Websense Content Gateway HTTPS tarama konfigurasyonu

Benzer belgeler
Pac Dosyası İle Proxy Kullanmak

FortiGate SSL İçerik Denetimi

FortiGate Sertifika Yönetimi. v4.00-build /02

Yedek Almak ve Yedekten Geri Dönmek

CELAL BAYAR ÜNİVERSİTESİ KÜTÜPHANE VERİTABANLARINA ÜNİVERSİTE DIŞINDAN ERİŞİM

Berqnet Sürüm Notları Sürüm 4.1.0

Checkpoint SmartCenter da hızlı obje yaratmak

AirTies Kablosuz Erişim Noktası (Access Point) olarak kullanacağınız cihazı bilgisayarınıza bağlayarak ayarlarını yapabilirsiniz.

İZMİR EKONOMİ ÜNİVERSİTESİ KÜTÜPHANE VERİTABANINA KAMPÜS DIŞINDA ERİŞİM

Checkpoint Yönetim Sunucusu Yedekliliği

BATMAN ÜNİVERSİTESİ KÜTÜPHANE VERİTABANLARINA KAMPÜS DIŞINDAN ERİŞİM REHBERİ


KULLANICI KILAVUZU: UEA FİX KULLANICILARININ SSLVPN ERİŞİMİ İMKB İÇİNDEKİLER

İZMİR EKONOMİ ÜNİVERSİTESİ KÜTÜPHANE VERİTABANINA KAMPÜS DIŞINDA ERİŞİM

YAYGIN OLARAK KULLANILAN ADSL MODEMLER VE ROUTER AYARLARI

Cyberoam Single Sing On İle

FortiGate (Terminal Server) Terminal Sunucu Üzerinden Gelen Kullanıcılar

SERNET ET232CAS x2 RS232 Seri Kanal Sunucu KULLANICI KILAVUZU. Telif Hakkı Uyarısı. >>> Otomasyon Ürünleri

1. Bilgisayarınızda kullandığınız Web tarayıcı programını (Internet Explorer, Mozilla Firefox vb.) çalıştırınız.

Xpeech VoIP Gateway Konfigurasyon Ayarları

KÜTÜPHANE KAYNAKLARINA DIŞARIDAN (PROXY SUNUCU KULLANARAK) BAĞLANMAK İÇİN YAPILMASI GEREKENLER A. INTERNET EXPLORER KULLANICILARI İÇİN;

AntiKor Güvenlik Sunucumu nereye yerleştirmeliyim?

SERNET ET232CAS x2 RS232 Seri Kanal Sunucu KULLANICI KILAVUZU. Telif Hakkı Uyarısı. >>> Otomasyon Ürünleri

SERNET ET485CAS x2 RS485/RS422 Seri Kanal Sunucu KULLANICI KILAVUZU. Telif Hakkı Uyarısı. >>> Otomasyon Ürünleri

İNTERNET EXPLORER AYARLARI 1. Başlat-Ayarlar-Denetim Masası menüsünden "İnternet Özellikleri" (Seçenekleri)'ni seçiniz. Resim. 1

INTERNET BAĞLANTISININ KURULMASI İÇİN GEREKLİ YÖNLENDİRİCİ AYARLARI

Firewall Log Server. Kurulum Kılavuzu

Xpeech VoIP Gateway Konfigurasyon Ayarları

Ufuk Üniversitesi Kütüphanesi Kütüphane Kaynaklarına Erişim Bilgileri

5.Port Yönlendirme ve Firewall

Access Point Mod Kurulumu

ETA:MOBİL KURULUM TALİMATI

ELEKTRONİK BELGE YÖNETİM SİSTEMİ KOORDİNATÖRLÜĞÜ (EBYS KOORDİNATÖRLÜĞÜ) ELEKTRONİK İMZA KURULUM AŞAMALARI VE EBYS PROGRAMI SİSTEM GEREKSİNİMLERİ

Erişim Noktası Ayarları

Cisco 881 Router ve AirLink ES4X0, WAN Failover Tanımı

SQL Server 2014 Kurulum Adımları

Konfigürasyon Dokümanı

1. Sertifika istenmesi

Google Chrome Kullanıyorsanız; Microsoft Internet Explorer Kullanıyorsanız;

INTERNET INFORMATION SERVICES 6.0 DA WEB SAYFASI YAYINLAMAK

BEUN VPN Hizmeti. VPN Nedir?

