SSL Decoder

Was bedeutet SSL?

Secure Sockets Layer (SSL) ist ein Sicherheitsstandard für Herstellung sicherer Verbindungen über das Internet. Mit Hilfe von SSL ist es möglich, persönliche Daten zu verschlüsseln und diese über das Internet mit verschiedenen Web-Diensten und Benutzern auszutauschen. Die minimalen Komponentenanforderungen für die Herstellung einer SSL-Verbindung umfassen: einen Server, der die Bearbeitung von SSL-Verbindungen erlaubt, einen Client, der eine sichere SSL-Verbindung starten kann, und ein Zertifikat, das (am meisten) auf dem Server, (nur ausnahmsweise) auf dem Client oder auf beiden Seiten installiert ist. Das Zertifikat enthält einen öffentlichen Schlüssel.

Wie funktioniert SSL auf einem Microsoft ISA Server (Forefront TMG)?

Microsoft ISA Server (Forefront TMG) ermöglicht den Clients eines Firmen-LANs ausgehende SSL-Verbindungen herzustellen, verhindert aber die Möglichkeit, diese Verbindungen zu analysieren. Den Grund dafür können Sie in der unten angeführten Tabelle finden:


Wie funktioniert SSL auf einem Microsoft ISA Server (Forefront TMG)

  1. Der Benutzerbrowser startet eine Verbindung zur sicheren Ressource.
  2. ISA Server (Forefront TMG) versteht es und stellt eine direkte Verbindung (Tunnel) zu dieser Ressource her.
  3. Nachdem die Verbindung erfolgreich hergestellt wurde, benachrichtigt der ISA Server (Forefront TMG) den Benutzer. Von nun an können Daten zwischen Benutzerbrowser und Webserver der sicheren Site über den erstellten Tunnel direkt ausgetauscht werden.
Demzufolge funktioniert ISA Server (Forefront TMG) wie ein vermittelndes Element, das Daten von einer Seite zur nächsten weitersendet, ohne in den Inhalt, Struktur und Typ dieser Daten einzusehen.

Vor- und Nachteile der Benutzung von SSL. Mögliche Gefahren

Einer der wichtigsten Vorteile der Benutzung von SSL besteht in Verschlüsselung aller Daten, die zwischen Client und Server übertragen werden. In diesem Vorteil besteht das Wesen und der Zweck einer SSL-Verbindung. Zu wichtigsten Nachteile von SSL zählt geringere Performanz wegen der Verschlüsselung von Daten, die über Tunnel ausgetauscht werden.

Wie es öfters vorkommt, können manche Nachteile zu einem gefährlichen Werkzeug werden. Welche Gefahren bestehen für Firmen, die SSL-Verbindungen benutzen?

  • Unberechtigter Zugriff auf Websites

    Da Microsoft ISA Server (Forefront TMG) Ihnen keine Einsicht in den Inhalt des SSL-Verkehrs erlaubt, können sogar ausgeklügeltste Zugriffsberechtigungsregeln der Netzwerkadministratoren völlig nutzlos sein. ISA Server (Forefront TMG) kann die angeforderten Objekte nicht analysieren, weder ihre Namen, noch Dateierweiterungen, Datentypen, Kopfzeilen, Länge usw. Als Resultat kann der Benutzer über einen öffentlichen SSL Webproxy auf beliebige verbotene Sites zugreifen. BELIEBIGE SITES!


  • Unmöglichkeit, den Inhalt mit Hilfe von Inhaltsanalysierprogrammen zu prüfen.

    So wie alle weiteren resultiert dieser Nachteil aus dem vorhergehenden Problem. Da ISA Server (Forefront TMG) keinen Zugriff auf angeforderte Objekte hat, ist es unmöglich, diese zu kontrollieren, wie z.B. sie auf Viren oder andere Gefahren zu prüfen. Das hat zur Folge, dass eine potentiale Infizierungsgefahr für die Arbeitsstation des Clients besteht und die Sicherheit des ganzen LANs gefährdet wird.


