Forefront TMG 2010 - część 14. - Publikacja zasobów - serwer WEB - komunikacja zabezpieczona protokołem SSL
.png "Udostępnij na: Facebook")
Autor: Jacek Światowiak
Opublikowano: 2012-02-23
Wprowadzenie
W poprzedniej części omówiono zaawansowane opcje reguły publikacji serwera Web oraz obiektu sieciowego zwanego listenerem. Do tej pory cała komunikacja zarówno od klienta do serwera TMG oraz od serwera TMG do serwera docelowego nie była chroniona. Pora dodać elementy związane z szyfrowaniem ruchu do serwerów WEB.
Mechanizm zabezpieczania komunikacji w trybie SSL Tunneling
W funkcjonalności SSL Tunneling serwer TMG 2010 jest przezroczysty dla zestawionego ruchu HTTPS. De facto funkcjonalność jest realizowana poprzez zwykłe przekierowanie portu 443 z interfejsu zewnętrznego serwera TMG 2010 do sieci LAN lub DMZ. Schematycznie działanie funkcjonalności SSL Tunneling przedstawia Rys. 1.
.jpg "Funkcjonalność SSL Tunneling")
Rys. 1. Funkcjonalność SSL Tunneling.
W tego typu konfiguracji nie ma możliwości inspekcji ruchu HTTPS. Certyfikat SSL instalowany jest na serwerze docelowym. Funkcjonalność, ze względu na swą prostotę, nie odbiega od publikacji serwera typu Non-Web i nie będzie bliżej omawiana.
Funkcjonalność SSL Bridging
Ruch HTTPS, pochodzący od klienta, jest zakańczany (terminowany) na serwerze TMG 2010 i ponownie przez serwer TMG 2010 inicjowany do serwera docelowego. Certyfikaty SSL instalowane mogą być w zależności od konfiguracji na serwerze TMG 2010 i na serwerze WWW (opcjonalnie). Schematycznie działanie funkcjonalności SSL Bridging przedstawia Rys. 2.
.jpg "Funkcjonalność SSL Bridging")
Rys. 2. Funkcjonalność SSL Bridging.
Ruch na serwerze ISA podlega pełnej inspekcji. Takie podejście umożliwia realizację czterech typów konfiguracji. Zestawienie przedstawiono w Tabeli 1.
Tabela 1. Typy ruchu dla funkcjonalności SSL Bridging.
| Ruch klienta do serwera TMG | Ruch TMG do serwera docelowego | Uwagi |
| HTTP | HTTP | To klasyczna reguła publikacji serwera WWW. |
| HTTPS | HTTP | Zabezpiecza wyłącznie komunikację pomiędzy klientem a serwerem TMG. |
| HTTP | HTTPS | Zabezpiecza komunikację pomiędzy serwerem TMG a serwerem WWW. |
| HTTPS | HTTPS | Najczęściej wykorzystywana konfiguracja. Zabezpiecza komunikację zarówno od klienta do serwera TMG, jak i od serwera TMG do docelowego serwera WWW. |
Certyfikaty SSL
Aby móc zabezpieczać komunikację za pomocą certyfikatów SSL, należy je zainstalować w magazynie konta komputera na serwerze TMG 2010. Na Rys. 3. zaprezentowano domyślny magazyn certyfikatów (Personal) na serwerze TMG 2010. Jest on pusty.
.jpg "Magazyn certyfikatów (personalny) konta komputera serwera TMG 2010")
Rys. 3. Magazyn certyfikatów (personalny) konta komputera serwera TMG 2010.
| Uwaga |
| W artykule nie będę prezentował sposobu generacji certyfikatów, zarówno przez jednostki certyfikujące wewnętrzne (korporacyjne), ani przez komercyjne jednostki certyfikujące. Zakładamy, iż administrator posiada certyfikat SSL w formacie .pfx wystawiony na określoną nazwę serwera (certyfikat pojedynczy/ wieloznaczny (wildcard) lub certyfikat typu SAN). |
Aby taki certyfikat importować, należy kliknąć prawym przyciskiem myszy na kontenerze Personal i z menu wybrać All Tasks | Import został przedstawiony na Rys. 4.
.jpg "Import certyfikatu do magazynu certyfikatów (personalnego) konta komputera serwera TMG 2010")
Rys. 4. Import certyfikatu do magazynu certyfikatów (personalnego) konta komputera serwera TMG 2010.
Na Rys. 5. pokazano zaimportowany certyfikat typu wildcard na nazwę *.test.com wystawiony przez wewnętrzną jednostkę certyfikującą TEST-CA.
.jpg "Magazyn certyfikatów (personalny) konta komputera serwera TMG 2010 za zainstalowanym certyfikatem wieloznacznym (Wildcard)")
Rys. 5. Magazyn certyfikatów (personalny) konta komputera serwera TMG 2010 za zainstalowanym certyfikatem wieloznacznym (Wildcard).
Modyfikacje opcji listenera
Jeżeli certyfikat został zainstalowany, można utworzyć nowego listenera i nową regułę publikacji zabezpieczonej serwera Web lub zmodyfikować regułę i listenera już istniejącego. W omawianym scenariuszu należy dokonać modyfikacji już istniejącej reguły i listenera. W lewej części Rys.6. pokazano wygląd zakładki Connections listenera HTTP (obsługiwał on wyłącznie protokół HTTP - port 80). Teraz można również powiązać go z protokołem HTTPS (port 443). Jak widać obie opcje są od siebie niezależne. Po wyborze obsługi SSL dostępne staną się dodatkowe opcje przekierowania protokołu HTTP -> HTTPS.
