Sertifika, alan adı ana bilgisayar adını, sahibini ve diğer şeyleri içeren bir veri bloğudur. Sertifika daha sonra sertifikadaki bilgilerin doğru olduğunu garanti eden Sertifika Yetkilisi tarafından kriptografik olarak imzalanır. İmzalama aynı zamanda bir sağlama toplamı işlevi de görür; dolayısıyla sertifikadaki herhangi bir bilgi değiştirilirse imzalama artık geçerli olmaz. İstemci tarayıcısı sertifikaya ve onu imzalayan Sertifika Yetkilisine bakar. Sertifika, bağlanmaya çalıştığı etki alanıyla eşleşiyorsa ve güvendiği bir Sertifika Yetkilisi tarafından imzalanmışsa TLS/SSL anlaşmasını tamamlar. Bundan sonra bağlantının geri kalanı şifrelenir ve istemci, HTTP isteğini gönderir.
Sertifika Yetkilisi (CA), iki farklı anlama gelebilen bir terimdir. Diğer sertifikaları imzalama yeteneğine sahip özel bir sertifika türü anlamına gelebilir. Sertifika Yetkilisi, diğer şirketler için sertifika imzalayabilen bir Sertifika Yetkilisini (bir tür sertifika) kontrol eden bir şirket türünü de ifade edebilir. Birçok CA şirketinin CA sertifikaları tüm tarayıcılarda varsayılan olarak güvenilirdir (genellikle Güvenilen Kök CA veya Genel Kök CA olarak adlandırılır). Bu şekilde, bir kuruluş genel bir CA'ya gidebilir ve tüm tarayıcıların otomatik olarak güvendiği bir CA tarafından imzalanan bir sertifika oluşturmasını sağlayabilir.
Tarayıcınızda https://www.example.com adresine gittiğinizde sertifikayı inceleyebilir ve Sertifika Yetkilisinin imzaladığını görebilirsiniz. Tarayıcınız, Digicert tarafından imzalanan tüm sertifikalara güvenecek şekilde bunu önceden yüklemiştir, dolayısıyla www.example.com'un söylediği kişi olduğuna güvenir. Tarayıcı o web sitesine gitmeyi denediğinde güvenmediği bir kişi tarafından imzalanmış bir sertifika alırsa kullanıcıyı uyarır. Site ayrıca HSTS (HTTP Sıkı Aktarım Güvenliği) adı verilen bir şey kullanıyorsa, uyarı atlayamayacağınız bir uyarı olacaktır.
Güvenlik duvarı, güvenilmeyen bir Sertifika Yetkilisinden oluşturulmuş bir sertifikayla birlikte kurulu olarak gelir ve ana bilgisayar adını bile kapsamaz (çünkü bu, kurulumdan sonra ayarlanır). Bu sertifika, bir istemci güvenlik duvarının kendisinde barındırılan bir sayfaya gittiğinde kullanılır (burada güvenlik duvarının ana bilgisayar adı veya IP'si adres çubuğunda görünür). Çoğu yönetici, doğrudan kurulumdan gelen sertifikayı kullanmak yerine, bir sertifikayı yeniden oluşturmak veya yüklemek isteyecektir. Tarayıcınızın zaten güvendiği bir Sertifika Yetkilisinden sertifika satın alabilirsiniz. Bu sertifika, HTTPS şifre çözme ve tarama yapıyor olsanız da olmasanız da birçok şey için kullanılır.
Güvenlik duvarının web proxy kısmı aynı zamanda ortadaki adam HTTPS şifre çözme ve tarama yaparken kullandığı kendi Sertifika Yetkilisine de sahiptir. Bir tarayıcı https://www.example.com adresine gittiğinde , sertifikaya bakarsanız Sophos CA'nın bunu imzaladığını görürsünüz. Tarayıcı Sophos CA'ya otomatik olarak güvenmediğinden bir uyarı gösterecektir.
