Proxy SSL pour les systèmes logiques
Secure Sockets Layer (SSL) est un protocole d’application qui fournit une technologie de cryptage pour Internet. Pour plus d’informations, consultez les rubriques suivantes :
Comprendre le proxy direct et inverse SSL pour les systèmes logiques
Le proxy SSL agit en tant qu’intermédiaire, effectuant le cryptage et le déchiffrement SSL entre le client et le serveur. SSL, également appelé sécurité couche transport (TLS), assure la transmission sécurisée de données entre un client et un serveur grâce à une combinaison de confidentialité, d’authentification, de confidentialité et d’intégrité des données.
Le proxy SSL est un proxy transparent qui effectue le cryptage et le déchiffrement SSL entre le client et le serveur comme suit :
Le proxy inverse est une session entrante, c’est-à-dire des sessions SSL initiées de l’extérieur depuis Internet vers le serveur local.
L’implémentation du modèle de proxy pour la protection du serveur (souvent appelée proxy inverse) est prise en charge sur les pare-feu SRX Series afin d’améliorer l’établissement de liaison et la prise en charge d’un plus grand nombre de versions de protocole.
Le proxy de transfert est une session sortante, c’est-à-dire une session SSL initiée localement vers Internet.
Le proxy SSL fonctionne de manière transparente entre le client et le serveur. Toutes les requêtes d’un client vont d’abord au serveur proxy ; Le serveur proxy évalue la demande et, si elle est valide, la transmet au serveur sortant. De même, les requêtes entrantes sont également évaluées par le serveur proxy. Le client et le serveur interprètent qu’ils communiquent l’un avec l’autre ; cependant, c’est le proxy SSL qui fonctionne entre les deux.
Exemple : Configuration du proxy transfert et inverse SSL pour les systèmes logiques
Cet exemple montre comment configurer le proxy SSL pour activer la protection du serveur. Un proxy inverse protège les serveurs en cachant les détails des serveurs aux clients, en ajoutant une couche de sécurité supplémentaire et le but d’un proxy de transfert est de gérer le trafic vers les systèmes clients.
Exigences
Pour configurer un proxy de transfert et inverse SSL, vous devez :
Chargez les certificats du serveur et leurs clés dans le référentiel de certificats du pare-feu SRX Series.
Attachez les identificateurs de certificat de serveur au profil proxy SSL.
Appliquez un profil proxy SSL en tant que services d’application dans une stratégie de sécurité.
Aperçu
Cet exemple montre comment configurer le proxy inverse pour activer la protection du serveur et le proxy de transfert pour la protection du client. Elle montre comment configurer un profil proxy SSL et l’appliquer au niveau de la règle de stratégie de sécurité. Pour la protection du serveur, des certificats de serveur avec des clés privées doivent également être configurés.
Configuration
- Configuration rapide de l’interface de ligne de commande
- Configuration du proxy de transfert et inverse SSL
- Résultats
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set logical-systems LSYS1 services ssl proxy profile ssl-fp-profile root-ca new-srvr-cert set logical-systems LSYS1 services ssl proxy profile ssl-fp-profile actions ignore-server-auth-failure set logical-systems LSYS1 services ssl proxy profile ssl-rp-profile actions log all set logical-systems LSYS1 security log mode event set logical-systems LSYS1 security policies from-zone trust to-zone untrust policy 1 match source-address any set logical-systems LSYS1 security policies from-zone trust to-zone untrust policy 1 match destination-address any set logical-systems LSYS1 security policies from-zone trust to-zone untrust policy 1 match application any set logical-systems LSYS1 security policies from-zone trust to-zone untrust policy 1 then permit application-services ssl-proxy profile-name ssl-rp-profile set logical-systems LSYS1 security policies from-zone trust to-zone untrust policy 1 then log session-init set logical-systems LSYS1 security policies from-zone trust to-zone untrust policy 1 then log session-close set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy 1 match source-address any set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy 1 match destination-address any set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy 1 match application any set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy 1 then permit application-services ssl-proxy profile-name ssl-rp-profile set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy 1 then log session-init set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy 1 then log session-close
Configuration du proxy de transfert et inverse SSL
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le Junos OS CLI User Guidefichier .
Pour configurer le proxy SSL :
Configurez le proxy inverse SSL.
[edit logical-systems LSYS1] user@host# set logical-systems LSYS1 services ssl proxy profile ssl-rp-profile actions log all user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy 1 match source-address any user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy 1 match destination-address any user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy 1 match application any user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy 1 then permit application-services ssl-proxy profile-name ssl-rp-profile
Configurez le proxy de transfert SSL.
[edit logical-systems LSYS1] user@host# set logical-systems LSYS1 services ssl proxy profile ssl-fp-profile root-ca new-srvr-cert user@host# set logical-systems LSYS1 services ssl proxy profile ssl-fp-profile actions ignore-server-auth-failure user@host# set logical-systems LSYS1 security log mode event user@host# set logical-systems LSYS1 security policies from-zone trust to-zone untrust policy 1 match source-address any user@host# set logical-systems LSYS1 security policies from-zone trust to-zone untrust policy 1 match destination-address any user@host# set logical-systems LSYS1 security policies from-zone trust to-zone untrust policy 1 match application any user@host# set logical-systems LSYS1 security policies from-zone trust to-zone untrust policy 1 then permit application-services idp user@host# set logical-systems LSYS1 security policies from-zone trust to-zone untrust policy 1 then permit application-services ssl-proxy profile-name ssl-rp-profile user@host# set logical-systems LSYS1 security policies from-zone trust to-zone untrust policy 1 then log session-init user@host# set logical-systems LSYS1 security policies from-zone trust to-zone untrust policy 1 then log session-close user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy 1 then log session-init user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy 1 then log session-close
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show logical-system LSYS1 services ssl proxy commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
Vous devez configurer ( root-ca proxy direct) ou server-certificate (proxy inverse) dans un profil proxy SSL. Dans le cas contraire, la vérification de la validation échoue.
user@host# show logical-systems LSYS1 services ssl proxy
profile ssl-rp-profile {
server-certificate ssl-inspect-sp1; { # For reverse proxy. No root-ca is needed.
actions {
log {
all;
}
}
}
profile ssl-fp-profile { # For forward proxy. No server cert/key is needed.
root-ca new-srvr-cert;
actions {
ignore-server-auth-failure;
log {
all;
}
}
}
Vérification
Vérification de la configuration du proxy SSL sur l’équipement
But
Affichage des statistiques du proxy inverse SSL sur le pare-feu SRX Series.
Action
Vous pouvez afficher les statistiques du proxy SSL à l’aide de la show services ssl proxy statistics logical-system commande.
user@host> show services ssl proxy statistics logical-system LSYS1
PIC:spu-3 fpc[0] pic[3] ------
sessions matched 1
sessions bypassed:non-ssl 0
sessions bypassed:mem overflow 0
sessions bypassed:low memory 0
sessions created 1
sessions ignored 0
sessions active 1
sessions dropped 0
sessions whitelisted 0
whitelisted url category match 0
default profile hit 0
session dropped no default profile 0
policy hit no profile configured 0