Веб-прокси
Базовые настройки веб-прокси
Для осуществления базовой настройки веб-прокси проделайте следующие действия:
Включение / выключение веб-прокси
Для включения веб-прокси пройдите в раздел Службы -> Веб-прокси -> Администрирование, вкладка General Proxy Settings, установите флажок Включить прокси и нажмите Применить.
По умолчанию, веб-прокси привязывается к IP-адресу, назначенному LAN-интерфейсу, и к порту 3128.
Настройка метода аутентификации на веб-прокси
Веб-прокси поддерживает ряд методов аутентификации:
Без аутентификации
Аутентификация по локальной базе пользователей
Аутентификация по LDAP
Аутентификация по RADIUS
Аутентификация по Kerberos
Смешанная аутентификация с привязкой к IP-адресу и/или MAC-адресу
Используемый метод активации выбирается в разделе Службы -> Веб-прокси -> Администрирование, вкладка Forward Proxy, пункт меню Authentication Settings, поле Метод аутентификации. На скриншоте демонстрируется выбор аутентификации по локальной базе пользователей.
Для настройки нужного метода аутентификации обратитесь к инструкции Аутентификация на веб-прокси.
Изменение интерфейсов веб-прокси
Для того, чтобы поменять интерфейсы, на которых запускается веб-прокси, кликните на вкладку Forward прокси и выберите пункт меню General Forward Settings. В поле Интерфейсы прокси, добавьте / удалите нужные интерфейсы и нажмите Применить.
Изменение порта веб-прокси
По умолчанию, веб-прокси слушает порт 3128. Для того чтобы поменять данную настройку, кликните на вкладку Forward прокси, выберите пункт меню General Forward Settings, пропишите порт в поле Порт прокси и нажмите Применить.
Включение кеширования
Кликните на вкладку General Proxy Settings, выберите пункт меню Local Cache Settings, установите флаг Включить локальный кэш и нажмите Применить.
В расширенных настройках, можно изменить размер кеша, структуру папок, максимальный размер объекта в кэше. Настройки по умолчанию подходят для обычной навигации по вебу и предполагают кэш размером 100 МБ и 4 МБ для максимального размера объекта.
Настройка проксирования FTP
Кликните на стрелку рядом со вкладкой Forward прокси для отображения выпадающего меню. Далее, Настройки FTP-прокси, где выбираем один или несколько интерфейсов в поле Интерфейсы FTP-прокси и жмем Применить.
Примечание
FTP-прокси будет работать только если сам прокси-сервер включен. FTP-прокси обрабатывает только незашифрованный FTP-трафик.
Прозрачное проксирование
Прокси-сервер Traffic Inspector Next Generation поддерживает работу в прозрачном режиме. Смысл прозрачного проксирования заключается в том, что пользователи не имеют явных настроек на веб-прокси, тем не менее их трафик все равно будет перехвачен и попадет на веб-прокси.
Для настройки прозрачного проксирования осуществите следующие действия:
Настройки прокси
Пройдите в Службы -> Веб прокси -> Администрирование. Затем, на вкладке Forward прокси, выберите Общие настройки.
Устновите флажок Включить прозрачный HTTP-прокси и нажмите Применить.
Содание правила NAT / Firewall для перенаправления HTTP-трафика
Перенаправление на веб-прокси достигается за счет использования правил межсетевого экрана. Самый простой способ добавить правило NAT / Firewall – это кликнуть на иконку (i), находящуюся слева от настройки Включить прозрачный HTTP-прокси, и затем на ссылку Добавить новое правило сетевого экрана.
Правило должно иметь следующие настройки:
Интерфейс |
LAN |
Протокол |
TCP |
Источник |
LAN сеть |
Диапазон портов источника |
Любой - любой |
Назначение |
Любой |
Диапазон портов назначения |
HTTP - HTTP |
Адрес перенаправления |
127.0.0.1 |
Порт перенаправления |
3128 |
Описание |
Перенаправление трафика на прокси |
Зеркальный NAT |
Включить (чистый NAT) |
Ассоциированное правило сетевого экрана |
Добавить ассоциированное правило |
Кликните Сохранить и, затем, Применить изменения.
