Forefront TMG Https Inceleme

HTTPS İnceleme

TMG ile gelen yeni özelliklerden biri olan https inceleme birçok güvenlik duvarının en zayıf noktası olan bir eksikliği ortadan kaldırmaktadır. Birçok güvenlik duvarı yöneticisinin en büyük problemi şifreli kanal olan https in güvenlik duvarları tarafından incelenmeden iletişim sağlaması sebebiyle istemcilerin firma politikalarını kolayca çiğnemelerine sebep olmasıdır. İnternet üzerinde yoğunlukla kullanılan genele açık olan https Proxyleri sayesinde istemciler yasaklı pek çok siteye erişim sağlayabilmektedirler.

SSL ( Secure Socket Layer ) protokolü istemci ile sunucu arasındaki trafiği Sertifikaları kullanarak şifreleyerek güvenliği sağlayan özel bir protokoldür. 

TMG ye kazandırılan Https inceleme özelliği sayesinde TMG sunucunu sertifikasını taklit ederek istemci ile kendisi ve kendisi ile sunucu arasındaki bağlantıyı şifrelemektedir. Bu şekilde TMG üzerinde şifrelemesi açılan Https trafiği kolaylıkla incelenebilmekte ve zararlı içerik tespit edilebilmektedir.

TMG erişilmek istenen sitenin sertifikasını taklit ederken aynı zamanda ulaşılmak istenen sitenin sertifikasının geçerli olduğunu doğrulayarak iletişimin güvenliğini de sağlamaktadır.

Https incelemeyi kullanmadan bilinmesi gerekenler

1.       Https incelemenin uygulandığı kural cache leme özelliğine sahip ise bu trafik TMG üzerinde kayıtlı olacaktır. Önemli verinin disk üzerinde tutulması güvenlik riskleri içermektedir.

2.       TMG nin sahip olduğu sertifika istemcilere kopyalanmalıdır.

3.       TMG küme yapısı ile kullanılıyor ise üye TMG sistemlerin aynı sertifikaya sahip olmaları gerekmektedir.

4.       TMG istemcileri MITM ( Men in the middle ) saldırılarından korumak için Web sunucunun sertifikasını ve istemcinin talebini Windows Crypto API sini kullanarak aşağıda belirtildiği gibi incelemektedir.

a.       İstemcinin talepte bulunduğu URL ile Web sunucunun sertifikasında “ subject “ ve “ subject Alternative names “ alanları birbiriyle uymalıdır.

b.      Sertifika Sunucu kimlik doğrulama için üretilmiş olmalıdır.

c.       Sertifika tarihi geçerli olmalıdır.

d.      Sertifika sağlayıcı geçerli TMG tarafından güvenilir olmalıdır.

e.      CRL (Certificate Revoke List) ulaşılabilir olmalı ve sunucunun sertifikasını içermemelidir.

Https incelemeyi aktif hale getirmek

Https incelemeyi aktif hale getirmek için “ Web Access Policy “ sihirbazı ile yeni kural oluşturmak ya da  “ Tasks “ panelinden “ Configure https inspection “ seçeneklerine ulaşmak gerekmektedir.

“ Configure https inspection “ ile açılan pencerede “ Enable Https inspection “ işaretlenerek https izleme aktif hale getirilebilir.

“ General ” başlıklı bölümde https inceleme aktif hale getirilir ve sertifika ayarları gerçekleştirilebilir.

Enable https inspection: Aşağıda belirtilen ayar ile https inceleme aktif edilmesini sağlayan seçenektir.

Inspect traffic and validate site certificates: Trafiğin incelenmesini ve site sertifikalarının doğrulanmasını sağlar.

Do not inspect traffic, but validate site certificates. Block https traffic if certificate is not valid: Trafiği incelemez fakat site sertifikalarını doğrulamayı sağlar. Aynı zamanda sertifika geçerli değilse trafiği engeller.

Use Forefront TMG to generate a certificate: TMG nin https inceleme yapabilmesi için gerekli olan sertifikanın oluşturulmasını sağlamaktadır.

“ Generate Certificate Now “ seçeneği ile sertifika oluşturulmalıdır. Sertifika oluşturulmadan TMG https inceleme özelliği çalışmayacaktır. “ Expiration “ bölümünde sertifika için kullanım süresi belirtilebilmektedir. “ Never “ seçeneğinin işaretli olması sertifikayı 39 yıl kullanılmak üzere hazırlamaktadır.

Sertifika oluşturma adımı tamamlandıktan sonra oluşturulan sertifika bilgilerine “ Https inspection trusted root CA Certificate options ” butonunda ulaşılabilir.

View Certificate Details: Oluşturulan sertifikanın detaylarının görüntülenmesini sağlamaktadır.

Automaticaly through Active Directory ( recommended ): Sertifikanın etkialanı ile dağıtılmasını sağlamaktadır. TMG etki alanı üyesi ise bu seçenek sayesinden istemcilerin TMG sunucunun sertifikasına güvenmesi kolayca sağlanabilmektedir.

Manually on Each client computer:  Manuel olarak sertifikanın istemcilere kopyalanacağını belirtmektedir. ” .Cer “ uzantısı ile sistemden alınan sertifika istemcilere kopyalanmalıdır.

“ Export to File  “ ile sertifikanın  kaydedilmesi sağlanmaktadır.

Destination Exceptions: Belirtilen sitelerin https inceleme dışında kalmasını sağlayan bölümdür.

Varsayılan olarak ekli olan siteler Microsoft.com, Windows.com ve windowsupdate.com dur. “  Add “ butonunu kullanarak yeni siteler eklenebilir.

Source Exceptions: Belirtilen kaynakların trafiğinin https izlemeye takılmamasını sağlamaktadır.

Certificate Validation: Sertifika doğrulama ile ilgili seçeneklerin olduğu bölümdür.

Block expired certificate after (days): Kullanım zamanı üzerinden belirtilen gün kadar geçtikten sonra iletişimi engellenmesini sağlamaktadır.

Block server certificates that are not yet valid: Henüz geçerli olmayan sertifikaları engelle.
Check for server certificate revocation: Sertifika iptal listelerinin kontrol edilmesini sağlamaktadır. Sertifika sağlayıcıları bu listeleri yayınlarlar TMG bu listeleri okuyarak iptal edilen sertifikalardan bilgi sahibi olabilir.

“ Client Notification “ başlığı istemcilere https trafiğinin incelendiğinin bildirilmesini sağlamaktadır.

Https inceleme için gerekli ayarlar yapıldıktan sonra TMG istemci türü olarak ayarlanan istemci sisteminden Https erişim kurulmaya çalışıldığında web sitesinin sertifikasının güvensiz olduğu mesajı görüntülenecektir.

 “ Bu web sitesinde devam et (önerilmez) “ tıklandığında web sitesine erişim sağlanacak fakat bu kullanıcılar için rahatsız edici bir durum haline dönüşecektir. Bu hata mesajının sebebi TMG sunucuda oluşturulan sertifikanın istemci tarafından güvensiz olarak görülmesidir.

Https inceleme aktif hale getirildiğinde oluşan sertifikayave https inceleme kapalı iken gelen sertifikayı karşılaştırmamız gerekirse iki sertifika arasında fark TMG nin istemci tarafında “ Güvenilir Sertifika Yetkilileri “ listesinde olmamasıdır.

TMG den “ Export “ alınan sertifikanın istemci sertifikalarına eklendiği takdirde bu hata mesajı ortadan kalkacaktır.

İstemcide “ Başlat “ menüsünde bulunan arama çubuğundan “ mmc.exe “ yi çalıştırarak TMG sertifikasının “ import ” eklenmesini sağlanmalıdır.

Açılan “ MMC “ konsolundan “ Dosya > Ek Bileşen Ekle / Kaldır “ seçimi yapılarak açılan pencereden “ Sertifikalar > Kullanıcı hesabım “ seçilir.

Geçerli kullanıcının sertifikalarının görüntülenmesinden sonra “ Güvenilen Kök sertifika Yetkilileri >Sertifikalar > Al “ ile TMG den alınan sertifika bu bölüme eklenir.

Bu aşamadan sonra istemciler TMG nin ürettiği sertifikalara güven duyacağından iletişim kurulan Https (SSL ) sitelerde herhangi bir sertifika hatası almayacaklardır.

Özellikle kurumsal yapılarda kullanıcı ve bilgisayarlara TMG de üretilen sertifikanın yüklenmesi büyük zaman kaybına ve olası problemlere sebep olacaktır. TMG etki alanı yapısı içinde çalışıyor ise CA (Certification Authority) kurularak sertifikanın istemcilere otomatik olarak gönderilmesi sağlanabilir.