Все больше и больше веб-сайтов используют технологию HTTPS. В рамках данной технологии, трафик, которым обменивается браузер и веб-сервер, шифруется с помощью криптографического протокола SSL / TLS.
Для пользователя, данный факт означает конфиденциальность и безопасность, для системного администратора – дополнительную головную боль и невозможность контролировать данные, передаваемые в рамках зашифрованных соединений.
Для решения данной проблемы, NPS AV оснащен функционалом для перехвата и дешифровки HTTPS-трафика. Это значит, что NPS AV сможет применять URL-фильтрацию даже для защищенного трафика.
Перехват HTTPS-соединений основывается на атаке типа man-in-the-middle, поэтому используйте этот функционал только, если вы действительно понимаете, что делаете, и если политика вашей организации позволяет доступ к конфиденциальным данным пользователей. Может оказаться полезным отключить механизм SSL Bump для некоторых сервисов (например, сервисов электронного банкинга).
Для настройки перехвата HTTPS-соединений осуществите следующие действия:
Создание центра сертификации для нужд SSL Bump
Прежде всего, нужно создать центр сертификации. Пройдите в Система -> Доверенные сертификаты -> Полномочия.
Кликните на ссылку Добавить или импортировать ЦС в верхнем правом углу экрана для создания нового ЦС.
В нашем примере мы используем следующие настройки:
Сохраните настройки.
Включение SSL Bump
Пройдите в Службы -> Веб-проксир -> Администрирование. Затем, на вкладке Forward прокси, выберите General Proxy Settings.
Установите флажок Включить режим SSL, и в качестве ЦС выберите ранее созданный ЦС.
Нажмите Применить.
Правило NAT / Firewall для перенаправления HTTPS-трафика
Самый простой способ добавить правило NAT / Firewall – это кликнуть на иконку (i), находящуюся слева от настройки Включить режим SSL, и затем на ссылку Добавить новое правило сетевого экрана.
Правило должно иметь следующие настройки:
Настройка исключений
Данный шаг важен и требует ответственного подхода. Для того, чтобы дешифрование HTTPS не проводилось в отношении доверенных сайтов и чтобы не затрагивать их алгоритмы безопасности, нужно добавить доменные имена и все поддомены таких сайтов в поле Отключить перехват SSL для сайтов (SSL no bump sites).
Для того, чтобы запись добавилась, нажимайте на клавишу Enter после ввода текста. Для добавления всех поддоменов домена, укажите точку перед доменом. Например: для добавления всех поддоменов paypal.com введите .paypal.com:
Примечание
Вы можете добавлять в исключения сайты электронного банкинга и сайты, на которых пользователи указывают личную информацию, логины / пароли.
Настройка ОС/Браузера
Поскольку браузеры по умолчанию не доверяют нашему ЦС, пользователю постоянно выдается предупреждение при обращении к HTTPS-сайтам. Для решения данной проблемы, вам нужно импортировать ранее созданный в NPS AV сертификат издательства на клиентскую машину.
Для экспортирования сертификата, пройдите в Система -> Доверенные сертификаты -> Полномочия и кликните на соответствующую иконку.
На клиентской машине импортируйте сертификат издательства. В случае с браузером Firefox, сертификат импортируется в сам браузер. В случае с другими браузерами, сертификат импортируется в хранилище сертификатов Доверенные корневые центры сертификации в операционной системе Windows.
Работает на BetterDocs
Ваш адрес email не будет опубликован. Обязательные поля помечены *
Комментарий
Имя *
Email *
Сайт
Сохранить моё имя, email и адрес сайта в этом браузере для последующих моих комментариев.