Interception SSL
Une appliance Citrix Secure Web Gateway (SWG) configurée pour l’interception SSL agit comme un proxy. Il peut intercepter et déchiffrer le trafic SSL/TLS, inspecter la demande non chiffrée et permettre à un administrateur d’appliquer les règles de conformité et les contrôles de sécurité. SSL Interception utilise une stratégie qui spécifie le trafic à intercepter, bloquer ou autoriser. Par exemple, le trafic vers et en provenance de sites Web financiers, comme les banques, ne doit pas être intercepté, mais d’autres trafic peuvent être interceptés, et les sites sur liste rouge peuvent être identifiés et bloqués. Citrix vous recommande de configurer une stratégie générique pour intercepter le trafic et des stratégies plus spécifiques pour contourner un certain trafic.
Le client et le proxy Citrix SWG établissent une connexion HTTP/TLS. Le proxy SWG établit une autre connexion HTTS/TLS avec le serveur et reçoit le certificat du serveur. Le proxy vérifie le certificat du serveur au nom du client et vérifie également la validité du certificat du serveur à l’aide du protocole OCSP (Online Certificate Status Protocol). Il régénère le certificat du serveur, le signe à l’aide de la clé du certificat de l’autorité de certification installée sur l’appliance et le présente au client. Par conséquent, un certificat est utilisé entre le client et le dispositif Citrix ADC, et un autre certificat entre l’appliance et le serveur principal.
Important
Le certificat d’autorité de certification utilisé pour signer le certificat de serveur doit être préinstallé sur tous les périphériques clients, de sorte que le certificat de serveur régénéré soit approuvé par le client.
Pour le trafic HTTPS intercepté, le serveur proxy SWG déchiffre le trafic sortant, accède à la requête HTTP en texte clair et peut utiliser n’importe quelle application de couche 7 pour traiter le trafic, par exemple en consultant l’URL de texte brut et en autorisant ou bloquant l’accès sur la base de la stratégie d’entreprise et de la réputation d’URL. Si la décision de stratégie est d’autoriser l’accès au serveur d’origine, le serveur proxy transmet la requête chiffrée au service de destination (sur le serveur d’origine). Le proxy déchiffre la réponse à partir du serveur d’origine, accède à la réponse HTTP en texte clair et applique éventuellement toutes les stratégies à la réponse. Le proxy recrypte ensuite la réponse et la transmet au client. Si la décision de stratégie consiste à bloquer la demande au serveur d’origine, le proxy peut envoyer une réponse d’erreur, telle que HTTP 403, au client.
Pour effectuer l’interception SSL, en plus du serveur proxy configuré précédemment, vous devez configurer les éléments suivants sur une appliance SWG :
- Profil SSL
- Stratégie SSL
- Magasin de certificats CA
- Apprentissage automatique des erreurs SSL et mise en cache