HTTPS İnceleme
TMG ile gelen yeni özelliklerden biri olan https inceleme
birçok güvenlik duvarının en zayıf noktası olan bir eksikliği ortadan
kaldırmaktadır. Birçok güvenlik duvarı yöneticisinin en büyük problemi şifreli
kanal olan https in güvenlik duvarları tarafından incelenmeden iletişim
sağlaması sebebiyle istemcilerin firma politikalarını kolayca çiğnemelerine
sebep olmasıdır. İnternet üzerinde yoğunlukla kullanılan genele açık olan https
Proxyleri sayesinde istemciler yasaklı pek çok siteye erişim
sağlayabilmektedirler.
SSL ( Secure Socket Layer ) protokolü istemci ile sunucu
arasındaki trafiği Sertifikaları kullanarak şifreleyerek güvenliği sağlayan
özel bir protokoldür.
TMG ye kazandırılan Https inceleme özelliği sayesinde TMG
sunucunu sertifikasını taklit ederek istemci ile kendisi ve kendisi ile sunucu
arasındaki bağlantıyı şifrelemektedir. Bu şekilde TMG üzerinde şifrelemesi açılan
Https trafiği kolaylıkla incelenebilmekte ve zararlı içerik tespit
edilebilmektedir.
TMG erişilmek istenen sitenin sertifikasını taklit ederken
aynı zamanda ulaşılmak istenen sitenin sertifikasının geçerli olduğunu
doğrulayarak iletişimin güvenliğini de sağlamaktadır.
Https incelemeyi
kullanmadan bilinmesi gerekenler
1.
Https incelemenin uygulandığı kural cache leme
özelliğine sahip ise bu trafik TMG üzerinde kayıtlı olacaktır. Önemli verinin
disk üzerinde tutulması güvenlik riskleri içermektedir.
2.
TMG nin sahip olduğu sertifika istemcilere
kopyalanmalıdır.
3.
TMG küme yapısı ile kullanılıyor ise üye TMG
sistemlerin aynı sertifikaya sahip olmaları gerekmektedir.
4.
TMG istemcileri MITM ( Men in the middle )
saldırılarından korumak için Web sunucunun sertifikasını ve istemcinin talebini
Windows Crypto API sini kullanarak aşağıda belirtildiği gibi incelemektedir.
a.
İstemcinin talepte bulunduğu URL ile Web
sunucunun sertifikasında “ subject “
ve “ subject Alternative names “ alanları
birbiriyle uymalıdır.
b.
Sertifika Sunucu kimlik doğrulama için üretilmiş
olmalıdır.
c.
Sertifika tarihi geçerli olmalıdır.
d.
Sertifika sağlayıcı geçerli TMG tarafından
güvenilir olmalıdır.
e.
CRL (Certificate Revoke List) ulaşılabilir
olmalı ve sunucunun sertifikasını içermemelidir.
Https incelemeyi
aktif hale getirmek
Https incelemeyi aktif hale getirmek için “ Web Access Policy “ sihirbazı ile yeni kural oluşturmak ya da “
Tasks “ panelinden “ Configure https
inspection “ seçeneklerine ulaşmak gerekmektedir.
“ Configure https
inspection “ ile açılan pencerede “
Enable Https inspection “ işaretlenerek https izleme aktif hale
getirilebilir.
“ General ” başlıklı
bölümde https inceleme aktif hale getirilir ve sertifika ayarları
gerçekleştirilebilir.
Enable https
inspection: Aşağıda belirtilen ayar ile https inceleme aktif edilmesini
sağlayan seçenektir.
Inspect traffic and validate site
certificates: Trafiğin incelenmesini ve site sertifikalarının
doğrulanmasını sağlar.
Do not inspect traffic, but validate
site certificates. Block https traffic if certificate is not valid: Trafiği
incelemez fakat site sertifikalarını doğrulamayı sağlar. Aynı zamanda sertifika
geçerli değilse trafiği engeller.
Use Forefront TMG to
generate a certificate: TMG nin https inceleme yapabilmesi için gerekli
olan sertifikanın oluşturulmasını sağlamaktadır.
“ Generate
Certificate Now “ seçeneği ile sertifika oluşturulmalıdır. Sertifika
oluşturulmadan TMG https inceleme özelliği çalışmayacaktır. “ Expiration “ bölümünde sertifika için
kullanım süresi belirtilebilmektedir. “
Never “ seçeneğinin işaretli olması sertifikayı 39 yıl kullanılmak üzere
hazırlamaktadır.
