Websense Content Gateway HTTPS tarama konfigurasyonu Ultasurf ve benzeri programların HTTPS tarama sayesinde bloklanması
Amaç Websense’in proxy tabanli cozumu Web Content Gateway’in özellikleri arasında FTP ve HTTPS servisleri için de vekil sunuculuk yapma özellikleri bulunmaktadır. Bu dokumanda Websense Content Gateway’in HTTPS trafiğini de filtreleyecek şekilde ayarlanması, HTTPS trafiğinin de Websense Gateway’e yönlenecek şekilde ayarlanması için değişik seçenekler, kullanıcı tarafında HTTPS trafiğinin yönlendirilmesinin transparan olması için yapılacak ayarlar, ve son olarak bu ayarlar kullanılarak HTTPS portu üzerinden protocol standartları dışında dışarıya erişim kurarak genel filtreleme çözümlerini atlatan Ultrasurf gibi programların Websense HTTPS taraması ve güvenlik cihazlarında yapılacak konfigurasyonlar sayesinde bloklanması anlatılacaktır. Künye Başlık Hazırlayan
Websense Content Gateway HTTPS tarama konfigurasyonu Barikat
Tarih
12/2009
Versiyon
1.1
İlgili Ürünler
Websense/Web Security v7
Anahtar Kelimeler
Websense, gateway, https , proxy, proxy atlatma, ultrasurf
İlgili Sorular
Websense’te https tarama konfigurasyonunu nasıl yaparım? Ultrasurf’u nasıl bloklarım? Konfigurasyon
Tür
Barikat İnternet Güvenliği Bilişim Tic.Ltd.Şti. © 2009 Tüm Hakları Saklıdır
Websense Content Gateway HTTPS tarama konfigurasyonu Ultasurf ve benzeri programların HTTPS tarama sayesinde bloklanması
İçindekiler Amaç ..............................................................................................................................................................................1 Konfigurasyon ................................................................................................................................................................2 I – Content Gateway üzerinde HTTPS ayarları ...........................................................................................................2 HTTPS taramanın aktive edilmesi ..........................................................................................................................2 HTTPS sertifikasının oluşturulması, yüklenmesi ....................................................................................................3 II – Kullanıcı Proxy Ayarları ........................................................................................................................................6 Web tarayıcılarda proxy ayarlarının değiştirilmesi ................................................................................................6 III - Ultrasurf bloklanması ..........................................................................................................................................8 Sonuç .............................................................................................................................................................................9 Özet ...............................................................................................................................................................................9 Ekstra Kaynaklar ............................................................................................................................................................9
Konfigurasyon I – Content Gateway üzerinde HTTPS ayarları HTTPS taramanın aktive edilmesi Standart kurulumda Websense Content Gateway, HTTPS trafiği için vekil sunuculuk yapmayacak şekilde ayarlanmıştır. Bu ayarın manuel olarak seçilip active edilmesi işlemi kısa bir işlemdir: 1) https://:8081 ile sisteme bağlanın a. Not: 8081 portu varsayılan ayarlar ile gelen admin portudur. Kurulum sırasında bunu değiştirmiş olmanız durumunda, yine varsayılan olarak “proxy port+1” girmeniz yeterli olabilir. 2) Configure->Basic->My Proxy menüsünde Features->Protocols->HTTPS seçeneğini “on” duruma getirin.
2
Şekil 1 – HTTPS ayarının seçilmesi
3) Bu işlem sonrasında aşağıdaki şekilde Content Gateway servislerini tekrardan başlatmamız istenir: “Note: Restart required for the marked fields below (*).”