Перехват и дешифровка HTTPS-соединений (SSL Bump)
Все больше и больше веб-сайтов используют технологию HTTPS. В рамках данной технологии, трафик, которым обменивается браузер и веб-сервер, шифруется с помощью криптографического протокола SSL / TLS.
Для пользователя, данный факт означает конфиденциальность и безопасность, для системного администратора – дополнительную головную боль и невозможность контролировать данные, передаваемые в рамках зашифрованных соединений.
Для решения данной проблемы, Traffic Inspector Next Generation оснащен функционалом для перехвата и дешифровки HTTPS-трафика. Это значит, что Traffic Inspector Next Generation сможет применять URL-фильтрацию даже для защищенного трафика.
Перехват HTTPS-соединений основывается на атаке типа man-in-the-middle, поэтому используйте этот функционал только, если вы действительно понимаете, что делаете, и если политика вашей организации позволяет доступ к конфиденциальным данным пользователей. Может оказаться полезным отключить механизм SSL Bump для некоторых сервисов (например, сервисов электронного банкинга).
Для настройки перехвата HTTPS-соединений осуществите следующие действия:
Создание центра сертификации для нужд SSL Bump
Прежде всего, нужно создать центр сертификации. Пройдите в Система -> Доверенные сертификаты -> Полномочия.
Кликните на ссылку Добавить или импортировать ЦС в верхнем правом углу экрана для создания нового ЦС.
В нашем примере мы используем следующие настройки:
Описание |
TING CA |
Метод |
Создать внутренний ЦС |
Длина ключа (биты) |
2048 |
Digest алгоритм |
SHA256 |
Срок жизни (дней) |
356 |
Код страны |
RU (Россия) |
Область |
МО |
Город |
Коломна |
Организация |
TING |
Email адрес |
|
Простое имя |
ting-ca |
Сохраните настройки.
Включение SSL Bump
Пройдите в Службы -> Веб-прокси -> Администрирование. Затем, на вкладке Forward прокси, выберите General Proxy Settings.
Установите флажок Включить режим SSL, и в качестве ЦС выберите ранее созданный ЦС.
Нажмите Применить.
Правило NAT / Firewall для перенаправления HTTPS-трафика
Самый простой способ добавить правило NAT / Firewall – это кликнуть на иконку (i), находящуюся слева от настройки Включить режим SSL, и затем на ссылку Добавить новое правило сетевого экрана.
Правило должно иметь следующие настройки:
Интерфейс |
LAN |
Протокол |
TCP |
Источник |
LAN net |
Диапазон портов источника |
Любой - любой |
Назначение |
Любой |
Диапазон портов назначения |
HTTPS - HTTPS |
Адрес перенаправления |
127.0.0.1 |
Порт перенаправления |
3129 |
Описание |
Перенаправление трафика на прокси |
Зеркальный NAT |
Включить (чистый NAT) |
Ассоциированное правило сетевого экрана |
Добавить ассоциированное правило |
Нажмите Применить.
Настройка исключений
Данный шаг важен и требует ответственного подхода. Для того, чтобы дешифрование HTTPS не проводилось в отношении доверенных сайтов и чтобы не затрагивать их алгоритмы безопасности, нужно добавить доменные имена и все поддомены таких сайтов в поле Отключить перехват SSL для сайтов (SSL no bump sites).
Для того, чтобы запись добавилась, нажимайте на клавишу Enter после ввода текста. Для добавления всех поддоменов домена, укажите точку перед доменом. Например: для добавления всех поддоменов paypal.com введите .paypal.com:
Примечание
Вы можете добавлять в исключения сайты электронного банкинга и сайты, на которых пользователи указывают личную информацию, логины / пароли.
