Zyxel Firewall [USG FLEX, ATP-serie] - Beste praktijk van SSL-inspectie en beveiligingsdiensten

Het artikel biedt een stapsgewijze handleiding voor het configureren van SSL-inspectie op Zyxel firewalls [USG FLEX, ATP Series], om ervoor te zorgen dat SSL-verkeer wordt gedecodeerd, gescand en opnieuw gecodeerd, gevolgd door SSL-inspectie best practices. Deze praktijken omvatten het inschakelen van SSL-inspectie, het bepalen van uitzonderingscriteria, het identificeren van kritieke websites en het regelmatig bijwerken van de lijst met vertrouwde sites.

Inleiding

SSL inspectie, ook bekend als SSL/TLS ontcijfering of SSL decryptie, is een beveiligingstechniek die wordt gebruikt om gecodeerd netwerkverkeer te controleren op potentiële bedreigingen. Met de wijdverspreide toepassing van HTTPS is versleuteld verkeer de norm geworden, wat een uitdaging vormt voor traditionele beveiligingsmaatregelen om bedreigingen te detecteren en te beperken. SSL-inspectie ondervangt deze beperking door SSL-gecodeerde gegevens te ontsleutelen, te inspecteren op schadelijke inhoud en opnieuw te versleutelen voor een veilige aflevering.

Zyxel biedt SSL-inspectie en een reeks beveiligingsdiensten, waaronder IP-reputatiefiltering, om de netwerkbeveiliging te verbeteren en bescherming te bieden tegen evoluerende cyberbedreigingen. Door deze diensten goed te configureren en een uitzonderingenlijst te maken voor bepaalde sites, kunt u de juiste balans vinden tussen efficiëntie en veiligheid in uw netwerkomgeving.

1) SSL-inspectie configureren

Met SSL Inspection kun je SSL-gecodeerde pakketten controleren om verschillende andere UTM-profielen goed te laten werken met HTTPS-verkeer. Deze video leidt je door een generieke configuratie!

In Zyxel firewalls kun je Content filter Categorieën uitsluiten van de SSL Inspectie.

Dit kunt u doen door naar de onderkant van de "Uitsluitingslijst" te scrollen en op "Geavanceerd" te klikken.

Doorloop stappen:

1. Ga naar het apparaat door het IP-adres in de adresregel van de browser in te voeren en in te loggen met het wachtwoord van het apparaat.
2. Navigeer naar Configuratie > Object > Certificaat
3. Bewerk het standaard zelfondertekende certificaat en exporteer het
4. Op Windows moet u certmgr.msc uitvoeren en het certificaat importeren in Trusted Root Certificate Authorities > Certificaten
5. Navigeer op de USG naar Configuratie > UTM-profiel > SSL-inspectie
6. Voeg een nieuw profiel toe en selecteer het profiel dat u eerder hebt geëxporteerd
7. Selecteer de actie die moet worden toegepast op het SSL-verkeer
8. Navigeer naar Configuratie > Beveiligingsbeleid > Beleidscontrole
9. Voeg een nieuwe regel toe met SSL-inspectie aangevinkt
10. Als u bijvoorbeeld Toepassingspatrouille gebruikt, kunt u vervolgens de regel instellen van LAN naar WAN en het Toepassingspatrouilleprofiel selecteren dat u wilt gebruiken

Al het uitgaande SSL-verkeer van LAN naar WAN zal dan eerst worden gedecodeerd, gescand en ofwel worden verwijderd ofwel opnieuw worden gecodeerd.

Hier kies je de categorieën die je wilt uitsluiten en klik je op "toepassen":

