مشکلات در مورد HTTPS Inspection در فایروال TMG

مشکلات در مورد HTTPS Inspection در فایروال TMG
همانطور که قابلیت HTTPS Inspection یک اصل امنیتی درست و درمان در یک سازمان محسوب می شود و در بسیاری از خط مشی های امنیتی سازمانی می توان آن را اجرا و استفاده کرد ، در کنار این همه مزیت مشکلات و مسائلی نیز در خصوص این قابلیت وجود دارد که مهمترین آنها به شرح زیر هستند :

از کار افتادن نرم افزار تحت وب : HTTPS Inspection خواسته یا ناخواسته جلوی اجرای درست برخی از نرم افزارهای تحت وب مبتنی بر SSL را می گیرد. این به دلیل آن است که برنامه نویسی که این نرم افزار را نوشته است هیچگاه تصوری از این نداشته است که قرار است یک فایروال لایه هفتم یا Application Layer Firewall ترافیک عبوری از ارتباطات این نرم افزار را Inspect کند.اگر کد نرم افزاری که داخل Session مربوط به HTTPS قرار گرفته است مبتنی بر استاندارد و RFC نباشد فیلتر HTTP ای که در TMG وجود دارد ترافیک آن را مسدود می کند. علاوه بر این هر پروتکل غیر از HTTP که از Tunnel موجود در HTTPS استفاده می کند و در همان Session وجود دارد نیز مسدود خواهد شد. (خداروشکر همه برنامه نویس های ایرانی بر اساس استاندارد و RFC نرم افزارهای تحت وبشون رو می نویسن و شما از این بابت می تونه خیالتون راحت باشه … به خداااا )

Address Bar سبز نمی شود : دقت کرده اید که زمانیکه به یک وب سایت HTTPS متصل می شوید ، البته نه همه آنها بلکه برخی از آنها ، Address Bar شما به رنگ سبز در می آید به معنای اینکه Certificate موجود در این وب سایت قابل اعتماد و معتبر است.اینکار در واقع یک نوع سرویس است که به اسم Extended Validation شناخته می شود ، با استفاده از HTTPS Inspection به دلیل اینکه تداخل Certificate ها در TMG پیش می آید کاربران ممکن است این رنگ سبز را مشاهده نکنند که البته ربطی به کارایی وب سایت ندارد و وب سایت به درستی کار می کند.

عدم کارکرد درست با سیستم های غیر Domain : هر دستگاهی که عضو دامین شما نیاشد یا نمی تواند به عضویت دامین شما در بیاید قطعا مشکلاتی در برقراری ارتباط با استفاده از HTTPS Inspection خواهد داشت ، این نوع از سیستم ها بایستی بصورت دستی پیکربندی شوند و همین موضوع می تواند باعث دردسر مدیریت در شبکه شود مخصوصا اگر تعداد این سیستم ها در شبکه زیاد باشد.

قبل از اینکه HTTPS Inspection را در شبکه پیاده سازی کنید حتما و حتما و حتما موضوع را با معاون فناوری اطلاعات سازمان و بعد از آن با مدیریت سازمان و بعد از آن با حراست سازمان و بعد از آن با هر کوفت و زهر ماری که خرش در سازمان برو دارد در میان بگذارید و تاییدیه های نهایی را جهت پیاده سازی این سیستم دریافت کنید ، واکاوی و شنود اطلاعات محرمانه رمزنگاری شده ارتباطات کاربران می تواند برای شما در صورت عدم داشتن مجوزهای لازم گران تمام شود . قبل از پیاده سازی چنین سیستم های مانیتورینگ در شبکه سعی کنید خط مشی امنیتی در سازمان تهیه و تدوین کنید که در آن صراحتا به این موارد اشاره شده باشد تا کاربر حق اعتراضی در این خصوص نداشته باشد. چه بخواهیم و چه نخواهیم در سازمان ما از ایمیل های عمومی استفاده می شود و می تواند عدم مانیتورینگ روی این ایمیل ها عواقب خطرناکی برای سازمان در پی داشته باشد.