Осмотр исходящего SSL трафика в брандмауэрах TMG (часть 2)

В первой части данного цикла мы удостоверились в значимости осмотра исходящего SSL трафика, узрели его основополагающую роль в информационной безопасности сети. После чего мы пользовались мастером Web Access Policy Wizard для сотворения политики Web-доступа, которая разрешала бы исходящие соединения с веб-сайтами по протоколам HTTP и HTTPS. Во 2-ой (и последней) части данного цикла статей мы более детально разглядим настройку осмотра исходящего SSL трафика и протестируем ее, чтоб убедиться в правильности ее работы.

Исследование конфигурации осмотра исходящего SSL трафика

Сейчас, когда сотворена политика, давайте разберемся с тем, что вышло. Если вы поглядите на центральную панель консоли брандмауэра TMG, вы увидите, что было сотворено новое правило для брандмауэра под заглавием Blocked Web Destinations. Оказывается, что это одно из правил в группе Web Access Policy Group. Вы, может быть, изумитесь: что же это все-таки за группа. Ранее мы всегда желали сгруппировать наши правила, но брандмауэры ISA не позволяли этого. А сейчас? А сейчас брандмауэр TMG позволяет группировать правила. И это отлично. Что касается нашего правила, вы видите, что оно применяется ко всем юзерам из внутренней сети по дефлоту, а адреса предназначения прописаны в колонке ‘To’, где указываются группы фильтрации URL, к которым вы желаете перекрыть доступ.

Направьте внимание на секцию над политикой брандмауэра – Web Access Settings. Тут вы отыщите данные для:

Web Proxy(Web-прокси)
Authentication(Аутентификация)
HTTP Compression(HTTP-сжатие)
Malware Inspection(Проверка на наличие вредных программ)
Web Caching(Web-кэширование)
HTTPS Inspection(Осмотр HTTPS-трафика)

Таким макаром вы получаете доступ сходу ко всем опциям вашего соединения через Web-прокси. Потому что в текущее время нас больше всего интересует настройка HTTPS Inspection, щелкните на ссылку Enabled рядом с HTTPS Inspection.

Осмотр исходящего SSL трафика в брандмауэрах TMG (часть 2)

Набросок 1

Появится диалоговое окно HTTPS Outbound Inspection(Осмотр исходящего HTTPS-трафика). На вкладке General(Общие) вам предлагается несколько опций.

Функция Enable inspection of outbound HTTPS traffic(Включение осмотра исходящего HTTPS-трафика) включена в согласовании с опциями, изготовленными нами в мастере Web Access Policy Wizard. Также есть секция Validate the certificate and inspect outbound traffic(Проверка сертификата и осмотр исходящего трафика).

В рамке Certificate Inspection Settings(Опции осмотра сертификата) вы видите функции Use a self-signed certificate generated by Forefront TMG(Использовать самоподписанный сертификат, сгенерированный брандмауэром TMG) и Import an existing trusted CA(Импортировать имеющийся от доверенного центра сертификации), подобные тем, что мы лицезрели в мастере Web Access Policy Wizard.

Щелкните на кнопку Trusted Root Certificate Options (Функции доверенных корневых сертификатов).

Осмотр исходящего SSL трафика в брандмауэрах TMG (часть 2)

Набросок 2

Появится диалоговое окно Certificate Deployment Options(Функции установки сертификата), где вы сможете:

Просмотреть подробности сертификата (View Certificate Details). Вы увидите сертификат, применяемый брандмауэром TMG
Выполнить автоматическую установку (Automatic Deployment). Настраивается автоматическая установка в непонятном хранилище сертификатов ‘DS» (подробности позднее)
Экспортировать в файл (Export to File). Вы сможете экспортировать сертификат, сделанный TMG, в файл, чтоб вы могли настраивать компы, не являющиеся членами домена, доверять подписанному сертификату, чтоб эти машины могли работать с осмотром исходящего SSL-трафика. При выборе этой функции вам необходимо вручную импортировать сертификат в хранилище сертификатов машины Trusted Root Certification Authorities, не являющейся членом домена, а не в хранилище сертификатов юзера либо службы. Эту опцию вы также сможете использовать в случае, если желаете установить сертификат при помощи стандартной процедуры авторегистрации на основании групповой политики, заместо того, чтоб засовывать его в непонятное «DS».