Güvenlik duvarı sertifikası ile web proxy'sinin Sertifika Yetkilisinden anında oluşturulan sertifikalar arasındaki farkı anlamak önemlidir. Hiçbir kullanıcının uyarı görmemesi için güvenlik duvarı sertifikası satın alınabilir. Sertifika Yetkilisinden oluşturulan sertifikalar, tarayıcıda güvenlik duvarının Sertifika Yetkilisi kurulu olmadığı (güvenilir) olmadığı sürece kullanıcılara uyarılar sunacaktır.
Sertifika Yetkilileri bir "kök CA" (üst düzey, başkası tarafından imzalanmayan) veya "ara" / "yaprak" CA olabilir. İkincisi sertifikaları imzalayabilir ancak kendisi bir kök CA tarafından imzalanmıştır. Bazen sertifika oluşturma ve imzalama eylemine sertifika verme adı verilir. Bu nedenle belirli bir CA'dan sertifika verildiği söyleniyor. Bazı tarayıcılar aynı zamanda belirli bir CA'nın sertifikayı imzaladığı anlamına gelen "Doğrulayan" ifadesini de kullanır.
HTTPS Şifre Çözme ve Tarama Nedir?
Ortadaki adam, kulak misafiri olan kişinin (istemciye) web sunucusu gibi davranması ve daha sonra bilgileri gerçek web sunucusuna aktarırken istemci gibi davranmasıdır. HTTPS şifre çözme ve taramayı açtığınızda, web proxy'si HTTPS trafiğinin ortadaki adam şifresini çözmeye başlayacaktır.
Web sunucusu ile web proxy arasında bir TLS/SSL oturumu kurulur ve web proxy ile istemci tarayıcısı arasında ikinci bir TLS/SSL oturumu kurulur. Web proxy'si, anında yeni bir sertifika oluşturmak için sunucunun gerçek sertifikasındaki bilgileri kullanacak ve ardından bunu kendi Sertifika Yetkilisini kullanarak imzalayacaktır. Bu yeni sertifika, TLS/SSL anlaşmasıyla istemci tarayıcısına aktarılır. Ana bilgisayar adı, tarayıcının bağlanmaya çalıştığı siteyle eşleşmeyeceğinden web proxy'sinin güvenlik duvarının sertifikasını kullanamayacağını unutmamak önemlidir. Trafiğin şifresini çözemeyeceği için gerçek web sunucusundaki gerçek sertifikayı yeniden kullanamaz. Şifre çözme için kullanabileceği yeni bir sertifika oluşturmalı ve ardından bu sertifikayı imzalatmalıdır.
İstemci tarayıcısı sertifikayı kabul ederse ve TLS/SSL anlaşmasını tamamlarsa, şifreli bağlantı üzerinden web sunucusu olduğunu düşündüğü şeye, ancak gerçekte web proxy'sine bir HTTP isteği gönderir. Proxy, web sitesinin kimliğine bürünür, verilerin şifresini çözer, tarar ve her türlü politikayı uygular. Daha sonra web sunucusuna gönderilecek verileri yeniden şifreler (artık tarayıcıymış gibi davranır). Cevapta da aynı şey oluyor.
İstemci tarayıcısı doğru görünen ancak güvenmediği bir Sertifika Yetkilisi tarafından imzalanmış bir sertifika görürse TLS/SSL anlaşmasını tamamlamaz. Kullanıcılar HTTPS yaparken tarayıcıların güvenlik tasarımından dolayı uyarı alacaktır. HTTPS, kullanıcının haberi olmadan hiç kimsenin konuşmaya kulak misafiri olamayacağı şekilde tasarlanmış ve uygulanmıştır.