  • Durchsickern vertraulicher Information

    Ein Benutzer kann sehr leicht beliebige Informationen aus dem Unternehmen herausschmuggeln, indem er sie einfach über eine sichere SSL-Verbindung sendet. Und Microsoft ISA Server (Forefront TMG) wird sogar nicht verstehen können, was das lokale Netzwerk gerade verlassen hat.

Ein weiterer Nachteil von SSL besteht darin, dass Webfilter, die mittlerweile sehr breit in Microsoft ISA Server (Forefront TMG) eingesetzt werden, nicht mehr funktionieren. So kann z.B. Response Modifier den Inhalt von Seiten, die der Client über eine sichere Verbindung einsieht, nicht mehr analysieren.

Zweck von SSL Decoder

SSL Decoder (im Folgenden SSL Decoder) ist ein spezieller Webfilter, der es ermöglicht, den SSL-Verkehr zu analysieren. Das heißt, er behebt alle oben angeführten Nachteile der Benutzung von SSL mit Microsoft ISA Servern (Forefront TMG).

Nach der Installation des Programms erhalten Sie die Möglichkeit:

  • vollständige URLs aller von einem Benutzer angeforderten Objekte, die Größe der Objekte, ihren Datentyp und alles Andere einzusehen, was ein Administrator bei gewöhnlichen HTTP-Anforderungen einsehen kann.

    Beachten Sie bitte, dass der Datenverkehr nur für ISA Server (Forefront TMG) sichtbar wird. Nicht verschlüsselter Inhalt geht nicht nach außen. So wird ein externer Viewer den von der externen Schnittstelle eines ISA Servers (Forefront TMG) ausgehenden Datenverkehr als sicheren SSL-Datenverkehr sehen. Dabei ist nicht verschlüsselter Datenverkehr nur innerhalb des lokalen Netzwerks verfügbar (in der Regel verlässt er nicht den Computer, auf dem ISA Server (Forefront TMG) ausgeführt wird).
  • den Inhalte der vom Benutzer empfangenen Seiten und Objekte zu analysieren. Bei Bedarf können diese Seiten aktuell von speziellen Webfiltern wie z.B. Response Modifier geändert werden. Außerdem können Sie den Inhalt der Seiten mit Hilfe beliebiger dritter Programme auf Viren prüfen.
  • mit Hilfe von Cache-Speicher Performanz zu steigern. Da der Datenverkehr in den gewöhnlichen HTTP-Verkehr umgewandelt wird, gelangen alle vom Benutzer über SSL-Verbindung angeforderten Objekte in den Cache-Speicher des ISA-Servers (Forefront TMG) erst nach der Verarbeitung durch SSL Decoder. Und der Inhalt wird dementsprechend nicht vom Internet, sondern vom Cache-Speicher aufgerufen, wenn dasselbe Objekt erneut angefordert wird. Als Resultat werden die HTML-Seiten um 15-20% schneller angezeigt.
  • sichere Verbindung bei der Erstellung von Zugriffsrichtlinienregeln zu vergessen. Der früher unsichtbare SSL-Datenverkehr sieht jetzt wie gewöhnlicher HTTP-Verkehr aus, so können alle Verbindungsattribute bei der Erstellung von Zugriffsrichtlinienregeln weiter verwendet werden.

Nachteile von SSL Decoder:

  • langsame Verarbeitung des SSL-Datenverkehrs wegen zusätzlicher Verschlüsselungs/Entschlüsselungsprozesse. Allerdings ist diese Verlangsamung unvergleichlich mit der Beschleunigung, die sich aus dem Cache-Speichern angeforderter Objekte auf dem ISA Server (Forefront TMG) ergibt.
  • ethische Fragen. Der Administrator bekommt Zugriff auf die Liste aller Objekte, die vom Benutzer angefordert wurden. Alles, was bisher unsichtbar war, wird sichtbar. Es wird empfohlen, LAN-Benutzer davon zu benachrichtigen.

