
Заблокируйте хаос: как навести порядок в веб-трафике компании
Узнать больше15.11.2024
Шифрование веб-трафика — эффективная мера защиты от перехвата и утечки данных. Но при шифровании не видно, что именно пользователь делает на HTTPS-ресурсе, и нет возможности проверять файлы антивирусом и другими средствами сетевой защиты. Чтобы проникнуть внутрь зашифрованного соединения, используется технология SSL Bump. Рассказываем, как она работает и каким образом позволяет контролировать трафик.
Благодаря протоколу HTTPS возможно защитить личные данные интернет-пользователей от утечки. Но это неактуально в том случае, если пользователь работает в рамках корпоративной сети, где передаваемые данные шифруются — тогда протокол HTTPS не сможет обеспечить сохранение конфиденциальности. Для контроля обмена данными и фильтрации трафика компании используют такое решение, как прокси. То есть пользователь подключается не напрямую к серверу веб-ресурса, а к прокси-серверу, который передает данные на вызываемый сайт. И наоборот — принимает ответы от сервера ресурса и передает в браузер пользователя.
В прокси-серверах используются разные технологии, в том числе режим SSL Bump, который необходим для прозрачной фильтрации HTTPS-трафика, кэширования, контроля доступа к интернет-ресурсам. С его помощью прокси-сервер становится промежуточным звеном между клиентом и вызываемым сайтом, что дает возможность просматривать передаваемый трафик. Такая технология полезна с точек зрения предотвращения потерь чувствительной информации и соблюдения законодательных требований, касающихся посещения веб-ресурсов. Но иногда SSL Bump используется и в мошеннических целях для перехвата трафика.
Режим SSL Bump может работать в двух вариантах: без подмены SSL-сертификата, подтверждающего подлинность веб-ресурса, и с подменой. Во втором случае сертификат сайта через цепочку доверия подменяется на аналогичный, после чего трафик перехватывается прокси. Преимущества варианта без подмены в том, что доменные имена можно получать, сохраняя конфиденциальность передаваемой информации. Но в таком случае будут просматриваться только заголовки пакетов — полная фильтрация не осуществляется.
При использовании SSL Bump с подменой трафика работа прокси напоминает атаку Man-in-the-Middle. Для соединения с веб-сервером прокси будет использовать полученный от него сертификат, для соединения с клиентом — сертификат, созданный прокси.
Работа прокси с таким режимом происходит следующим образом:
Поскольку SSL-сертификаты, действующие для сайтов и используемые для взаимодействия с клиентом, подписываются корневым сертификатом прокси, необходимо предварительно выполнить специальные настройки. В раздел «Доверенные корневые центры» в браузерах и на рабочих станциях пользователей следует добавить корневой сертификат.
Режим позволяет осуществлять просмотр трафика без расшифровки, расшифровку определенного трафика, просмотр и расшифровку всего передаваемого трафика. В корпоративной среде в рамках контроля работы сотрудников в интернете чаще всего используется третий вариант.
Преимущества режима:
То есть технология полезна как с точки зрения ИБ, так и с организационной. С помощью прокси и SSL Bump удается обнаруживать и блокировать подозрительный трафик, контролировать доступ к веб-ресурсам, предотвращать утечки чувствительной информации.
Solar webProxy — шлюз интернет-безопасности класса Security Web Gateway (SWG), в котором главным инструментом является прокси. Он становится посредником между клиентом и сервером, расшифровывает HTTPS-трафик путем подмены сертификатов с целью применения собственных политик безопасности и дальнейшей проверки пакетов данных антивирусом.
В Solar webProxy также есть возможность запрашивать цепочки сертификатов для расшифровки трафика. Эта функция применяется, если вызываемые ресурсы не предоставляют полную цепочку доверия.
Помимо прокси, в шлюзе интернет-безопасности реализованы такие инструменты, как межсетевой экран, антивирус, категоризатор, блокировщик рекламы и реверс-прокси для контроля доступа к корпоративным веб-ресурсам.
Сильные стороны шлюза интернет-безопасности от «Солар»:
Еще одна уникальная особенность веб-шлюза с функцией SSL Bump — проверка установки сертификата с целью снизить нагрузку на администраторов недоменных и доменных сетей. Если сертификат на рабочей станции есть, шлюз не будет препятствовать допуску клиента в глобальную сеть. Если сертификата нет, Solar webProxy предложит его установить, но до момента установки доступ в интернет будет приостановлен.
ЗАКЛЮЧЕНИЕ
Чтобы контролировать работу сотрудников в интернете и проверять трафик, многие компании внедряют такой инструмент, как веб-прокси с режимом SSL Bump для фильтрации HTTPS-трафика. Можно применять комплексное решение — шлюз веб-безопасности Solar webProxy, где помимо прокси есть и другие механизмы проверки пакетов данных, эффективные технологии для контроля доступа к веб-ресурсам. Продукт легко масштабируется в любой инфраструктуре, подходит для импортозамещения, может работать без привязки к аппаратной платформе.
Самые важные новости кибербезопасности у вас в почте
Выберите темы, на которые бы вам было интересно получать новости.
Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.