Прокси-сервер завершения TLS - TLS termination proxy

Входящий трафик HTTPS расшифровывается и перенаправляется на веб-службу в частной сети.

А Прокси-сервер завершения TLS (или же Прокси завершения SSL[1], или же Разгрузка SSL[2]) это Прокси сервер что действует как посредник точка между клиент и сервер приложений, и используется для прекращения и / или установления TLS (или же DTLS ) туннелирует путем дешифрования и / или шифрования сообщений. Это отличается от Сквозные прокси TLS которые пересылают зашифрованный (D) трафик TLS между клиентами и серверами без завершения туннеля.

Использует

Прокси-серверы завершения TLS можно использовать для:

  • безопасный простой текст связь через ненадежные сети, туннелируя их в (D) TLS,
  • разрешить проверку зашифрованного трафика Система обнаружения вторжений обнаруживать и блокировать вредоносные действия,
  • позволять сетевое наблюдение и анализ зашифрованного трафика,
  • включить неподдерживаемую интеграцию с другими приложениями, которые предоставляют дополнительные возможности, такие как фильтрация содержимого или же Модуль безопасности оборудования,
  • включить (D) версии, расширения или возможности протокола TLS (например, OCSP сшивание, ALPN, ДЕЙН, CT проверка и т. д.), не поддерживаемые клиентскими или серверными приложениями для повышения их совместимости и / или безопасности,
  • работать вокруг багги / insecure (D) реализации TLS в клиентских или серверных приложениях для улучшения их совместимости и / или безопасности,
  • предоставить дополнительные аутентификация на основе сертификатов не поддерживается серверными и / или клиентскими приложениями или протоколами,
  • предоставить дополнительные глубокоэшелонированная защита уровень для централизованного контроля и последовательного управления (D) конфигурацией TLS и соответствующими политиками безопасности, а также
  • Уменьшить нагрузка на главных серверах, перенеся криптографическую обработку на другую машину.

Типы

Прокси-серверы завершения TLS могут предоставлять три шаблона подключения[3]:

  • Разгрузка TLS входящего зашифрованного (D) TLS-соединения от клиента и пересылки сообщений на сервер через текстовое соединение.
  • Шифрование TLS исходящего открытого текстового соединения от клиента и пересылки сообщений через зашифрованное (D) TLS-соединение с сервером.
  • TLS-мост двух зашифрованных (D) TLS-соединений, чтобы обеспечить проверку и фильтрацию зашифрованного трафика путем дешифрования входящего (D) TLS-соединения от клиента и его повторного шифрования с помощью другого (D) TLS-соединения с сервером.

Комбинирование прокси-сервера с шифрованием TLS перед клиентом с прокси-сервером для разгрузки TLS перед сервером может разрешить (D) шифрование и аутентификацию TLS для протоколов и приложений, которые иначе не поддерживают его, с двумя прокси, поддерживающими безопасный (D ) TLS-туннель через ненадежные сегменты сети между клиентом и сервером.

Прокси-сервер, используемый клиентами в качестве промежуточного шлюза для всех исходящих подключений, обычно называется Прямой прокси, в то время как прокси-сервер, используемый серверами в качестве промежуточного шлюза для всех входящих подключений, обычно называется Обратный прокси. Перенаправляющие прокси-серверы TLS, которые позволяют системе обнаружения вторжений анализировать весь клиентский трафик, обычно продаются как «SSL Forward Proxy».[4][5][6].

Прокси-серверы TLS Offloading и TLS Bridging обычно должны аутентифицировать себя для клиентов с помощью цифрового сертификата, используя либо PKIX или аутентификация DANE. Обычно оператор сервера предоставляет своему обратному прокси-серверу действительный сертификат для использования во время установления связи (D) TLS с клиентами. Однако оператору прямого прокси-сервера потребуется создать собственный частный CA, установите его в хранилище доверенных сертификатов всех клиентов и попросите прокси-сервер сгенерировать новый сертификат, подписанный частным ЦС, в реальном времени для каждого сервера, к которому клиент пытается подключиться.

Когда сетевой трафик между клиентом и сервером маршрутизируется через прокси, он может работать в прозрачный режим с использованием клиентского айпи адрес вместо своего собственного при подключении к серверу и использования IP-адреса сервера при ответе клиенту. Если Прозрачный прокси-мост TLS имеет действующий сертификат сервера, ни клиент, ни сервер не смогут обнаружить присутствие прокси. Злоумышленник, который скомпрометировал закрытый ключ цифрового сертификата сервера или может использовать взломанные / принудительные центры сертификации PKIX для выдачи нового действительного сертификата для сервера, может выполнить атака "человек посередине" путем маршрутизации трафика TLS между клиентом и сервером через Прозрачный прокси-мост TLS и будет иметь возможность копировать расшифрованные сообщения, включая учетные данные для входа, и изменять содержимое сообщений на лету без обнаружения.

Рекомендации

  1. ^ Прекращение действия SSL, F5 Сети.
  2. ^ «Настройте IIS с перезаписью URL в качестве обратного прокси». Microsoft.
  3. ^ «Макеты инфраструктуры с использованием TLS». HAProxy Technologies.
  4. ^ «Обзор прокси-сервера SSL». Juniper Networks.
  5. ^ «SSL-прокси». Пало-Альто сети.
  6. ^ «Обзор: проверка подлинности клиента и сервера прямого прокси SSL». F5 Сети.