Wie das Programm funktioniert

Nachdem eine ausgehende Verbindungsanforderung an einen externen sicheren Server empfangen wurde, stellt ISA Server (Forefront TMG) eine sichere Verbindung zum Webserver her und benachrichtigt dann den Benutzer, dass er bereit ist, als vermittelndes Element zu dienen, indem er den verschlüsselten Datenfluss weiterleitet. Auf diese Weise können Sie sehen, dass der Prozess sich aus drei logischen Schritten zusammensetzt:

  • der Client verbindet sich ISA Server (Forefront TMG)
  • ISA Server (Forefront TMG) stellt Verbindung zum Remote-Webserver her
  • Daten werden ausgetauscht

SSL Decoder greift zwischen alle dieser Schritte ein und verändert die Richtung des Datenverkehrs, so dass er über seine analysierende Module läuft. Diese Prozesse sind transparent und für virtuellen Benutzer praktisch unsichtbar.

Hier ist der ungefähre Algorithmus, wie SSL Decoder eigentlich funktioniert:

  • Empfang einer Benutzeranforderung für Zugriff auf eine sichere Webseite
  • Erstellung eines Serverzertifikats für diese Webseite
  • Unterzeichnung des Zertifikats mit dem Stammzertifikat, das zuvor in Programmeinstellungen angegeben wurde
  • Senden des Zertifikats an den Client
  • Herstellung einer sicheren Verbindung mit dem Client
  • Herstellung einer sicheren Verbindung mit externem Server
  • Empfangen von Clientanforderungen und Weiterleiten dieser an externen Server
  • Empfangen der Resultate vom externen Server und Weiterleiten dieser an den Client
  • Schließen der sicheren Verbindungen

Aus dem oben beschriebenen Algorithmus ist ersichtlich, dass SSL Decoder wie ein SSL Proxy funktioniert, der Anforderungen von Benutzern empfängt und ihnen Resultate zurückgibt.

Der Algorithmus hat einige wesentliche Probleme, die hier erklärt werden müssen:

  • Erstellung des Zertifikats

    SSL Decoder funktioniert wie eine leistungsstarke Zertifizierungsstelle wie VeriSign, Equifax oder Thawte. Allerdings haben die vom SSL Decoder erteilten Zertifikate zwei wichtige Unterschiede:
    • sie sind kostenlos
    • niemand vertraut ihnen
  • Signieren des Serverzertifikats mit dem Stammzertifikat

    Damit das vom SSL Decoder erstellte Serverzertifikat voll funktionsfähig wird, muss es signiert werden. Es wird mit einem anderen Zertifikat, dem so genannten Stammzertifikat, signiert. Das Programm kann nicht arbeiten, bis Sie ein gültiges Stammzertifikat eingeben. Weitere Informationen zu Zertifikaten finden Sie in einem der unten stehenden Abschnitte.

Sie sollen wissen, dass es auch Sites gibt, mit denen SSL Decoder nicht arbeiten kann. Diese Sites erfordern Client-Zertifikate. In der Regel werden Client-Zertifikate in den Zertifikatspeicher der Benutzerbrowsers auf ihren lokalen Computern installiert und es ist unmöglich, auf ihre Schlüssel zuzugreifen. Auf diese Weise kann SSL Decoder keine Objekte von der angeforderten Site im Namen des Clients erhalten, da der Server vom Client (SSL Decoder funktioniert in diesem Fall wie Client) den Nachweis seiner Glaubwürdigkeit mit Hilfe eines persönlichen Zertifikats erfordert, wobei SSL Decoder keinen solchen Nachweis liefern kann, da es das erforderte Zertifikat nicht besitzt. Als Resultat wird die Verbindung geschlossen.

Es ist leider unmöglich, bei der Ausführung von SSL Decoder auf diese Sites zuzugreifen. Sie müssen den URL einer solchen Site zur weißen Liste hinzufügen.

