Zyxel-palomuuri [USG FLEX, ATP-sarja] - SSL-tarkastuksen ja tietoturvapalvelujen parhaat käytännöt

Artikkelissa on vaiheittainen opas SSL-tarkastuksen määrittämiseen Zyxelin palomuureissa [USG FLEX, ATP-sarja], SSL-liikenteen salauksen purkamisen, skannauksen ja uudelleensalauksen varmistamiseen sekä SSL-tarkastuksen parhaat käytännöt. Näihin käytäntöihin kuuluvat SSL-tarkastuksen ottaminen käyttöön, poikkeuskriteerien määrittäminen, kriittisten verkkosivustojen tunnistaminen ja luotettavien sivustojen luettelon säännöllinen päivittäminen.

Johdanto

SSL-tarkastus, joka tunnetaan myös nimellä SSL/TLS-purkaminen tai SSL-purkaminen, on tietoturvatekniikka, jota käytetään salatun verkkoliikenteen valvomiseen mahdollisten uhkien varalta. HTTPS:n laajamittaisen käyttöönoton myötä salatusta liikenteestä on tullut normaalia, mikä asettaa perinteisille turvatoimille haasteen havaita ja lieventää uhkia. SSL-tarkastus voittaa tämän rajoituksen purkamalla SSL-salatun tiedon salauksen, tarkastamalla sen haitallisen sisällön varalta ja salaamalla sen uudelleen turvallista toimitusta varten.

Zyxel tarjoaa SSL Inspection -palvelua ja erilaisia tietoturvapalveluja, kuten IP-maineensuodatusta, jotka parantavat verkon turvallisuutta ja suojaavat kehittyviltä verkkouhilta. Määrittämällä nämä palvelut oikein ja luomalla poikkeusluettelon tietyille sivustoille voit löytää verkkoympäristössäsi oikean tasapainon tehokkuuden ja turvallisuuden välillä.

1) Määritä SSL-tarkastus

SSL Inspectionin avulla voit tarkistaa SSL-salatut paketit, jotta useat muut UTM-profiilit voivat toimia oikein HTTPS-liikenteen kanssa. Tämä video opastaa sinut yleisen konfigurointiasennuksen läpi!

Zyxelin palomuureissa voit sulkea sisällönsuodatinluokat SSL-tarkastuksen ulkopuolelle.

Tämä voidaan tehdä vierittämällä "Exclude List" -luettelon alareunaan ja napsauttamalla "Advanced".

Läpikäynnin vaiheet:

1. Ota yhteys laitteeseen syöttämällä sen IP-osoite selaimen osoiteriville ja kirjaudu sisään käyttämällä laitteen tunnuksia
2. Siirry kohtaan Configuration > Object > Certificate
3. Muokkaa oletusarvoista itse allekirjoitettua varmentetta ja vie se ulos.
4. Windowsissa sinun on ajettava certmgr.msc ja tuotava varmenne kohtaan Trusted Root Certificate Authorities > Certificates
5. Siirry USG:ssä kohtaan Configuration (Määritykset) > UTM Profile (UTM-profiili) > SSL Inspection (SSL-tarkastus).
6. Lisää uusi profiili ja valitse profiili, jonka olet vienyt aiemmin.
7. Valitse toiminto, jota sovelletaan SSL-liikenteeseen.
8. Siirry kohtaan Configuration (Määritys) > Security Policy (Tietoturvakäytäntö) > Policy Control (Käytäntöjen hallinta).
9. Lisää uusi sääntö, jossa SSL-tarkastus on valittuna.
10. Jos käytät esimerkiksi Application Patrol -sääntöä, voit asettaa säännön LAN:sta WAN:iin ja valita haluamasi Application Patrol -profiilin.

Kaikki lähtevä SSL-liikenne lähiverkosta WANiin puretaan ensin, skannataan ja joko hylätään tai salataan uudelleen.

Tässä valitset pois suljettavat luokat ja napsautat "apply":