Осмотр исходящего SSL трафика в брандмауэрах TMG (часть 2)

Набросок 3

Диалоговое окно Certificate возникает тогда, когда вы нажимаете на кнопку View Certificate Details(Обзор подробностей сертификата). Направьте внимание на информацию Issued To and Issued by(Выданный кому и выданный кем) и даты проверки сертификатов.

Осмотр исходящего SSL трафика в брандмауэрах TMG (часть 2)

Набросок 4

Щелкните вкладку Destination Exceptions(Исключения в адресах предназначения). Тут вы сможете исключить веб-сайты из осмотра SSL-трафика и указать, необходимо ли инспектировать HTTPS-сертификаты для таких веб-сайтов. Направьте внимание на то, что это разные функции, другими словами вы сможете исключить какой-либо веб-сайт из осмотра SSL-трафика, включив при всем этом проверку сертификата, и напротив.

Существует группа по дефлоту Sites Exempt from HTTPS Inspection(Веб-сайты, освобожденные от осмотра HTTPS-трафика), в которую вы сможете заносить прибавления. Если вы щелкните Site, а потом кнопку Edit, вы увидите диалоговое окно Sites Exempts from HTTPS Inspection Properties. Практически, это набор доменных имен, которые вы сможете использовать в правилах брандмауэра.

Записи по дефлоту в наборе доменных имен:

*.microsoft.com
*.windows.com
*.windowsupdate.com

Снова же, так как этот набор условный, вы сможете добавлять в него собственные записи.

Направьте внимание на кнопку Validation(Проверка) в диалоговом окне HTTPS Outbound Inspection. Когда вы щелкаете веб-сайт, вы сможете щелкнуть кнопку Validation, чтоб включить либо отключить проверку этого веб-сайта. На графике для веб-сайта Sites Exempt from HTTPS Inspection вы видите, что в колонке Certificates обозначено No Validation.

Осмотр исходящего SSL трафика в брандмауэрах TMG (часть 2)

Набросок 5

На вкладке Source Exceptions(Исключения в адресах источников) вы сможете установить исключения, чтоб определенные клиенты исключались из осмотра HTTPS-трафика. Желаю увидеть, что исключения вы видите только для компов и наборов компов. Вы не можете работать на уровне юзеров либо групп юзеров, что было бы хорошо.

Осмотр исходящего SSL трафика в брандмауэрах TMG (часть 2)

Набросок 6

На вкладке Certificate Validation вы сможете установить политику проверки сертификатов, используемую ко всем клиентам, выполняющим SSL-запросы через брандмауэр TMG. На этой вкладке есть три функции, ни с одной из которых мы не сталкивались при работе с мастером Web Access Policy Wizard. Вот эти функции:

Block expired certificate after (days)(Перекрыть истекшие сертификаты после (дней)): Эта функция позволяет вам указать количество дней, на которое может быть просрочен сертификат, до того как он будет блокирован (другими словами он не будет проходить проверку). По дефлоту это количество дней равно 15, но вы сможете изменять это количество.
Block server certificates that are not yet valid(Перекрыть сертификаты серверов, еще не начавшие действовать): Если сертификат, приобретенный от Web-сервера, еще не действует, соединение будет сброшено.
Check for server certificate revocation(Проверить, не отозван ли сертификат): При включенной функции, если серверный сертификат был отозван, соединение будет сброшено. Но сейчас в документации не обозначено, что произойдет в случае, если CRL не проходит проверку из-за недоступности CRL. Я сам еще не инспектировал эту ситуацию, потому, как я протестирую ее, дам вам знать о результатах.

Осмотр исходящего SSL трафика в брандмауэрах TMG (часть 2)

Набросок 7

Последняя вкладка на страничке HTTPS Outbound InspectionClient Notification (Оповещение клиента). Тут у вас всего одна функция – включение либо отключение оповещения юзера методом проставления отметки около Notify users that HTTPS inspection is applied.