.jpg "Modyfikacja ustawień listenera, zakładka Connections")
.jpg "Modyfikacja ustawień listenera, zakładka Connections")
Rys. 6. Modyfikacja ustawień listenera, zakładka Connections.
Teraz na zakładce Certificates, pokazanej na Rys. 7., należy powiązać z danym listenerem certyfikat. Prawa część rysunku pokazuje wybrany już certyfikat.
.jpg "Modyfikacja ustawień listenera, zakładka Certificates")
.jpg)
Rys. 7. Modyfikacja ustawień listenera, zakładka Certificates.
Rys. 8. pokazuje okno wyboru certyfikatu z magazynu konta komputera z jednym (ważnym) certyfikatem.
.jpg "Lista certyfikatów widzianych przez TMG 2010")
Rys. 8. Lista certyfikatów widzianych przez TMG 2010.
Certyfikaty mogą przestać być ważne, np. mogą wygasnąć. Nieważny (z dowolnego powodu) certyfikat oznaczany jest jako Invalid. Zmienia się również ikona przy nazwie certyfikatu. Przykłady ważnych i nieważnych certyfikatów prezentuje Rys. 9.
.jpg "Przykładowa lista ważnych i nieważnych certyfikatów")
Rys. 9. Przykładowa lista ważnych i nieważnych certyfikatów.
Modyfikacje reguły publikacji serwera Web
Jeżeli listener, związany z daną reguł obsługuje ruch HTTPS, wówczas w zakładce Traffic – lewa część Rys. 10. - można dodatkowo włączyć powiadamianie użytkowników o konieczności zestawiania ruchu HTTPS, a nie HTTP. W prawej części Rys. 10. zaprezentowany został zmodyfikowany listener powiązany z daną regułą.
.jpg "Modyfikacja ustawień reguły publikacji, zakładka Traffic i Listener")
.jpg "Modyfikacja ustawień reguły publikacji, zakładka Traffic i Listener")
Rys. 10. Modyfikacja ustawień reguły publikacji, zakładka Traffic i Listener.
Jeżeli teraz klient posiada w magazynie certyfikatów jednostek certyfikujących certyfikat jednostki certyfikującej, która wystawiła i podpisała certyfikat witryny Web, do której zestawiona została komunikacja, wówczas połączenie zostanie zestawione prawidłowo – co prezentuje Rys. 11.
.jpg "Weryfikacja reguły publikacji serwera http, zabezpieczonego mechanizmem SSL")
Rys. 11. Weryfikacja reguły publikacji serwera http, zabezpieczonego mechanizmem SSL.
Przechwycony ruch sieciowy – protokół HTTPS kierowany do serwera http://www.test.com prezentuje Rys. 12.
.jpg "Przechwycony ruch HTTPS")
Rys. 12. Przechwycony ruch HTTPS.
W omawianym scenariuszu SSL - zabezpieczana jest wyłącznie komunikacja pomiędzy klientem a serwerem TMG, stąd na przechwyconym ruchu łączymy się z serwerem docelowym 192.168.200 na port 80, czyli po protokole HTTP. Aby zapewnić całkowitą ochronę, należy włączyć obsługę SSL również pomiędzy TMG a serwerem docelowym.
Pełna funkcjonalność SSL bridging
Przełączenie połączenia HTTP na HTTPS, pomiędzy serwerem TMG a serwerem docelowym WEB, konfigurowane jest na zakładce Bridging reguły. W lewej części Rys. 13. ustawienie jest domyślne. W prawej należy dokonać przekierowania (Redirect) na port 443 (port SSL).
.jpg)
.jpg "Modyfikacja ustawień reguły publikacji, zakładka Bridging")
Rys. 13. Modyfikacja ustawień reguły publikacji, zakładka Bridging.
W tej konfiguracji należy zapewnić również poprawność instalacji certyfikatu (i jego ważność) na serwerze docelowym WEB. Poprawność konfiguracji można sprawdzić za pomocą przycisku Test Rule. Poprawnie działającą regułę prezentuje Rys. 14.
.jpg "Test reguły publikacji zabezpieczonej serwera WEB")
Rys. 14. Test reguły publikacji zabezpieczonej serwera WEB.
Rys. 15. przedstawia przechwycony ruch do serwera Web. Tym razem łączymy się z serwerem docelowym 192.168.200 na port 443 czyli po protokole HTTPS. Tego typu rozwiązanie zapewnia pełnię ochrony przed podsłuchem dla funkcjonalności Reverse Proxy serwera TMG 2010.
.jpg "Przechwycony ruch HTTPS")
Rys. 15. Przechwycony ruch HTTPS.
Podsumowanie
W niniejszej części omówiono mechanizm zabezpieczania ruchu do serwerów WEB (tzw. zabezpieczonej publikacji serwerów WEB) z wykorzystaniem certyfikatów SSL i mechanizmu SSL Bridging.
W następnej części omówione zostaną zagadnienia uwierzytelniania dostępu do serwerów WEB.