Веб-прокси

Базовые настройки веб-прокси

Для осуществления базовой настройки веб-прокси проделайте следующие действия:

Включение / выключение веб-прокси

Для включения веб-прокси пройдите в раздел Службы -> Веб-прокси -> Администрирование, вкладка General Proxy Settings, установите флажок Включить прокси и нажмите Применить.

_images/proxy_settings_enable_flag.png

По умолчанию, веб-прокси привязывается к IP-адресу, назначенному LAN-интерфейсу, и к порту 3128.


Настройка метода аутентификации на веб-прокси

Веб-прокси поддерживает ряд методов аутентификации:

  • Без аутентификации

  • Аутентификация по локальной базе пользователей

  • Аутентификация по LDAP

  • Аутентификация по RADIUS

  • Аутентификация по Kerberos

  • Смешанная аутентификация с привязкой к IP-адресу и/или MAC-адресу

Используемый метод активации выбирается в разделе Службы -> Веб-прокси -> Администрирование, вкладка Forward Proxy, пункт меню Authentication Settings, поле Метод аутентификации. На скриншоте демонстрируется выбор аутентификации по локальной базе пользователей.

_images/proxy_settings_auth.png

Для настройки нужного метода аутентификации обратитесь к инструкции Аутентификация на веб-прокси.


Изменение интерфейсов веб-прокси

Для того, чтобы поменять интерфейсы, на которых запускается веб-прокси, кликните на вкладку Forward прокси и выберите пункт меню General Forward Settings. В поле Интерфейсы прокси, добавьте / удалите нужные интерфейсы и нажмите Применить.

_images/proxy_settings_interfaces.png

Изменение порта веб-прокси

По умолчанию, веб-прокси слушает порт 3128. Для того чтобы поменять данную настройку, кликните на вкладку Forward прокси, выберите пункт меню General Forward Settings, пропишите порт в поле Порт прокси и нажмите Применить.

_images/proxy_settings_port.png

Включение кеширования

Кликните на вкладку General Proxy Settings, выберите пункт меню Local Cache Settings, установите флаг Включить локальный кэш и нажмите Применить.

В расширенных настройках, можно изменить размер кеша, структуру папок, максимальный размер объекта в кэше. Настройки по умолчанию подходят для обычной навигации по вебу и предполагают кэш размером 100 МБ и 4 МБ для максимального размера объекта.

_images/proxy_settings_advanced_cache.png

Настройка проксирования FTP

Кликните на стрелку рядом со вкладкой Forward прокси для отображения выпадающего меню. Далее, Настройки FTP-прокси, где выбираем один или несколько интерфейсов в поле Интерфейсы FTP-прокси и жмем Применить.

_images/proxy_settings_ftp.png

Примечание

FTP-прокси будет работать только если сам прокси-сервер включен. FTP-прокси обрабатывает только незашифрованный FTP-трафик.

Прозрачное проксирование

Прокси-сервер Traffic Inspector Next Generation поддерживает работу в прозрачном режиме. Смысл прозрачного проксирования заключается в том, что пользователи не имеют явных настроек на веб-прокси, тем не менее их трафик все равно будет перехвачен и попадет на веб-прокси.

Для настройки прозрачного проксирования осуществите следующие действия:

Настройки прокси

Пройдите в Службы -> Веб прокси -> Администрирование. Затем, на вкладке Forward прокси, выберите Общие настройки.

Устновите флажок Включить прозрачный HTTP-прокси и нажмите Применить.

_images/proxy_settings_enable_transparent.png

Содание правила NAT / Firewall для перенаправления HTTP-трафика

Перенаправление на веб-прокси достигается за счет использования правил межсетевого экрана. Самый простой способ добавить правило NAT / Firewall – это кликнуть на иконку (i), находящуюся слева от настройки Включить прозрачный HTTP-прокси, и затем на ссылку Добавить новое правило сетевого экрана.