Önce domain sunucuyu görebiliyor muyuz, kontrol edelim

Outlook Web Access'a Güvensiz Girmeyin

Elektronik Dergi ve Veri Tabanlarına Kampus Dışından Erişim

Sophos SSL VPN Ayarları ve SSL VPN Clinet Programı Kurulumu

LOGO TIGER WINGS KURULUMU VE AYARLARI

VPN KURULUM ve KULLANIM REHBERİ

FABREKA YAZILIM ELEKTRONİK DANIŞMANLIK TİC. LTD. ŞTİ.

Port Yönlendirme ve Firewall Kuralı Oluşturma

LIBPXY SERVİSİNİN KULLANIMI

U y g u l a m a A i l e s i (Abakus 360, T-Panel, T-CRM) Tarayıcı Ayarları. IPera İletişim Teknolojileri

MS Outlook Programında İmzamatik Kullanımı

MIRACLE DATA WORKS KURULUM DOKÜMANI

Vasco Kurulumu ve Active Directory Entegrasyonu

FortiGate (SSLVPN) Tunnel Mode & Web App. Mode

Boğaziçi Üniversitesi Bilgi İşlem Merkezi. Web Yönetimi Birimi. Drupal Kullanım Kılavuzu

Kampüs Dışı Erişim İnternet Explorer Proxy

Amadeus Selling Platform. Yükleme Kılavuzu

Universal Repeater Mod Kurulumu

Bir Bilgisayar Bağlanıyor Diğeri Bağlanmıyor

Bridge Mod Modem ve Firewall Ayarları

İnternette Domain Name Sistem bazı kuruluşlar tarafından kontrol edilmekte ve Register edilmektedir. Aşağıdaki tabloda Bazı isimler belirtilmiştir.

Uzaktan Kurulum Kılavuzu

WEB SUNUCU GÜVENLİĞİ: Web Siteleri Neden Hacklenir?

Useroam Kurulum Rehberi

Almanya Mail Hesabı ile Outlook Kurulumu

Free Cooling (Tibbo Ethernet Modüllü)

Opera V2 Kurulum Klavuzu V0.01

DRAYTEK VIGOR 3300V VPN Dial-in Fonksiyonu

FortiGate SSLVPN (Tunnel Mode & Web Mode) v4.00-build /10

NicProxy Registrar AWBS Modül Kurulumu Versiyon 1.0

ArcSight Logger Connector ArcSight Logger Connector Yapılandırması

Bu makalede 2003 sunucu, Windows 2003 Server anlamına gelmektedir. Aşağıda yapılan işlemler 2003 R2 sunucu üzerinde denenmiş ve çalıştırılmıştır.

Websense Web Servislerini Durdurup Başlatmak

E-postaya Tarama Hızlı Kurulum Kılavuzu

Uzak Masaüstü Lisans Server ı Aktive Etme

7/24 destek hattı Kolay kurulum CD si Üç yıl garanti Üç yıl garanti YM.WR.5341.UM.TR.D01REV

Module 2 Managing User And Computer accounts

Merkez Noktasında Yapılması Gerekenler Öncelikle modem ve bilgisayarınız arasına lütfen bir Ethernet (LAN) kablosu takınız

INTERNET BAĞLANTISININ KURULMASI İÇİN GEREKLİ AĞ GEÇİDİ AYARLARI

Siemens Gigaset A580 IP Phone Kurulum ve Kullanım Kılavuzu

Useroam Kurulum Rehberi

Aktif Dizin Logon/Logoff Script Ayarları Versiyon

Kategori:Allplan->Teknik Destek ve Kurulum->SSS_Allplan_2016_Server_Lisans_Kurulumu

CJ1W-MCH72 ye USB ve Ethernet/IP ile Bağlanma. İÇİNDEKİLER Giriş CJ1W-MCH72 ye USB ile Bağlanma CJ1W-MCH72 ye Ethernet/IP ile Bağlanma Sonuç

Yandex mail ve disk kullanım rehberi

KABLOLU AĞLAR Switch tarafında 802.1x desteğini etkinleştirmek için aşağıdaki temel yapılandırma yapılır;

TL-WPS510U PRINT SERVER KURULUM DÖKÜMANI

Coslat Monitor (Raporcu)

Denetim Masası/Programlar/Windows özelliklerini Aç/Kapat

WEB E-POSTA AYARLARI. Outlook 2003 Ayarı ( Resimli Anlatım )

