Application Delivery Management

Insight SSL

SSL Insight proporciona visibilidad de las transacciones web seguras (HTTPS) y permite a los administradores de TI monitorear todas las aplicaciones web seguras que ofrece NetScaler ADC al proporcionar una supervisión histórica e integrada en tiempo real de las transacciones web seguras. Con esta visibilidad, el administrador puede evaluar lo siguiente:

  • Determine el impacto de los cambios de configuración en el uso de los clientes: el administrador puede entender el impacto que tiene en los clientes realizar un cambio de configuración, como desactivar SSLv3 o eliminar un cifrado como el RC4-MD5. Esto se puede hacer evaluando los datos históricos de transacciones en este protocolo y cifrado.

  • Cuantificar el rendimiento del cliente: El administrador puede comprender el impacto en el tiempo de respuesta de la aplicación según los cifrados/protocolo SSL utilizados o los certificados negociados.

  • Seguridad de las aplicaciones: evalúe si alguna de las aplicaciones tiene transacciones que se ejecutan con protocolos de baja seguridad, cifrados o claves de baja seguridad.

Cuando SSL Analytics está habilitado en una instancia de NetScaler ADC, las estadísticas SSL se registran y registran para cada transacción SSL. Las estadísticas muestran los detalles del flujo SSL. Además, Citrix Application Delivery Management (ADM) registra y muestra cada conexión correcta .

SSL Insight proporciona la siguiente información crítica, que muestra NetScaler ADM Analytics:

  • Versión del protocolo SSL negociada

  • El cifrado negociado y la fuerza del cifrado

  • Algoritmo de hash de firma del certificado utilizado

  • Tipo y tamaño de certificado

  • Errores de front-end y back-end de SSL

Nota

Para conexiones SSL correctas, el registro SSL AppFlow ocurre al final de cada transacción.

Requisitos previos

  • La instancia de NetScaler ADC en la que pretende configurar SSL Insight debe ejecutar la versión 11.1 51.21 y superior del software NetScaler ADC. Ejecute los siguientes comandos en la instancia ADC que ejecuta 11.1 51.21 para habilitar Logstream como tipo de transporte para SSL Insight.
  1. enable ns mode ulfd

  2. add ulfd server <IP Address of the ADM>

    Para las instancias ADC que ejecutan la versión 12.0 y superior, seleccione Logstream como tipo de transporte mientras habilita AppFlow desde ADM.

  • La versión y la compilación de NetScaler ADM deben ser iguales o superiores a la versión y la compilación de NetScaler ADC. Por ejemplo, si ha instalado NetScaler ADM 11.1 build 61.7, asegúrese de haber instalado NetScaler ADC 11.1 build 60.14 o anterior.

Configurar SSL Insight

Las Métricas de Insight SSL se incluyen en los informes de Web Insight si habilita los siguientes elementos:

  • Habilite AppFlow for Web Insight en cada instancia de Citrix ADC.

  • Habilite el modo ULFD en cada instancia de Citrix ADC.

  • Habilite los parámetros necesarios de AppFlow en cada instancia de NetScaler ADC.

Habilite la función AppFlow

Nota

Puede habilitar la función AppFlow desde Citrix ADM o desde cada instancia de Citrix ADC.

Para habilitar la función AppFlow desde Citrix ADM:

Si su NetScaler ADM es 13.0 compilación 41.x o posterior:

  1. Vaya a Redes > Instancias > NetScaler ADC y seleccione el tipo de instancia. Por ejemplo, VPX.

  2. Seleccione la instancia y, en la lista Seleccionar acción, haga clic en Configurar análisis.

  3. En la página Configurar análisis en servidores virtuales, seleccione el servidor virtual y haga clic en Habilitar Analytics.

  4. En la ventana Habilitar análisis:

    1. Seleccione Web Insight

    2. Seleccione Logstream como modo de transporte

      Nota

      Para Citrix ADC 12.0 o anterior, IPFIX es la opción predeterminada para el modo de transporte. Para Citrix ADC 12.0 o posterior, puede seleccionar Logstream o IPFIX como Modo de transporte.

      Para obtener más información sobre IPFIX y Logstream, consulte Descripción general de Logstream .

    3. La expresión es verdadera por defecto

    4. Haga clic en OK.

      Habilitar la analítica

      Nota

      • Si selecciona servidores virtuales que no tienen licencia, Citrix ADM primero licencia esos servidores virtuales y, a continuación, habilita el análisis.

      • Para las particiones de administración, solo se admite Web Insight

      • En el caso de los servidores virtuales, como el redireccionamiento de caché , la autenticación y el GSLB , no puede habilitar el análisis. Aparece un mensaje de error.

Después de hacer clic en Aceptar, Citrix ADM procesa para habilitar el análisis en los servidores virtuales seleccionados.