Правило должно иметь следующие настройки:

Интерфейс

LAN

Протокол

TCP

Источник

LAN сеть

Диапазон портов источника

Любой - любой

Назначение

Любой

Диапазон портов назначения

HTTP - HTTP

Адрес перенаправления

127.0.0.1

Порт перенаправления

3128

Описание

Перенаправление трафика на прокси

Зеркальный NAT

Включить (чистый NAT)

Ассоциированное правило сетевого экрана

Добавить ассоциированное правило


Кликните Сохранить и, затем, Применить изменения.

Перехват и дешифровка HTTPS-соединений (SSL Bump)

Все больше и больше веб-сайтов используют технологию HTTPS. В рамках данной технологии, трафик, которым обменивается браузер и веб-сервер, шифруется с помощью криптографического протокола SSL / TLS.

Для пользователя, данный факт означает конфиденциальность и безопасность, для системного администратора – дополнительную головную боль и невозможность контролировать данные, передаваемые в рамках зашифрованных соединений.

Для решения данной проблемы, Traffic Inspector Next Generation оснащен функционалом для перехвата и дешифровки HTTPS-трафика. Это значит, что Traffic Inspector Next Generation сможет применять URL-фильтрацию даже для защищенного трафика.

Перехват HTTPS-соединений основывается на атаке типа man-in-the-middle, поэтому используйте этот функционал только, если вы действительно понимаете, что делаете, и если политика вашей организации позволяет доступ к конфиденциальным данным пользователей. Может оказаться полезным отключить механизм SSL Bump для некоторых сервисов (например, сервисов электронного банкинга).

Для настройки перехвата HTTPS-соединений осуществите следующие действия:

Создание центра сертификации для нужд SSL Bump

Прежде всего, нужно создать центр сертификации. Пройдите в Система -> Доверенные сертификаты -> Полномочия.

Кликните на ссылку Добавить или импортировать ЦС в верхнем правом углу экрана для создания нового ЦС.

В нашем примере мы используем следующие настройки:

Описание

TING CA

Метод

Создать внутренний ЦС

Длина ключа (биты)

2048

Digest алгоритм

SHA256

Срок жизни (дней)

356

Код страны

RU (Россия)

Область

МО

Город

Коломна

Организация

TING

Email адрес

spam@smart-soft.ru

Простое имя

ting-ca

Сохраните настройки.


Включение SSL Bump

Пройдите в Службы -> Веб-прокси -> Администрирование. Затем, на вкладке Forward прокси, выберите General Proxy Settings.

Установите флажок Включить режим SSL, и в качестве ЦС выберите ранее созданный ЦС.

_images/enable_ssl_bump.png

Нажмите Применить.


Правило NAT / Firewall для перенаправления HTTPS-трафика

Самый простой способ добавить правило NAT / Firewall – это кликнуть на иконку (i), находящуюся слева от настройки Включить режим SSL, и затем на ссылку Добавить новое правило сетевого экрана.

_images/intercept_rule.png

Правило должно иметь следующие настройки:

Интерфейс

LAN

Протокол

TCP

Источник

LAN net

Диапазон портов источника

Любой - любой

Назначение

Любой

Диапазон портов назначения

HTTPS - HTTPS

Адрес перенаправления

127.0.0.1

Порт перенаправления

3129

Описание

Перенаправление трафика на прокси

Зеркальный NAT

Включить (чистый NAT)

Ассоциированное правило сетевого экрана

Добавить ассоциированное правило

Нажмите Применить.


Настройка исключений

Данный шаг важен и требует ответственного подхода. Для того, чтобы дешифрование HTTPS не проводилось в отношении доверенных сайтов и чтобы не затрагивать их алгоритмы безопасности, нужно добавить доменные имена и все поддомены таких сайтов в поле Отключить перехват SSL для сайтов (SSL no bump sites).

Для того, чтобы запись добавилась, нажимайте на клавишу Enter после ввода текста. Для добавления всех поддоменов домена, укажите точку перед доменом. Например: для добавления всех поддоменов paypal.com введите .paypal.com:

_images/no_sslbump_sites.png

Примечание

Вы можете добавлять в исключения сайты электронного банкинга и сайты, на которых пользователи указывают личную информацию, логины / пароли.


