Sigurno Web objavljivanje nudi dodatni sloj bezbednosti kada objavljujemo interni web sajt omogućavanjem opcije SSL (Secure Sockets Layer) koja šifruje sav mrežni saobraćaj ka i od Web servera. Ova lekcija opisuje kako konfigurišemo sigurno web objavljivanje.

 

Šta je Secure Socket Layer?

SSL se koristi da proveri identitete dva kompjutera koja su umešana u konekciju kroz javnu mrežu, i da osigura da poslate podatke između ova dva kompjutera ne može niko drugi na mreži da pročita.

SSL sadrži sledeće karakteristike:

  • Server authentication - Server autentifikacija omogućava korisniku da potvrdi identitet servera. SSL-enabled klijentski softver može da koristi standardne tehnike kriptografije javnog ključa da proveri da su sertifikat servera i Public ID validni i da ih je dodelio CA Certificate Authority kojem veruje klijent.
  • Client Authentication - Klijentska autentifikacija omogućava serveru da utvrdi klijentski identitet. Koristeći istu tehniku kao onu koja se koristi za proveru identiteta servera, SSL-enabled serverski softver može da proveri da li je klijentski sertifikat koji mu je dodelio CA u serverovoj listi poverljivih CAs Certification Authority. Klijentska autentifikacija je neobavezna za većinu sigurnih web sajtova.
  • Encrypted SSL connection - Sav mrežni saobraćaj, uključujući poverljive delove autentifikacionog procesa, je poslat koristeći šifrovanu SSL konekciju koja je kreirana između klijenta i servera. Kao dodatak, klijent i server će automatski znati da je podatak koji se šalje preko šifrovane SSL konekcije promenjen.

 

Omogućavanje SSL-a

Da bi omogućili SSL na ISA serveru, moramo da dodelimo digitalne sertifikate koje dodeljuje Certificate Authority CA. Možemo da dobijemo sertifikat od javnog CA ili možemo da izgradimo CA unutar naše organizacije koristeći Microsoft Windows 2000 server ili Microsoft Windows 2003 Server. Ako korisnici koji se nalaze izvan naše organizacije pristupaju web sajtu, trebalo bi da im dodelimo sertifikat od komercijalnog CA iz razloga što njihov klijentski softver nije konfigurisan da veruje našem internom CA.

Ako želimo da zahtevamo klijentsku autentifikaciju, moramo da distribuiramo sertifikate klijentima koje će se konektovati na web sajt.

 

Priprema ISA Servera za SSL

SSL može biti korišćen na nekoliko različitih načina kada objavljujemo web sajtove na ISA Serveru. Prvo, SSL može da se iskoristi da zaštiti konekciju sa interneta ka serveru na kome je instaliran ISA Server. SSL se takođe može iskoristiti da zaštiti konekciju sa ISA Servera ka internom Web serveru. Jedna ili obe ove opcije mogu da se iskoriste u scenariju Web objavljivanja. Pre korišćenja SSL-a administrator mora da instalira Server sertifikate na ISA Serveru. U zavisnosti od situacija možda ćemo morati da instaliramo sertifikat i na Web serveru.

Da bi uspešno instalirali SSL sertifikate za scenario web objavljivanja, pratite sledeće korake:

  1. Instalirati server sertifikat na serveru na kojem radi ISA Server. Ime na sertifikatu mora da bude FQDN fully qualified domain name kao šrto je na primer www.linkgroup.com, koje će korisnici koristiti za pristup Web sajtu. Ako ime na sertifikatu ne odgovara imenu FQDN koje koriste klijentski kompjuteri za pristup Web sajtu, klijenti će dobiti poruku greške. Moramo da instaliramo sertifikate pre nego što ISA Server počne da prima sigurne klijentske konekcije. Procedura instaliranja server sertifikata na kompjuteru na kojem radi ISA Server varira u zavisnosti od CA kojeg koristimo i od konfiguracije ISA Servera.
    • Ako koristimo interni CA koji nudi web sajt klijentima za dobijanje sertifikata, možemo da se konektujemo na web sajt sa ISA Servera i instaliramo sertifikat.
    • Ako koristimo eksterni CA, moramo da kreiramo zahtev za sertifikatom i pošaljemo ga eksternom CA. Možemo da kreiramo zahtev za sertifikat na serveru na kojem radi ISA Server. Ipak, ovo zahteva da IIS bude instaliran na kompjuteru na kojem radi ISA Server. Ovo se ne preporučuje, trebali bi da pripremimo zahtev i instaliramo sertifikat na Web server kompjuteru, i nakon instalacije eksportujemo i importujemo sertifikate na ISA Server kompjuter. Upamtite da u sertifikatu navede FQDN koje će klijenti koristiti za pristup Web serveru.
  2. Instalirati server sertifikat na Web serverima. Ime na sertifikatu mora da bude FQDN koje ISA Server koristi da pristupi web sajtu.
  3. Ako konfigurišemo ISA Server ili interni web server da zahteva klijentsku autentikaciju, onda ćemo morati da implementiramo klijentske sertifikate na svim kompjuterima koji će biti SSL klijenti. Ako koristimo interni CA, možda ćemo takođe želeti da odradimo ovaj korak da bi osigurali da klijentski kompjuteri budu konfigurisani da veruju internom CA.