Осмотр исходящего SSL трафика в брандмауэрах TMG (часть 2)

Набросок 8

А сейчас давайте вернемся к теме самоподписанных сертификатов, сделанных брандмауэром TMG. Большая часть из нас, не являясь профессионалами в Active Directory либо PKI, привыкли к мысли, что можно использовать групповую политику и авторегистрацию для установки сертификатов в Trusted Root Certification Authorities клиентских систем. Долгие и длительные годы мы так и делали. Здорово, что можно созидать сертификаты в консоли Group Policy Management, и можно созидать Certificates MMC на контроллере домена. Все очень просто и понятно.

Когда же мы работаем с TMG по установке сертификатов, все становится запутанным, сложным, непонятным и даже пугающим. Почему? Так как, если вы поглядите на Group Policy с целью узреть сертификат, установленный при помощи авторегистрации, вы его здесь не увидите. Если вы поглядите на Certificates MMC на контроллере домена, вы тоже ничего не увидите.

Так где же находить этот сертификат? Я до сего времени не знаю точно! Джим Харрисон (Jim Harrison) и Дэвид Кросс (David Cross) из команды ISA указали мне направление поиска инфы, дав ссылки на статьи, отчасти обхватывающие данную тему, но ни в какой из этих статей не было ответа на мой вопрос: «Как управлять сертификатом, установленным брандмауэром TMG для осмотра исходящего SSL-трафика?’.

Способом проб и ошибок за несколько часов я нашел, что при использовании средства certutil можно показать сертификат. Вот подходящая команда:

Certutil ‘enterprise ‘viewstore

Не спрашивайте меня, что значат ключи ‘enterprise и ‘viewstore, потому что документация по certutil неописуемо запутана. Но если вы запустите эту команду, вы увидите то, что показано на рисунке ниже. Практически вы увидите диалоговое окно View Certificate Store(Обзор хранилища сертификатов), которое я никогда ранее не лицезрел. Я посчитал заголовок этого диалогового окна довольно увлекательным. Да, я вправду вижу здесь хранилище сертификатов. Но что же это все-таки за хранилище сертификатов? И что особого в этом хранилище сертификатов, что в нем содержится только тот сертификат, который был установлен брандмауэром TMG?

Может быть, если вы эксперт по PKI либо Active Directory, вам мои вопросы покажутся глуповатыми, а ответы на их – ординарными. Но я всего только человек, понимающий о PKI и Active Directory только то, что необходимо для ежедневной работы. И я работал с ними в протяжении 10 лет, никогда не лицезрев это самое диалоговое окно View Certificate Store, так что оно не должно быть нужным для ежедневных операций с Active Directory либо PKI. Все же, было бы здорово, если б кто-либо растолковал бы, где хранятся такие сертификаты, как работает авторегистрация для этого сертификата, если групповые политики не употребляются, и каким образом можно удалить сертификат, если он становится ненадобным.

Осмотр исходящего SSL трафика в брандмауэрах TMG (часть 2)

Набросок 9

На рисунке ниже показана консоль Certificates MMC на клиентском компьютере с Vista. Направьте внимание на то, что сертификат возникает в хранилище сертификатов Trusted Root Certification Authorities, так что мы знаем, какой механизм рассредотачивания работает. Вам пригодится сертификат TMG в каждом хранилище сертификатов Trusted Root Certification Authorities компов, чтоб они могли доверять сертификатам, а брандмауэр TMG представлялся бы в качестве SSL-сайтов, к которым подключаются клиенты. Это необходимо держать в голове для варианта разрешения заморочек с проверкой исходящего SSL-трафика – если она не работает, проверьте поначалу клиентские консоли MMC.