Настройка ОС/Браузера
Поскольку браузеры по умолчанию не доверяют нашему ЦС, пользователю постоянно выдается предупреждение при обращении к HTTPS-сайтам. Для решения данной проблемы, вам нужно импортировать ранее созданный в Traffic Inspector Next Generation сертификат издательства на клиентскую машину.
Для экспортирования сертификата, пройдите в Система -> Доверенные сертификаты -> Полномочия и кликните на соответствующую иконку.
На клиентской машине импортируйте сертификат издательства. В случае с браузером Firefox, сертификат импортируется в сам браузер. В случае с другими браузерами, сертификат импортируется в хранилище сертификатов Доверенные корневые центры сертификации в операционной системе Windows.
Установка сертификата при помощи групповых политик
В случае, если компьютеры входят в домен Active Directory, установку сертификата TING CA на клиентские компьютеры можно выполнить с помощью групповых политик.
В меню TING Система -> Доверенные сертификаты -> Полномочия кликните в строке TING CA на иконку Экспорт сертификата CA. Сохраненный сертификат TING+CA.crt скопируем на контроллер домена.
На контроллере домена открываем Панель управления - > Администрирование - > Управление групповой политикой, либо в командной строке необходимо выполнить команду gpmc.msc
Создадим новую политику в контейнере, где находятся компьютеры, для которых необходимо выполнить импорт сертификата. Правой кнопкой мышки щелкнете на контейнере и выберите Создать объект групповой политики в этом домене и связать его…
Примечание
В данном примере имя политики - TING CA, а политика распространяется на все компьютеры домена.
Щелкните на политике TING CA правой кнопкой мыши и выберете Изменить
В открывшемся редакторе групповых политик выбираем параметр Конфигурация компьютера - > Политики - > Конфигурация Windows - > Параметры безопасности - > Политики открытого ключа - > Доверенные корневые центры сертификации.
В правой части окна щелкаем правой кнопкой мыши и выбираем Импорт.
В появившемся окне мастера импорта сертификатов импортируем ранее сохраненный сертификат TING+CA.crt.
Закрываем политику TING CA.
Примечание
Данная политика применима для браузеров Internet Explorer, Edge, Chrome, Opera и будет распространена на клиентские компьютеры в течение 90 минут, для ручного обновления необходимо на клиентском компьютере выполнить команду gpupdate
Импорт сертификата в браузер Mozilla Firefox
Заходим в браузере по адресу https://github.com/mozilla/policy-templates Нажимаем кнопку Code и выбираем Download ZIP
В архиве заходим в папку windows и распаковываем файлы firefox.admx, mozilla.admx и папку en-US.
В Проводнике открываем путь \\Наш_домен\sysvol\Наш_домен\Policies\
Если папка PolicyDefinitions отсутствует, то создаем её.
Копируем распакованные файлы в \\Наш_домен\sysvol\Наш_домен\Policies\PolicyDefinitions
Открываем созданную в предыдущем пункте политику TING CA
Выбираем параметр Конфигурация пользователя - > Политики - > Административные шаблоны: определения политик (ADMX-файлы) получены из центрального хранилища - > Mozilla - > Firefox - > Certificates
В правой части окна щелкаем правой кнопкой мыши на параметре Import Enterprise Roots и нажимаем Изменить
В появившемся окне выбираем Включено и нажимаем ОК
Настройка завершена.
Аутентификация
- Аутентификация на веб-прокси
- Настройка SSO аутентификации в Active Directory на прокси-сервере.
- Настройка SSO аутентификации в интегрированной системе проверки подлинности FreeIPA.
- Настройка аутентификации на прокси через NTLM в службе каталогов Microsoft AD
- Настройка аутентификации на прокси через LDAP в службе каталогов
- Двухфакторная аутентификация Веб-прокси с использованием адаптеров multifactor.ru