PFSense com certificados de cliente, SSL cert hosting

1

Estou executando um firewall PFSense que está fazendo o balanceamento de carga para vários servidores IIS. Gostaria de hospedar o certificado SSL no firewall pfsense em vez dos servidores IIS individuais. Também gostaria de poder restringir os clientes que podem se conectar ao servidor https em um determinado endereço IP público a uma lista de certificados de clientes (gerenciados pelo pfsense). Olhando para o web gui, parece apenas permitir regras de certificado de regras se o cliente estiver conectado à VPN.

Isso é possível? Agradecemos antecipadamente

    
por John P 17.04.2012 / 20:32

1 resposta

2

O PFSense é uma distribuição de firewall modular baseada no Freebsd. Ele pode ser estendido via Apache, Mod_security, Squid ou Openvpn (e outros).

Eu usaria:

  • Apache para veiculação HTTP e extensibilidade
  • Mod_security para proteções de aplicativos da web
  • Squid para funcionalidade proxy / proxy reverso / armazenamento em cache
  • Openvpn para funcionalidade de VPN

Como você pode acessar a funcionalidade de certificado x509 nos produtos acima, sim, é possível. Você pode ler sobre algumas das informações de vpn TLS do cliente x509 em

link

Existe também uma maneira de usar o Squid para fazer a interceptação de tráfego, chamada SSLbump

link

Eu recomendaria usar uma CA off-line para algumas das ideias específicas de PKI e avaliar a lista de compatibilidade do PFsense com dispositivos de transferência de criptografia (HSMs).

Existem considerações éticas na interceptação de tráfego que são maiores para clientes externos do que para funcionários internos. Os funcionários podem ser facilmente abordados por meio de um padrão - podemos ler tudo, interceptar tudo, etc., tipo de clique do EULA, como o que o DoD usa, por exemplo, link

Como sou preguiçoso e paranóico com a segurança, prefiro fazer algo um pouco diferente do que você mencionou: vários túneis e amp; Gerenciamento Fora da Banda

Vários túneis

client ---- Network device < < < < < Túnel 1, IPSEC > > > > > > > PFSense ---- IIS

cliente -------- Túnel 2, IPSEC -------- IIS

Tenha em mente que o IPSEC é mais complexo que o TLS, com melhor segurança, a um custo de usabilidade. Você também pode usar os tipos de VPN TLS e IPSEC juntos.

Gerenciamento fora da banda

Crie outra rede específica para gerenciamento e isole-a do tráfego de produção (dados). Ative o gerenciamento de entrada somente por meio da interface de gerenciamento. Desativar todos, exceto o tráfego de produção no lado da produção. Torne suas regras rígidas, através de um processo gradual de aperto. Implemente o menor privilégio em seus servidores IIS com o mínimo possível (HTTP ou HTTPS) conversando no lado da rede de produção.

Embora isso seja mais trabalho do que o que você fez na pergunta

  • Você pode ficar mais tranquilo sabendo que sua segurança está mais apertada
  • Seus auditores provavelmente vão amá-lo:)
por 17.04.2012 / 21:49