Análisis de procesamiento

Si su NetScaler ADM es 13.0 compilación 36.27 o anterior:

  1. Vaya a Redes > Instancias > NetScaler ADC y seleccione la instancia de NetScaler ADC en la que quiere habilitar el análisis.

  2. En la lista Seleccionar acción, seleccione Configurar análisis.

    Configurar análisis

  3. En la página Configurar información :

    1. Seleccione la Lista de aplicaciones para Equilibrio de carga o Content Switching.

      Lista de aplicaciones

    2. Seleccione el servidor virtual y haga clic en Habilitar AppFlow.

      Servidor virtual

  4. En el cuadro de diálogo Habilitar AppFlow:

    • Introduzca true en el cuadro de texto

    • Seleccione Logstream como modo de transporte

      Nota: Citrix recomienda seleccionar Logstream como modo de transporte.

    • Seleccione Web Insight y haga clic en Aceptar.

      Modo de transporte

Para habilitar la función AppFlow mediante la GUI de NetScaler ADC:

En la GUI de una instancia de NetScaler ADC, vaya a Configuración > Sistema > Configuración, haga clic en Configurar funciones avanzadas y seleccione AppFlow.

Habilitar parámetros Insight SSL

En cada instancia de NetScaler ADC, debe habilitar algunos parámetros HTTP para mostrar registros SSL Insight en NetScaler ADM.

Para habilitar los parámetros de SSL Insight desde la utilidad de configuración Citrix ADC:

  1. Vaya a Configuración > Sistema > AppFlowy haga clic en Cambiar configuración de AppFlowSettings.

  2. Seleccione las siguientes casillas de verificación: dominio HTTP, hostHTTP, método HTTP, URL HTTP, agente de usuarioHTTP, tipo de contenido HTTP.  

  3. Haga clic en Aceptar.

    ssl-insight2

Ver las métricas de Insight SSL

Las métricas SSL Insight de NetScaler ADM proporcionan una vista detallada del rendimiento de las transacciones SSL servidas por las instancias NetScaler ADC. Puede ver las métricas de SSL Insight a nivel de cliente, servidor o aplicación, y las métricas de las transacciones de éxito y error de SSL. Con la ayuda de estas métricas, puede analizar y optimizar la configuración de HTTPS y la configuración del certificado SSL de NetScaler ADC, y realizar un seguimiento de los problemas de rendimiento.

Nota

Al crear un grupo, puede asignar roles al grupo, proporcionar acceso a nivel de aplicación al grupo y asignar usuarios al grupo. El análisis de Citrix ADM ahora admite la autorización basada en direcciones IP virtuales. Ahora los usuarios pueden ver informes de todas las Insights solo para las aplicaciones (servidores virtuales) a las que están autorizados. Para obtener más información sobre los grupos y la asignación de usuarios al grupo, consulte Configurar grupos.

Para supervisar las métricas de SSL Insight en NetScaler ADM:

Puede ver las métricas de SSL para:

  • Una aplicación. Vaya a Aplicaciones > Panel, haga clic en una aplicación y seleccione la ficha Web Insight para ver las métricas detalladas. Para obtener más información, consulte Análisis de uso de aplicaciones.

  • Todas las aplicaciones. Vaya a Aplicaciones > Web Insight y haga clic en las fichas Aplicaciones y Clientes para ver las métricas de SSL.

Caso de uso: obtener una visión general de las transacciones SSL

El siguiente caso de uso describe cómo puede usar SSL Insight para evaluar el uso de varios parámetros SSL y mejorar las medidas de seguridad.

Tenga en cuenta que tiene un conjunto de aplicaciones que utilizan transacciones SSL (HTTPS) para la comunicación y que ha configurado NetScaler ADM para supervisar los componentes SSL. Es posible que tenga que revisar con frecuencia las aplicaciones para poder centrarse primero en las aplicaciones que necesitan más atención. El panel de control de Web Insight para una aplicación o todas las aplicaciones proporciona un resumen de los siguientes parámetros de SSL en Errores de SSL y uso de SSL:

  • Certificados SSL

  • Protocolos SSL

  • Cifrado SSL

  • Seguridad de la clave SSL

  • Fallo SSL — Front end

  • Fallo de SSL — Back end

    ssl-nsight5

Puede hacer clic en cada ficha para ver los detalles.

Caso de uso: métricas de SSL para clientes

Puede ver la lista de clientes (identificados por sus direcciones IP) y las ocurrencias totales por cliente. Vaya a Aplicaciones > Web Insight y seleccione la ficha Clientes para ver los detalles en Uso de SSL.

Haga clic en una métrica para ver los detalles y, en Clientes, haga clic en cualquier dirección IP del cliente para ver las métricas de SSL para el cliente seleccionado.

Métrica de cliente SSL

Insight SSL