Sertifika oluşturma adımı tamamlandıktan sonra oluşturulan
sertifika bilgilerine “ Https inspection
trusted root CA Certificate options ” butonunda ulaşılabilir.
View Certificate Details: Oluşturulan sertifikanın detaylarının
görüntülenmesini sağlamaktadır.
Automaticaly through Active Directory (
recommended ): Sertifikanın etkialanı ile dağıtılmasını sağlamaktadır. TMG
etki alanı üyesi ise bu seçenek sayesinden istemcilerin TMG sunucunun
sertifikasına güvenmesi kolayca sağlanabilmektedir.
Manually on Each client computer: Manuel
olarak sertifikanın istemcilere kopyalanacağını belirtmektedir. ” .Cer “ uzantısı ile sistemden alınan
sertifika istemcilere kopyalanmalıdır.
“ Export to File
“ ile sertifikanın kaydedilmesi sağlanmaktadır.
Destination Exceptions: Belirtilen sitelerin https inceleme dışında kalmasını
sağlayan bölümdür.
Varsayılan olarak ekli olan siteler Microsoft.com,
Windows.com ve windowsupdate.com dur.
“ Add “ butonunu kullanarak yeni
siteler eklenebilir.
Source Exceptions: Belirtilen
kaynakların trafiğinin https izlemeye takılmamasını sağlamaktadır.
Certificate
Validation: Sertifika doğrulama ile ilgili seçeneklerin olduğu bölümdür.
Block server certificates that are not
yet valid: Henüz geçerli olmayan sertifikaları engelle.
Check for server certificate revocation: Sertifika iptal listelerinin kontrol edilmesini sağlamaktadır. Sertifika sağlayıcıları bu listeleri yayınlarlar TMG bu listeleri okuyarak iptal edilen sertifikalardan bilgi sahibi olabilir.
Check for server certificate revocation: Sertifika iptal listelerinin kontrol edilmesini sağlamaktadır. Sertifika sağlayıcıları bu listeleri yayınlarlar TMG bu listeleri okuyarak iptal edilen sertifikalardan bilgi sahibi olabilir.
“ Client Notification
“ başlığı istemcilere https trafiğinin incelendiğinin bildirilmesini
sağlamaktadır.
Https inceleme için gerekli ayarlar yapıldıktan sonra TMG
istemci türü olarak ayarlanan istemci sisteminden Https erişim kurulmaya
çalışıldığında web sitesinin sertifikasının güvensiz olduğu mesajı
görüntülenecektir.
“ Bu web sitesinde
devam et (önerilmez) “ tıklandığında web sitesine erişim sağlanacak fakat
bu kullanıcılar için rahatsız edici bir durum haline dönüşecektir. Bu hata
mesajının sebebi TMG sunucuda oluşturulan sertifikanın istemci tarafından
güvensiz olarak görülmesidir.
Https inceleme aktif hale getirildiğinde oluşan sertifikayave https inceleme kapalı
iken gelen sertifikayı karşılaştırmamız gerekirse iki sertifika arasında fark TMG nin istemci
tarafında “ Güvenilir Sertifika
Yetkilileri “ listesinde olmamasıdır.
TMG den “ Export “ alınan sertifikanın istemci sertifikalarına eklendiği takdirde bu
hata mesajı ortadan kalkacaktır.
İstemcide “ Başlat “
menüsünde bulunan arama çubuğundan “
mmc.exe “ yi çalıştırarak TMG sertifikasının “ import ” eklenmesini sağlanmalıdır.
Açılan “ MMC “
konsolundan “ Dosya > Ek Bileşen Ekle
/ Kaldır “ seçimi yapılarak açılan pencereden “ Sertifikalar > Kullanıcı hesabım “ seçilir.
Geçerli kullanıcının sertifikalarının görüntülenmesinden
sonra “ Güvenilen Kök sertifika Yetkilileri >Sertifikalar > Al “ ile TMG
den alınan sertifika bu bölüme eklenir.
Bu aşamadan sonra istemciler TMG nin ürettiği sertifikalara
güven duyacağından iletişim kurulan Https (SSL ) sitelerde herhangi bir
sertifika hatası almayacaklardır.
Özellikle kurumsal yapılarda kullanıcı ve bilgisayarlara TMG de üretilen sertifikanın yüklenmesi büyük zaman kaybına ve olası problemlere sebep olacaktır. TMG etki alanı yapısı içinde çalışıyor ise CA (Certification Authority) kurularak sertifikanın istemcilere otomatik olarak gönderilmesi sağlanabilir.
