Zyxel Firewall [USG FLEX, ATP Series] - Bedste praksis for SSL-inspektion og sikkerhedstjenester

Artiklen indeholder en trinvis vejledning i konfiguration af SSL-inspektion på Zyxel-firewalls [USG FLEX, ATP Series], der sikrer, at SSL-trafik dekrypteres, scannes og genkrypteres, efterfulgt af bedste praksis for SSL-inspektion. Disse fremgangsmåder omfatter aktivering af SSL-inspektion, fastlæggelse af undtagelseskriterier, identifikation af kritiske websteder og regelmæssig opdatering af listen over pålidelige websteder.

Introduktion

SSL-inspektion, også kendt som SSL/TLS-dekryptering eller SSL-dekryptering, er en sikkerhedsteknik, der bruges til at overvåge krypteret netværkstrafik for potentielle trusler. Med den udbredte anvendelse af HTTPS er krypteret trafik blevet normen, hvilket udgør en udfordring for traditionelle sikkerhedsforanstaltninger til at opdage og afbøde trusler. SSL-inspektion overvinder denne begrænsning ved at dekryptere SSL-krypterede data, inspicere dem for ondsindet indhold og genkryptere dem til sikker levering.

Zyxel tilbyder SSL-inspektion og en række sikkerhedstjenester, herunder IP-omdømmefiltrering, for at forbedre netværkssikkerheden og beskytte mod nye cybertrusler. Ved at konfigurere disse tjenester korrekt og oprette en undtagelsesliste for visse websteder kan du finde den rette balance mellem effektivitet og sikkerhed i dit netværksmiljø.

1) Konfigurer SSL-inspektion

SSL-inspektion giver dig mulighed for at kontrollere SSL-krypterede pakker for at lade flere andre UTM-profiler fungere korrekt med HTTPS-trafik. Denne video vil guide dig gennem en generisk konfigurationsopsætning!

I Zyxel-firewalls kan du udelukke indholdsfilterkategorier fra SSL-inspektionen.

Dette kan gøres ved at rulle til bunden af "Exclude List" og klikke på "Advanced".

Gennemgang af trin:

1. Få adgang til din enhed ved at indtaste dens IP-adresse i browserens adresselinje og logge ind ved hjælp af enhedens legitimationsoplysninger.
2. Naviger til Konfiguration > Objekt > Certifikat
3. Rediger det selvsignerede standardcertifikat, og eksporter det
4. På Windows skal du køre certmgr.msc og importere certifikatet til Trusted Root Certificate Authorities > Certifikater.
5. På USG'en skal du navigere til Konfiguration > UTM-profil > SSL-inspektion
6. Tilføj en ny profil, og vælg den profil, du har eksporteret før.
7. Vælg den handling, der skal anvendes på SSL-trafikken
8. Naviger til Konfiguration > Sikkerhedspolitik > Politikkontrol
9. Tilføj en ny regel med SSL-inspektion afkrydset
10. Hvis du f.eks. bruger Application Patrol, kan du indstille reglen fra LAN til WAN og vælge den Application Patrol-profil, du vil bruge.

Enhver udgående SSL-trafik fra LAN til WAN vil så først blive dekrypteret, scannet og enten droppet eller krypteret igen.

Her vælger du de kategorier, der skal udelukkes, og klikker på "Anvend":

