در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

آموزش راه اندازی HTTPS Inspection در TMG - قسمت دوم

در مقاله قبلی در خصوص روش کارکرد و نحوه پیاده سازی قابلیت HTTPS Inspection در TMG صحبت کردیم در این مقاله قصد داریم یک سری نکات را در استفاده از این قابلیت با شما مرور کنیم. به دلایل مختلفی مدیران وب سایت ها ممکن است نخواهند ارتباطات HTTPS آنها Inspect یا واکاوی شود در چنین مواقعی که زور مدیر نیز زیاد است ، مثلا شما برای وب سایت بورس قابلیت HTTPS Inspection را گذاشته اید و مدیر شما می خواهد از این وب سایت استفاده کند و خوش ندارد کسی بتواند محتویات اطلاعات رد و بدل شده در این میان را متوجه شود.

برای این مورد نیز در HTTPS Inspection تمهیداتی دیده شده است، شما می توانید در تنظیمات HTTPS Outbound Inspection به تب Destination Exception یا مسیرهای استثناء شده بروید و با استفاده از گزینه Add وب سایت مورد نظر خود را برای جدا کردن از سرویس HTTPS Inspection قرار دهید.شما می توانید در این قسمت URL Category یا URL Category Set و همچنین Domain Name Set را برای ایجاد کردن لیست وب سایت های استثناء شده خود ایجاد کنید.

مقصدها و آدرس هایی که در این قسمت ها تعریف می شوند دیگر از داخل فرآیند HTTPS Inspection رد نمی شوند .اگر دقت کنید می بینید که یک سری وب سایت ها و آدرس ها بصورت پیشفرض در این قسمت قرار گرفته اند که معمولا مجموعه وب سایت های خود شرکت مایکروسافت هستند ، دقت کنید که حتی اگر اسم وب سایت شما در این قسمت قرار گرفته باشد فرآیندی به نام اعتبار سنجی Certificate ها یا Certificate Validation در هر حال برای این آدرس ها انجام می شود که در این خصوص بعدا بیشتر توضیح خواهیم داد.

فقط در اینجا تا این حد بدانید که شما می توانید Certificate Validation را نیز با استفاده از دکمه Validation برای هر کدام از دسته بندی های موجود در لیست تغییر دهید. همانطور که در تصویر زیر نیز مشاهده می کنید ما وب سایت انجمن تخصصی فناوری اطلاعات ایران را در این لیست قرار داده ایم و آدرس https://www.tosinso.com را در تصویر زیر مشاهده می کنید.


تصویر اول : لیست استثناء ها در HTTPS Inspection


همچنین شما می توانید در صورت نیاز استثناء های خود را برای مبدا تعیین کنید ، اگر در شبکه شما سیستم هایی وجود دارند که به هیچ عنوان نباید وارد سیستم و فرآیند HTTPS Inspection شوند شما می توانید براحتی این سیستم ها را در قسمت Source Exceptions با استفاده از دکمه Add مشابه تصویر پایین اضافه کنید و با اینکار دیگر اگر ترافیکی از این کامپیوترها یا مجموعه کامپیوترها وارد TMG شود اصلا فرآیند HTTPS Inspection بر روی آنها انجام نمی شود. برای مثال ما در قسمت پایین نمی خواهیم کامپیوتری به نام ITPRO-PC وارد فرآیند HTTPS Inspection شود.

تصویر دوم : لیست استثناء ها در HTTPS Inspection


اعتبارسنجی Certificate ها در HTTPS Inspection در TMG

یکی از مهمترین قابلیت هایی که در سرویس HTTPS Inspection در TMG وجود دارد Certificate Validation یا اعتبار سنجی Certificate ها می باشد. زمانیکه HTTPS Inspection فعال می شود فایروال TMG اعتبار Certificate موجود در وب سایت مقصد را بررسی می کند ، با اینکار TMG این قابلیت را دارد که در صورتیکه Certificate یک وب سایت منقضی شده باشد یا فاقد اعتبار باشد ارتباط با این وب سایت را Block کند ، یا حتی می تواند لیست Certificate های باطل شده یا Revocation List را نیز برای انجام بررسی های بیشتر بررسی کند. با این امکان امنیتی شما می توانید مطمئن باشید که کاربران شما به وب سایت های نامعتبر و ناامن از جمله صفحات Fake ای که هکرها ایجاد می کنند و به جای صفحات اصلی وب سایت با پروتکل SSL جا می زنند دسترسی پیدا نمی کنند.

