Zyxel Firewall [USG FLEX, ATP Series] - Meilleures pratiques d'inspection SSL et services de sécurité

Création - Mise à jour
Serhii Boiarynov
Print Friendly and PDF
Vous avez d’autres questions ? Envoyer une demande

Avis important :
Chers clients, sachez que nous utilisons la traduction automatique pour vous fournir des articles dans votre langue locale. Il se peut que certains textes ne soient pas traduits correctement. En cas de questions ou de divergences sur l'exactitude des informations contenues dans la version traduite, veuillez consulter l'article original ici: Version originale

L'article fournit un guide étape par étape sur la configuration de l'inspection SSL sur les pare-feu Zyxel [USG FLEX, ATP Series], garantissant que le trafic SSL est décrypté, analysé et recrypté, suivi par les meilleures pratiques de l'inspection SSL. Ces pratiques comprennent l'activation de l'inspection SSL, la détermination des critères d'exception, l'identification des sites web critiques et la mise à jour régulière de la liste des sites de confiance.

Introduction

L'inspection SSL, également connue sous le nom de décryptage SSL/TLS ou décryptage SSL, est une technique de sécurité utilisée pour surveiller le trafic réseau crypté afin de détecter d'éventuelles menaces. Avec l'adoption généralisée du protocole HTTPS, le trafic crypté est devenu la norme, ce qui complique la détection et l'atténuation des menaces par les mesures de sécurité traditionnelles. L'inspection SSL permet de surmonter cette limitation en décryptant les données cryptées par SSL, en les inspectant à la recherche de contenu malveillant et en les recryptant pour une livraison sécurisée.

Zyxel propose l'inspection SSL et une gamme de services de sécurité, y compris le filtrage de la réputation IP, afin de renforcer la sécurité du réseau et de se protéger contre les cyber-menaces en constante évolution. En configurant correctement ces services et en créant une liste d'exceptions pour certains sites, vous pouvez trouver le bon équilibre entre efficacité et sécurité dans votre environnement réseau.

1) Configurer l'inspection SSL

L'inspection SSL vous permet de vérifier les paquets cryptés SSL afin de permettre à plusieurs autres profils UTM de fonctionner correctement avec le trafic HTTPS. Cette vidéo vous guidera à travers une configuration générique !

Dans les pare-feux Zyxel, vous pouvez exclure les catégories du filtre de contenu de l'inspection SSL.

Pour ce faire, faites défiler jusqu'au bas de la "Liste d'exclusion" et cliquez sur "Avancé".

Étapes à suivre :

1. Accédez à votre appareil en saisissant son adresse IP dans la ligne d'adresse du navigateur et connectez-vous à l'aide de l'identifiant de l'appareil.
2. Naviguez vers Configuration > Objet > Certificat
3. Modifier le certificat auto-signé par défaut et l'exporter.
4. Sous Windows, vous devez exécuter certmgr.msc et importer le certificat dans Autorités de certification racine de confiance > Certificats.
5. Sur l'USG, naviguez vers Configuration > Profil UTM > Inspection SSL
6. Ajoutez un nouveau profil et sélectionnez le profil que vous avez exporté auparavant.
7. Sélectionnez l'action qui doit être appliquée au trafic SSL
8. Naviguez vers Configuration > Politique de sécurité > Contrôle de la politique
9. Ajouter une nouvelle règle avec l'inspection SSL cochée
10. Si, par exemple, vous utilisez Application Patrol, vous pouvez alors définir la règle de LAN à WAN et sélectionner le profil Application Patrol que vous souhaitez utiliser.

Tout trafic SSL sortant du LAN vers le WAN sera d'abord décrypté, analysé et soit abandonné, soit crypté à nouveau.

Ici, vous choisissez les catégories à exclure et cliquez sur "appliquer" :