Proticaret Exclusive v3.2.0 E-Ticaret Yazılımı Kurulum Dokümanı

SQL 2005 SQL STUDIO MANAGER ACP YAZILIMI KURULUM KILAVUZU

FOUR FAITH ROUTER LAR İÇİN BACKUP WAN KILAVUZU

AIRTIES MESH NETWORK KURULUMU:

FortiMail Gateway Modunda Kurulum. v4.00-build /08

CLIENT MODE KURULUMU

FortiGate Active Directory Uygulaması. v4.00-build /08

5. Bu alt butonlardan Kanal ve SSID isimli butona tıklayınız. B. AP-300 AYARLARI Bu bölümde 2 AP-300 ün Kanal ve SSID bölümü ile kablosuz ayarları LAN

Transkript:

Websense Content Gateway HTTPS tarama konfigurasyonu Ultasurf ve benzeri programların HTTPS tarama sayesinde bloklanması Amaç Websense in proxy tabanli cozumu Web Content Gateway in özellikleri arasında FTP ve HTTPS servisleri için de vekil sunuculuk yapma özellikleri bulunmaktadır. Bu dokumanda Websense Content Gateway in HTTPS trafiğini de filtreleyecek şekilde ayarlanması, HTTPS trafiğinin de Websense Gateway e yönlenecek şekilde ayarlanması için değişik seçenekler, kullanıcı tarafında HTTPS trafiğinin yönlendirilmesinin transparan olması için yapılacak ayarlar, ve son olarak bu ayarlar kullanılarak HTTPS portu üzerinden protocol standartları dışında dışarıya erişim kurarak genel filtreleme çözümlerini atlatan Ultrasurf gibi programların Websense HTTPS taraması ve güvenlik cihazlarında yapılacak konfigurasyonlar sayesinde bloklanması anlatılacaktır. Künye Başlık Hazırlayan Websense Content Gateway HTTPS tarama konfigurasyonu Barikat Tarih 12/2009 Versiyon 1.1 İlgili Ürünler Anahtar Kelimeler İlgili Sorular Tür Websense/Web Security v7 Websense, gateway, https, proxy, proxy atlatma, ultrasurf Websense te https tarama konfigurasyonunu nasıl yaparım? Ultrasurf u nasıl bloklarım? Konfigurasyon Barikat İnternet Güvenliği Bilişim Tic.Ltd.Şti. 2009 Tüm Hakları Saklıdır

Websense Content Gateway HTTPS tarama konfigurasyonu Ultasurf ve benzeri programların HTTPS tarama sayesinde bloklanması İçindekiler Amaç... 1 Konfigurasyon... 2 I Content Gateway üzerinde HTTPS ayarları... 2 HTTPS taramanın aktive edilmesi... 2 HTTPS sertifikasının oluşturulması, yüklenmesi... 3 II Kullanıcı Proxy Ayarları... 6 Web tarayıcılarda proxy ayarlarının değiştirilmesi... 6 III - Ultrasurf bloklanması... 8 Sonuç... 9 Özet... 9 Ekstra Kaynaklar... 9 Konfigurasyon I Content Gateway üzerinde HTTPS ayarları HTTPS taramanın aktive edilmesi Standart kurulumda Websense Content Gateway, HTTPS trafiği için vekil sunuculuk yapmayacak şekilde ayarlanmıştır. Bu ayarın manuel olarak seçilip active edilmesi işlemi kısa bir işlemdir: 1) https://<webcontentgatewayip>:8081 ile sisteme bağlanın a. Not: 8081 portu varsayılan ayarlar ile gelen admin portudur. Kurulum sırasında bunu değiştirmiş olmanız durumunda, yine varsayılan olarak proxy port+1 girmeniz yeterli olabilir. 2) Configure->Basic->My Proxy menüsünde Features->Protocols->HTTPS seçeneğini on duruma getirin. 2

