Firewall Zyxel [USG FLEX, řada ATP] - Nejlepší postupy inspekce SSL a bezpečnostních služeb

Vytvořeno - Aktualizováno
Serhii Boiarynov
Print Friendly and PDF
Máte další otázky? Odeslat požadavek

Důležité upozornění:
Upozornění: Vážení zákazníci, upozorňujeme, že k poskytování článků v místním jazyce používáme strojový překlad. Ne všechny texty mohou být přeloženy přesně. V případě dotazů nebo nesrovnalostí ohledně správnosti informací v přeložené verzi si prosím prohlédněte původní článek zde: Originální verze

Článek obsahuje průvodce krok za krokem konfigurací kontroly SSL na firewallech Zyxel [USG FLEX, řada ATP], zajištění dešifrování, skenování a opětovného zašifrování provozu SSL a následně osvědčené postupy kontroly SSL. Tyto postupy zahrnují zapnutí kontroly SSL, stanovení kritérií výjimek, identifikaci kritických webových stránek a pravidelnou aktualizaci seznamu důvěryhodných stránek.

Úvod

Kontrola SSL, známá také jako dešifrování SSL/TLS nebo dešifrování SSL, je bezpečnostní technika používaná ke sledování šifrovaného síťového provozu z hlediska potenciálních hrozeb. S rozšířeným používáním protokolu HTTPS se šifrovaný provoz stal normou, což představuje výzvu pro tradiční bezpečnostní opatření k odhalování a zmírňování hrozeb. Kontrola SSL toto omezení překonává dešifrováním dat šifrovaných protokolem SSL, jejich kontrolou na škodlivý obsah a opětovným zašifrováním pro bezpečné doručení.

Společnost Zyxel nabízí službu SSL Inspection a celou řadu bezpečnostních služeb, včetně filtrování pověsti IP, které zvyšují bezpečnost sítě a chrání před vyvíjejícími se kybernetickými hrozbami. Správnou konfigurací těchto služeb a vytvořením seznamu výjimek pro určité weby můžete ve svém síťovém prostředí dosáhnout správné rovnováhy mezi efektivitou a bezpečností.

1) Konfigurace kontroly SSL

Kontrola SSL umožňuje kontrolovat balíčky šifrované pomocí protokolu SSL, aby několik dalších profilů UTM mohlo správně pracovat s provozem HTTPS. Toto video vás provede obecným nastavením konfigurace!

Ve firewallech Zyxel můžete z kontroly SSL vyloučit Kategorie filtru obsahu.

To lze provést posunutím na konec "Seznamu vyloučených" a kliknutím na "Upřesnit".

Kroky průvodce:

1. Získejte přístup k zařízení zadáním jeho IP adresy do adresního řádku prohlížeče a přihlaste se pomocí pověření zařízení.
2. Přejděte do nabídky Konfigurace > Objekt > Certifikát.
3. Upravte výchozí certifikát podepsaný vlastním podpisem a exportujte jej
4. V systému Windows je třeba spustit soubor certmgr.msc a importovat certifikát do nabídky Důvěryhodné kořenové certifikační autority > Certifikáty.
5. V zařízení USG přejděte do nabídky Konfigurace > Profil UTM > Kontrola SSL
6. Přidejte nový profil a vyberte profil, který jste předtím exportovali.
7. Vyberte akci, která má být použita na provoz SSL
8. Přejděte do nabídky Konfigurace > Zásady zabezpečení > Řízení zásad
9. Přidejte nové pravidlo se zaškrtnutým políčkem Kontrola SSL
10. Pokud například používáte Application Patrol, můžete poté nastavit pravidlo z LAN na WAN a vybrat profil Application Patrol, který chcete použít.

Veškerý odchozí provoz SSL z LAN do WAN bude poté nejprve dešifrován, zkontrolován a buď zahozen, nebo znovu zašifrován.

Zde vyberete Kategorie, které chcete vyloučit, a kliknete na "Použít":

