Перенаправление трафика: что это такое, где и как применяется
Узнать большеШифрование веб-трафика — эффективная мера защиты от перехвата и утечки данных. Но при шифровании не видно, что именно пользователь делает на HTTPS-ресурсе, и нет возможности проверять файлы антивирусом и другими средствами сетевой защиты. Чтобы проникнуть внутрь зашифрованного соединения, используется технология SSL Bump. Рассказываем, как она работает и каким образом позволяет контролировать трафик.
Что такое SSL Bump
Благодаря протоколу HTTPS возможно защитить личные данные интернет-пользователей от утечки. Но это неактуально в том случае, если пользователь работает в рамках корпоративной сети, где передаваемые данные шифруются — тогда протокол HTTPS не сможет обеспечить сохранение конфиденциальности. Для контроля обмена данными и фильтрации трафика компании используют такое решение, как прокси. То есть пользователь подключается не напрямую к серверу веб-ресурса, а к прокси-серверу, который передает данные на вызываемый сайт. И наоборот — принимает ответы от сервера ресурса и передает в браузер пользователя.
В прокси-серверах используются разные технологии, в том числе режим SSL Bump, который необходим для прозрачной фильтрации HTTPS-трафика, кэширования, контроля доступа к интернет-ресурсам. С его помощью прокси-сервер становится промежуточным звеном между клиентом и вызываемым сайтом, что дает возможность просматривать передаваемый трафик. Такая технология полезна с точек зрения предотвращения потерь чувствительной информации и соблюдения законодательных требований, касающихся посещения веб-ресурсов. Но иногда SSL Bump используется и в мошеннических целях для перехвата трафика.
Как работает SSL Bump
Режим SSL Bump может работать в двух вариантах: без подмены SSL-сертификата, подтверждающего подлинность веб-ресурса, и с подменой. Во втором случае сертификат сайта через цепочку доверия подменяется на аналогичный, после чего трафик перехватывается прокси. Преимущества варианта без подмены в том, что доменные имена можно получать, сохраняя конфиденциальность передаваемой информации. Но в таком случае будут просматриваться только заголовки пакетов — полная фильтрация не осуществляется.
При использовании SSL Bump с подменой трафика работа прокси напоминает атаку Man-in-the-Middle. Для соединения с веб-сервером прокси будет использовать полученный от него сертификат, для соединения с клиентом — сертификат, созданный прокси.
Работа прокси с таким режимом происходит следующим образом:
- Когда пользователь отправляет запрос к сайту, этот запрос перенаправляется на веб-прокси.
- Если сайт использует HTTPS, прокси притворяется браузером и устанавливает безопасное соединение с вызываемым сервером.
- Затем прокси, используя свой корневой сертификат, подписывает новый SSL-сертификат для вызываемого доменного имени, высылает его клиентскому браузеру от имени сервера.
- В результате устанавливается два зашифрованных соединения.
- Прокси получает доступ к циркулирующему трафику, может его фильтровать и анализировать.
Поскольку SSL-сертификаты, действующие для сайтов и используемые для взаимодействия с клиентом, подписываются корневым сертификатом прокси, необходимо предварительно выполнить специальные настройки. В раздел «Доверенные корневые центры» в браузерах и на рабочих станциях пользователей следует добавить корневой сертификат.
Сценарии использования SSL Bump и преимущества технологии
Режим позволяет осуществлять просмотр трафика без расшифровки, расшифровку определенного трафика, просмотр и расшифровку всего передаваемого трафика. В корпоративной среде в рамках контроля работы сотрудников в интернете чаще всего используется третий вариант.
Преимущества режима:
- Возможность обнаруживать в зашифрованном трафике угрозы.
- Фильтрация контента с целью определить, какие ресурсы посещают сотрудники.
- Выявление потенциальных угроз ИБ организации.
То есть технология полезна как с точки зрения ИБ, так и с организационной. С помощью прокси и SSL Bump удается обнаруживать и блокировать подозрительный трафик, контролировать доступ к веб-ресурсам, предотвращать утечки чувствительной информации.
Решение Solar webProxy для контроля трафика
Solar webProxy — шлюз интернет-безопасности класса Security Web Gateway (SWG), в котором главным инструментом является прокси. Он становится посредником между клиентом и сервером, расшифровывает HTTPS-трафик путем подмены сертификатов с целью применения собственных политик безопасности и дальнейшей проверки пакетов данных антивирусом.
В Solar webProxy также есть возможность запрашивать цепочки сертификатов для расшифровки трафика. Эта функция применяется, если вызываемые ресурсы не предоставляют полную цепочку доверия.
Помимо прокси, в шлюзе интернет-безопасности реализованы такие инструменты, как межсетевой экран, антивирус, категоризатор, блокировщик рекламы и реверс-прокси для контроля доступа к корпоративным веб-ресурсам.
Преимущества использования Solar webProxy с режимом SSL Bump
Сильные стороны шлюза интернет-безопасности от «Солар»:
- Гибкий и прозрачный контроль доступа к веб-ресурсам без необходимости тотальных ограничений.
- Возможность контроля трафика приложений с помощью отказоустойчивых агентов, установленных на рабочие станции. Такой функции пока нет в других российских решениях аналогичного класса.
- Подтвержденные отказоустойчивость и высокая производительность. В продукте есть встроенный балансировщик нагрузки, поддержка кластеризации.
- Возможность создания резервных копий политик безопасности, логирования и журналирования событий.
- Стабильная работа в мультидоменной среде в компаниях с десятками тысяч сотрудников.
- Генерация подробных интерактивных отчетов, которые доступны для просмотра в интерфейсе системы, либо скачивания в удобном формате.
- Разграничение прав доступа пользователей благодаря ролевой модели, которая значительно упрощает процесс назначения полномочий.
- Поддержка аутентификации программ и сотрудников с помощью нескольких эффективных механизмов, например, по IP-адресам, NTLM, Kerberos и др.
- Современный и удобный пользовательский интерфейс, в котором легко разобраться.
Еще одна уникальная особенность веб-шлюза с функцией SSL Bump — проверка установки сертификата с целью снизить нагрузку на администраторов недоменных и доменных сетей. Если сертификат на рабочей станции есть, шлюз не будет препятствовать допуску клиента в глобальную сеть. Если сертификата нет, Solar webProxy предложит его установить, но до момента установки доступ в интернет будет приостановлен.