Modi

SSL Decoder

SSL Decoder teilt beliebige sichere Verbindung in folgende Phasen:

  1. Annahme des Clients, Analyse angeforderter Daten, Erstellen und Senden des Serverzertifikats
  2. Empfang einer Anforderung zum Abrufen bestimmter Objekte von der sicheren Site und Weiterleiten dieser Anforderung an ISA Server (Forefront TMG)
  3. Senden einer Anforderung an externen Webserver über sichere Verbindung

Die ersten zwei Phasen werden von der Komponente ausgeführt, die Benutzeranforderungen empfängt. Daten werden entschlüsselt und in offener Form gesendet. Die dritte Phase wird von der Komponente ausgeführt, die Clientanforderungen ans Internet sendet. Die in offener Form empfangenen Anforderungen werden verschlüsselt und ans Internet gesendet.

Diese Komponenten sind ins Programm integriert, sind aber voneinander unabhängig. Und sie können auf verschiedenen ISA Servern (Forefront TMG) ausgeführt werden (ist sinnvoll für ISA Server Enterprise Edition).

Folgende Programmszenarios sind verfügbar:

SSL Decoder

  • Szenario 1. Nichts machen

    Das Programm ist installiert, aber deaktiviert. SSL-Anforderungen werden nicht verarbeitet. Dieses Szenario wird benutzt, wenn Sie die Anwendung vorübergehend deaktivieren möchten, ohne dabei das Programm vom System zu entfernen.

  • Szenario 2. Entschlüsseln und Verschlüsseln

    Es ist das am meisten benutzte Arbeitsszenario. Und auch das einzig Mögliche, wenn Sie ISA Server Standard Edition benutzen. Bei diesem Szenario sind beide oben erwähnten Komponenten aktiv. Die erste entschlüsselt die Anforderung vom Benutzer, verarbeitet diese und leitet sie in offener Form an den ISA Server (Forefront TMG) weiter. Die zweite Komponente empfängt die Anforderung, verschlüsselt sie und sendet sie ans Internet. Als Resultat läuft der ganze Datenverkehr über ISA Server (Forefront TMG) in offener Form, wird aber vor dem Senden nach außen verschlüsselt.

  • Szenario 3. Ausgehende HTTPS-Anforderungen entschlüsseln

    Dieses Szenario ist bei ISA Server Enterprise Edition verfügbar. Bei diesem Szenario werden die vom Benutzer ausgehenden Anforderungen entschlüsselt und in offener Form an den ISA Server (Forefront TMG) weitergeleitet. Dieses Szenario kann nützlich sein, wenn Sie ein Array und mehrere ISA Server (Forefront TMG) in Ihrem LAN haben. Wenn am Ende alle diese ISA Server (Forefront TMG) die Anforderungen an den ISA (Forefront TMG) Endserver weiterleiten, können Sie dafür eine extra Installation benutzen. Zu diesem Zweck wählen Sie das 3. Szenario für Server, die Clientanforderungen empfangen, und wählen Sie Szenario 4 für den Endserver. Wozu sind Szenarios 3 und 4? Um Performanz zu steigern. Um zweifache oder dreifache Verschlüsselung/Entschlüsselung zu verhindern, können Sie SSL Decoder separat nur an den Enden einer ISA-Server (Forefront TMG)-Kette installieren. Aber selbst wenn Sie Arrays und mehrere ISA Server (Forefront TMG) benutzen, können Sie immer SSL Decoder nur auf dem Endserver installieren und Szenario 2 auswählen.

  • Szenario 4. Zuvor entschlüsselte Daten verschlüsseln

    Dieses Szenario ist die Fortsetzung des vorhergehenden. Dieses Szenario muss nur auf dem ISA (Forefront TMG) Endserver verwendet werden. Achtung! Wenn Sie auf einem Ihrer ISA Server (Forefront TMG) Szenario 3 auswählen, für den ISA (Forefront TMG) Endserver Szenario 4 aber nicht festlegen, werden die SSL Anforderungen nicht bzw. mit Fehlern verarbeitet werden können. Als Resultat sehen Benutzer in ihren Browsern Fehlermeldungen bei Verbindung mit angeforderten Sites.