Tarayıcılar, yalnızca bu web sitelerine yönelik uyarıları önleyen ek, belirli güvenilir web sitesi sertifikalarına sahip olabilir. Tarayıcılar, sertifikanın güvenilmeyen bir CA tarafından imzalanmasından kaynaklanan uyarıları önleyerek, kendilerine güvenilen ek Sertifika Yetkililerine sahip olabilir. Bu nedenle, bir ağ yöneticisi web proxy'sinin Sertifika Yetkilisini her bilgisayara/tarayıcıya yükleyebilir (güvenebilir); web proxy'si bir sertifika oluşturup bunu CA'sıyla imzaladığında, tarayıcı bu CA'ya güvenir ve bağlantıyı kurar.
HTTPS şifre çözme ve tarama açık olmadığında ve bir istemci tarayıcısı bir web sitesine ilk HTTPS isteğinde bulunduğunda, web tarayıcısı, web sitesinin etki alanı adına sahip SNI bilgileriyle bir TLS/SSL bağlantısı kurmaya başlayacaktır. Örneğin, tarayıcı www.google.com/search adresini isteyebilir , ancak proxy yalnızca www.google.com için SNI ile bir TLS/SSL bağlantısı görecektir. Veya masumsite.com/.malware.exe'yi istiyor olabilir ve proxy yalnızca masumsite.com'u görüyor olabilir. TLS/SSL bağlantısı tamamen kurulduktan ve şifrelenmiş bir tünel oluşturulduktan sonra proxy, içindeki HTTP isteklerini ve yanıtlarını göremez. Bu nedenle yalnızca bağlantı kurulurken SNI'deki etki alanı kategorisine göre bloklama gerçekleştirebilir. İndirilen dosyaların yoluna veya virüs taramasına göre kategorilere ayıramaz veya engelleyemez. İletilen toplam bayt sayısını ve bağlantı süresini biliyor.
HTTPS taramasına ilişkin bazı güvenlik endişeleri nelerdir?
HTTPS şifre çözme, web proxy'sinin artık şifrelenmiş HTTPS trafiğinin içini görebileceği anlamına gelir. Güvenlik duvarına giriş erişimi olan herkes bu trafiği de görebilir. Güvenlik duvarınızda güçlü parolalarınız yoksa, SSH erişimine izin vermezseniz veya güvenlik duvarınızı güvensiz bırakırsanız HTTPS taraması istemcileri daha az güvenli hale getirir. Ancak güvenlik duvarınız güvenli değilse potansiyel saldırganın hedefleri HTTPS trafiğinden çok daha zengindir.
HTTPS şifre çözme, web proxy'sinin bir HTTPS oturumu içindeki yolları göreceği ve günlüğe kaydedeceği anlamına gelir. Bu güvenliği etkilemez ancak gizliliği etkileyebilir. Örneğin bir yönetici, kullanıcılarının Google'da ne aradığını veya bankasında hangi URL'lere gideceklerini görebilir.
Güvenlik duvarının güvenliğinin yanı sıra, HTTPS Taramasını açmak sizi veya istemcilerinizi daha az güvenli hale getirmez.
Web proxy'sindeki AV taraması, istemcideki AV taramasını engelliyor mu?
Uç noktanızda AV taramanız varsa Sophos Güvenlik Duvarını taramak sorun yaratmaz. İki kez taramada herhangi bir sorun yoktur (bunun dışında, daha uzun sürer) ve aslında Sophos Güvenlik Duvarı ve UTM web proxy'si içindeki iki bağımsız AV tarayıcısını özel olarak açabilirsiniz . Bazı insanlar, iki farklı tarama sağlayıcısının daha iyi olduğu konseptiyle web proxy'sinde Avira motoruyla ve ardından uç noktada Sophos AV ile Tek Tarama'yı tercih eder. Diğer satıcıların uç nokta AV yazılımına sahip kişiler, web proxy üzerinde Sophos AV'yi kullanmayı tercih ediyor. Bazı yargı bölgeleri ve düzenlemeler ikili tarama gerektirir.
Her cihazı yönettiğiniz sıkı bir şekilde kontrol edilen bir ağınız olmadığı sürece, her cihazın bir virüs tarayıcısına sahip olduğunun garantisi yoktur. Bu nedenle, güvenlik duvarındaki web proxy'sinde virüs taraması yapmak iyi bir şeydir.
