Zyxel Firewall [USG FLEX, ATP Serie] - Best Practice der SSL-Prüfung & Sicherheitsdienste

Der Artikel enthält eine Schritt-für-Schritt-Anleitung zur Konfiguration der SSL-Inspektion auf Zyxel-Firewalls [USG FLEX, ATP-Serie], die sicherstellt, dass SSL-Datenverkehr entschlüsselt, gescannt und wieder verschlüsselt wird, gefolgt von Best Practices für die SSL-Inspektion. Zu diesen Praktiken gehören die Aktivierung der SSL-Prüfung, die Festlegung von Ausnahmekriterien, die Identifizierung kritischer Websites und die regelmäßige Aktualisierung der Liste vertrauenswürdiger Sites.

Einführung

SSL-Inspektion, auch bekannt als SSL/TLS-Entschlüsselung oder SSL-Entschlüsselung, ist eine Sicherheitstechnik, die zur Überwachung des verschlüsselten Netzwerkverkehrs auf potenzielle Bedrohungen eingesetzt wird. Mit der weit verbreiteten Einführung von HTTPS ist verschlüsselter Datenverkehr zur Norm geworden, was eine Herausforderung für herkömmliche Sicherheitsmaßnahmen zur Erkennung und Eindämmung von Bedrohungen darstellt. SSL Inspection überwindet diese Einschränkung, indem SSL-verschlüsselte Daten entschlüsselt, auf bösartige Inhalte untersucht und für eine sichere Zustellung wieder verschlüsselt werden.

Zyxel bietet SSL-Inspektion und eine Reihe von Sicherheitsdiensten, einschließlich IP-Reputationsfilter, zur Verbesserung der Netzwerksicherheit und zum Schutz vor sich entwickelnden Cyber-Bedrohungen. Durch die richtige Konfiguration dieser Services und die Erstellung einer Ausnahmeliste für bestimmte Websites können Sie die richtige Balance zwischen Effizienz und Sicherheit in Ihrer Netzwerkumgebung finden.

1) Konfigurieren Sie die SSL-Prüfung

Mit der SSL-Inspektion können Sie SSL-verschlüsselte Pakete überprüfen, damit verschiedene andere UTM-Profile ordnungsgemäß mit HTTPS-Datenverkehr arbeiten können. Dieses Video führt Sie durch ein allgemeines Konfigurations-Setup!

In Zyxel Firewalls können Sie Inhaltsfilterkategorien von der SSL-Prüfung ausschließen.

Dazu scrollen Sie zum Ende der "Exclude List" und klicken auf "Advanced".

Schritte zum Nachvollziehen:

1. Greifen Sie auf Ihr Gerät zu, indem Sie seine IP-Adresse in die Adresszeile des Browsers eingeben und sich mit den Anmeldeinformationen des Geräts anmelden.
2. Navigieren Sie zu Konfiguration > Objekt > Zertifikat
3. Bearbeiten Sie das standardmäßige selbstsignierte Zertifikat und exportieren Sie es.
4. Unter Windows müssen Sie certmgr.msc ausführen und das Zertifikat in Trusted Root Certificate Authorities > Certificates importieren.
5. Navigieren Sie auf der USG zu Konfiguration > UTM-Profil > SSL-Inspektion
6. Fügen Sie ein neues Profil hinzu und wählen Sie das Profil, das Sie zuvor exportiert haben
7. Wählen Sie die Aktion, die auf den SSL-Verkehr angewendet werden soll.
8. Navigieren Sie zu Konfiguration > Sicherheitsrichtlinie > Richtlinienkontrolle
9. Fügen Sie eine neue Regel mit angekreuzter SSL-Inspektion hinzu
10. Wenn Sie z. B. Application Patrol verwenden, können Sie die Regel von LAN auf WAN umstellen und das gewünschte Application Patrol-Profil auswählen

Jeder ausgehende SSL-Verkehr vom LAN zum WAN wird dann zunächst entschlüsselt, gescannt und entweder verworfen oder erneut verschlüsselt.

Hier wählen Sie die auszuschließenden Kategorien aus und klicken auf "Anwenden":

