Zyxel Firewall [USG FLEX, ATP Series] - Най-добри практики за SSL инспекция и услуги за сигурност

Статията предоставя ръководство стъпка по стъпка за конфигуриране на SSL Inspection на защитни стени Zyxel [USG FLEX, ATP Series], като се гарантира, че SSL трафикът се декриптира, сканира и повторно криптира, последвано от най-добрите практики за SSL Inspection. Тези практики включват активиране на SSL Inspection, определяне на критерии за изключения, идентифициране на критични уебсайтове и редовно актуализиране на списъка с доверени сайтове.

Въведение

SSL Inspection, известна също като SSL/TLS декриптиране или SSL декриптиране, е техника за сигурност, използвана за наблюдение на криптиран мрежов трафик за потенциални заплахи. С широкото разпространение на HTTPS криптираният трафик се превърна в норма, което представлява предизвикателство за традиционните мерки за сигурност за откриване и намаляване на заплахите. SSL инспекцията преодолява това ограничение, като декриптира SSL-криптираните данни, проверява ги за злонамерено съдържание и ги криптира отново за сигурна доставка.

Zyxel предлага SSL Inspection и набор от услуги за сигурност, включително филтриране на IP репутацията, за подобряване на мрежовата сигурност и защита от развиващите се киберзаплахи. Чрез правилно конфигуриране на тези услуги и създаване на списък с изключения за определени сайтове можете да постигнете правилния баланс между ефективност и безопасност в мрежовата си среда.

1) Конфигуриране на SSL инспекция

SSL Inspection ви позволява да проверявате SSL-криптирани пакети, за да позволите на няколко други UTM профила да работят правилно с HTTPS трафик. Това видео ще ви преведе през обща конфигурационна настройка!

В защитните стени Zyxel можете да изключите категориите на филтъра за съдържание от SSL Inspection.

Това може да стане, като превъртите до дъното на "Списък за изключване" и щракнете върху "Разширено".

Стъпки за проследяване:

1. Осъществете достъп до устройството си, като въведете неговия IP адрес в адресния ред на браузъра и влезете, като използвате удостоверението на устройството
2. Навигирайте до Конфигурация > Обект > Сертификат
3. Редактирайте самоподписания сертификат по подразбиране и го експортирайте
4. В Windows трябва да стартирате certmgr.msc и да импортирате сертификата в Trusted Root Certificate Authorities (Доверени коренови удостоверителни органи) > Certificates (Сертификати)
5. На USG отидете в Configuration (Конфигурация) > UTM Profile (Профил на UTM) > SSL Inspection (Проверка на SSL)
6. Добавете нов профил и изберете профила, който сте експортирали преди това
7. Изберете действието, което трябва да се приложи към SSL трафика
8. Преминете към Configuration (Конфигурация) > Security Policy (Политика за сигурност) > Policy Control (Контрол на политиката)
9. Добавете ново правило с отметка за проверка на SSL
10. Ако например използвате Application Patrol (Патрулиране на приложения), можете да зададете правилото от LAN към WAN и да изберете профила Application Patrol, който искате да използвате

След това всеки изходящ SSL трафик от LAN към WAN първо ще бъде декриптиран, сканиран и или отхвърлен, или отново криптиран.

Тук избирате категориите, които да изключите, и щраквате върху "Приложи":