Осмотр исходящего SSL трафика в брандмауэрах TMG (часть 2)
Прирастить

Набросок 10

Установка клиента брандмауэра на клиентском компьютере

Клиент брандмауэра TMG требуется для оповещения клиента. Я не собираюсь тщательно расписывать процесс установки клиента брандмауэра, так как вам доступны бессчетные управления и средства автоматизации этого процесса. Заместо этого я желаю показать вам, где вы сможете достать клиентское приложение TMG. Как вы видите на рисунке ниже, клиентское приложение находится или на установочном DVD (если кто-то еще устанавливает с DVD) либо в дереве установочного каталога. Это каталог client, а файл именуется MS_FWS.msi.

Осмотр исходящего SSL трафика в брандмауэрах TMG (часть 2)

Набросок 11

Доступ к SSL-сайтам и обзор проверки SSL-трафика

Сейчас давайте поглядим, что происходит, когда клиент пробует объединиться с SSL-сайтом. На клиенте Vista SP1 я попробую установить соединение со своим аккаунтом на hotmail. После входа всплывает сообщение, аналогичное показанному на рисунке ниже. Вот текст сообщения:

‘iexplore.exe initiated a secure connection to login.live.com. The connection is being inspected for malware detection. Click this balloon to manage how Outbound Inspection notifications are shown’(iexplore.exe инициировал неопасное соединение с login.live.com. Соединение проверяется на наличие вредного кода. Щелкните на этом сообщении для управления методом отображения всплывающих сообщений).

Вот это любопытно! Непременно, такое завлечет внимание юзеров.

Осмотр исходящего SSL трафика в брандмауэрах TMG (часть 2)

Набросок 12

После того, как юзеры привыкнут к мысли, что за ними наблюдают, им может захотеться убрать предупреждающие сообщения. Если они сделают двойной щелчок на иконке клиента брандмауэра, позже щелкнут вкладку Secure Connection Inspection, у их будет две функции.

Notify me when content sendto secure Web sites are inspected(Оповещать при отправке содержимого исследуемым Web-сайтам). Направьте внимание на маленькую оплошность в тексте. Уверен, ее исправят в конечной версии. Эта функция по дефлоту включена. Если юзер не желает получать извещения, он может отключить эту опцию. Но, беря во внимание, что политика брандмауэра TMG заключается в оповещении юзеров, я не уверен в том, что конфигурация клиента брандмауэра обновится и что функция не будет опять включена автоматом. Надеюсь, что дела обстоят конкретно так, ведь политика должна контролироваться админом, а не юзерами.
Notification Exceptions(Исключения в оповещениях). По дефлоту юзеры получают напоминание о проверке определенного веб-сайта один раз в час. Но всякий раз, когда они перебегают на новый SSL-сайт, они получат напоминание о том, что этот новый SSL-сайт проверяется. Об одном и том же веб-сайте им напомнят только через час. При всем этом юзеры имеют возможность не получать оповещения для избранных ими веб-сайтов. Я не знаю, отлично это либо нет, ведь это такая свобода юзеров в контроле над политикой, которая может навредить вашему бизнесу, а юзер полностью может позже сказать: «Я запамятовал, что отключил напоминания. Не надо было давать мне такую возможность!’

Осмотр исходящего SSL трафика в брандмауэрах TMG (часть 2)

Набросок 13

Как насчет определения вредного кода по SSL-ссылке? Я поставил Web-сервер в испытательной сети и расположил на нем SSL-сайт с вирусной строчкой EICAR в текстовом файле. После соединения с этим веб-сайтом при попытке загрузить текстовый файл я получил последующее:

Осмотр исходящего SSL трафика в брандмауэрах TMG (часть 2)

Набросок 14

Приятно созидать, что защита от вредных программ вправду работает для SSL-ссылки! Это поможет против создателей вирусов, пытающихся пользоваться SSL-соединениями для отправки собственных созданий вашим машинам. Хотя такая стратегия будет работать там, где еще как бы нет брандмауэра TMG(либо брандмауэра ISA с установленным ClearTunnel).

Что происходит после того, как произведено соединение с SSL-сайтом и заблокирован вредный код? Давайте проверим вкладку Alerts(Сигналы волнения) в консоли брандмауэра TMG. Здесь можно настроить определение сигналов волнения, чтоб информировать вас при обнаружении вредного кода, но эта функция по дефлоту не включена. Я заблаговременно включил эти сигналы, чтоб они появлялись после блокирования вредного кода.

