez examiner fréquemment les demandes afin que vous puissiez d’abord vous concentrer sur les applications qui nécessitent le plus d’attention. Le tableau de bord d’aperçu SSL fournit un résumé des différents paramètres SSL utilisés par vos applications sur une période de temps de votre choix et pour un périphérique ADC sélectionné. Elles sont répertoriées comme suit :

  • Certificats SSL
  • Protocoles SSL
  • Négociation du chiffrement SSL
  • Force des clés SSL
  • Échec SSL — Frontend
  • Échec SSL — Backend

Image localisée

Dans l’exemple suivant, vous pouvez voir la liste des clients (identifiés par leurs adresses IP) et les accès SSL par client. En outre, à droite, vous pouvez afficher les paramètres SSL pour tous les clients.

Image localisée

Pour afficher les détails SSL d’un client, sélectionnez le client sur le graphique à barres ou dans le tableau situé sous le graphique. Dans l’exemple suivant, les transactions du client sélectionné utilisent un certificat SSL SHA1 et quatre protocoles principaux : TSLv1.2, TSLv1.1, TSLv1 et SSLv3. Vous pouvez également voir que des chiffrements de diverses forces ont été négociés. Le code couleur indique la force du protocole SSL, qui vous donne des informations sur les chiffrements faibles et les chiffrements forts.

Image localisée

De même, pour afficher les informations sur les transactions SSL ayant échoué, sélectionnez le bouton radio de la section SSL. Les défaillances front-end et back-end SSL sont affichées séparément dans deux graphiques à secteurs. Dans l’exemple suivant, vous pouvez voir que les principales erreurs SSL back-end sont des échecs Handshake et que les erreurs SSL front-end majeures sont des paramètres illégaux.

Image localisée

SSL Insight