SSL-Interception

Eine Citrix Secure Web Gateway (SWG) -Appliance, die für das SSL-Interception konfiguriert ist, fungiert als Proxy. Es kann SSL/TLS -Datenverkehr abfangen und entschlüsseln, die unverschlüsselte Anforderung überprüfen und einen Administrator ermöglichen, Compliance-Regeln und Sicherheitsprüfungen durchzusetzen. SSL-Interception verwendet eine Richtlinie, die angibt, welchen Datenverkehr abgefangen, blockiert oder zugelassen werden soll. Beispielsweise darf der Datenverkehr von und zu Finanzwebsites wie Banken nicht abgefangen werden, aber anderer Datenverkehr kann abgefangen werden, und Websites auf der schwarzen Liste können identifiziert und blockiert werden. Citrix empfiehlt, dass Sie eine allgemeine Richtlinie zum Abfangen des Datenverkehrs und spezifischere Richtlinien konfigurieren, um einen bestimmten Datenverkehr zu umgehen.

Der Client und der Citrix SWG-Proxy richten einen HTTPS/TLS -Handshake ein. Der SWG-Proxy richtet einen weiteren HTTPS/TLS -Handshake mit dem Server ein und empfängt das Serverzertifikat. Der Proxy überprüft das Serverzertifikat im Auftrag des Clients und überprüft auch die Gültigkeit des Serverzertifikats mit dem OCSP (Online Certificate Status Protocol). Es generiert das Serverzertifikat neu, signiert es mit dem Schlüssel des auf der Appliance installierten Zertifizierungsstellenzertifikats und stellt es dem Client zur Verfügung. Daher wird ein Zertifikat zwischen dem Client und der Citrix ADC-Appliance und ein anderes Zertifikat zwischen der Appliance und dem Back-End-Server verwendet.

Wichtig

Das Zertifizierungsstellenzertifikat, das zum Signieren des Serverzertifikats verwendet wird, muss auf allen Clientgeräten vorinstalliert sein, damit das regenerierte Serverzertifikat vom Client als vertrauenswürdig eingestuft wird.

Bei abgefangenem HTTPS-Datenverkehr entschlüsselt der SWG-Proxyserver den ausgehenden Datenverkehr, greift auf die Klartext-HTTP-Anforderung zu und kann jede Layer 7-Anwendung verwenden, um den Datenverkehr zu verarbeiten, z. B. indem Sie die Nur-Text-URL betrachten und den Zugriff aufgrund der Unternehmensrichtlinie und der URL-Reputation zulassen oder blockieren. Wenn die Richtlinienentscheidung besteht, den Zugriff auf den Ursprungsserver zu ermöglichen, leitet der Proxy-Server die neu verschlüsselte Anforderung an den Zieldienst (auf dem Ursprungsserver) weiter. Der Proxy entschlüsselt die Antwort vom Ursprungsserver, greift auf die HTTP-Antwort im Klartext zu und wendet optional alle Richtlinien auf die Antwort an. Der Proxy verschlüsselt dann die Antwort erneut und leitet sie an den Client weiter. Wenn die Richtlinienentscheidung darin besteht, die Anforderung an den Ursprungsserver zu blockieren, kann der Proxy eine Fehlerantwort, z. B. HTTP 403, an den Client senden.

Um SSL-Interception durchzuführen, müssen Sie zusätzlich zu dem zuvor konfigurierten Proxyserver Folgendes auf einer SWG-Appliance konfigurieren:

  • SSL-Profil
  • SSL-Richtlinie
  • Zertifizierungsstellenzertifikatspeicher
  • SSL-Fehler Autolearning und Caching

SSL-Interception