Um die Arbeit jedes einzelnen Szenarios besser zu verstehen, benutzen Sie folgende Tabelle:

SSL Decoder

Performanz

Wie bereits erwähnt, kann die Installation des Programms (eventuell) Verlangsamung bei der Verarbeitung von SSL Anforderungen verursachen. Es geschieht, weil die originelle SSL Verbindung des Clients (die Phase der Erstellung des Tunnels) in drei Phasen geteilt wird: danach erfordern alle vom Benutzerbrowser über die verschlüsselte Verbindung empfangenen Anforderungen zusätzliche Verarbeitung vom ISA Server (Forefront TMG). Besonders deutlich merkt man das bei alten Webservern mit HTTP/1.0 Protokoll.

Da aber:

  • die Zahl von alten Servern im Internet ständig abnimmt
  • die Menge des SSL Datenverkehrs im Vergleich zum ganzen Datenverkehr am meisten sehr gering ist
  • heutige Computer schnell, leistungsfähig, mit viel Speicherkapazität sind und eigentlich eine überflüssige Performanzrate haben
  • alle angeforderten Objekte nach der Entschlüsselung im Cache-Speicher des ISA Servers (Forefront TMG) gespeichert werden und bei erneuter Anforderung von dort schnell abgerufen werden können

wird die Verlangsamung wegen Verschlüsselung/Entschlüsselung für den Benutzer unmerklich bleiben und von den oben beschriebenen Vorteilen ausgeglichen.

Zertifikate. Stammzertifikat

Alle SSL Anforderungen benutzen Zertifikate. Was ist das?

In einfachen Worten stellen Zertifikate einen sicheren Ersatz für das Paar Benutzername/Kennwort dar. Ein digitales Zertifikat enthält Informationen über Person, Firma oder Webseite, zu der dieses Zertifikat gehört, öffentlichen Schlüssel, Information über die Organisation, von der es erstellt wurde, seine Gültigkeitsdauer und Liste der Operationen, für die es verwendet werden kann. Private Schlüssel werden in der Regel in Zertifikaten nicht gespeichert. Da private Schlüssel der wichtigste Teil sind, müssen sie in einem sicheren Ort gespeichert werden.

Zertifikate werden von Zertifizierungsstellen ausgestellt. Was ist das?

Es gibt zwei Zertifikatstypen: selbst signierte Zertifikate und Zertifikate, die von einer Zertifizierungsstelle ausgestellt wurden. Wenn Sie ein digitales Zertifikat mit einer Visitenkarte vergleichen, sind selbst signierte Zertifikate wie selbst gemachte Visitenkarten, während die von einer Zertifizierungsstelle ausgestellten Zertifikate wie Visitenkarten wirken, die von einer vertrauenswürdigen Authetifizierungsorganisation ausgestellt wurden. Mit seltenen Ausnahmen arbeiten die meisten Systeme nicht mit selbst signierten Zertifikaten.

Eine Zertifizierungsstelle ist eine Organisation, die Zertifikate ausstellt, ihre Gültigkeit prüft und sie bei Bedarf widerruft.

SSL Decoder funktioniert wie eine richtige Zertifizierungsstelle. Jedes Mal, wenn eine ausgehende SSL-Anforderung empfangen wird, analysiert SSL Decoder ihre Parameter und stellt ein Zertifikat aus, das die Glaubwürdigkeit der Site bestätigt, und sendet es dann an den Client. Das ausgestellte Zertifikat muss den Client (seinen Browser) überzeugen, dass die besuchte Site und das empfangene Zertifikat miteinander übereinstimmen. Andernfalls zeigt der Browser viele Warnungen an und empfiehlt dem Benutzer, diese sichere Site nicht zu besuchen. So sieht zum Beispiel diese Warnung in Firefox aus:

SSL Decoder

Und das ist Warnung in Internet Explorer:

SSL Decoder

Es gibt zwei Bedingungen, die erfüllt werden müssen, um den Browser von der Gültigkeit des Zertifikats zu überzeugen:

  1. das Zertifikat soll von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt sein
  2. der Clientbrowser soll dieser Zertifizierungsstelle und dementsprechend den von ihr ausgestellten Zertifikaten vertrauen

Die erste Bedingung ist ziemlich leicht zu erfüllen: erstellen Sie einfach im Programm mit Hilfe eines speziellen Dialogfelds ein neues Stammzertifikat, oder geben Sie dem Programm eine Datei mit dem Stammzertifikat, wenn Ihr Unternehmen in der Tat eine kompetente und autorisierte Zertifizierungsstelle ist. Das wichtigste Moment in beiden Fällen ist, dass dieses Stammzertifikat private Schlüssel hat. Andernfalls können ausgestellte Zertifikate damit nicht signiert werden.

