Архив форумов ЦИТФорума

[alazarev]

У меня возник такой ворос: Может ли сквид становится "посредником" https-соединения (примерно так как это реализовано в 2004 ISA), т.е. не просто пропускать зашифрованный трафик, а расшифровывать, самому дальше устанавливать соединение и посылать дальше зашифрованный трафик.
Спасибо.

[and3008]

По моему ISA такой ерундой не страдает.
Теряется смысл шифрования.

Как это она умеет лихо расшифровывать трафик, если он шифруется между клиентом и сервером?

Поправьте меня, если я чего-то не понимаю.

[alazarev]

2000 ISA не умеет, это правда.
2004 говорят умеет. (наши админы говорят, сам не проверял.)
2004 выступает посредником.
например:
Веб-сервер<--шифрование 2-->ИСА2004<--шифрование 1-->клиент
вроде так.

[and3008]

Меня гложут смутные сомнения, что это так.

Запустить ISA как ускоритель SSL (без установки SSL на Web-сервер) - это да. Можно.
Но шифровать/дешифровать.... Сомневаюсь я. Тормозить все будет безбожно.

[alazarev]

Смысл в фильтрации контента исходящего http-трафика, а точнее сообщений POST.

[and3008]

В одном закрытом НИИ (аккурат напротив моих окон) HTTPS вообще запретили. Зарезали на роутере и все.
Причина? Отсутствие средств контентной фильтрации.

[alazarev]

--

[else]

ИСА сервер действительно умеет дешифровать https трафик. Нафик это нужно? Дело в том, что зашифрованный трафик пропускается через фаерволл as is и его невозможно проанализировать. Очень удобно - шлешь серверу че хошь, а фаерволл молчит в тряпочку.
Для избежания такой ситуации и ставится между сервером и клиентом ИСА. Трафик она дештфрует не просто так конечно. Сервер экспортирует ключ и сертификат в ИСУ и таким образом, клиент фактически аутентифицируется не на сервере а на ИСЕ. Трафик расшифровывается, анализируется и передается дальше к серверу. Кстати, вовсе не обязательно его опять зашифровывать, можно передавать в открытом виде из предположения что канал ИСА-сервер достаточно безопасен.
_________________
nothing else

[alazarev]

В общем вопрос потребовал всестороннего изучения и выяснилось следующее:
http://www.isaserver.org/articles/2004tunnelportrange.html
http://www.isaserver.org/articles/2004isassl.html

[and3008]

Тамошний товарищ утверждает, что ISA именно занимается дешифровкой/проверкой/зашифровкой.

Сомневаюсь я что-то... Очень сомневаюсь.
Может кто-то поделится положительным опытом?

[else]

А почему сомневаешься-то? Нам вчера на семинаре товарищ Шаповалов из Microsoft лично на примере показывал как это работает в случае OutlookWebAccess - действительно работает. Действительно дешифрует-проверяет-шифрует.
Нам понравилось, мы заведем себе такого зверька специально для Exchange. Собственно все остальные возможности ИСЫ оставили желать лучшего, в том числе ВПН, а тема с SSL - то что доктор прописал..
_________________
nothing else

[alazarev]

Если я правильно понял по-буржуински, ИСА дешиaрует/шифрует только на "вход" во внутреннюю сеть, предположим при обращении из вне к веб-серверу, а никак не из сети наружу...а это и есть главное, что нужно иначе придется запрещать хттпс вообще.

[else]

Логично. А вы надеялись, что иса с ходу подбирает алгоритм шифрования, взламывает шифрованый трафик, зачитывает пароли и явки, а потом прикидывается овечкой? Это как в кино про немцев =)

Чтобы дешифровать информацию ИСЕ нужно иметь цифровой сертификат и личный ключ, того, кто ее (информацию) зашифровал, т.е. https-сервера. Сам сервер этот ключ разумеется не отдаст - ни исе ни мне ни вам...
_________________
nothing else

[alazarev]

http://www.webwasher.com/enterprise/products/webwasher_products/ssl_scanner/index.html?lang=de_EN