Jump to content

Прокси завершения TLS

Входящий HTTPS-трафик расшифровывается и пересылается веб-службе в частной сети.

Прокси -сервер завершения TLS (или прокси-сервер завершения SSL , [ 1 ] или разгрузка SSL [ 2 ] ) — это прокси-сервер , который действует как промежуточная точка между клиентскими и серверными приложениями и используется для завершения и/или установления TLS (или DTLS ) туннелей путем расшифровки и/или шифрования сообщений. Это отличается от прокси-серверов сквозного доступа TLS , которые перенаправляют зашифрованный (D)TLS-трафик между клиентами и серверами без завершения туннеля.

Использование

[ редактировать ]

Прокси-серверы завершения TLS можно использовать для:

  • безопасная передача открытого текста через ненадежные сети путем их туннелирования в (D)TLS,
  • разрешить проверку зашифрованного трафика системой обнаружения вторжений для обнаружения и блокировки вредоносных действий,
  • разрешить сетевое наблюдение и анализировать зашифрованный трафик,
  • включить неподдерживаемую в противном случае интеграцию с другими приложениями, которые предоставляют дополнительные возможности, такие как фильтрация контента или аппаратный модуль безопасности ,
  • включить версии, расширения или возможности протокола (D)TLS (например, сшивание OCSP , ALPN , DANE , проверка CT и т. д.), не поддерживаемые клиентскими или серверными приложениями, для повышения их совместимости и/или безопасности,
  • обойти ошибочные /небезопасные реализации (D)TLS в клиентских или серверных приложениях, чтобы улучшить их совместимость и/или безопасность,
  • обеспечить дополнительную аутентификацию на основе сертификатов, не поддерживаемую серверными и/или клиентскими приложениями или протоколами,
  • обеспечить дополнительный уровень глубокой защиты для централизованного контроля и согласованного управления конфигурацией (D)TLS и связанными политиками безопасности, а также
  • снизить нагрузку на основные серверы, перенеся криптографическую обработку на другую машину.

Прокси-серверы завершения TLS могут обеспечивать три модели подключения: [ 3 ]

  • TLS Разгрузка входящего зашифрованного (D)TLS-соединения от клиента и перенаправление сообщений через простое текстовое соединение на сервер.
  • TLS Шифрование входящего соединения с открытым текстом от клиента и пересылка сообщений через зашифрованное (D)TLS-соединение на сервер.
  • TLS Соединение двух зашифрованных (D)TLS-соединений, позволяющее проверять и фильтровать зашифрованный трафик путем расшифровки входящего (D)TLS-соединения от клиента и повторного шифрования его с помощью другого (D)TLS-соединения с сервером.

Сочетание прокси-сервера шифрования TLS перед клиентом с прокси-сервером разгрузки TLS перед сервером может обеспечить (D)TLS-шифрование и аутентификацию для протоколов и приложений, которые иначе его не поддерживают, при этом два прокси-сервера поддерживают безопасный (D)TLS-шифрование и аутентификацию для протоколов и приложений, которые иначе его не поддерживают. )TLS-туннель через ненадежные сегменты сети между клиентом и сервером.

Прокси-сервер, используемый клиентами в качестве промежуточного шлюза для всех исходящих подключений, обычно называется прямым прокси-сервером , а прокси-сервер, используемый серверами в качестве промежуточного шлюза для всех входящих подключений, обычно называется обратным прокси-сервером . Прокси-серверы прямого моста TLS, которые позволяют системе обнаружения вторжений анализировать весь клиентский трафик, обычно продаются как «прокси-сервер SSL Forward». [ 4 ] [ 5 ] [ 6 ]

Прокси-серверам разгрузки TLS и моста TLS обычно необходимо аутентифицировать себя для клиентов с помощью цифрового сертификата, используя аутентификацию PKIX или DANE. Обычно оператор сервера предоставляет своему обратному прокси-серверу действительный сертификат для использования во время установления связи (D)TLS с клиентами. Однако оператору прямого прокси необходимо будет создать свой собственный частный центр сертификации , установить его в хранилище доверенных сертификатов всех клиентов и заставить прокси генерировать новый сертификат, подписанный частным центром сертификации, в режиме реального времени для каждого сервера, к которому клиент пытается подключиться. .

Когда сетевой трафик между клиентом и сервером маршрутизируется через прокси-сервер, он может работать в прозрачном клиента режиме, используя IP-адрес вместо своего собственного при подключении к серверу и используя IP-адрес сервера при ответе клиенту. Если прозрачный прокси-сервер TLS Bridging Proxy имеет действительный сертификат сервера, ни клиент, ни сервер не смогут обнаружить присутствие прокси. Злоумышленник, который скомпрометировал закрытый ключ цифрового сертификата сервера или может использовать скомпрометированные/принудительные центры сертификации PKIX для выдачи нового действующего сертификата для сервера, может выполнить атаку «человек посередине» , маршрутизируя трафик TLS между клиент и сервер через прозрачный прокси-сервер TLS и будет иметь возможность копировать расшифрованные сообщения, включая учетные данные для входа, и изменять содержимое сообщений на лету, не будучи обнаруженными.

  1. ^ «Что такое прекращение SSL?» . Сети F5. Архивировано из оригинала 8 июня 2024 г. Проверено 8 июня 2024 г.
  2. ^ «Настройка IIS с перезаписью URL-адреса в качестве обратного прокси-сервера» . Майкрософт. 25 августа 2016 г. Архивировано из оригинала 15 августа 2022 г. . Проверено 8 июня 2024 г.
  3. ^ «Схемы инфраструктуры с использованием TLS» . HAProxy Технологии.
  4. ^ «Обзор SSL-прокси-сервера пересылки» . Джунипер Нетворкс . 16 октября 2023 г. Архивировано из оригинала 8 июня 2024 г. Проверено 8 июня 2024 г.
  5. ^ «SSL-прокси-сервер пересылки» . Пало-Альто Сети. Архивировано из оригинала 1 декабря 2017 г. Проверено 24 ноября 2017 г.
  6. ^ «Обзор: аутентификация прокси-клиента SSL и сервера» . Сети F5. Архивировано из оригинала 8 июня 2024 г. Проверено 24 ноября 2017 г.
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 73bd82e4c53315a2c0d62a56d7971d98__1717821720
URL1:https://arc.ask3.ru/arc/aa/73/98/73bd82e4c53315a2c0d62a56d7971d98.html
Заголовок, (Title) документа по адресу, URL1:
TLS termination proxy - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)