Şekil 1 HTTPS ayarının seçilmesi 3) Bu işlem sonrasında aşağıdaki şekilde Content Gateway servislerini tekrardan başlatmamız istenir: Note: Restart required for the marked fields below (*). Şekil 2 Baştan başlatma uyarısı 4) Configure->Basic->Restart butonuna basarak servisleri tekrar başlatın 5) GUI ekranı tekrar geldiğinde Configure-> Protocols->HTTPS seçeneği görünür durumdadır. Burada Content Gateway in hizmet vereceği port un belirtilmesi mümkündür. Varsayılan olarak 8070 portundan hizmet vermektedir. Gerekli görülürse bu port değiştirilebilir. HTTPS sertifikasının oluşturulması, yüklenmesi Yukarıdaki adımlardan sonra HTTPS sitelerin de Websense tarafından filtrelenmesi mümkündür. Ancak bu konfigurasyon ayarları ile bağlanılmaya çalışıldığında, Web tarayıcımız bizi trafiğin güvenilmeyen bir sertifika otoritesi tarafından sertifikalandırıldığını gösterir bir ekranla uyarır: 3

Şekil 3 Internet Explorer Sertifika Uyarı ekranı Bu uyarının sebebi, tarayıcının kullanıcı ile sunucu arasına girerek kendi üzerinden bağlantıyı gerçekleştirdiğini farketmesidir. Normal bir durumda bu, aradaki bağlantının bir güvenlik açığı olabileceğine işarettir. Bizim durumumuzda ise, HTTPS trafiğini incelemek için bu yönlendirmeyi bizzat yapmış olmamız sebebiyle, bu ekranın gözükmesi normaldir. Yine de, her seferinde bu sertifika uyarı ekranının gözükmesi yerine, kurum bilgisayarlarına Websense makinasının güvenilir bir sertifika otoritesi olarak tanımlanması ile trafiğin transparan olarak incelenmesi daha akıcı bir hal alabilir. Bu adımın gerçekleştirilmesi için Websense üzerinde üretilen veya kurumun kendisine ait olan sertifikaların kullanıcı bilgisayarlarında güvenilir olarak tanımlanması gerekmektedir: Websense üzerinde kök sertifika üretilmesi için: 1) https://<webcontentgatewayip>:8081 ile sisteme bağlanın 2) Configure->SSL->Internal Root CA ekranına gelin 3) Create Root CA tabında Websense üzerinde kullanılacak olan kök sertifikasını oluşturabilirsiniz. 4

Şekil 4 Websense kök sertifika yaratılması 4) Burada * ile belirtilen adımların doldurulması zorunludur. 5) Backup Root CA menüsünden Save Public Key seçeneği ile kaydettiğimiz key i kullanıcı tarayıcılarında güvenilir otorite olarak tanımlamamız gerekmektedir. Bu adımdan sonra bu sertifikanın kullanıcı tarayıcısında otomatik olarak tanınması ayarı anlatılacaktır. Bu adımın tüm bilgisayarlarda geçerli olması için Windows Active Directory ayarlarından tüm makinalarda geçerli olacak şekilde yapılması gerekmektedir. 6) Internet Explorer da Tools->Internet Options-> Content menüsü altında Certificates menüsünü seçin 7) Trusted Root Certification Authorities seçip, Import seçeneğini tıklayın: 5

Şekil 5 8) Sertifika import sihirbazı açılacaktır 9) Fine Name->Browse ile kaydettiğimiz sertifika tanımlanır. 10) Adımları Kabul ederek en son Finish ile bitirdikten sonra, sertifika eklenmesinin başarılı olduğu bilgisi gelir, ve değişiklikleri yaptığımız bilgisayar için Websense Content Gateway makinası sertifikasi geçerli kılınmıştır. II Kullanıcı Proxy Ayarları Web tarayıcılarda proxy ayarlarının değiştirilmesi Bu adımdan sonra Content Gateway, kendisine gelen https istekleri için vekil sunuculuk yapacak şekilde configure edilmiştir. Proxy e yönlendirmenin transparan olmadığı konfigurasyonlarda, bu gerektiğinde https protokolunun de aynı şekilde proxy e yönlendirilmesi ile gerçekleşir. Bunun için, örnek olarak Internet Explorer tarayıcısındaki ayarların nasıl yapılabileceği aşağıda gösterilmiştir. 1) Internet Explorer i açın 2) Tools->Internet Options menusünü açın (Seçenekler->Internet Seçenekleri) 3) Connections (Bağlantılar) tab ını seçin 6

Şekil 6 4) Vekil sunucu ayarları için Websense Content Gateway IP sini, ve 80 portunun girin. Şekil 7 7

