decodifica del traffico di rete con dispositivi proxy

0

In che modo la decrittografia dei dati viene gestita con i dispositivi proxy nelle reti perimetrali (DMZ) nelle aziende? Supponiamo di ospitare centinaia di siti Web sui nostri server DMZ, in che modo possiamo decodificare i dati o persino autenticare prima il server sul client esterno che si collega da Internet? Non riesco a immaginare che Symantec, GoDady ecc. Ci fornirà una CA root per il nostro dispositivo proxy per la dimissione del certificato, quindi come può un proxy utilizzato in tali casi?

    
posta adam86 01.01.2018 - 18:19
fonte

1 risposta

1

La CA non ti fornirà un certificato per un proxy. Inoltre, non forniranno un certificato per un server specifico. Ti forniranno semplicemente un certificato che corrisponde a un nome host specifico (o a più nomi). Il luogo in cui utilizzi questo certificato spetta a te (alcuni CA potrebbero limitare questo). Si potrebbe anche utilizzare lo stesso certificato su più sistemi.

Ciò significa che è possibile utilizzare lo stesso certificato sia sul proxy che sul server finale, ovvero chiudere il traffico TLS al proxy e quindi avere un'altra connessione TLS con lo stesso certificato al server reale. Ma puoi anche terminare il traffico TLS al proxy con il certificato emesso dalla CA pubblica e quindi utilizzare un certificato diverso per il real server usando la tua PKI che è considerata affidabile dal tuo proxy. Oppure, se la connessione al server reale dal proxy viene considerata protetta con altri mezzi (come IPSec), puoi anche utilizzare il traffico normale senza TLS per connettersi dal proxy al server reale.

Terminando la connessione TLS nel proxy il proxy ha accesso al testo semplice e può anche apportare modifiche al traffico, come richiedere l'autenticazione, filtrare il traffico in un WAF ecc.

    
risposta data 01.01.2018 - 18:33
fonte

Leggi altre domande sui tag