Zyxel USG FLEX Serie H [Firewall] - Cómo bloquear sitios web HTTPS utilizando el filtrado de contenidos y la inspección SSL

Esta guía demuestra cómo bloquear eficazmente los sitios web HTTPS utilizando Zyxel USG FLEX Serie H mediante el aprovechamiento de Filtrado de Contenidos, Inspección SSL, y las reglas de Política de Seguridad. El enfoque se centra en el contenido malicioso o no relacionado con la empresa (por ejemplo, streaming de medios de comunicación, redes sociales, etc.).

Nota: Este artículo utiliza todas las direcciones IP de red y máscaras de subred como ejemplos. Sustitúyalas por sus direcciones IP y máscaras de subred reales. Este ejemplo se ha probado con el USG FLEX 500H (versión de firmware: uOS 1.32).

Configuración del filtrado de contenidos

Cree un nuevo perfil, habilite el registro para las acciones de bloqueo y elija las categorías que desea bloquear (por ejemplo, "Streaming Media").

• Vaya a: Servicio de seguridad > Filtrado de contenidos
• Haga clic en Añadir para crear un perfil de filtrado de contenidos en Gestión de perfiles.
• Escriba el nombre del perfil y active el registro para la acción de bloqueo en Configuración general.
• Marque la categoría Streaming Media en Categorías gestionadas y haga clic en Aplicar.

Después de crear el perfil, debe vincularse a la política de seguridad adecuada. Sin este paso, el perfil no se activará ni afectará a la seguridad del sistema. Pero eso lo haremos más tarde, después de configurar el perfil para el inspector SSL. Haga clic en "Aceptar" y pase al siguiente punto.

Configurar la inspección SSL

Vaya a Security Service > SSL inspection > profile > Profile Management, y haga clic en Add para crear el perfil

• Utilice un certificado CA personalizado: aunque en nuestro ejemplo utilizamos el certificado predeterminado, se recomienda su uso (preferiblemente firmado internamente o por una CA interna de confianza). Evite utilizar el predeterminado en producción.
• Establezca la versión mínima de TLS en TLS 1.2, a menos que los sistemas heredados requieran versiones anteriores.
• Habilite el registro - siempre registre el tráfico inspeccionado y las excepciones para visibilidad y solución de problemas.

Traje no compatible

• Cambie Acción a Bloquear, si es posible, para evitar el uso de cifrado inseguro o obsoleto.
• Habilite el registro para supervisar lo que se está omitiendo y realizar ajustes informados más adelante.

Cadenas de certificados no fiables

• Cambie la acción a Bloquear - Permitir certificados no fiables puede dejar pasar tráfico malicioso.
• Habiliteel registro para obtener una visibilidad completa de los intentos de conexiones no fiables.

Otros consejos importantes

• Distribuya el certificado CA a todos los dispositivos cliente e instálelo en "Entidades de certificación raíz de confianza" para evitar advertencias SSL.
• Excluya las aplicaciones sensibles (por ejemplo, servicios bancarios, gubernamentales, etc.) mediante "Lista de no inspeccionar", ya que la inspección SSL puede romper su funcionalidad o infringir la normativa.
• Supervise regularmente los registros y estadísticas SSL en Estadísticas de seguridad > Inspección SSL.
• Mantenga actualizado el firmware para beneficiarse de las mejoras de rendimiento y seguridad relacionadas con la inspección SSL.
• Evite inspeccionar el tráfico interno (por ejemplo, de LAN a LAN), a menos que sea específicamente necesario.

Configuración de la política de seguridad

Una vez creado el perfil, debe vincularse a la política de seguridad adecuada. Sin este paso, el perfil no se activará y no tendrá ningún impacto en la seguridad del sistema.

• Vaya a Política de seguridad > Control de políticas. Edite LAN_Outgoing, y desplácese hacia abajo hasta la sección de perfiles.
• Seleccione Filtrado de contenido e Inspección SSL. Haga clic en Aplicar para guardar.

Exportación e instalación del certificado

Cuando la inspección SSL está activada en la serie Zyxel USG FLEX H y un sitio web no reconoce o no confía en el certificado predeterminado del dispositivo, los navegadores web mostrarán una advertencia de seguridad que indica problemas con el certificado.

Para evitarlo, debe exportar el certificado predeterminado del dispositivo FLEX e instalarlo en los equipos cliente (por ejemplo, SO Windows) como certificado raíz de confianza.

Vaya a Sistema > Certificado > Mis Certificados para exportar el certificado por defecto del USG FLEX H.

Instalación del certificado

Después de descargar el archivo del certificado (por ejemplo, default.crt), haga doble clic en él.

• En la ventana del certificado, haga clic en "Abrir".
• En la ventana del certificado, haga clic en "Instalar certificado...".

• En el Asistente para la importación de certificados, elija:

En el Asistente de importación de certificados, elija:

• "Usuario actual" - si va a instalar el certificado sólo para su cuenta de usuario (en la mayoría de los casos no se requieren derechos de administrador).
• "Máquina local": si el certificado debe aplicarse a todos los usuarios del ordenador (se requieren derechos de administrador).

Selecciona "Colocar todos los certificados en el siguiente almacén" en la siguiente pantalla.

Haga clic en "Examinar" y seleccione "Entidades de certificación raíz de confianza".

Complete el asistente y confirme la instalación.

Nota: Una vez instalado el certificado, los navegadores confiarán en el dispositivo FLEX durante la inspección SSL y ya no aparecerán advertencias de seguridad para el tráfico HTTPS.

Pruebe el resultado

Utilice un navegador web para acceder a YouTube. La pasarela le redirigirá a una página bloqueada.

Vaya a Log & Report > Log/Events y seleccione Content Filtering para comprobar los registros.