TLS bekor qilish bo'yicha proksi-server - TLS termination proxy

Kiruvchi HTTPS trafigi parolini ochib, shaxsiy tarmoqdagi veb-xizmatiga yo'naltiriladi.

A TLS bekor qilish bo'yicha proksi-server (yoki SSL tugatish proksi-server^[1], yoki SSL-ni o'chirish^[2]) a proksi-server vazifasini bajaradi vositachi orasidagi nuqta mijoz va server ilovalar va tugatish va / yoki o'rnatish uchun ishlatiladi TLS (yoki DTLS ) kommunikatsiyalarni parolini hal qilish va / yoki shifrlash orqali tunnellar. Bu boshqacha TLS-ning ishonchli vakillari tunnelni tugatmasdan mijozlar va serverlar o'rtasida shifrlangan (D) TLS trafigini yo'naltiradi.

Foydalanadi

TLS bekor qilish bo'yicha ishonchli shaxslardan quyidagilar uchun foydalanish mumkin.

xavfsiz Oddiy matn (D) TLS-ga tunnel orqali ishonchsiz tarmoqlar orqali aloqa qilish,
tomonidan shifrlangan trafikni tekshirishga ruxsat berish kirishni aniqlash tizimi zararli harakatlarni aniqlash va blokirovka qilish,
ruxsat berish tarmoq nazorati va shifrlangan trafikni tahlil qilish,
kabi qo'shimcha imkoniyatlarni taqdim etadigan boshqa ilovalar bilan qo'llab-quvvatlanmaydigan integratsiyani yoqing tarkibni filtrlash yoki Uskuna xavfsizligi moduli,
yoqish (D) TLS protokoli versiyalari, kengaytmalari yoki imkoniyatlari (masalan.) OCSP zımbalaması, ALPN, DANE, KT tasdiqlash va h.k.) mijoz yoki server dasturlari tomonidan ularning muvofiqligi va / yoki xavfsizligini oshirish uchun qo'llab-quvvatlanmaydigan,
atrofida ishlash buggy / mijozlar yoki server dasturlarida ularning ishonchliligi va / yoki xavfsizligini yaxshilash uchun xavfli (D) TLS dasturlari,
qo'shimcha ta'minlash sertifikat asosida tasdiqlash server va / yoki mijoz dasturlari yoki protokollari tomonidan qo'llab-quvvatlanmaydi,
qo'shimcha ta'minlang chuqur mudofaa markazlashtirilgan boshqarish va (D) TLS konfiguratsiyasi va tegishli xavfsizlik siyosatini izchil boshqarish uchun qatlam va
kamaytirish yuk kriptografik ishlov berishni boshqa qurilmaga yuklash orqali asosiy serverlarda.

Turlari

TLS tugatish proksi-serverlari uchta ulanish sxemasini taqdim etishi mumkin^[3]:

TLS yukini tushirish mijozdan kiruvchi shifrlangan (D) TLS ulanish va oddiy matnli ulanish orqali serverga uzatuvchi aloqa.
TLS shifrlash mijozdan chiqadigan ochiq matnli ulanish va serverga shifrlangan (D) TLS ulanish orqali uzatiladigan aloqa.
TLS Bridging mijozdan kirish (D) TLS ulanishining parolini ochish va uni boshqa (D) TLS ulanishi bilan qayta shifrlash orqali shifrlangan trafikni tekshirish va filtrlash imkonini beradigan ikkita shifrlangan (D) TLS ulanishining.

Mijoz oldida TLS Encrypting proksi-serverni server oldida TLS Offloading proksi-server bilan birlashtirish, protokollar va ilovalar uchun (D) TLS-ni shifrlash va autentifikatsiyalashga imkon berishi mumkin, aks holda uni qo'llab-quvvatlamaydi, ikkita proksi-server xavfsiz (D) ) Mijoz va server o'rtasidagi ishonchsiz tarmoq segmentlari orqali TLS tunnel.

Mijozlar barcha chiquvchi ulanishlar uchun vositachi shlyuz sifatida foydalanadigan proksi-server odatda "a" deb nomlanadi Oldinga proksi-server, serverlar barcha kiruvchi ulanishlar uchun vositachi shlyuz sifatida foydalanadigan proksi odatda a deb nomlanadi Teskari proksi-server. Kirishni aniqlash tizimiga barcha mijozlar trafigini tahlil qilishga imkon beradigan TLS ko'prikli proksi-serverlari odatda "SSL Forward Proxy" sifatida sotiladi.^[4]^[5]^[6].

TLS Offloading va TLS Bridging proksi-serverlari odatda raqamli sertifikat bilan mijozlarga o'zlarini tasdiqlashlari kerak. PKIX yoki DANE autentifikatsiyasi. Odatda server operatori teskari proksi-serveriga mijozlar bilan (D) TLS qo'l siqish paytida foydalanish uchun haqiqiy sertifikatni taqdim etadi. Oldinga yuborilgan proksi-operator, ammo o'z shaxsiy xizmatini yaratishi kerak CA, uni barcha mijozlarning ishonchli do'koniga o'rnating va proksi-server mijoz ulanishga harakat qilayotgan har bir server uchun real vaqtda shaxsiy CA tomonidan imzolangan yangi sertifikat yaratishi kerak.

Mijoz va server o'rtasidagi tarmoq trafigi proksi-server orqali yo'naltirilganda, u ishlashi mumkin shaffof mijozning rejimi yordamida rejim IP-manzil serverga ulanishda va mijozga javob berishda serverning IP-manzilidan foydalanishda o'z o'rniga. Agar a Shaffof TLS ko'prikli proksi-server haqiqiy server sertifikatiga ega, na mijoz, na server proksi-server mavjudligini aniqlay olmaydi. Serverning raqamli sertifikatining shaxsiy kalitini buzgan yoki server uchun yangi haqiqiy sertifikat berish uchun buzilgan / majburlangan PKIX CA-lardan foydalanishga qodir bo'lgan raqib o'rtada hujum shaffof TLS Bridging Proxy orqali mijoz va server o'rtasida TLS trafigini yo'naltirish va parollangan aloqalarni, shu jumladan tizimga kirish ma'lumotlarini nusxalash va aloqa tarkibini aniqlanmasdan o'zgartirish imkoniyatiga ega bo'ladi.

Adabiyotlar

^ SSL tugatish, F5 tarmoqlari.
^ "IIS-ni URL-ni teskari proksi-server sifatida qayta yozish bilan o'rnatish". Microsoft.
^ "TLS ishtirokidagi infratuzilma sxemalari". HAProxy Technologies.
^ "Proksi-serverni SSL-ga yo'naltirish haqida umumiy ma'lumot". Juniper tarmoqlari.
^ "SSL forward proksi-server". Palo Alto tarmoqlari.
^ "Umumiy ma'lumot: SSL-proksi-server va serverning autentifikatsiyasi oldinga yo'naltirilgan". F5 tarmoqlari.

[1] SSL tugatish, F5 tarmoqlari.

[2] "IIS-ni URL-ni teskari proksi-server sifatida qayta yozish bilan o'rnatish". Microsoft.

[3] "TLS ishtirokidagi infratuzilma sxemalari". HAProxy Technologies.

[4] "Proksi-serverni SSL-ga yo'naltirish haqida umumiy ma'lumot". Juniper tarmoqlari.

[5] "SSL forward proksi-server". Palo Alto tarmoqlari.

[6] "Umumiy ma'lumot: SSL-proksi-server va serverning autentifikatsiyasi oldinga yo'naltirilgan". F5 tarmoqlari.

[1]

[2]

[3]

[4]

[5]

[6]