Zyxel-brannmur [USG FLEX, ATP-serien] - Beste praksis for SSL-inspeksjon og sikkerhetstjenester

Opprettet - Oppdatert
Serhii Boiarynov
Print Friendly and PDF
Har du flere spørsmål? Send oss en henvendelse

Viktig merknad:
Kjære kunde, vær oppmerksom på at vi bruker maskinoversettelse for å levere artikler på ditt lokale språk. Det er ikke sikkert at all tekst er oversatt nøyaktig. Hvis det er spørsmål eller uoverensstemmelser om nøyaktigheten av informasjonen i den oversatte versjonen, kan du se den opprinnelige artikkelen her:Originalversjon

Artikkelen gir en trinnvis veiledning i hvordan du konfigurerer SSL-inspeksjon på Zyxel-brannmurer [USG FLEX, ATP-serien], og sikrer at SSL-trafikk dekrypteres, skannes og krypteres på nytt, etterfulgt av beste praksis for SSL-inspeksjon. Disse fremgangsmåtene inkluderer aktivering av SSL-inspeksjon, fastsettelse av unntakskriterier, identifisering av kritiske nettsteder og regelmessig oppdatering av listen over klarerte nettsteder.

Innledning

SSL-inspeksjon, også kjent som SSL/TLS-dekryptering eller SSL-dekryptering, er en sikkerhetsteknikk som brukes til å overvåke kryptert nettverkstrafikk med tanke på potensielle trusler. Med den utbredte bruken av HTTPS har kryptert trafikk blitt normen, noe som gjør det vanskelig for tradisjonelle sikkerhetstiltak å oppdage og redusere trusler. SSL-inspeksjon overvinner denne begrensningen ved å dekryptere SSL-krypterte data, inspisere dem for ondsinnet innhold og kryptere dem på nytt for sikker levering.

Zyxel tilbyr SSL-inspeksjon og en rekke sikkerhetstjenester, inkludert IP-omdømmefiltrering, for å forbedre nettverkssikkerheten og beskytte mot stadig nye cybertrusler. Ved å konfigurere disse tjenestene på riktig måte og opprette en unntaksliste for bestemte nettsteder, kan du finne den rette balansen mellom effektivitet og sikkerhet i nettverksmiljøet ditt.

1) Konfigurer SSL-inspeksjon

SSL-inspeksjon gjør det mulig å kontrollere SSL-krypterte pakker slik at flere andre UTM-profiler fungerer som de skal med HTTPS-trafikk. Denne videoen vil veilede deg gjennom et generisk konfigurasjonsoppsett!

I Zyxel-brannmurer kan du ekskludere innholdsfilterkategorier fra SSL-inspeksjonen.

Dette kan gjøres ved å bla til bunnen av "Exclude List" og klikke på "Advanced".

Gjennomgang av trinnene:

1. Få tilgang til enheten ved å skrive inn IP-adressen i nettleserens adresselinje og logge inn ved hjelp av enhetens legitimasjon.
2. Naviger til Konfigurasjon > Objekt > Sertifikat
3. Rediger det selvsignerte standardsertifikatet, og eksporter det
4. På Windows må du kjøre certmgr.msc og importere sertifikatet til Trusted Root Certificate Authorities > Sertifikater
5. På USG navigerer du til Konfigurasjon > UTM-profil > SSL-inspeksjon
6. Legg til en ny profil og velg profilen som du har eksportert tidligere.
7. Velg handlingen som skal brukes på SSL-trafikken
8. Naviger til Konfigurasjon > Sikkerhetspolicy > Policykontroll
9. Legg til en ny regel med SSL-inspeksjon avkrysset
10. Hvis du for eksempel bruker Application Patrol, kan du deretter angi regelen fra LAN til WAN og velge Application Patrol-profilen du vil bruke

All utgående SSL-trafikk fra LAN til WAN vil da først dekrypteres, skannes og enten droppes eller krypteres på nytt.

