Прокси завершения TLS

Прокси -сервер завершения TLS (или прокси-сервер завершения SSL , [ 1 ] или разгрузка SSL [ 2 ] ) — это прокси-сервер , который действует как промежуточная точка между клиентскими и серверными приложениями и используется для завершения и/или установления TLS (или DTLS ) туннелей путем расшифровки и/или шифрования сообщений. Это отличается от прокси-серверов сквозного доступа TLS , которые перенаправляют зашифрованный (D)TLS-трафик между клиентами и серверами без завершения туннеля.
Использование
[ редактировать ]Прокси-серверы завершения TLS можно использовать для:
- безопасная передача открытого текста через ненадежные сети путем их туннелирования в (D)TLS,
- разрешить проверку зашифрованного трафика системой обнаружения вторжений для обнаружения и блокировки вредоносных действий,
- разрешить сетевое наблюдение и анализировать зашифрованный трафик,
- включить неподдерживаемую в противном случае интеграцию с другими приложениями, которые предоставляют дополнительные возможности, такие как фильтрация контента или аппаратный модуль безопасности ,
- включить версии, расширения или возможности протокола (D)TLS (например, сшивание OCSP , ALPN , DANE , проверка CT и т. д.), не поддерживаемые клиентскими или серверными приложениями, для повышения их совместимости и/или безопасности,
- обойти ошибочные /небезопасные реализации (D)TLS в клиентских или серверных приложениях, чтобы улучшить их совместимость и/или безопасность,
- обеспечить дополнительную аутентификацию на основе сертификатов, не поддерживаемую серверными и/или клиентскими приложениями или протоколами,
- обеспечить дополнительный уровень глубокой защиты для централизованного контроля и согласованного управления конфигурацией (D)TLS и связанными политиками безопасности, а также
- снизить нагрузку на основные серверы, перенеся криптографическую обработку на другую машину.
Типы
[ редактировать ]Прокси-серверы завершения TLS могут обеспечивать три модели подключения: [ 3 ]
- TLS Разгрузка входящего зашифрованного (D)TLS-соединения от клиента и перенаправление сообщений через простое текстовое соединение на сервер.
- TLS Шифрование входящего соединения с открытым текстом от клиента и пересылка сообщений через зашифрованное (D)TLS-соединение на сервер.
- TLS Соединение двух зашифрованных (D)TLS-соединений, позволяющее проверять и фильтровать зашифрованный трафик путем расшифровки входящего (D)TLS-соединения от клиента и повторного шифрования его с помощью другого (D)TLS-соединения с сервером.
Сочетание прокси-сервера шифрования TLS перед клиентом с прокси-сервером разгрузки TLS перед сервером может обеспечить (D)TLS-шифрование и аутентификацию для протоколов и приложений, которые иначе его не поддерживают, при этом два прокси-сервера поддерживают безопасный (D)TLS-шифрование и аутентификацию для протоколов и приложений, которые иначе его не поддерживают. )TLS-туннель через ненадежные сегменты сети между клиентом и сервером.
Прокси-сервер, используемый клиентами в качестве промежуточного шлюза для всех исходящих подключений, обычно называется прямым прокси-сервером , а прокси-сервер, используемый серверами в качестве промежуточного шлюза для всех входящих подключений, обычно называется обратным прокси-сервером . Прокси-серверы прямого моста TLS, которые позволяют системе обнаружения вторжений анализировать весь клиентский трафик, обычно продаются как «прокси-сервер SSL Forward». [ 4 ] [ 5 ] [ 6 ]
Прокси-серверам разгрузки TLS и моста TLS обычно необходимо аутентифицировать себя для клиентов с помощью цифрового сертификата, используя аутентификацию PKIX или DANE. Обычно оператор сервера предоставляет своему обратному прокси-серверу действительный сертификат для использования во время установления связи (D)TLS с клиентами. Однако оператору прямого прокси необходимо будет создать свой собственный частный центр сертификации , установить его в хранилище доверенных сертификатов всех клиентов и заставить прокси генерировать новый сертификат, подписанный частным центром сертификации, в режиме реального времени для каждого сервера, к которому клиент пытается подключиться. .
Когда сетевой трафик между клиентом и сервером маршрутизируется через прокси-сервер, он может работать в прозрачном клиента режиме, используя IP-адрес вместо своего собственного при подключении к серверу и используя IP-адрес сервера при ответе клиенту. Если прозрачный прокси-сервер TLS Bridging Proxy имеет действительный сертификат сервера, ни клиент, ни сервер не смогут обнаружить присутствие прокси. Злоумышленник, который скомпрометировал закрытый ключ цифрового сертификата сервера или может использовать скомпрометированные/принудительные центры сертификации PKIX для выдачи нового действующего сертификата для сервера, может выполнить атаку «человек посередине» , маршрутизируя трафик TLS между клиент и сервер через прозрачный прокси-сервер TLS и будет иметь возможность копировать расшифрованные сообщения, включая учетные данные для входа, и изменять содержимое сообщений на лету, не будучи обнаруженными.
Ссылки
[ редактировать ]- ^ «Что такое прекращение SSL?» . Сети F5. Архивировано из оригинала 8 июня 2024 г. Проверено 8 июня 2024 г.
- ^ «Настройка IIS с перезаписью URL-адреса в качестве обратного прокси-сервера» . Майкрософт. 25 августа 2016 г. Архивировано из оригинала 15 августа 2022 г. . Проверено 8 июня 2024 г.
- ^ «Схемы инфраструктуры с использованием TLS» . HAProxy Технологии.
- ^ «Обзор SSL-прокси-сервера пересылки» . Джунипер Нетворкс . 16 октября 2023 г. Архивировано из оригинала 8 июня 2024 г. Проверено 8 июня 2024 г.
- ^ «SSL-прокси-сервер пересылки» . Пало-Альто Сети. Архивировано из оригинала 1 декабря 2017 г. Проверено 24 ноября 2017 г.
- ^ «Обзор: аутентификация прокси-клиента SSL и сервера» . Сети F5. Архивировано из оригинала 8 июня 2024 г. Проверено 24 ноября 2017 г.