ISA Server FAQ Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Kapitel höher
Cleartunnel
Bitdefender
SurfControl

 

ClearTunnel - Ausgehende HTTPS-Datenverkehr-Überprüfung


Die Informationen in diesem Artikel beziehen sich auf:

  • Microsoft ISA Server 2004
  • Microsoft ISA Server 2006

 

ISA Server 200x bietet keine integrierte Unterstützung für die Überprüfung von ausgehendem HTTPS-Datenverkehr.
Eingehender HTTPS-Datenverkehr kann für Webserververöffentlichungen hingegen durch die Verwendung von HTTPS-Bridging von ISA Server und installierten Drittanbieter-Produkten inspiziert werden.

Für die Überprüfung von ausgehendem HTTPS-Datenverkehr gibt es jetzt eine Zusatzsoftware der Firma Collective Software mit dem Namen ClearTunnel. Collective Software ist im ISA Server-Umfeld bereits bekannt geworden durch Programme wie Loghostname oder LCS-Bridge.

Die Software kostet 870 Dollar pro ISA Server, Mengenstaffelungen sind möglich. Eine kostenlose Testversion ist erhältlich. Weitere Informationen zu Collective Software finden Sie hier.

Wichtige Bemerkung:

Prüfen Sie vor Verwendung dieser Software die datenschutzrechtlichen Aspekte in Ihrem Unternehmen und die geltenden Datenschutzbestimmungen da ISA Server-Administratoren mit Hilfe dieser Software HTTPS-Datenverkehr inspizieren können, obwohl sich der Benutzer durch das Verschlüsselungssymbol im Internet Explorer in Sicherheit wiegt.

Voraussetzungen

  • ISA Server 2004 oder ISA Server 2006
  • Eine Enterprise CA (ISA und Clients müssen dieser CA vertrauen)

Einschränkung

ClearTunnel funktioniert nicht wenn Client SSL-Zertifikate zum Verbindungsaufbau erforderlich sind.

Installation

Nach dem Download der Testversion kann die Installation beginnen. Die Installation wurde für diesen Artikel auf einem deutschen ISA Server 2006 Standard durchgeführt.

Wählen Sie die Option Custom um auswählen zu können welche Komponenten installiert werden sollen.

Installieren Sie alle notwendigen Komponenten.

Achtung: Während der Installation wird der ISA Server Firewalldienst neu gestartet und somit aktuelle Firewall-Verbindungen terminiert.

ClearTunnel installiert sich als Anwendungs- und Webfilter. Der ClearTunnel Anwendungsfilter muss sich an erster Stelle in der Filterliste befinden. Achten Sie darauf wenn Sie Service Packs oder andere Produkte installieren, welche die Reihenfolge der Filter unter Umständen verändern.

Konfiguration

Die eigentliche Konfiguration von ClearTunnel erfolgt in den Eigenschaften des ClearTunnel Webfilters.

Ansicht des ClearTunnel Webfilters

Klicken Sie in der Registerkarte Settings auf die Schaltfläche Certificate Wizard. Der CertificateWizard erfordert die Eingabe verschiedener Informationen welche für die Erstellung eines Zertifikats notwendig sind. Geben Sie den NetBIOS Domänen Namen, das Konto eines Benutzers und das Kennwort an, welcher berechtigt ist ein Zertifikat an der Zertifizierungsstelle anzufordern.

Des Weiteren ist die Angabe der IP-Adresse und der Name der Zertifizierungsstelle erforderlich.

Vergeben Sie einen Namen für das auszustellende Zertifikat und ein Kennwort für die PFX-Datei. PFX ist die Abkürzung für Private File Exchange und kennzeichnet Zertifikate welche mit dem privaten Schlüssel exportiert werden.

Bei meinen Versuchen mit der deutschen ISA Server Version kam nach dem Betätigen der Schaltfläche Do all the Certificate Setup! immer eine Fehlermeldung. Es scheint aber trotzdem alles zu funktionieren. Auf einem englischen ISA Server trat diese Fehlermeldung nicht auf, so dass ich von einem Lokalisierungsproblem ausgehe.

Nach erfolgreicher Ausführung des Assistenten taucht jetzt im Dialogfeld des ClearTunnel Webfilters der Name des Signing Zertifikats auf. Sie können hier noch Websites von der HTTPS-Überprüfung ausnehmen und das Kontrollkästchen Inspect the HTTPS connections of SecureNAT clients aktivieren, damit auch SecureNAT Clients eine Verbindung mit Hilfe von ClearTunnel aufbauen können und die HTTPS-Verbindung inspiziert werden kann.

Der ClearTunnel Zertifikats-Assistent erstellt ein Zertifikat mit dem Namen SSLClearTunnel im Zertifikatspeicher des Microsoft Firewalldienstes. Sie können das überprüfen indem Sie eine MMC mit dem Zertifikats-SnapIn für den Microsoft ISA Server Firewalldienst öffnen.

Testen Sie jetzt die Verbindung von einem Client-PC aus dem internen Netzwerk mit einer HTTPS-Seite. Die Seite sollte wie gewöhnlich geöffnet werden und im Internet Explorer das gelbe Schlosssymbol angezeigt werden. Der HTTPS geschützte Netzwerkverkehr wird am ISA Server jetzt terminiert, so dass der ISA eigene HTTP-Filter oder Third Party Produkte den Datenverkehr inspizieren können. Nach erfolgter Prüfung werden die Datenpakete wieder HTTPS verschlüsselt.

 

Stand: Friday, 28. August 2009/MG. - http://www.it-training-grote.de


Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Fragen oder Probleme in Zusammenhang mit dieser Website richten Sie bitte an den Webmaster. Bitte inhaltliche oder technische Fragen ausschließlich in der deutschen ISA Server Newsgroup stellen.
Verbesserungsvorschläge, Anregungen oder Fremdartikel sind jederzeit willkommen! Copyright 2001-2011. Alle Rechte vorbehalten. msisafaq.de steht in keiner Beziehung zur Microsoft Corp.
Stand: Monday, 18. March 2013 / Dieter Rauscher