Firewall Zyxel [Serie USG FLEX, ATP] - Migliori pratiche di ispezione SSL e servizi di sicurezza

L'articolo fornisce una guida passo passo alla configurazione di SSL Inspection sui firewall Zyxel [USG FLEX, ATP Series], assicurando che il traffico SSL venga decrittografato, analizzato e ricrittografato, seguita dalle migliori pratiche di SSL Inspection. Queste pratiche includono l'abilitazione dell'ispezione SSL, la determinazione dei criteri di eccezione, l'identificazione dei siti web critici e l'aggiornamento regolare dell'elenco dei siti affidabili.

Introduzione

L'ispezione SSL, nota anche come decodifica SSL/TLS o decodifica SSL, è una tecnica di sicurezza utilizzata per monitorare il traffico di rete crittografato alla ricerca di potenziali minacce. Con l'adozione diffusa di HTTPS, il traffico crittografato è diventato la norma, il che pone una sfida alle misure di sicurezza tradizionali per rilevare e mitigare le minacce. SSL Inspection supera questa limitazione decifrando i dati crittografati SSL, ispezionandoli alla ricerca di contenuti dannosi e ricifrandoli per una consegna sicura.

Zyxel offre SSL Inspection e una serie di servizi di sicurezza, tra cui il filtraggio della reputazione IP, per migliorare la sicurezza della rete e proteggere dalle minacce informatiche in continua evoluzione. Configurando correttamente questi servizi e creando un elenco di eccezioni per determinati siti, è possibile trovare il giusto equilibrio tra efficienza e sicurezza nel proprio ambiente di rete.

1) Configurare l'ispezione SSL

SSL Inspection consente di controllare i pacchetti crittografati SSL per consentire a diversi altri profili UTM di funzionare correttamente con il traffico HTTPS. Questo video vi guiderà attraverso una configurazione generica!

Nei firewall Zyxel, è possibile escludere le categorie del filtro contenuti dall'ispezione SSL.

Ciò può essere fatto scorrendo fino alla fine dell'"Elenco delle esclusioni" e facendo clic su "Avanzate".

Passi della procedura:

1. Accedere al dispositivo inserendo l'indirizzo IP nella riga dell'indirizzo del browser ed effettuare il login utilizzando le credenziali del dispositivo.
2. Spostarsi su Configurazione > Oggetto > Certificato
3. Modificare il certificato autofirmato di default ed esportarlo.
4. Su Windows, è necessario eseguire certmgr.msc e importare il certificato in Autorità di certificazione radice attendibili > Certificati
5. Nell'USG, navigare in Configurazione > Profilo UTM > Ispezione SSL
6. Aggiungere un nuovo profilo e selezionare il profilo esportato in precedenza.
7. Selezionare l'azione da applicare al traffico SSL.
8. Navigare in Configurazione > Criteri di sicurezza > Controllo criteri
9. Aggiungere una nuova regola con l'opzione Ispezione SSL selezionata.
10. Se ad esempio si utilizza Application Patrol, è possibile impostare la regola da LAN a WAN e selezionare il profilo Application Patrol che si desidera utilizzare.

Tutto il traffico SSL in uscita dalla LAN alla WAN verrà decrittografato, analizzato e quindi eliminato o nuovamente crittografato.

Qui si scelgono le categorie da escludere e si fa clic su "Applica":