На рисунке ниже показано предупреждение Malware Inspection Filter Detected Malware (Фильтр проверки на наличие вредного кода нашел вредный код). В панели details говорится, что The Malware Inspection Filter detected malware and either removed it or blocked the message. See the Web Proxy log for details (Фильтр нашел вредный код и или удалил его, или перекрыл сообщение. Подробности смотрите в журнальчике Web-прокси). Хм, хотелось бы побольше инфы о вредоносном коде в этом сообщении, но, похоже, за деталями придется обращаться в журнальчик Web-прокси.

Осмотр исходящего SSL трафика в брандмауэрах TMG (часть 2)

Набросок 15

Перейдите к узлу Logging & Reports (Ведение журнальчика и отчеты) в консоли брандмауэра TMG и щелкните вкладку Logging. Я установил Log Time(Журнальное время) на Last Hour(Последний час) и настроил поле Malware Inspection на Blocked. На рисунке ниже показана запись в файле журнальчика Web-прокси для заблокированного соединения. В панели detail показан URL, вызвавший блокировку, и название файла по URL. Направьте внимание, что вредный код вправду найден в течении SSL-сессии, так как URL – https://www.clickme.com/badfile.txt.

Осмотр исходящего SSL трафика в брандмауэрах TMG (часть 2)

Набросок 16

Но тут нет никакой инфы о наименовании вредного кода. Давайте пройдем по полям и поглядим, сможем ли чего-нибудть такое выяснить. И вот мы находим поле Threat Name(Наименование опасности). Обратите также внимание на поле Threat Level(Уровень опасности), в каком оценивается степень опасности, исходящая от данного вредного кода.

Осмотр исходящего SSL трафика в брандмауэрах TMG (часть 2)

Набросок 17

И, в конце концов, давайте закончим рассмотрением взаимодействий, происходящих меж брандмауэром TMG и клиентом. Чтоб клиент брандмауэра мог оповещать юзера о том, что SSL-сессия осматривается, брандмауэр TMG должен вести взаимодействие с клиентским приложением брандмауэра. Это что-то новое, ведь в прошлых версиях брандмауэра, взаимодействия меж клиентом и брандмауэром всегда инициировались клиентом. Но в случае с TMG взаимодействие двунаправленное. Как клиент брандмауэра может инициировать взаимодействие с брандмауэром TMG, так и брандмауэр TMG может инициировать взаимодействие с клиентом.

Различие заключается в применяемых протоколах. Когда клиент брандмауэра соединяется с брандмауэром TMG, употребляется TCP-порт 1745. В оборотном случае соединение идет через UDP-порт 1745.

На рисунке ниже показаны соединения брандмауэра TMG с клиентом брандмауэра на клиентской системе Vista SP1. Направьте внимание: применяемый протокол – Microsoft Firewall Client (Notifications), также на то, что при включении оповещений врубается системное правило политики, разрешающее исходящий доступ от брандмауэра к клиентам.

Осмотр исходящего SSL трафика в брандмауэрах TMG (часть 2)

Набросок 18

Заключение

В этом двухчастном цикле статей об осмотре исходящего SSL-трафика для брандмауэра TMG мы узнали, почему так важен таковой осмотр для хоть какой сети, в какой вы желаете обеспечить базисный уровень сетевой безопасности. Мы познакомились с настройкой политики Web-доступа, позволяющей исходящий доступ для соединений по протоколам HTTP и HTTPS. Осмотр исходящего SSL-трафика врубается в процессе работы мастера Web Access Policy Wizard. После включения осмотра исходящего SSL-трафика мы разглядели подробности конфигурации, также звучно повозмущались загадками сертификатов, установленных брандмауэром TMG. В конце концов мы установили исходящее SSL-соединение, чтоб узреть всплывающее предупреждающее сообщение, и узрели, как блокируется вредный код. Блокирование вредного кода очень принципиально, потому что идет речь об SSL-туннеле.

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.