Şekil 2 – Baştan başlatma uyarısı
4) Configure->Basic->Restart butonuna basarak servisleri tekrar başlatın 5) GUI ekranı tekrar geldiğinde Configure-> Protocols->HTTPS seçeneği görünür durumdadır. Burada Content Gateway’in hizmet vereceği port’un belirtilmesi mümkündür. Varsayılan olarak 8070 portundan hizmet vermektedir. Gerekli görülürse bu port değiştirilebilir. HTTPS sertifikasının oluşturulması, yüklenmesi Yukarıdaki adımlardan sonra HTTPS sitelerin de Websense tarafından filtrelenmesi mümkündür. Ancak bu konfigurasyon ayarları ile bağlanılmaya çalışıldığında, Web tarayıcımız bizi trafiğin güvenilmeyen bir sertifika otoritesi tarafından sertifikalandırıldığını gösterir bir ekranla uyarır:
3
Şekil 3 – Internet Explorer Sertifika Uyarı ekranı
Bu uyarının sebebi, tarayıcının kullanıcı ile sunucu arasına girerek kendi üzerinden bağlantıyı gerçekleştirdiğini farketmesidir. Normal bir durumda bu , aradaki bağlantının bir güvenlik açığı olabileceğine işarettir. Bizim durumumuzda ise, HTTPS trafiğini incelemek için bu yönlendirmeyi bizzat yapmış olmamız sebebiyle, bu ekranın gözükmesi normaldir. Yine de, her seferinde bu sertifika uyarı ekranının gözükmesi yerine, kurum bilgisayarlarına Websense makinasının güvenilir bir sertifika otoritesi olarak tanımlanması ile trafiğin transparan olarak incelenmesi daha akıcı bir hal alabilir. Bu adımın gerçekleştirilmesi için Websense üzerinde üretilen – veya kurumun kendisine ait olan – sertifikaların kullanıcı bilgisayarlarında güvenilir olarak tanımlanması gerekmektedir: Websense üzerinde kök sertifika üretilmesi için: 1) https://:8081 ile sisteme bağlanın 2) Configure->SSL->Internal Root CA ekranına gelin 3) Create Root CA tabında Websense üzerinde kullanılacak olan kök sertifikasını oluşturabilirsiniz.
4
Şekil 4 – Websense kök sertifika yaratılması
4) Burada ‘*’ ile belirtilen adımların doldurulması zorunludur. 5) Backup Root CA menüsünden “Save Public Key” seçeneği ile kaydettiğimiz key’i kullanıcı tarayıcılarında güvenilir otorite olarak tanımlamamız gerekmektedir. Bu adımdan sonra bu sertifikanın kullanıcı tarayıcısında otomatik olarak tanınması ayarı anlatılacaktır. Bu adımın tüm bilgisayarlarda geçerli olması için Windows Active Directory ayarlarından tüm makinalarda geçerli olacak şekilde yapılması gerekmektedir. 6) Internet Explorer’da Tools->Internet Options-> Content menüsü altında Certificates menüsünü seçin 7) Trusted Root Certification Authorities seçip, Import seçeneğini tıklayın:
5
Şekil 5
8) Sertifika import sihirbazı açılacaktır 9) Fine Name->Browse ile kaydettiğimiz sertifika tanımlanır. 10) Adımları Kabul ederek en son Finish ile bitirdikten sonra, sertifika eklenmesinin başarılı olduğu bilgisi gelir, ve değişiklikleri yaptığımız bilgisayar için Websense Content Gateway makinası sertifikasi geçerli kılınmıştır.
II – Kullanıcı Proxy Ayarları Web tarayıcılarda proxy ayarlarının değiştirilmesi Bu adımdan sonra Content Gateway , kendisine gelen https istekleri için vekil sunuculuk yapacak şekilde configure edilmiştir. Proxy’e yönlendirmenin transparan olmadığı konfigurasyonlarda, bu gerektiğinde https protokolunun de aynı şekilde proxy’e yönlendirilmesi ile gerçekleşir. Bunun için, örnek olarak Internet Explorer tarayıcısındaki ayarların nasıl yapılabileceği aşağıda gösterilmiştir. 1) Internet Explorer’i açın 2) Tools->Internet Options menusünü açın (Seçenekler->Internet Seçenekleri) 3) Connections (Bağlantılar) tab’ını seçin
6
Şekil 6
4) Vekil sunucu ayarları için Websense Content Gateway IP’sini, ve 80 portunun girin.
