Citrix Application Delivery Management

SSL Insight

SSL Insight fournit une visibilité sur les transactions Web sécurisées (HTTPS) et permet aux administrateurs informatiques de surveiller toutes les applications Web sécurisées desservies par l’Citrix ADC en fournissant une surveillance intégrée et en temps réel et historique des transactions Web sécurisées. Avec cette visibilité, l’administrateur peut évaluer les éléments suivants :

  • Déterminer l’impact du changement de configuration sur l’utilisation du client : l’administrateur peut comprendre l’impact sur les clients d’une modification de configuration telle que la désactivation de SSLv3 ou la suppression d’un chiffrement tel que RC4-MD5. Cela peut être fait en évaluant les données de transaction historiques sur ce protocole et en chiffrement.

  • Quantifier les performances du client : l’administrateur peut comprendre l’impact sur le temps de réponse de l’application en fonction des chiffres/protocoles SSL utilisés ou des certificats négociés.

  • Sécurité des applications : évaluez si l’une des applications a des transactions exécutées sur des protocoles de sécurité faibles, des chiffrements ou une faible force de clé.

Lorsque SSL Analytics est activé sur une instance Citrix ADC, les statistiques SSL sont enregistrées et consignées pour chaque transaction SSL. Les statistiques montrent les détails du flux SSL. En outre, chaque connexion réussie est enregistrée et affichée par Citrix Application Delivery Management (ADM) Analytics.

SSL Insight fournit les informations critiques suivantes, affichées par Citrix ADM Analytics :

  • Version du protocole SSL négociée

  • Chiffrement négocié, et force de chiffrement

  • Algorithme de hachage de signature du certificat utilisé

  • Type et taille du certificat

  • Erreurs SSL front-end et back-end

Remarque

Pour les connexions SSL réussies, la journalisation SSL AppFlow se produit à la fin de chaque transaction.

Conditions préalables

  • L’instance Citrix ADC sur laquelle vous avez l’intention de configurer SSL Insight doit exécuter le logiciel Citrix ADC version 11.1 51.21 et supérieure. Exécutez les commandes suivantes sur l’instance ADC exécutant 11.1 51.21 pour activer Logstream en tant que type de transport pour SSL Insight.
  1. enable ns mode ulfd

  2. add ulfd server <IP Address of the ADM>

    Pour les instances ADC exécutant la version 12.0 et supérieure, sélectionnez Logstream comme type de transport tout en activant AppFlow depuis ADM.

  • La version et la version d’Citrix ADM doivent être égales ou supérieures à la version et à la version d’Citrix ADC. Par exemple, si vous avez installé Citrix ADM 11.1 build 61.7, assurez-vous d’avoir installé Citrix ADC 11.1 build 60.14 ou version antérieure.

Configurer SSL Insight

Les mesures SSL Insight sont incluses dans les rapports Web Insight si vous activez les éléments suivants :

  • Activez AppFlow pour Web Insight sur chaque instance de Citrix ADC.

  • Activez le mode ULFD sur chaque instance de Citrix ADC.

  • Activez les paramètres AppFlow requis sur chaque instance de Citrix ADC.

Activer la fonctionnalité AppFlow

Remarque

Vous pouvez activer la fonctionnalité AppFlow à partir de Citrix ADM ou de chaque instance Citrix ADC.

Pour activer la fonctionnalité AppFlow à partir de Citrix ADM :

Si votre Citrix ADM est 13.0 Build 41.x ou version ultérieure :

  1. Accédez à Réseaux > Instances > Citrix ADC, puis sélectionnez le type d’instance. Par exemple, VPX.

  2. Sélectionnez l’instance et dans la liste Sélectionner une action, cliquez sur Configurer Analytics.

  3. Dans la page Configurer l’analyse sur les serveurs virtuels, sélectionnez le serveur virtuel, puis cliquez sur Activer l’analyse.

  4. Dans la fenêtre Activer Analytics :

    1. Sélectionner Web Insight

    2. Sélectionnez Logstream comme mode de transport

      Remarque

      Pour Citrix ADC 12.0 ou version antérieure, IPFIX est l’option par défaut pour le mode de transport. Pour Citrix ADC 12.0 ou version ultérieure, vous pouvez sélectionner Logstream ou IPFIX comme mode de transport.

      Pour plus d’informations sur IPFIX et Logstream, reportez-vous à la section Vue d’ensemble de Logstream.

    3. L’expression est true par défaut

    4. Cliquez sur OK.

      Activation de l'analyse

      Remarque

      • Si vous sélectionnez des serveurs virtuels qui ne sont pas sous licence, Citrix ADM concède d’abord ces serveurs virtuels, puis active l’analyse

      • Pour les partitions d’administration, seul Web Insight est pris en charge

      • Pour les serveurs virtuels tels que la redirection de cache, l’authentificationet GSLB, vous ne pouvez pas activer l’analyse. Un message d’erreur s’affiche.

Après avoir cliqué sur OK, Citrix ADM traite pour activer les analyses sur les serveurs virtuels sélectionnés.