Die zweite Bedingung ist ein bisschen schwieriger. Um sie zu erfüllen, müssen Sie aus dem Programm ein Zertifikat (ohne private Schlüssel) exportieren und es in Ihrer ganzen Firma verteilen. Dieses Zertifikat muss auf jedem Computer installiert und in allen Browsers in Bereich Vertrauenswürdige Zertifizierungsstellen eingeschrieben sein.

So sieht es in FireFox aus:

SSL Decoder

Und das ist Internet Explorer:

SSL Decoder

Wenn beide Bedingungen erfüllt sind, werden Benutzer beim Besuchen sicherer Sites keine Fehlermeldungen sehen, wenn SSL Decoder ausgeführt wird.

Für weitere Informationen sehen Sie den Anhang.


Erstellung eines neuen Stammzertifikats

Sie können das Dialogfenster zur Erstellung eines neuen Stammzertifikats, indem Sie auf die Schaltfläche Einstellungen in der Stammzertifikatsgruppe klicken. Dieser Prozess besteht aus einigen einfachen Schritten:

  1. Schritt 1. Das Zertifikat ist nicht installiert. Erstellung eines neuen Zertifikats.
    2. SSL Decoder

    In diesem Schritt können Sie entweder ein neues Zertifikat erstellen oder ein bereits vorhandenes Zertifikat aus einer Datei laden. Zertifikate können in den zum Speichern von Zertifikaten am meisten benutzten Formaten geladen werden: PFX, CER, PEM.

    Achtung! Die Datei mit Zertifikat muss private Schlüssel enthalten.

    Um ein Zertifikat zu erstellen, klicken Sie auf die Schaltfläche Neues Stammzertifikat erstellen. Dabei wird folgendes Dialogfenster geöffnet:

    SSL Decoder

    In den Feldern dieses Dialogfensters müssen Sie Parameter des neuen Stammzertifikats angeben. Es wird logisch sein, wenn Sie Attribute Ihrer Firma angeben. Ein neues Stammzertifikat wird erstellt, nachdem Sie auf die Schaltfläche OK klicken.

  2. Schritt 2. Das Zertifikat wurde erstellt oder geladen, überprüft, aber nicht installiert. Installation des Zertifikats.
    3. SSL Decoder

    Sie können das Zertifikat einsehen, indem Sie auf die Schaltfläche Einsehen… klicken, und es installieren, indem Sie in diesem Schritt auf die Schaltfläche Stammzertifikat installieren klicken.

  3. Schritt 3. Das Zertifikat ist installiert. Einsehen, Sicherung, Löschen und Exportieren des Zertifikats.
    4. SSL Decoder

Alle mit Erstellung und Installation des Zertifikats verbundenen Operationen wurden abgeschlossen. SSL Decoder ist bereit zur Arbeit. In diesem Schritt können Sie das Zertifikat einsehen, es löschen, um ein anderes Zertifikat zu erstellen oder zu laden, oder auch eine Sicherheitskopie des Zertifikats erstellen.

Achtung! Bei der Sicherung des Zertifikats werden private Schlüssel gespeichert.

In diesem Schritt können Sie außerdem das Zertifikat in eine Datei exportieren, um es später an Clientcomputer Ihrer Firma zu verteilen. Private Schlüssel werden in diesem Fall nicht exportiert. Es ist möglich, das Zertifikat in den zum Speichern von Zertifikaten am meisten benutzten Formaten zu speichern: PFX, CER, PEM.

Sehen Sie oben, warum es notwendig ist, das Zertifikat an Clientcomputer zu verteilen.