تصویر سوم : اعتبار سنجی Certificate ها در HTTPS Inspection


اطلاع رسانی به کاربران در HTTPS Inspection

زمانیکه یک کاربر به وب سایتی که با استفاده از HTTPS حفاظت شده است متصل می شود به گمان خود یک ارتباط امن بدون مزاحم و شنود را تجربه می کند و گمان می کند که اطلاعات خود بصورت رمزنگاری شده منتقل می شوند و کسی نمی تواند در این میان اختلالی ایجاد کند. وقتی شما قابلیت HTTPS Inspection Outbound را فعال می کنید این حقیقت دیگر حقیقت نیست و به دلایل منطقی و طبیعتا الزام خط مشی های سازمان بایستی این مورد که ارتباطات شنود می شوند به اطلاع کاربران برسد و آنها بدانند که چنین قابلیتی در شبکه به وجود آمده است.

برای اینکه بتوانید به کاربران خود در این خصوص اطلاع رسانی کنید یکی از روش های جالب این است که بر روی سیستم کاربران مورد نظر نرم افزار Firewall Client را ابتدا نصب کنید، علاوه بر این کامپیوترهای شما باید عضو دامین باشند و در نهایت کافیست وارد قسمت Client Notification بشوید و تیک قسمت Notify users that their HTTPS traffic is being inspected را بزنید. با اینکار زمانیکه کاربر به یک وب سایت HTTPS وارد می شود همانطور که در تصویر پایین مشاهده می کنید پیامی مبنی بر Inspect شدن ترافیک این ارتباط دریافت می کند.

البته این مورد را صرفا زمانی استفاده کنید که به یک کشور خارجی مسافرت کرده اید در ایران کاربران اصلا متوجه چنین اخطاری نمی شوند و تازه ممکن است بگویند شبکه مشکل دارد یا چند تا فحش هم بخورید اما خوب دانستن این موضوع خالی از لطف نیست ، آن هم برای کاربرای که CD و DVD رام خود را به عنوان جا لیوانی می شناسند ( به خدا ... جا لیوانی !!! )


تصویر چهارم : اطلاع رسانی به کاربران زمان اتصال به HTTPS


تصویر پنجم : اطلاع رسانی به کاربران در خصوص Inspect شدن ترافیک HTTPS


مشکلات و مسائل شناخته شده در مورد HTTPS Inspection در فایروال TMG

همانطور که قابلیت HTTPS Inspection یک اصل امنیتی درست و درمان در یک سازمان محسوب می شود و در بسیاری از خط مشی های امنیتی سازمانی می توان آن را اجرا و استفاده کرد ، در کنار این همه مزیت مشکلات و مسائلی نیز در خصوص این قابلیت وجود دارد که مهمترین آنها به شرح زیر هستند :

  • از کار افتادن نرم افزار تحت وب : HTTPS Inspection خواسته یا ناخواسته جلوی اجرای درست برخی از نرم افزارهای تحت وب مبتنی بر SSL را می گیرد. این به دلیل آن است که برنامه نویسی که این نرم افزار را نوشته است هیچگاه تصوری از این نداشته است که قرار است یک فایروال لایه هفتم یا Application Layer Firewall ترافیک عبوری از ارتباطات این نرم افزار را Inspect کند.اگر کد نرم افزاری که داخل Session مربوط به HTTPS قرار گرفته است مبتنی بر استاندارد و RFC نباشد فیلتر HTTP ای که در TMG وجود دارد ترافیک آن را مسدود می کند. علاوه بر این هر پروتکل غیر از HTTP که از Tunnel موجود در HTTPS استفاده می کند و در همان Session وجود دارد نیز مسدود خواهد شد. (خداروشکر همه برنامه نویس های ایرانی بر اساس استاندارد و RFC نرم افزارهای تحت وبشون رو می نویسن و شما از این بابت می تونه خیالتون راحت باشه ... به خداااا )

  • Address Bar سبز نمی شود : دقت کرده اید که زمانیکه به یک وب سایت HTTPS متصل می شوید ، البته نه همه آنها بلکه برخی از آنها ، Address Bar شما به رنگ سبز در می آید به معنای اینکه Certificate موجود در این وب سایت قابل اعتماد و معتبر است.اینکار در واقع یک نوع سرویس است که به اسم Extended Validation شناخته می شود ، با استفاده از HTTPS Inspection به دلیل اینکه تداخل Certificate ها در TMG پیش می آید کاربران ممکن است این رنگ سبز را مشاهده نکنند که البته ربطی به کارایی وب سایت ندارد و وب سایت به درستی کار می کند.

