Я использую брандмауэр PFSense, который балансирует нагрузку на несколько серверов IIS. Я хотел бы разместить сертификат SSL на брандмауэре pfsense вместо отдельных серверов IIS. Я также хотел бы иметь возможность ограничивать клиентов, которые могут подключаться к https-серверу по определенному общедоступному IP-адресу, списком клиентских сертификатов (управляемым pfsense). Глядя на веб-интерфейс, кажется, что он разрешает правила сертификата только в том случае, если клиент подключен к VPN.
Это возможно? заранее спасибо
PFSense - это модульный брандмауэр, основанный на Freebsd. Его можно расширить с помощью Apache, Mod_security, Squid или Openvpn (и других).
Я бы использовал:
Поскольку вы можете получить доступ к функциям сертификата x509 в вышеуказанных продуктах, да, это возможно. Вы можете прочитать некоторую информацию о TLS vpn клиента x509 по адресу
http://doc.pfsense.org/index.php/VPN_Capability_OpenVPN
Также есть способ использовать Squid для перехвата трафика, называемый SSLbump.
http://wiki.squid-cache.org/Features/SslBump
Я бы рекомендовал использовать автономный ЦС для некоторых идей, связанных с PKI, и оценить список совместимости PFsense с устройствами криптографии (HSM).
При перехвате трафика существуют этические соображения, которые важнее для внешних клиентов, чем для внутренних сотрудников. К сотрудникам можно легко обращаться через стандарт - мы можем все читать, все перехватывать и т. Д. Тип лицензионного соглашения с конечным пользователем, например тот, который использует DoD, например https://dod411.gds.disa.mil/
Поскольку я ленив и параноик безопасности, я бы предпочел сделать что-то немного другое, чем то, что вы упомянули: несколько туннелей и внешнее управление.
Несколько туннелей
клиент ---- Сетевое устройство <<<<<< Туннель 1, IPSEC >>>>>>> PFSense ---- IIS
клиент -------- Туннель 2, IPSEC -------- IIS
Имейте в виду, что IPSEC более сложен, чем TLS, с большей безопасностью за счет удобства использования. Вы также можете использовать типы vpn TLS и IPSEC вместе.
Внешнее управление
Создайте другую сеть, предназначенную для управления, и изолируйте ее от производственного трафика (данных). Включите входящее управление только через интерфейс управления. Отключите весь трафик, кроме производственного, на производственной стороне. Сделайте свои правила жесткими путем постепенного ужесточения. Обеспечьте минимальные привилегии на своих серверах IIS с минимальным уровнем доступа (HTTP или HTTPS) на стороне производственной сети.
Хотя это больше работы, чем то, что вы задали в вопросе