2) Bedste praksis for SSL-inspektion

1. Aktivering af SSL-inspektion: Før du opretter en undtagelsesliste, skal du sikre dig, at SSL-inspektion er korrekt aktiveret på din Zyxel-sikkerhedsappliance. Dette trin kan indebære generering og installation af SSL-certifikater for at undgå sikkerhedsadvarsler på klientenheder (se denne artikel).
2. Fastlæggelse af undtagelseskriterier: Definer klare kriterier for tilføjelse af hjemmesider til undtagelseslisten. Disse kriterier bør typisk omfatte en grundig vurdering af webstedets omdømme, formål og grad af troværdighed. Kun pålidelige hjemmesider bør komme i betragtning til undtagelser.
3. Kritiske hjemmesider og tjenester: Identificer kritiske hjemmesider og tjenester, der skal være undtaget fra SSL-inspektion for at sikre uafbrudt funktionalitet. Disse kan omfatte vigtige forretningsapplikationer, finansielle portaler eller online betalingsgateways.
4. Opdater pålidelige websteder regelmæssigt: Cybertrusler udvikler sig konstant, og hjemmesider, der er sikre i dag, kan blive kompromitteret i morgen. Gennemgå og opdater løbende listen over betroede websteder for at sikre sikkerheden i dit netværksmiljø.
5. Whitelisting og blacklisting: Brug både whitelisting og blacklisting til filtrering af IP-omdømme. Hvidliste velrenommerede websteder for at omgå SSL-inspektion, og sortliste kendte ondsindede websteder for at forbedre sikkerhedsforanstaltningerne.
6. Interne ressourcer: Udeluk interne netværksressourcer, såsom intranetsider og betroede servere, fra SSL-inspektion for at forhindre unødvendig dekryptering og genkryptering.
7. Undtagelse for følsomme data: Websteder, der håndterer følsomme data, som f.eks. lægejournaler eller personlige oplysninger, bør overvejes undtaget for at beskytte brugernes privatliv og overholde databeskyttelsesreglerne.
8. Samarbejde med brugerne: Inddrag vigtige interessenter og slutbrugere, når undtagelseslisten udarbejdes. Indsamling af feedback og indsigt fra medarbejdere kan hjælpe med at identificere vigtige hjemmesider og forbedre netværkets samlede effektivitet.
9. Periodiske gennemgange: Gennemgå regelmæssigt undtagelseslisten for at sikre, at den er relevant og effektiv. Fjern unødvendige poster, og tilføj nye pålidelige websteder efter behov.
10. Logning og overvågning: Aktivér detaljeret logning og overvågning af SSL-inspektion og sikkerhedstjenester for at opdage eventuelle uregelmæssigheder eller uautoriserede adgangsforsøg.

3) Anbefalinger til undtagelseslisten for SSL-inspektionswebsteder

Da en liste over betroede websteder konstant skal overvåges og gennemgås af sikkerhedsmæssige årsager, kan vi foreslå nogle kategorier af websteder, der ofte overvejes som undtagelser i SSL-inspektion:

1. Finansielle institutioner: Hjemmesider for banker, kreditforeninger og andre finansielle institutioner, der håndterer følsomme finansielle transaktioner og personlige data.
2. Offentlige og officielle hjemmesider: Offentlige hjemmesider, officielle portaler og offentlige tjenester, der kræver sikker kommunikation.
3. Udbydere af sundhedsydelser: Hjemmesider for hospitaler, klinikker og sundhedsudbydere, der håndterer fortrolige medicinske oplysninger.
4. Uddannelsesinstitutioner: Hjemmesider for skoler, universiteter og uddannelsesplatforme, hvor studerende får adgang til læringsmateriale og ressourcer.
5. Interne netværksressourcer: Intranetsider, interne servere og andre betroede ressourcer, der udelukkende bruges af organisationen.
6. Samarbejds- og kommunikationsværktøjer: Betroede kommunikationsværktøjer som f.eks. videokonferenceplatforme eller meddelelsessystemer for hele virksomheden.
7. Juridiske og retshåndhævende hjemmesider: Hjemmesider for advokatfirmaer, juridiske tjenester og retshåndhævende myndigheder, der håndterer følsomme oplysninger.
8. Anerkendte nyheder og medier: Kendte og etablerede nyhedswebsteder og medier.
9. Software- og systemopdateringsservere: Hjemmesider, der leverer softwareopdateringer og patches fra officielle kilder.
10. Software-as-a-Service (SaaS)-udbydere: Betroede cloud-baserede tjenester, der er kritiske for virksomhedens drift.

Husk, at listen over pålidelige websites vil variere afhængigt af din organisations specifikke behov og krav. Inddrag altid nøgleinteressenter som it-administratorer, afdelingsledere og slutbrugere i processen med at oprette og vedligeholde undtagelseslisten. Gennemgå og opdater jævnligt listen for at sikre, at den er relevant og effektiv i forhold til at skabe balance mellem netværkseffektivitet og sikkerhed.