 

SSL Bridging

Jedna od opcija koje nudi ISA Server za zaštitu mrežnog saobraćaja je SSL bridging. SSL Bridging znači da ISA Server operiše kao end-point (krajnja tačka) za SSL konekcije. SSL konekcija može biti između ISA Servera i klijenta ili između ISA Servera i internog web sajta. Primarna prednost korišćenja SSL bridging-a je omogućavanje aplikativnog filterisanja za SSL saobraćaj.

U najčešćem scenariju u kojem se SSL bridging koristi u scenariju web objavljivanja:

  1. Eksterni klijent koristi HTTPS kad zahteva objekat od Web servera koji se nalazi u internoj mreži. Po default-u, klijent se konektuje na ISA Server na standardni SSL port 443. ISA Server odgovara sa Server-side SSL sertifikatom klijentu i klijent autentifikuje server. Nakon autentikacije, klijent i server kreiraju sigurni šifrovani kanal.
  2. ISA Server prihvata klijentske zahteve i dešifruje ih, prekida SSL konekciju. Ako se objekat nalazi u kešu ISA Servera, ISA Server šalje objekat klijentu.
  3. Ako se objekat ne nalazi u kešu ISA Servera, ISA Server šalje zahteve internom Web serveru čije se ime nalazi u web objavljenom pravilu. Web objaljeno pravilo takođe definiše kako ISA Server komunicira i šalje zahteve prema Web serveru (FTP, HTTP, ili SSL). Ako je sigurno web objavljeno pravilo konfigurisano da šalje zahteve koristeći HTTPS, ISA Server inicira novu SSL konekciju sa web serverom, slanjem zahteva na SSL port 443.
  4. Nakon što je SSL konekcija kreirana, Web Server odgovara slanjem zahtevanog objekta ka ISA Serveru.
  5. ISA Server prima objekat i dešifruje ga. Nakon toga ISA Server ponovo šifruje objekat i šalje ga klijentu koji je podneo zahtev.
    Jedna od najvećih prednosti korišćenja SSL Bridging-a je omogućavanje Stateful provere SSL konekcija i aplikativno filterisanje sadržaja HTTPS paketa.

SSL podržava tri opcije:

  • SSL Bridging from ISA Server to Client - Klijent šalje zahtev za SSL objekat (šifrovani) ISA obrađuje paket dešifruje ga i forvarduje zahtev ka Web Serveru. Web server vraća objekat ka ISA Serveru i ISA Server ga obrađuje, šifruje i šalje klijentu. U ovom slučaju SSL se koristi u komunikaciji imzmeđu SSL klijenta i ISA Servera).
  • SSL Bridging from ISA Server to the Web Server - Klijent zahteva HTTP objekat od internog web klijenta. ISA Server prihvata zahtev, obrađuje ga (šifruje ga) i šalje ka Web serveru. Web server vraća šifrovani objekat ka ISA Serveru. ISA Server obrađuje objekat dešifruje ga i šalje ga klijentu. U ovom scenariju, SSL se koristi samo u konekciji između ISA Servera i web servera.
  • SSL Bridging from client to web Server - Klijent zahteva SSL objekat. ISA dešifruje zahtev, obrađuje ga zatim ga ponovo šifruje i šalje ga Web serveru. Web server šalje šifrovani objekat ka ISA Server, ISA Server ga dešifruje, obrađuje ga, ponovo ga šifruje i šalje klijentu. U ovom scenariju cela komunikacija je šifrovana.

 

SSL Tunneling

U SSL tunneling scenariju, ISA Server ne šifruje i ne dešifruje pakete, nego jednostavno prosleđuje SSL pakete od klijenta do Web servera. U SSL tunneling modu, klijent uspostavlja tunel kroz kompjuter na kojem radi ISA Server direktno do Web servera. U ovom modu, konekcija između klijenta i Web servera je šifrovana, ali ISA Server ne može da vrši proveru sadržaja konekcije.

SSL tunneling se može koristiti u scenariju web objavljivanja:

  1. Eksterni klijent koristi HTTPS da zahteva objekat od Web servera koji se nalazi u internoj mreži. Zahtev se šalje ka eksternoj IP adresi na ISA Serveru.
  2. ISA Server proverava web pravila objavljivanja za zahtev. Ako je u pravilu omogućeno korišćenje SSL tunneling moda, ISA Server šalje zahtev ka Web serveru bez dešifrovanja paketa.
  3. Web server odgovara sa svojim Server-side SSL sertifikatom klijentu i klijent autentifikuje Server. Nakon autentikacije, klijent i server kreiraju sigurni šifrovani kanal.
  4. Web Server tada šifruje zahtevani objekat i šalje ga ka ISA Serveru koji dalje šalje objekat ka klijentu.
Dodaj komentar Sviđa mi se - (0) Ne sviđa mi se - (0)    

  • Konfiguracija sigurnog web objavljivanja 1
  • Konfiguracija sigurnog web objavljivanja 2
  • Konfiguracija sigurnog web objavljivanja 3
  • Konfiguracija sigurnog web objavljivanja 4