Analyse du traitement

Si votre Citrix ADM est 13.0 Build 36.27 ou une version antérieure :

  1. Accédez à Réseaux > Instances > Citrix ADC, puis sélectionnez l’instance Citrix ADC sur laquelle vous souhaitez activer l’analyse.

  2. Dans la liste Sélectionner une action, sélectionnez Configurer Analytics.

    Configurer l'analyse

  3. Sur la page Configurer Insight  :

    1. Sélectionnez la liste des applications pour l’équilibrage de charge ou la commutation de contenu.

      Liste des applications

    2. Sélectionnez le serveur virtuel et cliquez sur Activer AppFlow.

      Serveur virtuel

  4. Dans la boîte de dialogue Activer AppFlow :

    • Entrez true dans la zone de texte

    • Sélectionnez Logstream comme mode de transport

      Remarque Citrix vous recommande de sélectionner Logstream comme mode de transport

    • Sélectionnez Web Insight et cliquez sur OK.

      Mode de transport

Pour activer la fonctionnalité AppFlow à l’aide de l’interface utilisateur graphique Citrix ADC :

Dans l’interface graphique d’une instance Citrix ADC, accédez à Configuration > Système > Paramètres, cliquez sur Configurer les fonctionnalités avancées, puis sélectionnez AppFlow.

Activer les paramètres SSL Insight

Sur chaque instance Citrix ADC, vous devez activer certains paramètres HTTP pour afficher les enregistrements SSL Insight dans Citrix ADM.

Pour activer les paramètres SSL Insight à partir de l’utilitaire de configuration Citrix ADC :

  1. Accédez à Configuration > Système > AppFlow, puis cliquez sur Modifier AppFlowSettings .

  2. Activez les cases à cocher suivantes : Domaine HTTP, Hôte HTTP, Méthode HTTP, URL HTTP, Agent utilisateur HTTP, Type de contenu HTTP.  

  3. Cliquez sur OK.

    ssl-insight2

Afficher les métriques SSL Insight

Les mesures SSL Insight dans Citrix ADM fournissent une vue détaillée des performances des transactions SSL servies par les instances Citrix ADC. Vous pouvez afficher les mesures SSL Insight au niveau du client, du serveur ou de l’application, ainsi que les mesures des transactions de succès et d’échec SSL. À l’aide de ces mesures, vous pouvez analyser et optimiser vos paramètres HTTPS Citrix ADC et les paramètres de certificat SSL, et suivre les problèmes de performances.

Remarque

Lorsque vous créez un groupe, vous pouvez attribuer des rôles au groupe, fournir un accès au groupe au niveau de l’application et affecter des utilisateurs au groupe. L’analyse Citrix ADM prend désormais en charge l’autorisation basée sur l’adresse IP virtuelle. Vos utilisateurs peuvent désormais voir des rapports pour tous les Insights uniquement pour les applications (serveurs virtuels) pour lesquelles ils sont autorisés. Pour plus d’informations sur les groupes et l’affectation d’utilisateurs au groupe, consultez Configurer des groupes.

Pour surveiller les mesures SSL Insight dans Citrix ADM :

Vous pouvez afficher les mesures SSL pour :

  • Une application. Accédez à Applications > Tableau de bord, cliquez sur une application, puis sélectionnez l’onglet Web Insight pour afficher les mesures détaillées. Pour plus d’informations, consultez Analyse de l’utilisation des applications.

  • Toutes les applications. Accédez à Applications > Web Insight et cliquez sur les onglets Applications et clients pour afficher les mesures SSL.

Cas d’utilisation : obtenir un aperçu des transactions SSL

Le cas d’utilisation suivant décrit comment utiliser SSL Insight pour évaluer l’utilisation de divers paramètres SSL et améliorer les mesures de sécurité.

Considérez que vous disposez d’un ensemble d’applications qui utilisent des transactions SSL (HTTPS) pour la communication et que vous avez configuré Citrix ADM pour surveiller les composants SSL. Il se peut que vous deviez examiner fréquemment les demandes afin que vous puissiez d’abord vous concentrer sur les applications qui nécessitent le plus d’attention. Le tableau de bord Web Insight d’une ou de toutes les applications fournit un résumé des paramètres SSL suivants sous Erreurs SSL et utilisation SSL :

  • Certificats SSL

  • Protocoles SSL

  • Chiffrement SSL

  • Force des clés SSL

  • Défaillance SSL — Frontal

  • Échec SSL — Back end

    ssl-nsight5

Vous pouvez cliquer sur chaque onglet pour afficher les détails.

Cas d’utilisation : métriques SSL pour les clients

Vous pouvez voir la liste des clients (identifiés par leur adresse IP) et le nombre total d’occurrences par client. Accédez à Applications > Web Insight et sélectionnez l’onglet Clients pour afficher les détails sous Utilisation SSL.

Cliquez sur une mesure pour afficher les détails et sous Clients, cliquez sur n’importe quelle adresse IP du client pour afficher les mesures SSL du client sélectionné.

Métrique client SSL