2) Migliori pratiche per l'ispezione SSL

1. Abilitazione dell'ispezione SSL: Prima di creare un elenco di eccezioni, assicurarsi che SSL Inspection sia correttamente abilitato sul dispositivo di sicurezza Zyxel. Questo passaggio può comportare la generazione e l'installazione di certificati SSL per evitare avvisi di sicurezza sui dispositivi client (vedere questo articolo).
2. Determinazione dei criteri di eccezione: Definire criteri chiari per aggiungere i siti web all'elenco delle eccezioni. In genere, questi criteri devono includere una valutazione approfondita della reputazione, dello scopo e del livello di affidabilità del sito. Solo i siti web affidabili dovrebbero essere presi in considerazione per le eccezioni.
3. Siti web e servizi critici: Identificare i siti web e i servizi critici che devono rimanere esenti dall'ispezione SSL per garantire la funzionalità ininterrotta. Questi possono includere applicazioni aziendali essenziali, portali finanziari o gateway di pagamento online.
4. Aggiornare regolarmente i siti affidabili: Le minacce informatiche sono in continua evoluzione e i siti web che oggi sono sicuri potrebbero essere compromessi domani. Rivedete e aggiornate continuamente l'elenco dei siti affidabili per garantire la sicurezza dell'ambiente di rete.
5. Whitelist e blacklist: Utilizzate approcci sia di whitelist che di blacklist per il filtraggio della reputazione IP. Inserite nella whitelist i siti affidabili per bypassare l'ispezione SSL e nella blacklist i siti noti come dannosi per migliorare le misure di sicurezza.
6. Risorse interne: Escludere le risorse di rete interne, come i siti intranet e i server affidabili, dall'ispezione SSL per evitare inutili spese di decodifica e ricodifica.
7. Esenzione per i dati sensibili: I siti che gestiscono dati sensibili, come cartelle cliniche o informazioni personali, devono essere considerati esenti per proteggere la privacy degli utenti e rispettare le normative sulla protezione dei dati.
8. Collaborazione con gli utenti: Coinvolgere le principali parti interessate e gli utenti finali durante la creazione dell'elenco delle eccezioni. La raccolta di feedback e di informazioni da parte dei dipendenti può aiutare a identificare i siti web essenziali e a migliorare l'efficienza complessiva della rete.
9. Revisioni periodiche: Eseguire revisioni periodiche dell'elenco delle eccezioni per garantirne la pertinenza e l'efficacia. Eliminate le voci non necessarie e aggiungete nuovi siti affidabili, se necessario.
10. Registrazione e monitoraggio: Attivare la registrazione e il monitoraggio dettagliati di SSL Inspection e dei servizi di sicurezza per rilevare eventuali anomalie o tentativi di accesso non autorizzati.

3) Raccomandazioni per l'elenco delle eccezioni dei siti web di SSL Inspection

Poiché un elenco di siti web affidabili deve essere costantemente monitorato e rivisto per motivi di sicurezza, possiamo suggerire alcune categorie di siti web che vengono comunemente considerati come eccezioni nell'ispezione SSL:

1. Istituti finanziari: Siti web di banche, cooperative di credito e altre istituzioni finanziarie che gestiscono transazioni finanziarie sensibili e dati personali.
2. Siti web governativi e ufficiali: Siti web governativi, portali ufficiali e servizi pubblici che richiedono una comunicazione sicura.
3. Fornitori di servizi sanitari: Siti web di ospedali, cliniche e fornitori di servizi sanitari che gestiscono informazioni mediche riservate.
4. Istituzioni educative: Siti web di scuole, università e piattaforme educative in cui gli studenti accedono a materiali e risorse di apprendimento.
5. Risorse di rete interne: Siti intranet, server interni e altre risorse affidabili utilizzate esclusivamente dall'organizzazione.
6. Strumenti di collaborazione e comunicazione: Strumenti di comunicazione affidabili, come piattaforme di videoconferenza o sistemi di messaggistica aziendale.
7. Siti web legali e delle forze dell'ordine: Siti web di studi legali, servizi legali e forze dell'ordine che gestiscono informazioni sensibili.
8. Notizie e media affidabili: Siti web di notizie e media noti e affermati.
9. Server di aggiornamento software e di sistema: Siti web che forniscono aggiornamenti software e patch da fonti ufficiali.
10. Fornitori di software-as-a-service (SaaS): Servizi affidabili basati sul cloud che sono fondamentali per le operazioni aziendali.

Ricordate che l'elenco dei siti web affidabili varia a seconda delle esigenze e dei requisiti specifici dell'organizzazione. Coinvolgere sempre i principali stakeholder, come gli amministratori IT, i responsabili di reparto e gli utenti finali, nel processo di creazione e mantenimento dell'elenco di eccezioni. Rivedete e aggiornate regolarmente l'elenco per garantirne la pertinenza e l'efficacia nel fornire un equilibrio tra efficienza della rete e sicurezza.