Bezpieczne bramki proxy – by chronić, trzeba uwierzytelnić

Home / Aktualności / Bezpieczne bramki proxy – by chronić, trzeba uwierzytelnić

Uwierzytelnianie pozwala bezpiecznej bramce internetowej rozpoznać jaki użytkownik korporacyjny uzyskuje do niej dostęp i czy można mu go udzielić. W naturalny sposób związane jest to również z jego autoryzacją – udowadniając swoją tożsamość, użytkownik jednocześnie potwierdza poziom polityk bezpieczeństwa przypisanych mu przez administratora systemu.

Dlaczego to ważne?

Zarządzając użytkownikami poprzez usługę katalogową typu AD – możemy kontrolować dwie rzeczy – dostęp do internetu z ich konta (konto inne niż zarejestrowane w AD lub regułach zostanie odrzucone przez proxy) a także wspomniany wcześniej poziom polityk bezpieczeństwa.


Jakie metody uwierzytelniania są obsługiwane?


Zazwyczaj rozwiązania klasy Web Security obsługują kilka metod uwierzytelniania użytkowników – celem “wypuszczenia ich” do internetu. Najpopularniejsze metody to:

  1. Zintegrowane uwierzytelnianie Windows – Integrated Windows Authentication – (Kerberos z SPNEGO do NTLM) – Zintegrowane uwierzytelnianie systemu Windows (IWA – Integrated Windows Authentication) to niezawodna i najpopularniejsza metoda uwierzytelniania użytkowników należących do zaufanych domen systemu Windows. Kerberos to protokół uwierzytelniania sieciowego dla aplikacji klient/serwer, a SPNEGO zapewnia mechanizm rozszerzenia Kerberos-a na aplikacje internetowe za pomocą standardowego protokołu HTTP. Jeżeli użytkownicy w Twojej korzystają z Windows, autentykacja przy użyciu IWA jest często preferowanym sposobem. Wymaga to jednak by:
  • Użytkownicy muszą być podłączeni do domeny
  • Przeglądarki klienckie określają w pełni kwalifikowaną nazwę domeny (FQDN) bramki internetowej jako witrynę intranetową lub witrynę zaufaną
  • W przypadku wdrożeń typu explicit proxy przeglądarki muszą określić nazwę FQDN


  1. Uwierzytelnianie NTLM (NTLMSSP) – wykorzystuje protokół uwierzytelniania NTLM (NT LAN Manager) jako metoda zapewniająca uwierzytelnienie użytkowników w sieci Windows przed uzyskaniem dostępu do Internetu. Obecnie jest wypierana jako tzw. Legacy solution przez uwierzytelnianie typu IWA. Gdy uwierzytelniamy przez NTLM:

  • serwer proxy kwestionuje użytkowników, którzy żądają zawartości w celu potwierdzenia ich poświadczeń
  • proxy wysyła następnie dowód poświadczeń użytkownika bezpośrednio do kontrolera domeny Windows w celu zweryfikowania
  • Jeśli poświadczenia są prawidłowe, serwer proxy obsługuje żądaną zawartość i przechowuje poświadczenia w pamięci podręcznej NTLM do wykorzystania w przyszłości. Jeśli poświadczenia są nieprawidłowe, serwer proxy wysyła komunikat o niepowodzeniu uwierzytelnienia.


Główną wadą uwierzytelniania przez NTLM jest konieczność okresowego “odpytywania” serwera AD oraz to, że nie wszystkie przeglądarki wspierają NTLM.

