HTTPS — протокол безопасной передачи данных через интернет. Его структура обеспечивает высокую защищенность передаваемых данных — он используется даже системами интернет-банкинга. Веб-страница передается в полностью зашифрованном виде, и это накладывает ограничения на возможности контент-фильтрации протокола HTTPS. Чтобы система фильтрации трафика могла распознать нежелательный контент на запрошенной пользователем веб-странице, необходимо ее расшифровать. Как это сделать?
Алгоритм аутентификации протокола HTTPS предполагает использование доверенных сертификатов серверов. В локальной сети, где организован контроль интернет трафика, запрос к веб-странице от пользователя проходит через интернет-шлюз, который настраивается таким образом, что становится посредником между пользователем и сайтом. Интернет-шлюз и пользователь будут иметь одинаковые сертификаты. Фактически имитируется «взлом» протокола HTTPS, и трафик расшифровывается раньше, чем попадает к конечному пользователю и становится доступен для фильтрации всеми доступными способами.
Фильтрация HTTPS трафика в ИКС настраивается в несколько этапов:
В модуле «Сертификаты» добавляется корневой сертификат со стандартными настройками:
Сертификат по умолчанию имеет ограниченный срок действия, и, чтобы избежать необходимости менять его на конечных пользователях, устанавливается дата окончания более одного года, остальные параметры не меняются:
После добавления сертификата нужно указать «Не шифровать закрытый ключ».
В модуле «Прокси» в поле «Сертификат для ssl-фильтрации» выбирается созданный сертификат, после чего фильтрация начинает работать:
Подмена сертификата обнаруживается протоколом HTTPS, и браузер пользователя будет об этом сообщать. Нужно перенести этот сертификат на каждый клиентский компьютер. Из модуля «Сертификаты» производится экспорт:
Файл сертификата добавляется в доверенные корневые центры сертификации на каждом компьютере. На Windows 7 после двойного клика по сертификату выберите «Установить сертификат». В мастере импорта сертификатов нужно указать место хранения сертификата — «поместить все сертификаты в следующее хранилище» — «Обзор» — «Доверенные корневые центры сертификации»:
После этого сертификат будет применяться всеми браузерами, которые используют глобальное хранилище системы — Internet Explorer, Chrome, Yandex. Некоторые браузеры используют собственное хранилище сертификатов, например, Mozilla Firefox. Тогда сертификат импортируется непосредственно в него. В настройках браузера выберите «Дополнительные» — «Сертификаты» — «Просмотр сертификатов» — «Импортировать»:
Выбирается файл нового сертификата, отмечаются все флажки и производится импорт:
ИКС защищает локальную сеть и обеспечивает полный контроль над ней — создание сетевых сервисов и инфраструктуры, почты, телефонии, удаленные подключения по VPN, объединение офисов, управление пользователями. Фильтрация трафика для предотвращения нецелевого доступа и ограничения нежелательного контента организована на нескольких уровнях — антивирусная проверка, SkyDNS, прокси-сервер. Приобретение ИКС решает все сетевые задачи в рамках корпоративной сети.