2) Bewährte Praktiken der SSL-Prüfung

1. Aktivieren der SSL-Prüfung: Bevor Sie eine Ausnahmeliste erstellen, stellen Sie sicher, dass die SSL-Inspektion auf Ihrer Zyxel Security Appliance korrekt aktiviert ist. Dieser Schritt kann das Generieren und Installieren von SSL-Zertifikaten beinhalten, um Sicherheitswarnungen auf Client-Geräten zu vermeiden (siehe diesen Artikel).
2. Festlegen der Ausnahmekriterien: Definieren Sie klare Kriterien für die Aufnahme von Websites in die Ausnahmeliste. In der Regel sollten diese Kriterien eine gründliche Bewertung des Rufs, des Zwecks und des Grads der Vertrauenswürdigkeit der Website umfassen. Nur vertrauenswürdige Websites sollten für Ausnahmen in Betracht gezogen werden.
3. Kritische Websites und Dienste: Identifizieren Sie kritische Websites und Dienste, die von der SSL-Prüfung ausgenommen bleiben müssen, um eine ununterbrochene Funktionalität zu gewährleisten. Dazu können wichtige Geschäftsanwendungen, Finanzportale oder Online-Zahlungsgateways gehören.
4. Regelmäßige Aktualisierung der vertrauenswürdigen Sites: Cyber-Bedrohungen entwickeln sich ständig weiter, und Websites, die heute noch sicher sind, können morgen schon gefährdet sein. Überprüfen und aktualisieren Sie die Liste der vertrauenswürdigen Sites ständig, um die Sicherheit Ihrer Netzwerkumgebung zu gewährleisten.
5. Whitelisting und Blacklisting: Verwenden Sie sowohl Whitelisting- als auch Blacklisting-Ansätze für die IP-Reputationsfilterung. Setzen Sie seriöse Websites auf die Whitelist, um die SSL-Prüfung zu umgehen, und setzen Sie bekannte bösartige Websites auf die Blacklist, um die Sicherheitsmaßnahmen zu verbessern.
6. Interne Ressourcen: Schließen Sie interne Netzwerkressourcen, wie z. B. Intranetseiten und vertrauenswürdige Server, von der SSL-Prüfung aus, um unnötigen Entschlüsselungs- und Wiederverschlüsselungsaufwand zu vermeiden.
7. Ausnahmeregelung für sensible Daten: Sites, die mit sensiblen Daten umgehen, wie z. B. medizinische Aufzeichnungen oder persönliche Informationen, sollten für eine Ausnahme in Betracht gezogen werden, um die Privatsphäre der Benutzer zu schützen und die Datenschutzbestimmungen einzuhalten.
8. Zusammenarbeit mit den Benutzern: Beziehen Sie wichtige Interessengruppen und Endnutzer in die Erstellung der Ausnahmeliste ein. Die Einholung von Feedback und Erkenntnissen der Mitarbeiter kann dazu beitragen, wichtige Websites zu identifizieren und die Gesamteffizienz des Netzes zu verbessern.
9. Regelmäßige Überprüfungen: Führen Sie regelmäßige Überprüfungen der Ausnahmeliste durch, um ihre Relevanz und Wirksamkeit sicherzustellen. Entfernen Sie unnötige Einträge und fügen Sie bei Bedarf neue vertrauenswürdige Sites hinzu.
10. Protokollierung und Überwachung: Aktivieren Sie eine detaillierte Protokollierung und Überwachung der SSL-Inspektion und der Sicherheitsdienste, um potenzielle Anomalien oder unbefugte Zugriffsversuche zu erkennen.

3) Empfehlungen für die Ausnahmeliste der SSL-Inspektion für Websites

Da eine Liste vertrauenswürdiger Websites aus Sicherheitsgründen ständig überwacht und überprüft werden muss, können wir einige Kategorien von Websites empfehlen, die bei der SSL-Inspektion üblicherweise als Ausnahmen gelten:

1. Finanzinstitute: Websites von Banken, Kreditgenossenschaften und anderen Finanzinstituten, die sensible Finanztransaktionen und persönliche Daten verarbeiten.
2. Behörden und offizielle Websites: Regierungswebsites, offizielle Portale und öffentliche Dienste, die eine sichere Kommunikation erfordern.
3. Anbieter von Gesundheitsdienstleistungen: Websites von Krankenhäusern, Kliniken und Gesundheitsdienstleistern, die vertrauliche medizinische Daten verarbeiten.
4. Bildungsinstitutionen: Websites von Schulen, Universitäten und Bildungsplattformen, auf denen Schüler und Studenten auf Lernmaterialien und Ressourcen zugreifen.
5. Interne Netzwerkressourcen: Intranetseiten, interne Server und andere vertrauenswürdige Ressourcen, die ausschließlich von der Organisation genutzt werden.
6. Kollaborations- und Kommunikationswerkzeuge: Vertrauenswürdige Kommunikationstools, wie Videokonferenzplattformen oder unternehmensweite Nachrichtensysteme.
7. Websites von Anwälten und Strafverfolgungsbehörden: Websites von Anwaltskanzleien, Rechtsdiensten und Strafverfolgungsbehörden, die mit sensiblen Informationen umgehen.
8. Seriöse Nachrichten- und Medienkanäle: Bekannte und etablierte Nachrichten-Websites und Medien.
9. Server für Software- und Systemaktualisierungen: Websites, die Software-Updates und Patches aus offiziellen Quellen bereitstellen.
10. Software-as-a-Service (SaaS)-Anbieter: Vertrauenswürdige Cloud-basierte Dienste, die für den Geschäftsbetrieb wichtig sind.

Denken Sie daran, dass die Liste der vertrauenswürdigen Websites je nach den spezifischen Bedürfnissen und Anforderungen Ihres Unternehmens variieren kann. Beziehen Sie bei der Erstellung und Pflege der Ausnahmeliste stets die wichtigsten Interessengruppen wie IT-Administratoren, Abteilungsleiter und Endbenutzer mit ein. Überprüfen und aktualisieren Sie die Liste regelmäßig, um sicherzustellen, dass sie relevant ist und ein ausgewogenes Verhältnis zwischen Netzwerkeffizienz und Sicherheit bietet.