  1. Uwierzytelnianie LDAP – protokół przeznaczony do korzystania z usług katalogowych, bazujący na standardzie X.500 (przyp. zbiór standardów sieciowych pokrywających usługi katalogowe). Proces:
  • Bezpieczne proxy działa jako klient LDAP i bezpośrednio “odpytuje” użytkowników, którzy żądają treści o nazwę użytkownika i hasło.
  • Po otrzymaniu nazwy użytkownika i hasła proxy kontaktuje się z serwerem LDAP, aby sprawdzić, czy poświadczenia są poprawne.
  • Jeśli serwer LDAP akceptuje nazwę użytkownika i hasło, serwer proxy udostępnia klientowi żądaną treść i przechowuje nazwę użytkownika i hasło w pamięci podręcznej poświadczeń. Jeśli serwer LDAP odrzuci nazwę użytkownika i hasło, przeglądarka użytkownika wyświetli komunikat wskazujący, że autoryzacja nie powiodła się i ponownie prosi o nazwę użytkownika i hasło.
  • Żądania uwierzytelniania w przyszłości dla tego użytkownika są obsługiwane z pamięci podręcznej do momentu wygaśnięcia wpisu pamięci podręcznej (wartość czasu wygaśnięcia). Administrator może określić wartość czasu wygaśnięcia adekwatnie do poziomu wrażliwości – strategii bezpieczeństwa i… użytkowników


Warto zauważyć, że domyślnie ruch LDAP jest przesyłany bez zabezpieczenia. Ruch LDAP można uczynić poufnym i bezpiecznym, korzystając z technologii Secure Sockets Layer (SSL) /Transport Layer Security (TLS). Protokół LDAP przez SSL (LDAPS) można włączyć, instalując prawidłowo sformatowany certyfikat (CA) firmy Microsoft lub certyfikacji innej autoryzowanej firmy.

  1. Uwierzytelnianie RADIUS – Remote Authentication Dial In User Service – usługa zdalnego uwierzytelniania użytkowników, którzy wdzwaniają się do systemu (poprzez usługę „połączenie wdzwaniane”). Proces:

  •   Proxy działa jako klient RADIUS i bezpośrednio “odpytuje” użytkowników, którzy żądają zawartości o nazwę użytkownika i hasło.
  • po otrzymaniu nazwy użytkownika i hasła bramka kontaktuje się z serwerem RADIUS, aby sprawdzić, czy poświadczenia są poprawne.
  • Jeśli serwer RADIUS akceptuje nazwę użytkownika i hasło, proxy podaje klientowi żądaną zawartość i przechowuje nazwę użytkownika i hasło w pamięci podręcznej RADIUS. Jeśli serwer RADIUS odrzuci nazwę użytkownika i hasło, przeglądarka użytkownika wyświetli komunikat informujący, że autoryzacja nie powiodła się i ponownie monituje o nazwę użytkownika i hasło.

Autentykacja użytkowników AD to jedno… ale co gdy obsługujemy wiele domen?


Bezpieczne proxy internetowe powinno również obsługiwać kombinacje zintegrowanego uwierzytelniania systemu Windows (IWA), Legacy NTLM i LDAP przy użyciu uwierzytelniania opartego na regułach – Rule-Based Authentication – to uporządkowana lista reguł uwierzytelniania. Gdy żądanie jest przetwarzane, lista jest przesuwana od góry do dołu i stosowane jest pierwsze dopasowanie. Kluczowe parametry uwierzytelniania na podstawie reguł to:

  1. Reguły jak dopasować klienta za pomocą:
  • Adresu IP.
  • Portu proxy przychodzącego (tylko w trybie explicit proxy).
  • Wartości User-Agent (User-Agent nagłówka żądania, aby określić, czy zostanie przeprowadzone uwierzytelnienie użytkownika. Jest to przydatne, gdy chcesz uwierzytelniać użytkowników przy użyciu znanego zestawu aplikacji klienckich, zwykle przeglądarek, i zezwolić innym aplikacjom, często zestawowi aplikacji, które nie obsługują uwierzytelniania, na działanie bez uwierzytelniania. Takie reguły mogą również określać adresy IP oraz, jeśli Content Gateway jest jawnym serwerem proxy.
  • Połączenia powyższych.

  1. Informacje o domenie lub uporządkowanej liście domen do uwierzytelniania. W przypadku listy pierwsze pomyślne uwierzytelnienie jest zapamiętywane i używane w kolejnych uwierzytelnieniach dla tego użytkownika.

