SSL-Interception
Eine für SSL-Interception konfigurierte Citrix Secure Web Gateway (SWG)-Appliance fungiert als Proxy. Sie kann SSL/TLS-Datenverkehr abfangen und entschlüsseln, die unverschlüsselte Anfrage überprüfen und einem Administrator ermöglichen, Compliance-Regeln und Sicherheitsprüfungen durchzusetzen. Die SSL-Interception verwendet eine Richtlinie, die festlegt, welcher Datenverkehr abgefangen, blockiert oder zugelassen werden soll. Zum Beispiel darf der Datenverkehr zu und von Finanz-Websites, wie Banken, nicht abgefangen werden, aber anderer Datenverkehr kann abgefangen und auf einer Blacklist stehende Websites identifiziert und blockiert werden. Citrix empfiehlt, eine generische Richtlinie zum Abfangen von Datenverkehr und spezifischere Richtlinien zum Umgehen bestimmter Datenverkehrsarten zu konfigurieren.
Der Client und der Citrix SWG-Proxy stellen einen HTTPS/TLS-Handshake her. Der SWG-Proxy stellt einen weiteren HTTPS/TLS-Handshake mit dem Server her und empfängt das Serverzertifikat. Der Proxy überprüft das Serverzertifikat im Auftrag des Clients und prüft auch die Gültigkeit des Serverzertifikats mithilfe des Online Certificate Status Protocol (OCSP). Er regeneriert das Serverzertifikat, signiert es mit dem Schlüssel des auf der Appliance installierten CA-Zertifikats und präsentiert es dem Client. Daher wird ein Zertifikat zwischen dem Client und der Citrix ADC-Appliance und ein weiteres Zertifikat zwischen der Appliance und dem Backend-Server verwendet.
Wichtig
Das CA-Zertifikat, das zum Signieren des Serverzertifikats verwendet wird, muss auf allen Clientgeräten vorinstalliert sein, damit das regenerierte Serverzertifikat vom Client als vertrauenswürdig eingestuft wird.
Für abgefangenen HTTPS-Datenverkehr entschlüsselt der SWG-Proxyserver den ausgehenden Datenverkehr, greift auf die Klartext-HTTP-Anfrage zu und kann jede Layer-7-Anwendung verwenden, um den Datenverkehr zu verarbeiten, z. B. indem er die Klartext-URL überprüft und den Zugriff basierend auf der Unternehmensrichtlinie und der URL-Reputation zulässt oder blockiert. Wenn die Richtlinienentscheidung darin besteht, den Zugriff auf den Ursprungsserver zu erlauben, leitet der Proxyserver die erneut verschlüsselte Anfrage an den Zieldienst (auf dem Ursprungsserver) weiter. Der Proxy entschlüsselt die Antwort vom Ursprungsserver, greift auf die Klartext-HTTP-Antwort zu und wendet optional Richtlinien auf die Antwort an. Der Proxy verschlüsselt die Antwort dann erneut und leitet sie an den Client weiter. Wenn die Richtlinienentscheidung darin besteht, die Anfrage an den Ursprungsserver zu blockieren, kann der Proxy eine Fehlerantwort, z. B. HTTP 403, an den Client senden.
Um die SSL-Interception durchzuführen, müssen Sie zusätzlich zum zuvor konfigurierten Proxyserver Folgendes auf einer SWG-Appliance konfigurieren:
- SSL-Profil
- SSL-Richtlinie
- CA-Zertifikatsspeicher
- SSL-Fehler-Autolearning und -Caching