5) Websense ARM modulu, 80 port üzerinden gelen istekleri ilgili port a (8080, 8070) yönlendirebilir. ARM modulunun kullanılmadığı veya transparan kurulum yapılmış entegrasyonlarda spesifik portların belirtilmesi gerekebilir. Bunun için Advanced butonu altında ilgili adımların spesifik olarak belirtilmesi gerekmektedir: Şekil 8 Port bazlı proxy ayarlarının girilmesi Aynı ayarları, Active Directory Group Policy ayarları üzerinde yapmak ve tüm kullanıcılar için geçerli olmasını sağlamak mümkün. Bunun için, Group Policy Manager üzerinde ilgili Domain Policy üzerinde (örnek olarak Default Domain Policy )->Edit->Computer Configuration->Windows Settings->Security Settings->Public Key Policies- >Trusted Root Certification Authorities e sağ tuş ile klikleyip Import seçeneği seçilir. Sonrasında ise yukarıdaki adımlar takip edilerek sistem üzerindeki sertifika, domain e güvenilir kök sertifika olarak tanımlanır. III - Ultrasurf bloklanması Ultrasurf, diğer portların bloklanması durumunda çoğu kurumda izinli ve yapısı gereği şifreli trafik içeren https portu (443) üzerinden bağlantısını gerçekleştiren bir filtreleme atlatma yazılımıdır. Program gerçek bir https bağlantısı kurmamakta, ancak güvenlik duvarı konfigurasyonları tarafından https ten farklı bir trafik olarak algılanamamaktadır. Bu tür bir program ile kullanıcı, herhangi bir filtrelemeye maruz kalmadan, ve gittiği sitelerin içeriği raporlanamadan her yere erişebilmektedir. Programın dışarıya yaptığı 443 port bağlantısı, gerçek bir https trafiği olmadığı için, transparan uygulamalarda websense gateway e yönlendirilmesi, trafiğin devam etmemesi için yeterli bir adımdır. Explicit olarak adlandırılan, kullanıcı makinalarında spesifik olarak vekil sunucu ayarlarının belirtildiği konfigurasyonlarda ise, ekstra bir konfigurasyon gerekmektedir. 8

Standart konfigurasyonda, kullanıcı vekil sunucudan istekte bulunur, gidilecek siteye olan bağlantı vekil sunucu tarafından yapılır. Dolayısıyla daha uç noktadaki güvenlik duvarı gibi cihazlarda proxy nin IP si gözükür. Ulrasurf kullanıldığı durumda ise, program direk olarak kullanıcı makinasındaki proxy ayarlarını değiştirmektedir. Bu durumda ise trafik, proxy üzerinden değil direk kullanıcı IP si ile internete çıkacaktır. Bu durumdan anlaşıldığı üzere, güvenlik duvarında, kullanıcının kendi IP si ile internete çıkmasını engelleyecek, sadece proxy IP sine izin verecek bir kural girmek gereklidir. Checkpoint VPN-1 güvenlik duvarı üzerinde yapılabilecek örnek ayarlamalar aşağıdaki şekilde gösterilmiştir: Şekil 9 Checkpoint VPN-1 Güvenlik Duvarı üzerinde örnek konfigurasyon Bu adımdan sonra kullanıcılar normal durumda internete proxy üzerinden bağlanabiliyorken, ultrasurf gibi bir yazılımla, veya manuel olarak proxy i değiştirip internete çıkamayacaklardır. Sonuç Bu dokumanda Websense Content gateway üzerinde, ve networkte, yapılan ayarlar sayesinde HTTPS trafiğinde de Websense e yönlendirilmesi ve bu trafiğin taranması anlatılmıştır. Bu sayede Ultrasurf yazılımı gibi https protokolunu kullanarak çalışan belirli yazılımların nasıl engellenebileceği gösterilmiştir. Özet Websense Content Gateway de HTTPS taramayı active etmek için 1) Configure->Basic->My Proxy menüsünde Features->Protocols->HTTPS seçeneğini on duruma getirin. 2) Sistemi tekrar başlatın (Configure->Basic->My Proxy->Restart 3) Configure->SSL->Internal Root CA ekranında Add Root CA ile sertifika ekleyin. 4) Kullanıcı bilgisayarlarını (varsayılan olarak) HTTPS protokolu taraması için WebsenseContentGatewayIP:8070 portuna yönlendirin. Ekstra Kaynaklar 1. Websense Content Gateway Administrator Guide - http://kb.websense.com/al/12/1/article.aspx?aid=3123&bt=4 2. Kök sertifikanın Group Policy ayarları ile eklenmesi - http://unixwiz.net/techtips/deploy-webcert-gp.html 9

10

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim