落岸天使论坛

 找回密码
 注册
搜索
论坛,不要冷落了陌生人新人注册后在此报道,奖励20羽毛:)严肃处理违规灌水行为及处罚办法
参与论坛宣传活动,获得积分勋章奖励知羽艺匠及其他模板资源下载珍惜你的ID 珍惜你的名誉
查看: 1159|回复: 0

[转贴] [技术分享 – TMG 篇] TMG HTTPS 检测:病毒,穿上马甲我也认识你

[复制链接]

53

主题

674

回帖

454

积分

水天使

Rank: 3Rank: 3

积分
454
发表于 2011-3-4 22:04:31 | 显示全部楼层 |阅读模式
1. TMG HTTPS Inspection 介绍
TMG HTTPS Inspection (HTTPS 检测) 可以防止内部客户端访问一些非法的 HTTPS 网站。总体来说是为了避免客户端直接和外部服务器建立 SSL 连接,解决 SSL 加密的内容得不到检查而导致的安全问题。
2. TMG HTTPS Inspection 的处理过程
基本处理过程如下图所示

图1- HTTPS Inspection 处理过程
1) TMG 从配置存储服务器读取配置,包括读取 HTTPS Inspection 所用的 CA 证书。
2) 客户端发起连接 HTTP CONNECT 请求,这对客户端是透明的
3) TMG 与目标服务器建立 SSL 连接。
4) TMG 按照配置服务器证书来进行 HTTPS Inspection,流程如下:
a. 需要阻止站点:发送错误页给客户端;
b. 站点属于例外列表:TMG 关闭与服务器的连接,与客户端建立新的连接,发送”200 Connected” 给客户端。客户端和外部站点直接建立 SSL 连接;
c. 站点检查合法:与客户端建立 SSL 连接。
5) TMG 与客户端建立 SSL 连接。
您可以根据需求来修改 HTTP Inspection 的策略,例如,您可以修改证书有效时间,参见下图。


图2 - 证书检查策略
另外有一些界面上没有的证书检查策略,例如:
证书名字是否匹配
服务器证书是否信任
服务器证书类型(是否是用于服务器验证)
3. 在 TMG 上部署 HTTPS Inspection 客户端容易发生的问题
任何一种安全策略应用到企业内部,都可能引起一些问题,或者收到最终用户的负面反馈, 用户常会抱怨原先一些能正常访问的网站,现在不能访问了。 用户可能认为 HTTPS 的连接是安全的,但殊不知,外部服务器可能使用假冒的服务器证书或者包含恶意代码。
虽然 HTTPS Inspection 能保护内部客户端访问一些 HTTPS 的恶意网站,但它也会引起部署问题。以下列出一些常见问题。
问题1: 客户端访问 HTTPS 网页时,收到 TMG 的报错:The page cannot be displayed - Error Code 502 (Proxy Error) – the certification authority that issued the SSL Server certificate supplied by a destination server is not trusted by the local computer.
原因: 这个问题是由于 TMG 不信任外部 HTTPS 站点的证书。对于大多数使用商业证书的网站,不会发生此类问题。如果需要让用户访问这些网站,TMG 管理员需要导入站点的 CA 证书到 TMG local trusted root certificate store。另外也可以把该站点加入到排除列表中,并设为不作证书检查。
问题2: 客户端访问一个 HTTPS 网站,收到报错:Error Code 502 (Proxy Error) – the name on the SSL server certificate supplied by a destination server does not match the name of the host requested.
原因: 证书名和访问的 URL 名字不匹配,有以下几种情况:
Web 服务器使用了通配符 (例如*.domain.com)
客户端使用IP地址来访问 Web 服务器
TMG 上反向名字解析不匹配 (IP 地址到名字)
TMG 需要进行反向名字解析,来验证证书名是否和访问 URL 匹配。如果反向名字解析失败,TMG 不能完成证书名匹配。 如果客户端确实需要访问这些 HTTPS 站点,可以把域名加到排除列表中,并设为不作证书检查。
问题3: 客户端访问所有的 HTTPS 网站都会出现以下安全提示页面:


图3- Web 站点安全提示
原因:客户端没有信任 TMG 上的 HTTPS Inspection 所用的 CA 证书, 此 CA 证书 (例如:TMG 自签发的证书) 必须在客户端上进行部署,否则客户端不会信任 TMG 的 CA 证书。关于怎样部署 CA 证书,请参考 Deploying the HTTPS inspection trusted root CA certificate to client computers
问题4: 客户端使用 Firefox 浏览器访问所有 HTTPS 站点,会收到以下报错,IE 则不会。


图4- 使用 Firefox 浏览器访问 HTTPS 站点的报错
原因: 一些三方的浏览器,例如 Firefox 有它自己所维护的证书信任列表,而不会使用本地的 Windows 所使用的证书信任列表。 需要参考对应三方浏览器的文档,来导入 TMG 的 CA 证书。
问题5: 客户端在使用 TMG client 来访问 HTTPS 网站,需要弹出以下提示,说明 HTTPS 的网络流量在监控之下。但多次访问同一个 HTTPS 网站,该提示只会出现一次。


图5- TMG client 提示
原因: 默认情况下,该提示会缓存12小时。如果客户端不重启机器,在12小时内,对于同一个 HTTPS 站点只会弹出一次提示。可以在注册表内修改该默认值。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RAT\Stingray\Debug\FwcMgmt]
"FWC_MGMT_HTTPS_TEMPORARY_DISABLED_TIMEOUT"=dword:2932E00
默认值为十六进制2932E00毫秒,等于十进制 43200000 毫秒,等于 12 小时。这是用于 TMG Client 用户界面显示的设置,无需重启服务。
问题6: 访问一个需要客户端证书验证的 HTTPS 站点时,收到以下报错信息:


图6- 访问需要客户端证书验证的 HTTPS 站点时的报错
原因:TMG 不支持访问需要客户端证书验证的 HTTPS 站点,因为 TMG 没有用于验证的客户端证书。需要把该站点加到排除列表中,并设为不做证书检查。
4. 总结
在这片文章中,我们讨论了 TMG 2010 HTTPS Inspection 的基本功能和部署时可能遇到的常见问题。
转译自: http://blogs.technet.com/isablog/archive/2009/10/19/common-problems-while-implementing-https-inspection-on-forefront-tmg-2010-rc.aspx
James Yi
微软安全支持专家

本文来自CSDN博客,转载请标明出处:http://blog.csdn.net/MSSecurity/archive/2010/03/15/5381724.aspx
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|小黑屋|手机版|Archiver|落岸天使论坛

GMT+8, 2024-12-27 16:27 , Processed in 0.109541 second(s), 21 queries .

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表