2) Meilleures pratiques pour l'inspection SSL

  1. Activation de l'inspection SSL : Avant de créer une liste d'exceptions, assurez-vous que l'inspection SSL est correctement activée sur votre appareil de sécurité Zyxel. Cette étape peut impliquer la génération et l'installation de certificats SSL pour éviter les avertissements de sécurité sur les appareils clients (voir cet article).
  2. Déterminer les critères d'exception : Définissez des critères clairs pour ajouter des sites Web à la liste d'exceptions. En règle générale, ces critères doivent inclure une évaluation approfondie de la réputation du site, de son objectif et de son niveau de fiabilité. Seuls les sites web de confiance doivent être pris en considération pour les exceptions.
  3. Sites web et services critiques : Identifier les sites web et les services critiques qui doivent rester exemptés de l'inspection SSL afin de garantir un fonctionnement ininterrompu. Il peut s'agir d'applications commerciales essentielles, de portails financiers ou de passerelles de paiement en ligne.
  4. Mettre à jour régulièrement les sites de confiance : Les cybermenaces évoluent constamment et les sites web qui sont sûrs aujourd'hui pourraient être compromis demain. Révisez et mettez à jour en permanence la liste des sites de confiance pour garantir la sécurité de votre environnement réseau.
  5. Liste blanche et liste noire : Utilisez les approches de liste blanche et de liste noire pour le filtrage de la réputation IP. Établissez une liste blanche des sites de bonne réputation pour contourner l'inspection SSL, et une liste noire des sites malveillants connus pour renforcer les mesures de sécurité.
  6. Ressources internes : Exclure les ressources internes du réseau, telles que les sites intranet et les serveurs de confiance, de l'inspection SSL afin d'éviter un décryptage et un recryptage inutiles.
  7. Exemption pour les données sensibles : Les sites traitant des données sensibles, telles que des dossiers médicaux ou des informations personnelles, doivent faire l'objet d'une exemption afin de protéger la vie privée des utilisateurs et de se conformer aux réglementations en matière de protection des données.
  8. Collaboration avec les utilisateurs : Impliquez les principales parties prenantes et les utilisateurs finaux lors de l'élaboration de la liste d'exceptions. Recueillir les commentaires et les idées des employés peut aider à identifier les sites web essentiels et à améliorer l'efficacité globale du réseau.
  9. Révisions périodiques : Examinez régulièrement la liste d'exceptions pour vous assurer de sa pertinence et de son efficacité. Supprimez les entrées inutiles et ajoutez de nouveaux sites de confiance si nécessaire.
  10. Journalisation et surveillance : Activer la journalisation et la surveillance détaillées de l'inspection SSL et des services de sécurité afin de détecter toute anomalie potentielle ou tentative d'accès non autorisé.

3) Recommandations relatives à la liste d'exceptions des sites web de l'inspection SSL

Étant donné qu'une liste de sites Web de confiance doit être constamment contrôlée et révisée pour des raisons de sécurité, nous pouvons suggérer quelques catégories de sites Web qui sont généralement considérés comme des exceptions dans l'inspection SSL :

  1. Institutions financières : Sites web de banques, de coopératives de crédit et d'autres institutions financières qui traitent des transactions financières sensibles et des données personnelles.
  2. Sites web gouvernementaux et officiels : Sites web gouvernementaux, portails officiels et services publics qui nécessitent une communication sécurisée.
  3. Fournisseurs de soins de santé : Sites web d'hôpitaux, de cliniques et de prestataires de soins de santé traitant des informations médicales confidentielles.
  4. Établissements d'enseignement : Sites web d'écoles, d'universités et de plates-formes éducatives où les étudiants accèdent à du matériel et des ressources pédagogiques.
  5. Ressources de réseaux internes : Sites intranet, serveurs internes et autres ressources fiables utilisées uniquement par l'organisation.
  6. Outils de collaboration et de communication : Outils de communication fiables, tels que les plates-formes de vidéoconférence ou les systèmes de messagerie à l'échelle de l'entreprise.
  7. Sites web juridiques et d'application de la loi : Sites web de cabinets d'avocats, de services juridiques et d'organismes chargés de l'application de la loi qui traitent des informations sensibles.
  8. Sites d'information et médias réputés : Sites web d'information et organes de presse connus et établis.
  9. Serveurs de mise à jour de logiciels et de systèmes : Sites web fournissant des mises à jour de logiciels et des correctifs provenant de sources officielles.
  10. Fournisseurs de logiciels en tant que service (SaaS) : Services de confiance basés sur l'informatique en nuage qui sont essentiels aux activités de l'entreprise.

N'oubliez pas que la liste des sites web de confiance variera en fonction des besoins et des exigences spécifiques de votre organisation. Impliquez toujours les principales parties prenantes, telles que les administrateurs informatiques, les chefs de service et les utilisateurs finaux, dans le processus de création et de mise à jour de la liste d'exceptions. Réviser et mettre à jour régulièrement la liste afin de s'assurer de sa pertinence et de son efficacité dans la recherche d'un équilibre entre l'efficacité et la sécurité du réseau.

Articles dans cette section

Afficher plus
Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 2 sur 2
Partager