2) SSL-tarkastuksen parhaat käytännöt

1. SSL-tarkastuksen ottaminen käyttöön: Varmista ennen poikkeusluettelon luomista, että SSL-tarkastus on otettu oikein käyttöön Zyxelin tietoturvalaitteessa. Tämä vaihe saattaa edellyttää SSL-varmenteiden luomista ja asentamista, jotta vältytään asiakaslaitteiden turvallisuusvaroituksilta (katso tämä artikkeli).
2. Poikkeusperusteiden määrittäminen: Määritä selkeät kriteerit verkkosivustojen lisäämiseksi poikkeusluetteloon. Tyypillisesti näihin kriteereihin pitäisi sisältyä sivuston maineen, tarkoituksen ja luotettavuuden tason perusteellinen arviointi. Poikkeuksia tulisi harkita vain luotetuille verkkosivustoille.
3. Kriittiset verkkosivustot ja palvelut: Määrittele kriittiset verkkosivustot ja palvelut, jotka on jätettävä SSL-tarkastuksen ulkopuolelle keskeytymättömän toiminnan varmistamiseksi. Tällaisia voivat olla keskeiset liiketoimintasovellukset, talousportaalit tai verkkomaksuportaalit.
4. Luotettavien sivustojen säännöllinen päivittäminen: Verkkouhat kehittyvät jatkuvasti, ja tänään vielä turvalliset sivustot saattavat huomenna vaarantua. Tarkista ja päivitä luotettujen sivustojen luetteloa jatkuvasti verkkoympäristösi turvallisuuden varmistamiseksi.
5. Valkoisen ja mustan listan laatiminen: Käytä IP-maineen suodatuksessa sekä valkoista että mustaa listaa. Laita hyvämaineiset sivustot valkoiselle listalle SSL-tarkastuksen ohittamiseksi ja mustalle listalle tunnetut haitalliset sivustot turvatoimien tehostamiseksi.
6. Sisäiset resurssit: Sulje verkon sisäiset resurssit, kuten intranet-sivustot ja luotetut palvelimet, SSL-tarkastuksen ulkopuolelle, jotta vältät tarpeettoman dekoodauksen ja uudelleenkoodauksen yleiskustannukset.
7. Arkaluonteisten tietojen vapauttaminen: Arkaluonteisia tietoja, kuten terveystietoja tai henkilökohtaisia tietoja, käsitteleville sivustoille olisi harkittava poikkeusta käyttäjien yksityisyyden suojaamiseksi ja tietosuojasäännösten noudattamiseksi.
8. Yhteistyö käyttäjien kanssa: Ota keskeiset sidosryhmät ja loppukäyttäjät mukaan poikkeusluetteloa laadittaessa. Palautteen ja näkemysten kerääminen työntekijöiltä voi auttaa tunnistamaan olennaiset verkkosivustot ja parantamaan verkon yleistä tehokkuutta.
9. Säännölliset tarkistukset: Tarkastele poikkeusluetteloa säännöllisesti, jotta voit varmistaa sen asianmukaisuuden ja tehokkuuden. Poista tarpeettomat merkinnät ja lisää uusia luotettavia sivustoja tarpeen mukaan.
10. Kirjaaminen ja seuranta: Ota käyttöön SSL-tarkastuksen ja tietoturvapalvelujen yksityiskohtainen lokitus ja seuranta mahdollisten poikkeamien tai luvattomien pääsyyritysten havaitsemiseksi.

3) SSL Inspection -sivuston poikkeusluettelon suositukset

Koska luotettavien verkkosivustojen luetteloa on jatkuvasti seurattava ja tarkistettava turvallisuussyistä, voimme ehdottaa joitakin verkkosivustoluokkia, joita pidetään yleisesti poikkeuksina SSL-tarkastuksessa:

1. Rahoituslaitokset: Pankkien, luotto-osuuskuntien ja muiden rahoituslaitosten verkkosivustot, jotka käsittelevät arkaluonteisia rahoitustapahtumia ja henkilötietoja.
2. Hallituksen ja viralliset verkkosivustot: Hallituksen verkkosivustot, viralliset portaalit ja julkiset palvelut, jotka edellyttävät turvallista viestintää.
3. Terveydenhuollon tarjoajat: Sairaaloiden, klinikoiden ja terveydenhuollon tarjoajien verkkosivustot, jotka käsittelevät luottamuksellisia lääketieteellisiä tietoja.
4. Oppilaitokset: Koulujen, yliopistojen ja koulutusalustojen verkkosivustot, joilla opiskelijat saavat oppimateriaalia ja resursseja.
5. Sisäiset verkkoresurssit: Intranet-sivustot, sisäiset palvelimet ja muut luotettavat resurssit, joita käytetään ainoastaan organisaatiossa.
6. Yhteistyö- ja viestintävälineet: Luotettavat viestintävälineet, kuten videoneuvottelualustat tai yrityksen laajuiset viestijärjestelmät.
7. Oikeudelliset ja lainvalvontasivustot: Lakiasiaintoimistojen, oikeudellisten palvelujen ja lainvalvontaviranomaisten verkkosivustot, jotka käsittelevät arkaluonteisia tietoja.
8. Hyvämaineiset uutis- ja tiedotusvälineet: Tunnetut ja vakiintuneet uutissivustot ja tiedotusvälineet.
9. Ohjelmisto- ja järjestelmäpäivityspalvelimet: Verkkosivustot, jotka tarjoavat ohjelmistopäivityksiä ja korjauksia virallisista lähteistä.
10. SaaS-palveluntarjoajat (Software-as-a-Service): Luotettavat pilvipohjaiset palvelut, jotka ovat kriittisiä liiketoiminnan kannalta.

Muista, että luotettavien verkkosivustojen luettelo vaihtelee organisaatiosi erityistarpeiden ja -vaatimusten mukaan. Ota aina keskeiset sidosryhmät, kuten IT-hallinnoijat, osastopäälliköt ja loppukäyttäjät, mukaan poikkeusluettelon luomiseen ja ylläpitoon. Tarkastele ja päivitä luetteloa säännöllisesti, jotta voit varmistaa sen asianmukaisuuden ja tehokkuuden verkon tehokkuuden ja turvallisuuden välisen tasapainon varmistamiseksi.