«
»

HTTPS Inspection in Forefront TMG und IP-Ausnahmen

Hallo Leutz,

Forefront TMG bietet eine ausgehende HTTPS-Ueberpruefung. Es koennen URL Ausnahmen konfiguriert werden. Wie ist das aber, wenn man nur die IP-Adressen als Ausnahmen konfigurieren moechte? Konkretes Beispiel war die Frage eines Besucher an meinem Stand, wie er Elster von der HTTPS-Ueberpruefung ausschliessen kann, da hier wohl nur IP-Adressen bekannt sind. In den Ausnahmen kann man ja nur URL-Sets konfigurieren, also sind IP-Adressen nicht zulaessig. Eine Antwort hatte ich nicht parat, ausser das DNS umzubiegen und mit gefakten DNS Name Mappings zu arbeiten.

Also kurzerhand die Frage an Experten gestellt :-) und kurze Zeit spaeter kam die Antwort von Jim Harrison:

“No, but if you know the certificate subject and SAN names used by those services, you can enter those in the exceptions.

TMG uses the subject and SAN attributes to determine if the upstream server is “exceptional” as well as how to build the spoof cert if it needs to.

The primary reason IPs aren’t usable is that in the hosted cloud Internet of today, IP addresses do not represent anything even remotely like “identity” and identity is exactly the context in which certificate validation operates.”

 

 Gruss Marc

This entry was posted on Friday, March 5th, 2010 at 17:59 and is filed under Community, Forefront (ISA), Security, Server, itproblogs.de. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

One Response to “HTTPS Inspection in Forefront TMG und IP-Ausnahmen”

  1. Marc Grote Blog» Blog Archive » HTTPS Inspection in Forefront TMG und IP-Ausnahmen fuer Elster Says:
    September 1st, 2010 at 15:51

    [...] Forefront TMG beitet die Moeglichkeit, DNS-Domaenensaetze von der HTTPS-Inspection auszunehmen. Das gilt lt. Doku nur fuer DNS-Namen. Das man auch IP-Adressen verwenden kann, wie dies z. B. fuer Elster benoetigt wird, steht hier: http://www.it-training-grote.de/blog/?p=2591 [...]

Leave a Reply