Использование прокси в прозрачном режиме с расшифровыванием.


Когда вы включаете прозрачный режим, система фокусируется на сетевые пакеты использующие протокол TCP  в направлении порта 80.

Это говорит о том, что все запросы на порт 443 не обрабатываются прокси а также, никакой фильтрации не происходит, в этом случае прокси не регистрирует проходяшие события.

Эта инициатива используется по умолчанию, поскольку обработку потока SSL необходимо обсудить:

Расшифровывание с помощью прокси не будет безболезненным

Как мы уже и говорили, что бы использовать расшифровывание, нужно что бы прокси находился в нутри потока.
Когда вы обращаетесь с помощью браузера к сайту который исользует SSL , прокси возмет на себя роль, чтобы страница не генерировала ошибку сертификата.
Без этого функционала вы увидете ошибку о том, что есть проблема с сертификатом, тоесть что он не относится к этому сайту.

16-10-2014 18-28-57

В примере использование страницы facebook.

Что в следущий раз небыло этой ошибки, нужно установить сертификат.

Все сайты будут расшифрованы !

В режиме “Connected”, фронтальный прокси получает запрос по протоколу HTTPS для дальнейшей передачи. Даже если он не в состоянии просматривать содержимое протокола, он несет ответственность для выполнения перенаправления TCP.
Таким образом, в отличие от прозрачного режима, режим онлайн является гораздо более гибким. В этом случае можно выбрать какие сайты могут быть расшифрованы или нет (см селективного расшифровки SSL).
Прозрачный режим SSL автоматически вынужден прослушивать поток TCP и лечить его. Таким образом, все сайты без исключения будут расшифрованы.

Какие есть минусы !

На самом деле, некоторые сайты проверяю сертификат, полученный в браузере, чтобы убедиться в его правильности.С этой проверкой вы можете иметь затруднения для правильного отображения страницы.
Вы можете заметите, что банковские сайты можно будет посетить.
Чтобы преодолеть эту возможность, правила брандмауэра могут быть настроены в Артика для запрета выбора отдельных пакетов конкретных сайтов.
Хотя эта функция решает проблему, это будет ваша ответственность, чтобы сохранить список сайтов и удалить расшифровку в прозрачном режиме.

Как настроить

В верхнем меню “сервисы прокси” нажмите на иконку Прозрачность “Transparent”

16-10-2014 22-39-33

  • Нажмите на закладку “Déchiffrement SSL“.
  • Переведите в зеленый режим “Activer l’interception SSL”.
  • Нажмите подтвердить “Appliquer

16-10-2014 22-40-17

  • Как только вся процедура будет проделана, все пакеты буду отправлены на расшифровку.

 

Сетевые параметры.

  • Выбрать закладку сетевые параметры.
  • По умолчанию в таблице вы увидите, что все пакеты в направлении портов 80 и 443 проходят через прокси.

16-10-2014 22-52-32

  • Эта таблица позволяет управлять правилами в качестве межсетевого экрана для выявления источников или назначения, которые проходят через прокси-сервер.
  • При создании правила, не забудьте отключить флажок “Прозрачный”, чтобы точно указать, что он не проходит через прокси-сервер.

16-10-2014 23-04-04

  • Таким образом, в нашем примере, impots.gouv.fr не подключен к прокси-сервер и пакеты проходят без перехвата.

16-10-2014 23-06-00

 

Leave a Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>