Interception SSL

Un dispositif Citrix Secure Web Gateway (SWG) configuré pour l’interception SSL agit comme un proxy. Il peut intercepter et déchiffrer le trafic SSL/TLS, inspecter la demande non chiffrée et permettre à un administrateur d’appliquer les règles de conformité et les contrôles de sécurité. SSL Interception utilise une stratégie qui spécifie le trafic à intercepter, bloquer ou autoriser. Par exemple, le trafic à destination et en provenance de sites Web financiers, tels que les banques, ne doit pas être intercepté, mais d’autres trafic peuvent être interceptés, et les sites sur liste noire peuvent être identifiés et bloqués. Citrix vous recommande de configurer une stratégie générique pour intercepter le trafic et des stratégies plus spécifiques pour contourner le trafic.

Le client et le proxy Citrix SWG établissent une poignée de main HTTPS/TLS. Le proxy SWG établit une autre poignée de main HTTPS/TLS avec le serveur et reçoit le certificat du serveur. Le proxy vérifie le certificat de serveur pour le compte du client et vérifie également la validité du certificat de serveur à l’aide du protocole OCSP (Online Certificate Status Protocol). Il régénère le certificat de serveur, le signe à l’aide de la clé du certificat d’autorité de certification installé sur l’appliance et le présente au client. Par conséquent, un certificat est utilisé entre le client et le dispositif Citrix ADC, et un autre certificat entre l’appliance et le serveur principal.

Important

Le certificat d’autorité de certification utilisé pour signer le certificat de serveur doit être préinstallé sur tous les périphériques clients, de sorte que le certificat de serveur régénéré soit approuvé par le client.

Pour le trafic HTTPS intercepté, le serveur proxy SWG déchiffre le trafic sortant, accède à la requête HTTP en texte clair et peut utiliser n’importe quelle application de couche 7 pour traiter le trafic, par exemple en regardant l’URL en texte brut et en autorisant ou en bloquant l’accès sur la base de la stratégie d’entreprise et de la réputation des URL. Si la décision de stratégie consiste à autoriser l’accès au serveur d’origine, le serveur proxy transmet la demande rechiffrée au service de destination (sur le serveur d’origine). Le proxy décrypte la réponse du serveur d’origine, accède à la réponse HTTP en texte clair et applique éventuellement des stratégies à la réponse. Le proxy recrypte ensuite la réponse et la transmet au client. Si la décision de stratégie consiste à bloquer la demande au serveur d’origine, le proxy peut envoyer une réponse d’erreur, telle que HTTP 403, au client.

Pour effectuer une interception SSL, en plus du serveur proxy configuré antérieurement, vous devez configurer les éléments suivants sur une appliance SWG :

  • Profil SSL
  • Stratégie SSL
  • Magasin de certificats CA
  • Erreur SSL apprentissage automatique et mise en cache

Interception SSL