SSL Insight
SSL Insight bietet Einblick in sichere Webtransaktionen (HTTPS) und ermöglicht IT-Administratoren, alle vom NetScaler bereitgestellten sicheren Webanwendungen zu überwachen, indem sie eine integrierte Echtzeit- und historische Überwachung sicherer Webtransaktionen bereitstellen. Mit dieser Sichtbarkeit kann der Administrator Folgendes beurteilen:
-
Ermitteln Sie die Auswirkungen von Konfigurationsänderungen auf die Kundennutzung: Der Administrator kann nachvollziehen, welche Auswirkungen eine Konfigurationsänderung wie das Deaktivieren von SSLv3 oder das Entfernen einer Chiffre wie RC4-MD5 auf die Clients hat. Dies kann durch Bewertung der historischen Transaktionsdaten auf diesem Protokoll und Chiffre erfolgen.
-
Quantifizierung der Clientleistung: Der Administrator kann die Auswirkungen auf die Reaktionszeit der Anwendung anhand der verwendeten SSL-Verschlüsselungen/-Protokoll oder der ausgehandelten Zertifikate verstehen.
-
Anwendungssicherheit: Prüfen Sie, ob bei einer der Anwendungen Transaktionen mit niedrigen Sicherheitsprotokollen, Verschlüsselungen oder einer schwachen Schlüsselstärke ausgeführt werden.
Wenn SSL Analytics auf einer NetScaler Instanz aktiviert ist, werden SSL-Statistiken für jede SSL-Transaktion aufgezeichnet und protokolliert. Die Statistik zeigt die Details des SSL-Flusses. Außerdem wird jede erfolgreiche Verbindung von NetScaler Application Delivery Management (ADM) Analytics protokolliert und angezeigt.
SSL Insight bietet die folgenden wichtigen Informationen, die von NetScaler ADM Analytics angezeigt werden:
-
Version des SSL-Protokolls ausgehandelt
-
Verschlüsselung ausgehandelt und die Verschlüsselungsstärke
-
Signatur-Hash-Algorithmus des verwendeten Zertifikats
-
Typ und Größe des Zertifikats
-
SSL-Frontend- und Backend-Fehler
Hinweis
Bei erfolgreichen SSL-Verbindungen erfolgt die SSL-AppFlow-Protokollierung am Ende jeder Transaktion.
Voraussetzungen
- Auf der NetScaler-Instanz, auf der Sie SSL Insight konfigurieren möchten, muss die NetScaler -Softwareversion 11.1 51.21 und höher ausgeführt werden. Führen Sie die folgenden Befehle auf der ADC-Instanz aus, auf der 11.1 51.21 ausgeführt wird, um Logstream als Transporttyp für SSL Insight zu aktivieren.
-
enable ns mode ulfd
-
add ulfd server <IP Address of the ADM>
Wählen Sie für ADC-Instanzen mit Version 12.0 und höher als Transportart Logstream aus, während Sie AppFlow von ADM aktivieren.
- Die NetScaler ADM-Version und der Build müssen gleich oder höher als die NetScaler-Version und der Build sein. Wenn Sie beispielsweise NetScaler ADM 11.1 Build 61.7 installiert haben, stellen Sie sicher, dass Sie NetScaler 11.1 Build 60.14 oder früher installiert haben.
SSL Insight konfigurieren
SSL Insight Metriken sind in Web Insight-Berichten enthalten, wenn Sie die folgenden Elemente aktivieren:
-
Aktivieren Sie AppFlow for Web Insight auf jeder NetScaler-Instanz.
-
Aktivieren Sie den ULFD-Modus auf jeder NetScaler-Instanz.
-
Aktivieren Sie die erforderlichen AppFlow Parameter auf jeder NetScaler Instanz.
Aktivieren der AppFlow-Funktion
Hinweis
Sie können die AppFlow-Funktion entweder von NetScaler ADM aus oder von jeder NetScaler-Instanz aus aktivieren.
So aktivieren Sie die AppFlow Funktion von NetScaler ADM:
Wenn Ihr NetScaler ADM 13.0 Build 41.x oder höherist:
-
Navigieren Sie zu Infrastruktur > Instanzen > NetScaler, und wählen Sie den Instanztyp aus. Zum Beispiel VPX.
-
Wählen Sie die Instanz aus, und klicken Sie in der Liste Aktion auswählen auf Analytics konfigurieren.
-
Wählen Sie auf der Seite Configure Analytics on Virtual Server den virtuellen Server aus und klicken Sie auf Analytics aktivieren.
-
Gehen Sie im Fenster Enable Analytics wie folgt vor:
-
Wählen Sie Web Insight
-
Wählen Sie Logstream als Transportmodus
Hinweis
Für NetScaler 12.0 oder früher ist IPFIX die Standardoption für den Transportmodus. Für NetScaler 12.0 oder höher können Sie entweder Logstream oder IPFIX als Transportmodus auswählen.
Weitere Informationen zu IPFIX und Logstream finden Sie unter Logstream-Übersicht .
-
Der Ausdruck ist standardmäßig wahr
-
Klicken Sie auf OK.
Hinweis
-
Wenn Sie virtuelle Server auswählen, die nicht lizenziert sind, lizenziert NetScaler ADM zuerst diese virtuellen Server und aktiviert dann Analysen.
-
Für Admin-Partitionen wird nur Web Insight unterstützt
-
Für virtuelle Server wie Cache-Umleitung , Authentifizierung und GSLB können Sie Analysen nicht aktivieren. Eine Fehlermeldung wird angezeigt.
-
-
Nachdem Sie auf OK geklickt haben, verarbeitet NetScaler ADM Analysen auf den ausgewählten virtuellen Servern zu aktivieren.