Zusätzliche Einstellungen

Folgende zusätzliche Einstellungen sind im Programm verfügbar:

  • weiße Liste der Webseiten
  • zusätzliche Diensteinstellungen

In der weißen Liste können Sie die Liste der Sites angeben, die bei der Verarbeitung ausgeschlossen werden. Wenn Sie Probleme bei Zugriff auf eine bestimmte sichere Site haben oder eine Site Clientzertifikate verwendet, können Sie diese Site ausschließen, so dass sie vom Programm nicht verarbeitet wird. SSL Decoder arbeitet mit der weißen Liste mit Hilfe des Objektstandards für ISA Server (Forefront TMG), ähnlich wie Domänennamensatz. Das heißt, dass Sie nur einen neuen Domänennamensatz zu erstellen und die auszuschließende Site zum vorhandenen Domänennamensatz hinzuzufügen brauchen. Danach müssen Sie dem Programm mitteilen, dass alle Sites aus Ihrem Domänennamensatz nicht verarbeitet werden sollen. Sie können das in den Anwendungsparametern machen, indem auf die Schaltfläche Einstellungen im Bereich Weiße Listen klicken.

SSL Decoder

Das Dialogfenster Zusätzliche Einstellungen sieht folgendermaßen aus:

SSL Decoder


Option "Webproxy Protokolldateien ändern"

Wenn SSL Decoder Daten verschlüsselt/entschlüsselt, startet es alle Arten von ausgehenden Anforderungen. In der Tat werden diese Anforderungen FÜR den Client gemacht, d.h. SSL Decoder selbst erhält den Inhalt, der vom Benutzer, welcher die sichere Verbindung gestartet hat, angefordert wurde. Und gibt dann diesen Inhalt an den Benutzer weiter. Wenn Sie nach diesen Arbeitsgängen Protokolldateien des ISA Servers (Forefront TMG) analysieren, sehen Sie, dass:

  1. der Benutzer Verbindung zu ISA Server (Forefront TMG) hergestellt und eine sichere Verbindung gestartet hat
  2. ISA Server (Forefront TMG) eine Verbindung zum externen sicheren Webserver hergestellt hat, dessen Inhalt der Benutzer benötigte.
  3. ISA Server (Forefront TMG) erforderliche Objekte vom sicheren Webserver anforderte
  4. ISA Server (Forefront TMG) die Objekte erhielt und diese an den Benutzer weitersendete
  5. der Benutzer die Verbindung geschlossen hat
  6. ISA Server (Forefront TMG) die Verbindung geschlossen hat

Wie Sie sehen können, sind alle vom ISA Server (Forefront TMG) gestarteten Anforderungen in Wirklichkeit Anforderungen des Benutzers. Darum sollte es logisch sein, wenn sie in Protokolldateien auch so angezeigt würden. Es kann somit ein logischeres Bild von Benutzeranforderungen vermittelt werden.

Wenn die Option "Webproxy Protokolldateien ändern" aktiviert ist, ändert SSL Decoder Webproxy Protokolldateien so, dass sie aussehen, als ob die Dienstanforderungen vom Benutzer gemacht wurden, der die ursprüngliche SSL Verbindung hergestellt hat.


Aktivierung der Option zum Protokollieren der Verbindungsfehler

Wenn diese Option aktiviert ist, werden alle Fehlerinformationen (wenn Fehler auftreten) vom SSL Decoder in einer speziellen Protokolldatei gespeichert. Diese Datei kann dem Supportdienst helfen, die Ursache des Fehlers besser zu verstehen.

Konfigurieren des Microsoft ISA Servers (Forefront TMG) für gemeinsame Arbeit mit SSL Decoder

SSL Decoder funktioniert mit Microsoft ISA Server 2004 und 2006 und Forefront TMG. Es werden sowohl Standard Edition als auch Enterprise Edition unterstützt.