Настройка ОС/Браузера

Поскольку браузеры по умолчанию не доверяют нашему ЦС, пользователю постоянно выдается предупреждение при обращении к HTTPS-сайтам. Для решения данной проблемы, вам нужно импортировать ранее созданный в Traffic Inspector Next Generation сертификат издательства на клиентскую машину.

Для экспортирования сертификата, пройдите в Система -> Доверенные сертификаты -> Полномочия и кликните на соответствующую иконку.

_images/export_cacert.png

На клиентской машине импортируйте сертификат издательства. В случае с браузером Firefox, сертификат импортируется в сам браузер. В случае с другими браузерами, сертификат импортируется в хранилище сертификатов Доверенные корневые центры сертификации в операционной системе Windows.


Установка сертификата при помощи групповых политик

В случае, если компьютеры входят в домен Active Directory, установку сертификата TING CA на клиентские компьютеры можно выполнить с помощью групповых политик.

В меню TING Система -> Доверенные сертификаты -> Полномочия кликните в строке TING CA на иконку Экспорт сертификата CA. Сохраненный сертификат TING+CA.crt скопируем на контроллер домена.

На контроллере домена открываем Панель управления - > Администрирование - > Управление групповой политикой, либо в командной строке необходимо выполнить команду gpmc.msc

Создадим новую политику в контейнере, где находятся компьютеры, для которых необходимо выполнить импорт сертификата. Правой кнопкой мышки щелкнете на контейнере и выберите Создать объект групповой политики в этом домене и связать его…

_images/https-ssl-bump-01.png

Примечание

В данном примере имя политики - TING CA, а политика распространяется на все компьютеры домена.

Щелкните на политике TING CA правой кнопкой мыши и выберете Изменить

_images/https-ssl-bump-02.png

В открывшемся редакторе групповых политик выбираем параметр Конфигурация компьютера - > Политики - > Конфигурация Windows - > Параметры безопасности - > Политики открытого ключа - > Доверенные корневые центры сертификации.

В правой части окна щелкаем правой кнопкой мыши и выбираем Импорт.

_images/https-ssl-bump-03.png

В появившемся окне мастера импорта сертификатов импортируем ранее сохраненный сертификат TING+CA.crt.

_images/https-ssl-bump-04.png

Закрываем политику TING CA.

Примечание

Данная политика применима для браузеров Internet Explorer, Edge, Chrome, Opera и будет распространена на клиентские компьютеры в течение 90 минут, для ручного обновления необходимо на клиентском компьютере выполнить команду gpupdate

Импорт сертификата в браузер Mozilla Firefox

Заходим в браузере по адресу https://github.com/mozilla/policy-templates Нажимаем кнопку Code и выбираем Download ZIP

_images/https-ssl-bump-05.png

В архиве заходим в папку windows и распаковываем файлы firefox.admx, mozilla.admx и папку en-US.

В Проводнике открываем путь \\Наш_домен\sysvol\Наш_домен\Policies\

Если папка PolicyDefinitions отсутствует, то создаем её.

Копируем распакованные файлы в \\Наш_домен\sysvol\Наш_домен\Policies\PolicyDefinitions

_images/https-ssl-bump-06.png

Открываем созданную в предыдущем пункте политику TING CA

Выбираем параметр Конфигурация пользователя - > Политики - > Административные шаблоны: определения политик (ADMX-файлы) получены из центрального хранилища - > Mozilla - > Firefox - > Certificates

В правой части окна щелкаем правой кнопкой мыши на параметре Import Enterprise Roots и нажимаем Изменить

_images/https-ssl-bump-07.png

В появившемся окне выбираем Включено и нажимаем ОК

_images/https-ssl-bump-08.png

Настройка завершена.


Аутентификация

Фильтрация веб-контента

Антивирусная проверка трафика

Настройка WPAD / PAC