Zyxel tűzfal [USG FLEX, ATP sorozat] - Az SSL-ellenőrzés és biztonsági szolgáltatások legjobb gyakorlata

A cikk lépésről-lépésre bemutatja az SSL-ellenőrzés konfigurálását a Zyxel tűzfalakon [USG FLEX, ATP sorozat], biztosítva az SSL-forgalom dekódolását, átvizsgálását és újbóli titkosítását, majd az SSL-ellenőrzés legjobb gyakorlatait. Ezek a gyakorlatok magukban foglalják az SSL-ellenőrzés engedélyezését, a kivételkritériumok meghatározását, a kritikus webhelyek azonosítását és a megbízható webhelyek listájának rendszeres frissítését.

Bevezetés

Az SSL-ellenőrzés, más néven SSL/TLS dekódolás vagy SSL-dekódolás, egy olyan biztonsági technika, amelyet a titkosított hálózati forgalom potenciális fenyegetések szempontjából történő ellenőrzésére alkalmaznak. A HTTPS széles körű elterjedésével a titkosított forgalom általánossá vált, ami kihívást jelent a hagyományos biztonsági intézkedések számára a fenyegetések észlelése és mérséklése terén. Az SSL-ellenőrzés ezt a korlátozást úgy hidalja át, hogy az SSL-titkosított adatokat visszafejti, megvizsgálja a rosszindulatú tartalmakat, és újra titkosítja a biztonságos kézbesítés érdekében.

A Zyxel az SSL Inspection és számos biztonsági szolgáltatást kínál, beleértve az IP hírnévszűrést is, a hálózati biztonság fokozása és a fejlődő kiberfenyegetések elleni védelem érdekében. E szolgáltatások megfelelő konfigurálásával és bizonyos webhelyek kivétellistájának létrehozásával megteremtheti a megfelelő egyensúlyt a hatékonyság és a biztonság között a hálózati környezetében.

1) Az SSL-ellenőrzés konfigurálása

Az SSL-ellenőrzés lehetővé teszi az SSL-titkosított csomagok ellenőrzését annak érdekében, hogy számos más UTM-profil megfelelően működhessen a HTTPS-forgalommal. Ez a videó végigvezeti Önt egy általános konfigurációs beállításon!

A Zyxel tűzfalakon a tartalomszűrő kategóriákat kizárhatja az SSL-ellenőrzésből.

Ezt úgy teheti meg, ha a "Kizáró lista" aljára görget, és a "Speciális" gombra kattint.

Bejárási lépések:

1. Lépjen be az eszközre úgy, hogy a böngésző címsorába beírja annak IP-címét, és jelentkezzen be az eszköz hitelesítő adatainak használatával.
2. Navigáljon a Konfiguráció > Objektum > Tanúsítvány
3. Szerkessze az alapértelmezett önaláírt tanúsítványt, és exportálja azt.
4. Windowson futtassa a certmgr.msc programot, és importálja a tanúsítványt a Megbízható gyökértanúsítvány-szolgáltatók > Tanúsítványok menüpontba.
5. Az USG-n navigáljon a Configuration > UTM Profile > SSL Inspection (Konfiguráció > UTM profil > SSL-ellenőrzés) menüpontra.
6. Adjon hozzá egy új profilt, és válassza ki a korábban exportált profilt.
7. Válassza ki az SSL-forgalomra alkalmazandó műveletet.
8. Navigáljon a Konfiguráció > Biztonsági házirend > Házirend-ellenőrzés menüpontra.
9. Adjon hozzá egy új szabályt az SSL-ellenőrzés jelölőnégyzet bejelölésével.
10. Ha például az Alkalmazási őrjáratot használja, akkor beállíthatja a szabályt LAN-ról WAN-ra, és kiválaszthatja a használni kívánt Alkalmazási őrjárat-profilt.

Ezután a LAN-ról a WAN-ra irányuló kimenő SSL-forgalom először dekódolásra kerül, majd átvizsgálásra, és vagy eldobásra, vagy újratitkosításra kerül.

Itt kiválasztja a kizárandó kategóriákat, és az "Alkalmazás" gombra kattint:

2) SSL-ellenőrzés legjobb gyakorlatai

1. Az SSL-ellenőrzés engedélyezése: A kivételi lista létrehozása előtt győződjön meg arról, hogy az SSL-ellenőrzés megfelelően engedélyezve van a Zyxel biztonsági eszközén. Ez a lépés magában foglalhatja az SSL-tanúsítványok generálását és telepítését az ügyféleszközökön megjelenő biztonsági figyelmeztetések elkerülése érdekében (lásd ezt a cikket).
2. Kivételi kritériumok meghatározása: Határozza meg a webhelyek kivétellistára való felvételének egyértelmű kritériumait. Ezeknek a kritériumoknak általában tartalmazniuk kell a webhely hírnevének, céljának és megbízhatósági szintjének alapos értékelését. Csak a megbízható webhelyeket szabad kivételnek tekinteni.
3. Kritikus webhelyek és szolgáltatások: Határozza meg azokat a kritikus webhelyeket és szolgáltatásokat, amelyeknek a zavartalan működés biztosítása érdekében mentesülniük kell az SSL-ellenőrzés alól. Ezek közé tartozhatnak alapvető üzleti alkalmazások, pénzügyi portálok vagy online fizetési átjárók.
4. A megbízható webhelyek rendszeres frissítése: A kiberfenyegetések folyamatosan fejlődnek, és a ma még biztonságos webhelyek holnap már veszélybe kerülhetnek. Folyamatosan vizsgálja felül és frissítse a megbízható webhelyek listáját a hálózati környezet biztonságának biztosítása érdekében.
5. Fehér és fekete listázás: Használjon fehérlistás és feketelistás megközelítéseket is az IP-hírnévszűréshez. A jó hírű webhelyek fehérlistázása az SSL-ellenőrzés megkerülése érdekében, és az ismert rosszindulatú webhelyek feketelistázása a biztonsági intézkedések fokozása érdekében.
6. Belső erőforrások: A belső hálózati erőforrások, például az intranetes webhelyek és a megbízható kiszolgálók kizárása az SSL-ellenőrzésből a felesleges dekódolási és újratitkosítási többletköltségek elkerülése érdekében.
7. Kivétel az érzékeny adatokra: Az érzékeny adatokat, például orvosi feljegyzéseket vagy személyes adatokat kezelő webhelyek esetében a felhasználó adatainak védelme és az adatvédelmi előírásoknak való megfelelés érdekében meg kell fontolni a mentességet.
8. Együttműködés a felhasználókkal: A kivétellista összeállításakor vonja be a legfontosabb érdekelt feleket és a végfelhasználókat. Az alkalmazottak visszajelzéseinek és meglátásainak összegyűjtése segíthet a lényeges weboldalak azonosításában és a hálózat általános hatékonyságának javításában.
9. Rendszeres felülvizsgálatok: A kivételi lista rendszeres felülvizsgálata a relevancia és a hatékonyság biztosítása érdekében. Távolítsa el a felesleges bejegyzéseket, és szükség szerint adjon hozzá új megbízható webhelyeket.
10. Naplózás és felügyelet: Az SSL-ellenőrzés és a biztonsági szolgáltatások részletes naplózásának és felügyeletének lehetővé tétele az esetleges rendellenességek vagy jogosulatlan hozzáférési kísérletek észlelése érdekében.

3) SSL-ellenőrzési webhelyek kivételi listájának ajánlásai

Mivel a megbízható webhelyek listáját biztonsági okokból folyamatosan figyelemmel kell kísérni és felül kell vizsgálni, javasolhatunk néhány olyan webhelykategóriát, amelyeket az SSL-ellenőrzés során általában kivételnek tekintenek:

1. Pénzügyi intézmények: Bankok, hitelszövetkezetek és más pénzügyi intézmények weboldalai, amelyek érzékeny pénzügyi tranzakciókat és személyes adatokat kezelnek.
2. Kormányzati és hivatalos webhelyek: Kormányzati webhelyek, hivatalos portálok és közszolgáltatások, amelyek biztonságos kommunikációt igényelnek.
3. Egészségügyi szolgáltatók: Kórházak, klinikák és bizalmas orvosi információkat kezelő egészségügyi szolgáltatók weboldalai.
4. Oktatási intézmények: Iskolák, egyetemek és olyan oktatási platformok weboldalai, ahol a diákok hozzáférnek a tananyagokhoz és forrásokhoz.
5. Belső hálózati erőforrások: Kizárólag a szervezet által használt intranetes webhelyek, belső szerverek és egyéb megbízható erőforrások.
6. Együttműködési és kommunikációs eszközök: Megbízható kommunikációs eszközök, például videokonferenciaplatformok vagy vállalati szintű üzenetküldő rendszerek.
7. Jogi és bűnüldözési webhelyek: Ügyvédi irodák, jogi szolgálatok és bűnüldöző szervek weboldalai, amelyek érzékeny információkat kezelnek.
8. Megbízható hír- és médiaközlemények: Ismert és elismert hírportálok és médiaközlemények.
9. Szoftver- és rendszerfrissítő szerverek: Hivatalos forrásból származó szoftverfrissítéseket és javításokat nyújtó webhelyek.
10. Szoftver mint szolgáltatás (SaaS) szolgáltatók: Megbízható felhőalapú szolgáltatások, amelyek kritikusak az üzleti működés szempontjából.

Ne feledje, hogy a megbízható webhelyek listája a szervezet egyedi igényeitől és követelményeitől függően változik. A kivétellista létrehozásába és karbantartásába mindig vonja be a kulcsfontosságú érdekelt feleket, például az IT-adminisztrátorokat, az osztályvezetőket és a végfelhasználókat. Rendszeresen vizsgálja felül és frissítse a listát, hogy biztosítsa annak relevanciáját és hatékonyságát a hálózati hatékonyság és biztonság közötti egyensúly megteremtésében.