Sobald SSL Decoder Internetzugriff zum Downloaden sicherer Objekte benötigt, müssen Sie dafür Zugriff vom lokalen Host auf den Externen aktivieren. Sie tun es durch Erstellung einer speziellen Zulassungsregel. Wie diese zum Beispiel (Beachten Sie bitte, dass Sie im Regelregister "Benutzer" Option "Alle authentifizierten Benutzer" auswählen müssen):

SSL Decoder

oder diese

SSL Decoder

Testen der Anwendung

Wie kann man sich vergewissern, dass das Programm ausgeführt wird und seine Funktionen erfolgreich erfüllt:

  • Einsehen von Webproxy Protokolldateien

    Wenn das Programm aktiviert und ausgeführt wird, können Sie vollständige URLs der vom Benutzer angeforderten Objekte sehen, indem Sie Protokolldateien (z.B. mit Internet Access Monitor for ISA Server) analysieren. Außerdem können Sie die Menge des ein- und ausgehenden Datenverkehrs für jede angeforderte Datei sehen.

  • Konfigurieren von Response Modifier

    Versuchen Sie Response Modifier so zu konfigurieren, dass es einige Wörter mit anderen ersetzt. Besuchen Sie danach eine sichere Ressource und vergewissern Sie sich, dass die Unterzeichenfolgen korrekt ersetzt werden.

  • Einsehen des Zertifikats

    Benutzen Sie im Browser Option "Zertifikat sicherer Site einsehen", wenn Sie eine sichere Ressource besuchen. Sie müssen dann das von SSL Decoder ausgestellte Zertifikat sehen, das mit dem von Ihnen erstellten oder aus einer Datei geladenen Stammzertifikat signiert ist.

Wenn das Programm nicht funktioniert, wird der ganze SSL Datenverkehr so wie zuvor verarbeitet. Das heißt, dass nach Schließen der Verbindung durch Client, in Protokolldateien nur ein Eintrag zu sehen ist, und Sie nicht sehen können, was über diese Verbindung angefordert oder gesendet wurde. Außerdem können die angeforderten Objekt auf Viren nicht geprüft werden und ihr Inhalt kann von Ihnen auch nicht verändert werden.

Zusammenarbeit von SSL Decoder mit anderen Anwendungen des ISA Server (Forefront TMG) Toolkits und Produkten dritter Anbieter

Alle Produkte des Sets ISA Server (Forefront TMG) Toolkit sind eng miteinander verbunden und arbeiten in einem Ganzen. Die Reihenfolge der Anforderungen an diesen oder jenen Webfilter wird vom ISA Server (Forefront TMG) geregelt und hängt von der Priorität jedes der Filter ab. Damit Programme einander nicht störten, müssen Sie die unten angeführten Regeln befolgen:

  1. In der Liste von ISA Server (Forefront TMG) Webfiltern muss SSL Decoder immer HÖHER als Server Client User Name Resolver stehen
  2. In der Liste von ISA Server (Forefront TMG) Webfiltern muss SSL Decoder immer HÖHER als Advanced Web Routing Rules stehen
  3. Sie müssen verstehen, dass Webfilter dritter Anbieter und SSL Decoder miteinander in Konflikt geraten können. Darum muss man sich bei Problemen mit Zugriff auf eine sichere Site immer vergewissern, dass das Problem nicht wegen Konflikte mit anderen Programmprodukten ausgelöst wurde. Um das zu überprüfen, können Sie den alternativen Webfilter VORÜBERGEHEND deaktivieren. Wenn das Problem dadurch gelöst wird, müssen Sie sich an den technischen Supportdienst mit ausführlicher Beschreibung des Problems wenden.

Zusammenfassung

Es hängt von jedem einzelnen Systemadministrator ab, über die Gefahr zu entscheiden, die SSL Datenverkehr für die Firma darstellt. Wenn das Risiko des Verlusts von wichtigen Daten, Infizierung der Computer oder Ignorierens von Zugriffsberechtigungsregeln seitens der Benutzer gering ist, hat es keinen Sinn, dieses Programm zu benutzen.

Wenn Sie aber denken, dass sichere Verbindung die Sicherheit Ihrer Firma erheblich beeinträchtigt oder wenn Sie besuchte Sites analysieren möchten oder wollen, dass Ihre Zugriffsberechtigungsregeln unabhängig vom Typ des Datenverkehrs funktionieren, ist SSL Decoder genau das, was Sie brauchen.