2) Най-добри практики за проверка на SSL

1. Активиране на SSL Inspection: Преди да създадете списък с изключения, уверете се, че SSL Inspection е правилно активирана на вашия уред за сигурност Zyxel. Тази стъпка може да включва генериране и инсталиране на SSL сертификати, за да се избегнат предупреждения за сигурност на клиентските устройства (вж. тази статия).
2. Определяне на критериите за изключения: Определете ясни критерии за добавяне на уебсайтове в списъка с изключения. Обикновено тези критерии трябва да включват задълбочена оценка на репутацията на сайта, неговата цел и ниво на надеждност. Само доверени уебсайтове трябва да се разглеждат за изключения.
3. Критични уебсайтове и услуги: Идентифицирайте критични уебсайтове и услуги, които трябва да останат изключени от SSL инспекцията, за да се осигури непрекъсната функционалност. Те могат да включват основни бизнес приложения, финансови портали или шлюзове за онлайн плащания.
4. Редовно актуализиране на надеждните сайтове: Киберзаплахите непрекъснато се развиват и уебсайтовете, които днес са безопасни, утре може да станат компрометирани. Непрекъснато преглеждайте и актуализирайте списъка с доверени сайтове, за да гарантирате сигурността на мрежовата си среда.
5. Изготвяне на бели и черни списъци: Използвайте подходи за филтриране на репутацията на IP адресите както в бели, така и в черни списъци. Създайте бял списък на сайтове с добра репутация, за да заобиколите SSL проверката, и черен списък на известни злонамерени сайтове, за да подобрите мерките за сигурност.
6. Вътрешни ресурси: Изключете вътрешните мрежови ресурси, като интранет сайтове и доверени сървъри, от проверката на SSL, за да предотвратите ненужните разходи за декриптиране и повторно криптиране.
7. Освобождаване на чувствителни данни: Сайтовете, които обработват чувствителни данни, като например медицински досиета или лична информация, трябва да бъдат изключени, за да се защити неприкосновеността на личния живот на потребителите и да се спазят разпоредбите за защита на данните.
8. Сътрудничество с потребителите: Включете ключови заинтересовани страни и крайни потребители при създаването на списъка с изключения. Събирането на обратна връзка и информация от служителите може да помогне за идентифицирането на важни уебсайтове и да подобри цялостната ефективност на мрежата.
9. Периодични прегледи: Извършвайте редовни прегледи на списъка с изключения, за да гарантирате неговата актуалност и ефикасност. Премахвайте ненужните записи и добавяйте нови надеждни сайтове, ако е необходимо.
10. Регистриране и наблюдение: Разрешете подробно регистриране и наблюдение на SSL инспекцията и услугите за сигурност, за да откриете всякакви потенциални аномалии или опити за неоторизиран достъп.

3) Препоръки за списък с изключения на уебсайтове за проверка на SSL

Тъй като списъкът с доверени уебсайтове трябва да бъде постоянно наблюдаван и преглеждан от съображения за сигурност, можем да предложим някои категории уебсайтове, които обикновено се разглеждат като изключения при SSL инспекция:

1. Финансови институции: Уебсайтове на банки, кредитни съюзи и други финансови институции, които обработват чувствителни финансови транзакции и лични данни.
2. Правителствени и официални уебсайтове: Правителствени уебсайтове, официални портали и обществени услуги, които изискват сигурна комуникация.
3. Доставчици на здравни услуги: Уебсайтове на болници, клиники и доставчици на здравни услуги, които обработват поверителна медицинска информация.
4. Образователни институции: Уебсайтове на училища, университети и образователни платформи, където учениците имат достъп до учебни материали и ресурси.
5. Вътрешни мрежови ресурси: Интранет сайтове, вътрешни сървъри и други надеждни ресурси, използвани единствено от организацията.
6. Инструменти за сътрудничество и комуникация: Доверени инструменти за комуникация, като платформи за видеоконференции или системи за съобщения в цялата компания.
7. Уебсайтове за правни и правоприлагащи органи: Уебсайтове на адвокатски кантори, правни служби и правоприлагащи органи, които боравят с поверителна информация.
8. Реномирани новини и медии: Добре познати и утвърдени новинарски уебсайтове и медии.
9. Сървъри за актуализация на софтуер и системи: Уебсайтове, предоставящи софтуерни актуализации и кръпки от официални източници.
10. Доставчици на софтуер като услуга (SaaS): Надеждни облачни услуги, които са от решаващо значение за бизнес операциите.

Не забравяйте, че списъкът с надеждни уебсайтове ще варира в зависимост от специфичните нужди и изисквания на вашата организация. Винаги включвайте ключови заинтересовани страни, като ИТ администратори, ръководители на отдели и крайни потребители, в процеса на създаване и поддържане на списъка с изключения. Редовно преглеждайте и актуализирайте списъка, за да гарантирате неговата актуалност и ефективност при осигуряването на баланс между мрежова ефективност и сигурност.