Exporter (0) Imprimer
Développer tout

Planification de l'inspection HTTPS

Publication: novembre 2009

Mis à jour: février 2010

S'applique à: Forefront Threat Management Gateway (TMG)

Vous pouvez utiliser Forefront TMG pour inspecter le trafic HTTPS sortant, de façon à protéger votre organisation contre les risques pour la sécurité tels que :

  • les virus et autres contenus nuisibles qui pourraient utiliser des tunnels SSL (Secure Sockets Layer) pour infiltrer l'organisation sans être détectés ;

  • des utilisateurs qui ignorent la stratégie d'accès de l'organisation en utilisant des applications de tunnel sur un canal sécurisé (par exemple, des applications de réseau pair à pair).

noteRemarque :
  • Le trafic sortant fait référence au trafic provenant d'ordinateurs clients sur des réseaux protégés par Forefront TMG.

  • Bien que vous puissiez activer le trafic HTTPS sortant sans inspection, cela n'est pas recommandé.

Les sections suivantes fournissent des informations pour vous aider à planifier l'inspection HTTPS :

Fonctionnement de l'inspection HTTPS

Pour assurer la protection HTTPS, Forefront TMG sert d'intermédiaire entre l'ordinateur client qui initialise la connexion HTTPS et le site Web sécurisé. Lorsqu'un ordinateur client initialise une connexion à un site Web sécurisé, Forefront TMG intercepte la demande et effectue les opérations suivantes :

  1. établit une connexion sécurisée (tunnel SSL) au site Web demandé et valide le certificat de serveur du site ;

  2. copie les détails du certificat du site Web, crée un certificat SSL avec ces détails et le signe avec un certificat d'autorité de certification appelé certificat d'inspection HTTPS ;

  3. présente le nouveau certificat à l'ordinateur client et établit un tunnel SSL distinct avec lui.

Étant donné que le certificat d'inspection HTTPS a été placé précédemment dans le magasin de certificats Autorités de certification racine approuvées de l'ordinateur client, l'ordinateur approuve tout certificat signé par ce certificat. En coupant la connexion et en créant deux tunnels sécurisés, le serveur Forefront TMG peut déchiffrer et inspecter toute communication entre l'ordinateur client et le site Web sécurisé pendant cette session.

noteRemarque :
La puissance du tunnel entre le client et Forefront TMG ne peut pas être la même que celle du tunnel entre Forefront TMG et le serveur HTTPS cible.

Considérations pour l'activation de l'inspection HTTPS

Lorsque vous activez l'inspection HTTPS, tenez compte des éléments suivants :

  • Pour inspecter le trafic HTTPS, un certificat d'autorité de certification doit être placé sur le serveur Forefront TMG et déployé à tous les ordinateurs clients. Vous pouvez obtenir le certificat de deux façons :

    • Générez un certificat auto-signé sur le serveur Forefront TMG.

    • Importez un certificat qui a été émis par une autorité de certification racine dans votre organisation ou par une autorité de certification publique approuvée, c'est-à-dire une autorité de certification créée par une entité extérieure telle que VeriSign. Le certificat doit être un fichier d'échange d'informations personnelles (.pfx) et doit être approuvé sur le serveur Forefront TMG.

  • Dans les déploiements à plusieurs groupes, vous générez ou importez le certificat d'inspection HTTPS pour chacun des groupes.

  • SSL de validation étendue (EV, Extended Validation) n'est pas pris en charge avec l'inspection HTTPS. Lorsque Forefront TMG exécute l'inspection HTTPS sur un site qui utilise un certificat SSL de validation étendue, la visibilité de validation étendue offerte par certains navigateurs Web, tels qu'Internet Explorer 7 qui met la barre d'adresse URL en vert, ne sera pas affichée dans les navigateurs des utilisateurs. Pour maintenir la visibilité de validation étendue d'un site, vous devez l'exclure de l'inspection HTTPS.

  • L'inspection HTTPS est incompatible avec les connexions aux serveurs SSTP externes et les serveurs qui requièrent l'authentification par certificat client. Si vous avez connaissance de ce type de serveur, il est recommandé de l'exclure de l'inspection HTTPS.

  • Pour déployer le certificat de l'autorité de certification racine approuvé de l'inspection HTTPS sur les ordinateurs clients à l'aide d'Active Directory, Forefront TMG doit être déployé dans un environnement de domaine.

  • L'inspection HTTPS ne prend pas en charge les certificats auto-signés. Si vous devez permettre l'accès aux sites qui utilisent des certificats auto-signés, il est recommandé de les exclure de l'inspection HTTPS. Pour plus d'informations, consultez Exclusion des sources et destinations de l'inspection HTTPS.

    Par exemple, si vous implémentez la protection de courrier électronique avec Microsoft Forefront Protection 2010 for Exchange Server, pour permettre le téléchargement de mises à jour des définitions du moteur anti-courrier indésirable de Cloudmark, vous devez exclure le site de téléchargement Cloudmark de l'inspection HTTPS puisqu'il utilise un certificat auto-signé.

noteRemarque :
Pour plus d'informations sur l'exclusion de sites de l'inspection HTTPS, consultez Exclusion des sources et destinations de l'inspection HTTPS.

À propos de la validation de certificat dans l'inspection HTTPS

Le tableau suivant résume la validation de certificat que Forefront TMG exécute lorsque l'inspection HTTPS est activée. Pour les sites exclus de l'inspection HTTPS, vous pouvez choisir d'exclure avec ou sans validation lorsque vous configurez des exceptions de destination. Pour plus d'informations sur l'exclusion de sites de l'inspection HTTPS, consultez Exclusion des sources et destinations de l'inspection HTTPS.

 

Type de validation Trafic inspecté Sites exclus de l'inspection HTTPS avec la validation de certificat Sites exclus de l'inspection HTTPS sans la validation de certificat

Eligible pour l'authentification serveur

Oui

Oui

Oui

Expiration, révocation

Oui

Non

Non

Incompatibilité de nom, approbation

Oui

Oui

Non

Considérations relatives à la révocation de la certification dans l'inspection HTTPS de Forefront TMG

Notez les problèmes suivants concernant la révocation de certificat :

  • Étant donné que Forefront TMG met en cache des certificats, si un certificat doit être révoqué il le sera seulement après que le délai d'attente de mise en cache a expiré.

  • Si Forefront TMG ne peut pas se connecter au service de liste de révocation de certificats (CRL) et ne peut donc pas vérifier la révocation, il traite le certificat comme étant valide.

Problèmes de confidentialité

Étant donné que l'utilisateur de l'ordinateur client ne sait pas que Forefront TMG interrompt la connexion et inspecte le trafic, pour des raisons de confidentialité et légales, vous pouvez vouloir effectuer les opérations suivantes :

Rubriques connexes

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.
Afficher:
© 2014 Microsoft