Şekil 7
7
5) Websense ARM modulu, 80 port üzerinden gelen istekleri ilgili port’a (8080, 8070) yönlendirebilir. ARM modulunun kullanılmadığı veya transparan kurulum yapılmış entegrasyonlarda spesifik portların belirtilmesi gerekebilir. Bunun için Advanced butonu altında ilgili adımların spesifik olarak belirtilmesi gerekmektedir:
Şekil 8 – Port bazlı proxy ayarlarının girilmesi
Aynı ayarları, Active Directory Group Policy ayarları üzerinde yapmak ve tüm kullanıcılar için geçerli olmasını sağlamak mümkün. Bunun için, Group Policy Manager üzerinde ilgili Domain Policy üzerinde (örnek olarak “Default Domain Policy”)->Edit->Computer Configuration->Windows Settings->Security Settings->Public Key Policies>Trusted Root Certification Authorities’e sağ tuş ile klikleyip “Import” seçeneği seçilir. Sonrasında ise yukarıdaki adımlar takip edilerek sistem üzerindeki sertifika , domain’e güvenilir kök sertifika olarak tanımlanır.
III - Ultrasurf bloklanması Ultrasurf, diğer portların bloklanması durumunda çoğu kurumda izinli ve yapısı gereği şifreli trafik içeren https portu (443) üzerinden bağlantısını gerçekleştiren bir filtreleme atlatma yazılımıdır. Program gerçek bir https bağlantısı kurmamakta, ancak güvenlik duvarı konfigurasyonları tarafından https’ten farklı bir trafik olarak algılanamamaktadır. Bu tür bir program ile kullanıcı, herhangi bir filtrelemeye maruz kalmadan , ve gittiği sitelerin içeriği raporlanamadan her yere erişebilmektedir. Programın dışarıya yaptığı 443 port bağlantısı , gerçek bir https trafiği olmadığı için , transparan uygulamalarda websense gateway’e yönlendirilmesi, trafiğin devam etmemesi için yeterli bir adımdır. Explicit olarak adlandırılan, kullanıcı makinalarında spesifik olarak vekil sunucu ayarlarının belirtildiği konfigurasyonlarda ise, ekstra bir konfigurasyon gerekmektedir.
8
Standart konfigurasyonda , kullanıcı vekil sunucudan istekte bulunur, gidilecek siteye olan bağlantı vekil sunucu tarafından yapılır. Dolayısıyla daha uç noktadaki güvenlik duvarı gibi cihazlarda proxy’nin IP’si gözükür. Ulrasurf kullanıldığı durumda ise, program direk olarak kullanıcı makinasındaki proxy ayarlarını değiştirmektedir. Bu durumda ise trafik, proxy üzerinden değil direk kullanıcı IP’si ile internete çıkacaktır. Bu durumdan anlaşıldığı üzere, güvenlik duvarında , kullanıcının kendi IP’si ile internete çıkmasını engelleyecek, sadece proxy IP’sine izin verecek bir kural girmek gereklidir. Checkpoint VPN-1 güvenlik duvarı üzerinde yapılabilecek örnek ayarlamalar aşağıdaki şekilde gösterilmiştir:
Şekil 9 – Checkpoint VPN-1 Güvenlik Duvarı üzerinde örnek konfigurasyon
Bu adımdan sonra kullanıcılar normal durumda internete proxy üzerinden bağlanabiliyorken, ultrasurf gibi bir yazılımla, veya manuel olarak proxy’i değiştirip internete çıkamayacaklardır.
Sonuç Bu dokumanda Websense Content gateway üzerinde, ve networkte, yapılan ayarlar sayesinde HTTPS trafiğinde de Websense’e yönlendirilmesi ve bu trafiğin taranması anlatılmıştır. Bu sayede Ultrasurf yazılımı gibi https protokolunu kullanarak çalışan belirli yazılımların nasıl engellenebileceği gösterilmiştir.
Özet Websense Content Gateway’de HTTPS taramayı active etmek için 1) 2) 3) 4)
Configure->Basic->My Proxy menüsünde Features->Protocols->HTTPS seçeneğini “on” duruma getirin. Sistemi tekrar başlatın (Configure->Basic->My Proxy->Restart Configure->SSL->Internal Root CA ekranında Add Root CA ile sertifika ekleyin. Kullanıcı bilgisayarlarını (varsayılan olarak) HTTPS protokolu taraması için WebsenseContentGatewayIP:8070 portuna yönlendirin.
Ekstra Kaynaklar 1. 2.
Websense Content Gateway Administrator Guide http://kb.websense.com/al/12/1/article.aspx?aid=3123&bt=4 Kök sertifikanın Group Policy ayarları ile eklenmesi http://unixwiz.net/techtips/deploy-webcert-gp.html
9
10