Wenn Ihr NetScaler ADM 13.0 ist Build 36.27 oder früher:
-
Navigieren Sie zu Infrastruktur > Instanzen > NetScalerund wählen Sie die NetScaler-Instanz aus, für die Sie Analysen aktivieren möchten.
-
Wählen Sie in der Liste Aktion auswählen die Option Analytics konfigurieren aus.
-
Gehen Sie auf der Seite “Insight konfigurieren “ wie folgt vor:
-
Wählen Sie die Anwendungsliste für Load Balancing oder Content Switching aus.
-
Wählen Sie den virtuellen Server aus, und klicken Sie auf AppFlow aktivieren.
-
-
Gehen Sie im Dialogfeld “AppFlow aktivieren” wie folgt vor:
-
Geben Sie true in das Textfeld ein
-
Wählen Sie Logstream als Transportmodus
Hinweis: Citrix empfiehlt Ihnen, Logstream als Transportmodus auszuwählen.
-
Wählen Sie Web Insight aus, und klicken Sie auf OK.
-
So aktivieren Sie das AppFlow Feature mithilfe der NetScaler GUI:
Navigieren Sie in der Benutzeroberfläche einer NetScaler Instanz zu Konfiguration > System > Einstellungen, klicken Sie auf Erweiterte Funktionen konfigurierenund wählen Sie AppFlowaus.
SSL Insight-Parameter aktivieren
Auf jeder NetScaler Instanz müssen Sie einige HTTP-Parameter aktivieren, um SSL-Insight-Datensätze in NetScaler ADM anzuzeigen.
Gehen Sie wie folgt vor, um SSL Insight-Parameter über das NetScaler-Konfigurationsprogramm zu aktivieren:
-
Navigieren Sie zu Konfiguration > System > AppFlowund klicken Sie auf AppFlowSettings ändern.
-
Aktivieren Sie die folgenden Kontrollkästchen: HTTP-Domäne, HTTP-Host, HTTP-Methode, HTTP-URL, HTTP-Benutzeragent, HTTP-Inhaltstyp.
-
Klicken Sie auf OK.
Anzeigen der SSL Insight-Metriken
SSL Insight-Metriken in NetScaler ADM bieten einen detaillierten Überblick über die Leistung der SSL-Transaktionen, die von den NetScaler Instanzen bereitgestellt werden. Sie können die SSL Insight-Metriken auf Client-, Server- oder Anwendungsebene sowie die Metriken für SSL-Erfolgs- und Fehlschlagstransaktionen einsehen. Mithilfe dieser Metriken können Sie Ihre NetScaler HTTPS-Einstellungen und SSL-Zertifikatseinstellungen analysieren und optimieren und Leistungsprobleme verfolgen.
Hinweis
Wenn Sie eine Gruppe erstellen, können Sie der Gruppe Rollen zuweisen, Zugriff auf Anwendungsebene für die Gruppe gewähren und Benutzer der Gruppe zuweisen. NetScaler ADM Analytics unterstützt jetzt die auf virtuellen IP-Adressen basierende Autorisierung. Ihre Benutzer können jetzt Berichte für alle Insights nur für die Anwendungen (virtuelle Server) anzeigen, für die sie autorisiert sind. Weitere Informationen zu Gruppen und zum Zuweisen von Benutzern zur Gruppe finden Sie unter Konfigurieren von Gruppen.
So überwachen Sie SSL-Insight-Metriken in NetScaler ADM:
Sie können SSL-Metriken anzeigen für:
-
Eine Anwendung. Navigieren Sie zu Anwendungen > Dashboard, klicken Sie auf eine Anwendung und wählen Sie die Registerkarte Web Insight aus, um die detaillierten Metriken anzuzeigen. Weitere Informationen finden Sie unter Analyse der Anwendungsnutzung.
-
Alle Anwendungen. Navigieren Sie zu Applications > Web Insight und klicken Sie auf Anwendungen und Clients, um die SSL-Metriken anzuzeigen
Anwendungsfall: Verschaffen Sie sich einen Überblick über die SSL-Transaktionen
Der folgende Anwendungsfall beschreibt, wie Sie SSL Insight verwenden können, um die Verwendung verschiedener SSL-Parameter zu bewerten und die Sicherheitsmaßnahmen zu verbessern.
Beachten Sie, dass Sie über eine Reihe von Anwendungen verfügen, die SSL-Transaktionen (HTTPS) für die Kommunikation verwenden, und Sie NetScaler ADM konfiguriert haben, um die SSL-Komponenten zu überwachen. Möglicherweise müssen Sie die Anwendungen häufig überprüfen, damit Sie sich zuerst auf die Anwendungen konzentrieren können, die die größte Aufmerksamkeit benötigen. Das Web Insight Dashboard für eine Anwendung oder alle Anwendungen bietet eine Zusammenfassung der folgenden SSL-Parameter unter SSL-Fehler und SSL-Nutzung:
-
SSL-Zertifikate
-
SSL-Protokolle
-
SSL-Verschlüsselung
-
SSL-Schlüsselstärke
-
SSL-Fehler — Frontend
-
SSL-Fehler — Back-End
Sie können auf jede Registerkarte klicken, um Details anzuzeigen.
Anwendungsfall: SSL-Metriken für Kunden
Sie können eine Liste der Clients (identifiziert durch ihre IP-Adressen) und die Gesamtzahl der Vorkommen pro Client sehen. Navigieren Sie zu Applications > Web Insight und wählen Sie die Registerkarte Clients aus, um die Details unter SSL-Nutzunganzuzeigen.
Klicken Sie auf eine Metrik, um Details anzuzeigen, und klicken Sie unter Clientsauf eine beliebige Client-IP-Adresse, um die SSL-Metriken für den ausgewählten Client anzuzeigen