Bazı uygulamalarda, web sitelerinde ve cihazlarda virüs taramasıyla ilgili sorunlar veya virüs taramasının parçası olan korumaların trafiğe müdahale ettiği durumlar vardır. Örnek olarak kısmi dosyalara yönelik web istekleri verilebilir. Bunlar doğru şekilde virüs taramasından geçirilemez ve bu nedenle engellenir (UTM ve Sophos Güvenlik Duvarı proxy modunda). Kısmi dosyalar için web isteklerinde bulunan belirli uygulamalarınız veya siteleriniz varsa, söz konusu trafik için virüs tarayıcısını kapatan bir istisnaya ihtiyacınız vardır.
Yönetici, belirli kaynaklar veya hedefler için virüs taramasını önleyen web istisnaları oluşturabilir. Ayrıca web istisnalarını ( Sophos Güvenlik Duvarı ve UTM), web profillerini (UTM), güvenlik duvarı kurallarını ( Sophos Güvenlik Duvarı ) veya SSL/TLS inceleme kurallarını ( Sophos Güvenlik Duvarı ) kullanarak belirli trafik için HTTPS şifre çözmeyi kapatarak HTTPS trafiğindeki virüs taramasını da kapatabilirler . ). Ayrıca belirli web trafiğinin web proxy üzerinden geçmemesine de neden olabilirler (UTM'de bu şeffaf mod atlama listesidir; Sophos Güvenlik Duvarı'nda ise daha yüksek seviyeli bir güvenlik duvarı kuralıdır).
HTTPS Şifre Çözme ve Taramayı etkinleştirmenin etkileri nelerdir?
HTTPS Şifre Çözme ve Tarama'yı kullanıp kullanmayacağınıza karar vermeye çalışırken göz önünde bulundurmanız gereken bazı noktalar şunlardır:
| Özellik | Şifre çözme gereksinimleri |
|---|
| Kategorilerin engellenmesi |
Daha ince ayrıntılar vermesine rağmen HTTPS şifre çözme gerekli değildir. |
| Dosya tipinin engellenmesi |
HTTPS şifre çözme gereklidir (yalnızca HTTP sınırlı koruma sağlar). |
| Virüslerin engellenmesi |
HTTPS şifre çözme gereklidir (yalnızca HTTP sınırlı koruma sağlar). |
| Kum fırtınası |
HTTPS şifre çözme gereklidir (yalnızca HTTP sınırlı koruma sağlar). |
| İçerik Filtreleri |
HTTPS şifre çözme gereklidir (yalnızca HTTP sınırlı koruma sağlar). |
| Gelişmiş Tehdit Koruması |
HTTPS şifre çözme gereklidir (yalnızca HTTP sınırlı koruma sağlar). |
| Google Apps için Girişleri Kısıtla |
HTTPS şifre çözme gerekli. |
| Uygulama kontrolü |
Bazı uygulamalar için HTTPS şifre çözme gerekli değildir, ancak diğerleri için gereklidir.
|
| Raporlama |
Daha ince ayrıntılar vermesine rağmen HTTPS şifre çözme gerekli değildir. |
| Pharming Koruması |
HTTPS şifre çözme gerekli değildir. |
| Arama Motoru Güvenli Arama ve YouTube Kısıtlamaları |
HTTPS şifre çözme gerekli değildir. |
Bazı bilgisayarlarda ve cihazlarda, koruma da sağlayabilecek uç nokta yazılımı yüklü olacaktır, ancak HTTPS ve güvenlik duvarında virüs taraması, tüm cihazlar için tüm trafiğin tarandığından emin olmanın tek yoludur.