2) SSL inspectie best practices

1. SSL-inspectie inschakelen: Voordat u een uitzonderingenlijst maakt, moet u ervoor zorgen dat SSL-inspectie correct is ingeschakeld op uw Zyxel-beveiligingsapparaat. Deze stap kan inhouden dat u SSL-certificaten moet genereren en installeren om beveiligingswaarschuwingen op clientapparaten te voorkomen (zie dit artikel).
2. Uitzonderingscriteria bepalen: Definieer duidelijke criteria voor het toevoegen van websites aan de uitzonderingenlijst. Deze criteria moeten bestaan uit een grondige beoordeling van de reputatie, het doel en de mate van betrouwbaarheid van de website. Alleen vertrouwde websites mogen in aanmerking komen voor uitzonderingen.
3. Kritieke websites en diensten: Identificeer kritieke websites en diensten die vrijgesteld moeten blijven van SSL-inspectie om ononderbroken functionaliteit te garanderen. Dit kunnen essentiële zakelijke toepassingen, financiële portals of online betalingsgateways zijn.
4. Vertrouwde websites regelmatig bijwerken: Cyberbedreigingen veranderen voortdurend en websites die vandaag veilig zijn, kunnen morgen in gevaar komen. Bekijk en update de lijst met vertrouwde sites voortdurend om de beveiliging van je netwerkomgeving te garanderen.
5. Whitelisting en blacklisting: Gebruik voor het filteren van IP-reputatie zowel witte lijsten als zwarte lijsten. Zet gerenommeerde sites op een witte lijst om SSL-inspectie te omzeilen en zet bekende kwaadaardige sites op een zwarte lijst om de beveiligingsmaatregelen te verbeteren.
6. Interne bronnen: Sluit interne netwerkbronnen, zoals intranetsites en vertrouwde servers, uit van SSL inspectie om onnodige decryptie en her-encryptie overhead te voorkomen.
7. Vrijstelling voor gevoelige gegevens: Sites die gevoelige gegevens verwerken, zoals medische dossiers of persoonlijke informatie, moeten in aanmerking komen voor vrijstelling om de privacy van gebruikers te beschermen en te voldoen aan de regelgeving voor gegevensbescherming.
8. Samenwerking met gebruikers: Betrek de belangrijkste belanghebbenden en eindgebruikers bij het opstellen van de uitzonderingenlijst. Het verzamelen van feedback en inzichten van werknemers kan helpen bij het identificeren van essentiële websites en het verbeteren van de algehele efficiëntie van het netwerk.
9. Periodieke beoordelingen: Controleer de uitzonderingenlijst regelmatig om de relevantie en doeltreffendheid ervan te waarborgen. Verwijder overbodige items en voeg indien nodig nieuwe vertrouwde sites toe.
10. Registratie en bewaking: Maak gedetailleerde logging en monitoring van SSL Inspectie en beveiligingsdiensten mogelijk om mogelijke anomalieën of ongeautoriseerde toegangspogingen te detecteren.

3) SSL Inspectie Website Uitzonderingslijst Aanbevelingen

Omdat een lijst van vertrouwde websites om veiligheidsredenen voortdurend moet worden gecontroleerd en herzien, kunnen we enkele categorieën van websites voorstellen die vaak in aanmerking komen voor uitzonderingen bij SSL inspectie:

1. Financiële instellingen: Websites van banken, kredietverenigingen en andere financiële instellingen die gevoelige financiële transacties en persoonlijke gegevens verwerken.
2. Overheidswebsites en officiële websites: Websites van de overheid, officiële portals en openbare diensten die veilige communicatie vereisen.
3. Aanbieders van gezondheidszorg: Websites van ziekenhuizen, klinieken en zorgverleners die vertrouwelijke medische informatie verwerken.
4. Onderwijsinstellingen: Websites van scholen, universiteiten en educatieve platforms waar studenten toegang hebben tot leermaterialen en bronnen.
5. Interne netwerkbronnen: Intranetsites, interne servers en andere vertrouwde bronnen die uitsluitend door de organisatie worden gebruikt.
6. Tools voor samenwerking en communicatie: Vertrouwde communicatiemiddelen, zoals platforms voor videoconferenties of berichtensystemen voor het hele bedrijf.
7. Juridische en wetshandhavingswebsites: Websites van advocatenkantoren, juridische diensten en wetshandhavingsinstanties die gevoelige informatie verwerken.
8. Gerenommeerde nieuws- en mediakanalen: Bekende en gevestigde nieuwswebsites en mediakanalen.
9. Software- en systeemupdateservers: Websites met software-updates en patches van officiële bronnen.
10. SaaS-aanbieders (Software-as-a-Service): Vertrouwde cloudservices die essentieel zijn voor de bedrijfsvoering.

Vergeet niet dat de lijst met vertrouwde websites zal variëren afhankelijk van de specifieke behoeften en vereisten van uw organisatie. Betrek altijd de belangrijkste belanghebbenden, zoals IT-beheerders, afdelingshoofden en eindgebruikers, bij het maken en onderhouden van de uitzonderingenlijst. Bekijk en actualiseer de lijst regelmatig om ervoor te zorgen dat deze relevant en effectief is in het bieden van een balans tussen netwerkefficiëntie en beveiliging.