O PFSense é uma distribuição de firewall modular baseada no Freebsd. Ele pode ser estendido via Apache, Mod_security, Squid ou Openvpn (e outros).
Eu usaria:
- Apache para veiculação HTTP e extensibilidade
- Mod_security para proteções de aplicativos da web
- Squid para funcionalidade proxy / proxy reverso / armazenamento em cache
- Openvpn para funcionalidade de VPN
Como você pode acessar a funcionalidade de certificado x509 nos produtos acima, sim, é possível. Você pode ler sobre algumas das informações de vpn TLS do cliente x509 em
Existe também uma maneira de usar o Squid para fazer a interceptação de tráfego, chamada SSLbump
Eu recomendaria usar uma CA off-line para algumas das ideias específicas de PKI e avaliar a lista de compatibilidade do PFsense com dispositivos de transferência de criptografia (HSMs).
Existem considerações éticas na interceptação de tráfego que são maiores para clientes externos do que para funcionários internos. Os funcionários podem ser facilmente abordados por meio de um padrão - podemos ler tudo, interceptar tudo, etc., tipo de clique do EULA, como o que o DoD usa, por exemplo, link
Como sou preguiçoso e paranóico com a segurança, prefiro fazer algo um pouco diferente do que você mencionou: vários túneis e amp; Gerenciamento Fora da Banda
Vários túneis
client ---- Network device < < < < < Túnel 1, IPSEC > > > > > > > PFSense ---- IIS
cliente -------- Túnel 2, IPSEC -------- IIS
Tenha em mente que o IPSEC é mais complexo que o TLS, com melhor segurança, a um custo de usabilidade. Você também pode usar os tipos de VPN TLS e IPSEC juntos.
Gerenciamento fora da banda
Crie outra rede específica para gerenciamento e isole-a do tráfego de produção (dados). Ative o gerenciamento de entrada somente por meio da interface de gerenciamento. Desativar todos, exceto o tráfego de produção no lado da produção. Torne suas regras rígidas, através de um processo gradual de aperto. Implemente o menor privilégio em seus servidores IIS com o mínimo possível (HTTP ou HTTPS) conversando no lado da rede de produção.
Embora isso seja mais trabalho do que o que você fez na pergunta
- Você pode ficar mais tranquilo sabendo que sua segurança está mais apertada
- Seus auditores provavelmente vão amá-lo:)