  • عدم کارکرد درست با سیستم های غیر Domain : هر دستگاهی که عضو دامین شما نیاشد یا نمی تواند به عضویت دامین شما در بیاید قطعا مشکلاتی در برقراری ارتباط با استفاده از HTTPS Inspection خواهد داشت ، این نوع از سیستم ها بایستی بصورت دستی پیکربندی شوند و همین موضوع می تواند باعث دردسر مدیریت در شبکه شود مخصوصا اگر تعداد این سیستم ها در شبکه زیاد باشد.

قبل از اینکه HTTPS Inspection را در شبکه پیاده سازی کنید حتما و حتما و حتما موضوع را با معاون فناوری اطلاعات سازمان و بعد از آن با مدیریت سازمان و بعد از آن با حراست سازمان و بعد از آن با هر کوفت و زهر ماری که خرش در سازمان برو دارد در میان بگذارید و تاییدیه های نهایی را جهت پیاده سازی این سیستم دریافت کنید ، واکاوی و شنود اطلاعات محرمانه رمزنگاری شده ارتباطات کاربران می تواند برای شما در صورت عدم داشتن مجوزهای لازم گران تمام شود .

قبل از پیاده سازی چنین سیستم های مانیتورینگ در شبکه سعی کنید خط مشی امنیتی در سازمان تهیه و تدوین کنید که در آن صراحتا به این موارد اشاره شده باشد تا کاربر حق اعتراضی در این خصوص نداشته باشد. چه بخواهیم و چه نخواهیم در سازمان ما از ایمیل های عمومی استفاده می شود و می تواند عدم مانیتورینگ روی این ایمیل ها عواقب خطرناکی برای سازمان در پی داشته باشد. از ما گفتن بود ، ما حجت را بر شما تمام کردیم حال خواه پند گیر و خواه ....


خلاصه

HTTPS Inspection یکی از قابلیت های جدید و قدرتمند نرم افزار فایروال forefront TMG می باشد. با استفاده از این قابلیت می توانید راه نفوذ بسیاری از هکر ها و کدهای مخربی که از طریق پروتکل SSL به شبکه حمله می کردند را مسدود کنید. HTTPS Inspection یک لایه امنیتی بسیار قوی برای TMG ایجاد می کند تا در مقابل حملات هکری تحت وب بتواند عملکرد بهتری داشته باشد. زمانیکه HTTPS Inspection را فعال می کنید و آن را پیکربندی می کنید ، TMG بهتر قادر به شناسایی کدهای مخرب ، اعمال URL Filtering و موارد از این قبیل خواهد بود. امیدوارم که این دو مقاله مورد توجه شما قرار گرفته باشد ، اگر عمری باقی باشد با مقالات دیگری در خدمت شما خواهیم بود. ITPRO باشید.

نویسنده : محمد نصیری

منبع : جزیره فایروال وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد
#مشکل_tmg_و_https #آموزش_راه_اندازی_https_inspection #مشاهده_ترافیک_ssl_در_tmg #شنود_ترافیک_ssl_در_tmg #مشکل_isa_سرور_و_باز_نکردن_https #واکاوی_ترافیک_های_https_در_tmg
عنوان
1 آموزش راه اندازی HTTPS Inspection در TMG - قسمت اول رایگان
2 آموزش راه اندازی HTTPS Inspection در TMG - قسمت دوم رایگان
زمان و قیمت کل 0″ 0
3 نظر
mohsen.feghhi

آموزش tmg رو دنبال میکنم

خیلی استفاده کردم

لطفا آموزشتون رو کامل کنید

مهدی سجودی

سلام خسته نباشید ، من زمانی که HTTPS Inspection فعال میکنم با توجه به اینکه CA مربوط را هم به صورت دستی و هم به صورت اتوماتیک نصب میکنم ولی کلیه ترافیک اینترنت من را غیرفعال میکنه ، علت چیست ؟

محمد نصیری

سلام ، لطفا سئوال فنی رو فقط در تالار گفتمان با استفاده از گزینه سئوال بپرسید و با ذکر جزئیات مطرح کنید با تشکر

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....