Come funzionano insieme l'ispezione di Lync e SSL?

6

La whitelist di tutti i nomi di host di Lync è macchinosa. La disattivazione globale dell'ispezione SSL non è auspicabile.

In un luogo per cui lavoro, hanno l'ispezione SSL abilitata sul loro proxy. Tutto il traffico verso Internet deve passare attraverso questo server proxy.

Il più delle volte, non è un problema, tranne quando si tratta di Lync. Questa azienda ha scelto di essere federata con tutti .

Ora, quando proviamo a stabilire conferenze, lavagna, condivisione desktop con aziende esterne, di solito fallisce.

Quando tracciamo il traffico, siamo stati in grado di individuare gli hostname utilizzati per il traffico Lync e li abbiamo esclusi dall'ispezione SSL.

Ora, il problema è che questo era solo per un'azienda. E probabilmente dovremo rifarlo per un altro. E un altro e un altro ... Poiché ogni azienda ha la propria infrastruttura Lync e nomi host per i servizi Lync.

Ciò mi dà l'impressione che Lync stia costringendo alcune aziende a disattivare l'ispezione SSL a livello globale, in quanto l'utente richiede Lync e il lavoro manuale richiesto per esentare i siti dall'ispezione è troppo grande.

Sicuramente c'è un modo migliore?

Mentre questa è una domanda aperta su come gestisci questa situazione, alcune soluzioni sono migliori di altre. I KB ufficiali di Lync e i fornitori di proxy dicono lo stesso: devi autorizzare gli host di Lync. Ma ignorano che ci sono molti di loro là fuori.

Quindi, per favore, se hai una soluzione migliore, pubblicala come risposta sotto.

Sfondo

E vorrei aggiungere i motivi per cui l'ispezione SSL non funziona:

  1. Lync non parla SSL standard
  2. Lync consente solo i certificati originati dai server Lync. (Certificato / blocco chiave pubblica). Ignora le CA attendibili installate sui computer client, pertanto il certificato emesso dal proxy non è valido per Lync.
posta Dog eat cat world 13.11.2015 - 09:47
fonte

1 risposta

2

Se i fatti menzionati nella sezione Sfondo sono veri, non c'è altro modo per farlo funzionare. Se un'applicazione client cerca una firma specifica, non puoi usare il tuo proxy.

Penso che il modo migliore per gestirlo sia scrivere uno script che identifica i server Lync e aggiungerlo all'elenco di esenti.

    
risposta data 03.04.2016 - 00:55
fonte

Leggi altre domande sui tag