2) Doporučené postupy pro kontrolu SSL

  1. Povolení kontroly SSL: Před vytvořením seznamu výjimek se ujistěte, že je v bezpečnostním zařízení Zyxel správně povolena kontrola SSL. Tento krok může zahrnovat vygenerování a instalaci certifikátů SSL, abyste se vyhnuli bezpečnostním varováním na klientských zařízeních (viz tento článek).
  2. Určení kritérií výjimek: Definujte jasná kritéria pro přidávání webových stránek do seznamu výjimek. Tato kritéria by obvykle měla zahrnovat důkladné posouzení pověsti webu, jeho účelu a úrovně důvěryhodnosti. Do seznamu výjimek by měly být zařazeny pouze důvěryhodné webové stránky.
  3. Kritické webové stránky a služby: Určete kritické webové stránky a služby, které musí zůstat vyňaty z kontroly SSL, aby byla zajištěna jejich nepřetržitá funkčnost. Může se jednat o důležité obchodní aplikace, finanční portály nebo online platební brány.
  4. Pravidelná aktualizace důvěryhodných webů: Kybernetické hrozby se neustále vyvíjejí a webové stránky, které jsou dnes bezpečné, mohou být zítra ohroženy. Průběžně kontrolujte a aktualizujte seznam důvěryhodných webů, abyste zajistili bezpečnost svého síťového prostředí.
  5. Vytváření bílých a černých seznamů: Pro filtrování reputace IP adres používejte přístupy whitelisting i blacklisting. Pro obejití kontroly SSL zařaďte důvěryhodné weby na bílou listinu a pro zvýšení bezpečnostních opatření zařaďte známé škodlivé weby na černou listinu.
  6. Interní zdroje: Vyloučením interních síťových zdrojů, jako jsou intranetové weby a důvěryhodné servery, z kontroly SSL zabráníte zbytečnému dešifrování a opětovnému šifrování.
  7. Výjimka pro citlivá data: U webů, které zpracovávají citlivé údaje, jako jsou lékařské záznamy nebo osobní údaje, by se mělo zvážit vynětí, aby bylo chráněno soukromí uživatelů a dodrženy předpisy o ochraně údajů.
  8. Spolupráce s uživateli: Při vytváření seznamu výjimek zapojte klíčové zúčastněné strany a koncové uživatele. Získání zpětné vazby a poznatků od zaměstnanců může pomoci identifikovat zásadní webové stránky a zlepšit celkovou efektivitu sítě.
  9. Pravidelné revize: Provádějte pravidelné revize seznamu výjimek, abyste zajistili jeho relevanci a účinnost. Podle potřeby odstraňte nepotřebné položky a přidejte nové důvěryhodné weby.
  10. Protokolování a monitorování: Umožněte podrobné protokolování a monitorování inspekce SSL a bezpečnostních služeb, abyste odhalili případné anomálie nebo pokusy o neoprávněný přístup.

3) Doporučení pro seznam výjimek pro webové stránky SSL Inspection

Vzhledem k tomu, že seznam důvěryhodných webových stránek musí být z bezpečnostních důvodů neustále monitorován a revidován, můžeme navrhnout některé kategorie webových stránek, které jsou běžně považovány za výjimky v rámci kontroly SSL:

  1. Finanční instituce: Webové stránky bank, spořitelen a dalších finančních institucí, které zpracovávají citlivé finanční transakce a osobní údaje.
  2. Vládní a oficiální webové stránky: Vládní webové stránky, oficiální portály a veřejné služby, které vyžadují zabezpečenou komunikaci.
  3. Poskytovatelé zdravotní péče: Webové stránky nemocnic, klinik a poskytovatelů zdravotní péče, kteří zpracovávají důvěrné lékařské informace.
  4. Vzdělávací instituce: Webové stránky škol, univerzit a vzdělávacích platforem, kde studenti přistupují k výukovým materiálům a zdrojům.
  5. Interní síťové zdroje: Intranetové stránky, interní servery a další důvěryhodné zdroje používané výhradně organizací.
  6. Nástroje pro spolupráci a komunikaci: Důvěryhodné komunikační nástroje, jako jsou videokonferenční platformy nebo celopodnikové systémy pro zasílání zpráv.
  7. Webové stránky právních a donucovacích orgánů: Webové stránky právnických firem, právních služeb a orgánů činných v trestním řízení, které zpracovávají citlivé informace.
  8. Renomované zpravodajské a mediální kanály: Známé a zavedené zpravodajské weby a média.
  9. Servery pro aktualizaci softwaru a systému: Webové stránky poskytující aktualizace softwaru a záplaty z oficiálních zdrojů.
  10. Poskytovatelé softwaru jako služby (SaaS): Důvěryhodné cloudové služby, které jsou důležité pro provoz podniku.

Nezapomeňte, že seznam důvěryhodných webových stránek se bude lišit v závislosti na konkrétních potřebách a požadavcích vaší organizace. Do procesu vytváření a udržování seznamu výjimek vždy zapojte klíčové zúčastněné strany, jako jsou správci IT, vedoucí oddělení a koncoví uživatelé. Pravidelně seznam revidujte a aktualizujte, abyste zajistili jeho relevanci a účinnost při zajišťování rovnováhy mezi efektivitou a bezpečností sítě.

Články v tomto oddílu

Zobrazit další
Byl pro vás tento článek užitečný?
Počet uživatelů, kteří toto označili za užitečné: 2 z 2
Sdílet