Ancak dikkate alınması gereken bir denge var:
Web proxy'si iki ana amaç için kullanılır: Organizasyon politikasının uygulanması (Yetişkinlere yönelik sitelerin ziyaret edilmemesi) ve güvenlik (tüm trafiğin virüs taraması) ve bazen bunların bir karışımı (herhangi bir uygulamanın indirilmemesi). Proxy'yi kullanma amacınız ve bu yaptırıma ne kadar güçlü bir şekilde ihtiyaç duyduğunuz, kararınızı etkileyecektir. En önemli şey kategoriye dayalı politikalar ise HTTPS taramasından vazgeçebilirsiniz. En önemli şey güvenlikse, buna ihtiyacınız olma olasılığı daha yüksektir.
Bazı ağ bölümlerine HTTPS taramasıyla, diğerlerine ise tarama olmadan sahip olabilirsiniz. Örneğin, kablolu bilgisayarların HTTPS taraması yapmasını, kurumsal cihazlar için kurumsal erişime sahip bir kablosuz ağın HTTPS taraması yapmasını ve HTTPS taraması olmayan bir konuk kablosuz ağını sağlayabilirsiniz. Ayrıca farklı ağ segmentlerinin farklı web politikalarına ve farklı web sitesi kategorilerine erişimine sahip olabilirsiniz. Proxy modundaki Sophos Güvenlik Duvarı bunu birden fazla güvenlik duvarı kuralıyla yapılandırır. SSL/TLS denetim kurallarına sahip Sophos Güvenlik Duvarı DPI modunda , UTM'deyken bu, birden fazla Web Filtreleme Profili ile yapılandırılır.
Her bilgisayar Active Directory'ye bağlıysa, sertifikaları ve Sertifika Yetkililerini bu bilgisayarlara göndermek için AD kullanılabilir ve bu da dağıtımı kolaylaştırır.
Her mobil cihazın kurumsal kontrol yazılımı varsa, sertifikaları ve Sertifika Yetkililerini bu cihazlara göndererek dağıtımı kolaylaştırabilirsiniz.
Kurumsal olarak yönetilmeyen BYOD cihazlarınız varsa cihaza Sertifika Yetkilisi yerleştirmek zordur. Bununla birlikte, üzerlerinde antivirüs yazılımı bulundurma olasılıkları daha düşüktür ve dolayısıyla kötü amaçlı yazılım indirme veya halihazırda kötü amaçlı yazılım içerme olasılıkları daha yüksektir. HTTPS Şifre Çözme ve Taramadan bağımsız olarak, muhtemelen bunları kurumsal ağınızın geri kalanıyla aynı ağ kesiminde bulundurmamalı veya kurumsal ağınıza erişim vermemelisiniz. Bunları ayrı bir misafir ağına koymak daha iyidir.
Hücresel ağa bağlanan herhangi bir mobil cihaz, mobil veriler aracılığıyla bağlanarak mevcut web proxy kontrollerinizi atlayabilir. Ancak Wi-Fi bağlantısında ve kurumsal LAN'da olmadıkları için ağınız için güvenlik riski oluşturma olasılıkları daha düşüktür, yalnızca kendileri için.
Her yönetici, politikaya uymayan trafiği engelleyerek ve kötü amaçlı yazılımları, her cihaza bir CA dağıtma gibi ek yönetim işlerine karşı koruyarak, kullanıcı eylemlerine ilişkin öngörü ihtiyacını dengelemelidir.
Dikkat edilmesi gereken bir diğer husus, dünya çapında giderek daha fazla sayıda web sitesinin HTTPS kullanması ve HTTPS sitelerinin sayısının da giderek artmasıdır. Her yıl şifrelenen web trafiğinin yüzdesi artıyor. Uzun vadede, HTTPS şifre çözme işleminin yapılmaması, trafiğin giderek daha azının taranacağı anlamına gelecektir.
Son olarak, HTTPS şifre çözme işlemi daha fazla CPU kaynağı gerektirir. HTTPS şifre çözme işlemiyle maksimum web verimi düşecektir. Ancak bu büyük ölçüde donanımınıza, kullanıcı sayısına, etkinleştirilen özelliklere ve diğer birçok faktöre bağlıdır.