HTTPS Inspection

  • Article

Günümüz web trafiginde HTTPS gittikçe daha fazla kullaniliyor ve HTTPS trafigi üzerinde malware inspection önem kazaniyor.

Bu anlamda, TMG 2010’ un HTTPS Inspection özelligi devreye giriyor.

 

HTTPS Inspection sirasinda client ile TMG arasinda gerçeklesen trafik su sekilde:

1.Client istegi (https://www.domain.com)  TMG server’ a gönderir.

2.TMG HTTPS site’ a baglanir, TMG ile site arasinda HTTPS tünel olusturulur.

3.TMG, Web server’ dan aldigi sertifikayi dogrular (expiration, trust, vs…)

4.TMG, web server sertifkasini üzerinde bulunan TMG HTTPS Inspection root sertifikasi ile duplicate eder ve client’ a gönderir. TMG server, client için artik web server’ dir ve bu sertifikayi web server sertifikasi olarak düsünür. (Client tarafinda TMG HTTPS Inspection root sertifikasi bulunmalidir). TMG server, web server ile client arasinda MITM (Man In The Middle) olarak çalisir.

 image image

 

5.Client baglantiyi yaptiktan sonra, TMG client vasitasiyla Inspection ile ilgili notifikasyon alir (Eger client ve server tarafinda konfigürasyon yapildi ise).

imageimage

image 

image

 

* HTTPS Inspection konfigürasyonu için 2 opsiyon mevcuttur:

i) "HTTPS Inspection" + "Certificate validation"

ii) Sadece "Certificate validation"

Bu iki konfigürasyondan birinin seçilmesi durumunda "destination exception" mekanizmasinin nasil çalistigi asagida listelenmistir.  Destination exceptions' a girilen deger, web server sertifikasinin "Issued To" alaninda bulunan deger olmalidir.  

Inspected Traffic kolonu 1. opsiyonun seçildigi, "Sites exluded from https inspection with certifcate validation" ve "Sites exluded from https inspection without certifcate validation" kolonlari ise 2. opsiyonun seçildigi durumlari ifade eder.

- 3 durumda da sertifkanin server authentication için olup olmadigi kontrol edilir. (Eligible for server authentication)

- Certificate Expiration ve Revocation sadece trafik inspected oldugunda yapilir.

- Certificate Name mismatch (subject name kontrolü) ve trust kontrolü sadece 3. durumda (no certificate validation) yapilmaz. 

 

image

* Source address exception mekanizmasinda Certificate Expiration, Revocation, Name mismatch  ve trust kontrolleri yapilir. TMG 2010 SP1' in çikisi ile bu davranisin degismesi beklenmektedir (Certicate validation ile ilgili kontrollerin yapilmamasi).