Zyxel USG FLEX H Series [Firewall] - Come bloccare i siti Web HTTPS utilizzando il filtro dei contenuti e l'ispezione SSL

Questa guida mostra come bloccare efficacemente i siti web HTTPS utilizzando Zyxel USG FLEX H Series sfruttando il filtraggio dei contenuti, l'ispezione SSL e le regole dei criteri di sicurezza. L'approccio è mirato a contenuti dannosi o non correlati all'attività aziendale (ad esempio, media in streaming, social media, ecc.).

Nota: questo articolo utilizza tutti gli indirizzi IP di rete e le maschere di sottorete come esempi. Si prega di sostituirli con gli indirizzi IP e le subnet mask della propria rete. Questo esempio è stato testato con USG FLEX 500H (versione firmware: uOS 1.32).

Impostazione del filtraggio dei contenuti

Creare un nuovo profilo, abilitare il log per le azioni di blocco e scegliere le categorie da bloccare (ad esempio, "Streaming Media").

• Andare a: Servizio di sicurezza > Filtro contenuti
• Fare clic su Aggiungi per creare un profilo di filtraggio dei contenuti in Gestione profili.
• Digitare il nome del profilo e abilitare il log per l'azione di blocco in Impostazioni generali.
• Selezionare la categoria Streaming Media in Categorie gestite e fare clic su Applica.

Dopo aver creato il profilo, è necessario collegarlo al criterio di sicurezza appropriato. Senza questo passaggio, il profilo non verrà attivato e non avrà alcun impatto sulla sicurezza del sistema. Ma lo faremo più avanti, dopo aver impostato il profilo per l'ispettore SSL. Fare clic su "Ok" e passare al punto successivo.

Impostazione dell'ispezione SSL

Andare su Servizio di sicurezza > Ispezione SSL > Profilo > Gestione profilo e fare clic su Aggiungi per creare il profilo.

• Utilizzate un certificato CA personalizzato - anche se nel nostro esempio utilizziamo il certificato predefinito, è consigliabile utilizzarlo (preferibilmente firmato internamente o da una CA interna fidata). Evitare di utilizzare quello predefinito in produzione.
• Impostare la versione minima di TLS su TLS 1.2, a meno che i sistemi legacy non richiedano versioni precedenti.
• Abilitare la registrazione: registrare sempre il traffico ispezionato e le eccezioni per la visibilità e la risoluzione dei problemi.

Abito non supportato

• Cambiare l'azione in Blocco, se possibile, per evitare l'uso di cifrari non sicuri o deprecati.
• Abilitare la registrazione per monitorare ciò che viene aggirato e apportare modifiche informate in seguito.

Catene di certificati non affidabili

• Modificare l'azione in Blocca - Consentire l'uso di certificati non attendibili può consentire il passaggio di traffico dannoso.
• Abilitare la registrazione per una visibilità completa dei tentativi di connessione non attendibili.

Altri suggerimenti importanti

• Distribuire il certificato CA a tutti i dispositivi client e installarlo in "Autorità di certificazione radice attendibili" per evitare avvisi SSL.
• Escludere le applicazioni sensibili (ad esempio, servizi bancari, governativi, ecc.) utilizzando l'elenco "Non ispezionare", poiché l'ispezione SSL può interrompere la loro funzionalità o violare la conformità.
• Monitorare regolarmente i log e le statistiche SSL in Statistiche di sicurezza > Ispezione SSL.
• Mantenere aggiornato il firmware per beneficiare dei miglioramenti delle prestazioni e della sicurezza relativi all'ispezione SSL.
• Evitare di ispezionare il traffico interno (ad esempio, da LAN a LAN), a meno che non sia specificamente necessario.

Impostazione del criterio di sicurezza

Dopo aver creato il profilo, è necessario collegarlo al criterio di sicurezza appropriato. Senza questo passaggio, il profilo non verrà attivato e non avrà alcun impatto sulla sicurezza del sistema.

• Accedere a Criteri di sicurezza > Controllo criteri. Modificare LAN_Outgoing e scorrere fino alla sezione del profilo.
• Selezionare Filtro contenuti e Ispezione SSL. Fare clic su Applica per salvare.

Esportazione e installazione del certificato

Quando l'ispezione SSL è abilitata su Zyxel USG FLEX H Series e un sito web non riconosce o non si fida del certificato predefinito del dispositivo, i browser web visualizzano un avviso di sicurezza che indica problemi di certificato.

Per evitare che ciò accada, è necessario esportare il certificato predefinito dal dispositivo FLEX e installarlo sui computer client (ad esempio, il sistema operativo Windows) come certificato root attendibile.

Accedere a Sistema > Certificato > I miei certificati per esportare il certificato predefinito dal dispositivo USG FLEX H.

Installazione del certificato

Dopo aver scaricato il file del certificato (ad esempio, default.crt), fare doppio clic su di esso.

• Nella finestra del certificato, fare clic su "Apri".
• Nella finestra del certificato, fare clic su "Installa certificato...".

• Nella procedura guidata di importazione del certificato, scegliere:

Nella procedura guidata di importazione del certificato, scegliere:

• "Utente corrente" - se si sta installando il certificato solo per il proprio account utente (nella maggior parte dei casi non sono richiesti diritti di amministrazione).
• "Macchina locale" - se il certificato deve essere applicato a tutti gli utenti del computer (sono necessari i diritti di amministratore).

Nella schermata successiva, selezionare "Posiziona tutti i certificati nel seguente archivio".

Fare clic su "Sfoglia", quindi scegliere "Autorità di certificazione radice attendibili".

Completare la procedura guidata e confermare l'installazione.

Nota: una volta installato il certificato, i browser si fideranno del dispositivo FLEX durante l'ispezione SSL e non appariranno più avvisi di sicurezza per il traffico HTTPS.

Prova del risultato

Utilizzare un browser Web per accedere a YouTube. Il gateway vi reindirizzerà a una pagina bloccata.

Andare su Log & Report > Log/Events e selezionare Content Filtering per controllare i log.