Kluczowe przypadki użycia to:


Wspomniane sieci z wieloma domenami. Tutaj uwierzytelnianie oparte na regułach obsługuje wiele sieci, w których domeny nie współdzielą relacji zaufania i dlatego wymagają uwierzytelniania członków każdej domeny przez kontroler domeny w ich domenie. W tym środowisku tworzone są reguły określające:

  • Członków domeny (niezaufanej) – według adresu IP lub portu proxy.
  • Sferę (domenę), do której należą.


Uwierzytelnianie, gdy członkostwo w domenie jest nieznane: niektóre organizacje nie zawsze wiedzą, do jakiej domeny należy użytkownik. Na przykład może się tak zdarzyć, gdy organizacje nabywają nowe firmy, a usługi katalogowe nie są mapowane ani konsolidowane. Problem związany z członkostwem w nieznanej domenie można rozwiązać w uwierzytelnianiu opartym na regułach, tworząc regułę dla list lub zakresów adresów IP, która określa uporządkowaną listę domen, w stosunku do których należy próbować uwierzytelnić. Pierwsze pomyślne uwierzytelnienie jest zapamiętywane i używane w późniejszych uwierzytelnieniach. Jeśli uwierzytelnianie nie powiedzie się lub przeglądarka przekroczy limit czasu, uwierzytelnianie nie jest wykonywane.


Uwierzytelnianie na podstawie wartości User-Agent: W regule uwierzytelniania można określić jedną lub więcej wartości User-Agent. Często jest to lista przeglądarek. Gdy wartość User-Agent pasuje do reguły, uwierzytelnianie jest przeprowadzane w określonych domenach. Jeśli wartość User-Agent nie jest zgodna z żadną regułą i żadna reguła nie jest zgodna z innymi wartościami, uwierzytelnianie nie jest wykonywane (jest to zawsze prawda w przypadku uwierzytelniania opartego na regułach; jeśli żadna reguła nie pasuje, uwierzytelnianie nie jest wykonywane).


Dla przykładu – organizacja z jedną domeną chce uwierzytelniać żądania z 2 popularnych przeglądarek internetowych (e.g. Chrome i Firefox). Chcą również ominąć uwierzytelnianie dla aplikacji internetowych, które nie obsługują uwierzytelniania.


Warto jednak pamiętać, by nie zbędnie nie komplikować wdrożenia – jeśli nie potrzebujesz reguł, nie używaj uwierzytelniania opartego na regułach. Wdrożenie jednej metody uwierzytelniania powinno zapewnić najlepszą wydajność.


Podsumowując..


Uwierzytelnianie umożliwia skonfigurowanie metody uwierzytelniania używanej przez proxy. Określa to, w jaki sposób komputery klienckie są sprawdzane podczas uzyskiwania dostępu do Internetu. W myśl zasady “Najpierw znaj siebie, potem znaj przeciwnika” – warto poświęcić część planowania na zapewnienie optymalnego sposobu autentykacji. Uwierzytelnianie proxy musi być włączone, aby móc tworzyć nowe zasady dla użytkowników lub grup. Domyślnie uwierzytelnianie proxy jest wyłączone. Gdy uwierzytelnianie proxy jest wyłączone, jesteśmy skazani na wprowadzanie reguł obowiązujących jedynie dla pojedynczych lub zakresów IP.




Powiązane artykuły

Secure Web Gateway – metodologie wdrożenia
2020... świt czy zmierzch bramek internetowych?
Do trzech razy sztuka! Nowe trendy w ransomware.
Nasz serwis używa plików cookies w celach statystycznych, reklamowych oraz funkcjonalnych. Dzięki nim możemy indywidualnie dostosować ofertę do Twoich potrzeb. Każdy może zaakceptować pliki cookies albo ma możliwość wyłączenia ich w przeglądarce, dzięki czemu nie będą zbierane żadne informacje.
Akceptuję Więcej informacji