Прокси-сервер завершения TLS - TLS termination proxy
А Прокси-сервер завершения TLS (или же Прокси завершения SSL[1], или же Разгрузка SSL[2]) это Прокси сервер что действует как посредник точка между клиент и сервер приложений, и используется для прекращения и / или установления TLS (или же DTLS ) туннелирует путем дешифрования и / или шифрования сообщений. Это отличается от Сквозные прокси TLS которые пересылают зашифрованный (D) трафик TLS между клиентами и серверами без завершения туннеля.
Использует
Прокси-серверы завершения TLS можно использовать для:
- безопасный простой текст связь через ненадежные сети, туннелируя их в (D) TLS,
- разрешить проверку зашифрованного трафика Система обнаружения вторжений обнаруживать и блокировать вредоносные действия,
- позволять сетевое наблюдение и анализ зашифрованного трафика,
- включить неподдерживаемую интеграцию с другими приложениями, которые предоставляют дополнительные возможности, такие как фильтрация содержимого или же Модуль безопасности оборудования,
- включить (D) версии, расширения или возможности протокола TLS (например, OCSP сшивание, ALPN, ДЕЙН, CT проверка и т. д.), не поддерживаемые клиентскими или серверными приложениями для повышения их совместимости и / или безопасности,
- работать вокруг багги / insecure (D) реализации TLS в клиентских или серверных приложениях для улучшения их совместимости и / или безопасности,
- предоставить дополнительные аутентификация на основе сертификатов не поддерживается серверными и / или клиентскими приложениями или протоколами,
- предоставить дополнительные глубокоэшелонированная защита уровень для централизованного контроля и последовательного управления (D) конфигурацией TLS и соответствующими политиками безопасности, а также
- Уменьшить нагрузка на главных серверах, перенеся криптографическую обработку на другую машину.
Типы
Прокси-серверы завершения TLS могут предоставлять три шаблона подключения[3]:
- Разгрузка TLS входящего зашифрованного (D) TLS-соединения от клиента и пересылки сообщений на сервер через текстовое соединение.
- Шифрование TLS исходящего открытого текстового соединения от клиента и пересылки сообщений через зашифрованное (D) TLS-соединение с сервером.
- TLS-мост двух зашифрованных (D) TLS-соединений, чтобы обеспечить проверку и фильтрацию зашифрованного трафика путем дешифрования входящего (D) TLS-соединения от клиента и его повторного шифрования с помощью другого (D) TLS-соединения с сервером.
Комбинирование прокси-сервера с шифрованием TLS перед клиентом с прокси-сервером для разгрузки TLS перед сервером может разрешить (D) шифрование и аутентификацию TLS для протоколов и приложений, которые иначе не поддерживают его, с двумя прокси, поддерживающими безопасный (D ) TLS-туннель через ненадежные сегменты сети между клиентом и сервером.
Прокси-сервер, используемый клиентами в качестве промежуточного шлюза для всех исходящих подключений, обычно называется Прямой прокси, в то время как прокси-сервер, используемый серверами в качестве промежуточного шлюза для всех входящих подключений, обычно называется Обратный прокси. Перенаправляющие прокси-серверы TLS, которые позволяют системе обнаружения вторжений анализировать весь клиентский трафик, обычно продаются как «SSL Forward Proxy».[4][5][6].
Прокси-серверы TLS Offloading и TLS Bridging обычно должны аутентифицировать себя для клиентов с помощью цифрового сертификата, используя либо PKIX или аутентификация DANE. Обычно оператор сервера предоставляет своему обратному прокси-серверу действительный сертификат для использования во время установления связи (D) TLS с клиентами. Однако оператору прямого прокси-сервера потребуется создать собственный частный CA, установите его в хранилище доверенных сертификатов всех клиентов и попросите прокси-сервер сгенерировать новый сертификат, подписанный частным ЦС, в реальном времени для каждого сервера, к которому клиент пытается подключиться.
Когда сетевой трафик между клиентом и сервером маршрутизируется через прокси, он может работать в прозрачный режим с использованием клиентского айпи адрес вместо своего собственного при подключении к серверу и использования IP-адреса сервера при ответе клиенту. Если Прозрачный прокси-мост TLS имеет действующий сертификат сервера, ни клиент, ни сервер не смогут обнаружить присутствие прокси. Злоумышленник, который скомпрометировал закрытый ключ цифрового сертификата сервера или может использовать взломанные / принудительные центры сертификации PKIX для выдачи нового действительного сертификата для сервера, может выполнить атака "человек посередине" путем маршрутизации трафика TLS между клиентом и сервером через Прозрачный прокси-мост TLS и будет иметь возможность копировать расшифрованные сообщения, включая учетные данные для входа, и изменять содержимое сообщений на лету без обнаружения.
Рекомендации
- ^ Прекращение действия SSL, F5 Сети.
- ^ «Настройте IIS с перезаписью URL в качестве обратного прокси». Microsoft.
- ^ «Макеты инфраструктуры с использованием TLS». HAProxy Technologies.
- ^ «Обзор прокси-сервера SSL». Juniper Networks.
- ^ «SSL-прокси». Пало-Альто сети.
- ^ «Обзор: проверка подлинности клиента и сервера прямого прокси SSL». F5 Сети.