Her velger du hvilke kategorier du vil ekskludere og klikker på "apply":

2) Beste praksis for SSL-inspeksjon

  1. Aktivering av SSL-inspeksjon: Før du oppretter en unntaksliste, må du sørge for at SSL-inspeksjon er riktig aktivert på Zyxel-sikkerhetsapparatet. Dette trinnet kan innebære å generere og installere SSL-sertifikater for å unngå sikkerhetsadvarsler på klientenheter (se denne artikkelen).
  2. Fastsettelse av unntakskriterier: Definer klare kriterier for å legge til nettsteder på unntakslisten. Disse kriteriene bør vanligvis omfatte en grundig vurdering av nettstedets omdømme, formål og grad av pålitelighet. Bare pålitelige nettsteder bør vurderes for unntak.
  3. Kritiske nettsteder og tjenester: Identifiser kritiske nettsteder og tjenester som må unntas fra SSL-inspeksjon for å sikre uavbrutt funksjonalitet. Dette kan for eksempel være viktige forretningsapplikasjoner, finansielle portaler eller betalingsportaler på nettet.
  4. Oppdater pålitelige nettsteder jevnlig: Internett-trusler er i stadig utvikling, og nettsteder som er trygge i dag, kan bli kompromittert i morgen. Gjennomgå og oppdater listen over pålitelige nettsteder kontinuerlig for å ivareta sikkerheten i nettverksmiljøet.
  5. Hvitelisting og svartelisting: Bruk både hviteliste- og svartelistetilnærminger for IP-omdømmefiltrering. Hvitelist anerkjente nettsteder for å omgå SSL-inspeksjon, og svartelist kjente ondsinnede nettsteder for å forbedre sikkerhetstiltakene.
  6. Interne ressurser: Ekskluder interne nettverksressurser, for eksempel intranettsider og betrodde servere, fra SSL-inspeksjon for å forhindre unødvendig dekryptering og re-kryptering.
  7. Unntak for sensitive data: Nettsteder som håndterer sensitive data, for eksempel medisinske journaler eller personlig informasjon, bør vurderes unntatt for å beskytte brukernes personvern og overholde databeskyttelsesforskrifter.
  8. Samarbeid med brukerne: Involver viktige interessenter og sluttbrukere når dere utarbeider unntakslisten. Ved å innhente tilbakemeldinger og innsikt fra de ansatte kan man identifisere viktige nettsteder og forbedre nettverkets generelle effektivitet.
  9. Periodiske gjennomganger: Gjennomgå unntakslisten regelmessig for å sikre at den er relevant og effektiv. Fjern unødvendige oppføringer, og legg til nye pålitelige nettsteder etter behov.
  10. Logging og overvåking: Aktiver detaljert logging og overvåking av SSL-inspeksjon og sikkerhetstjenester for å oppdage eventuelle uregelmessigheter eller forsøk på uautorisert tilgang.

3) Anbefalinger for unntaksliste for SSL-inspeksjonsnettsteder

Fordi en liste over klarerte nettsteder må overvåkes og gjennomgås kontinuerlig av sikkerhetsgrunner, kan vi foreslå noen kategorier av nettsteder som ofte vurderes for unntak i SSL-inspeksjon:

  1. Finansinstitusjoner: Nettsteder for banker, kredittforeninger og andre finansinstitusjoner som håndterer sensitive finansielle transaksjoner og personopplysninger.
  2. Offentlige og offisielle nettsteder: Offentlige nettsteder, offisielle portaler og offentlige tjenester som krever sikker kommunikasjon.
  3. Leverandører av helsetjenester: Nettsteder for sykehus, klinikker og helsepersonell som håndterer konfidensiell medisinsk informasjon.
  4. Utdanningsinstitusjoner: Nettsteder for skoler, universiteter og utdanningsplattformer der studenter får tilgang til læremateriell og ressurser.
  5. Interne nettverksressurser: Intranettsider, interne servere og andre betrodde ressurser som kun brukes av organisasjonen.
  6. Samarbeids- og kommunikasjonsverktøy: Pålitelige kommunikasjonsverktøy, for eksempel videokonferanseplattformer eller meldingssystemer for hele bedriften.
  7. Juridiske og rettshåndhevende nettsteder: Nettsteder for advokatfirmaer, juridiske tjenester og politimyndigheter som håndterer sensitiv informasjon.
  8. Anerkjente nyhets- og mediekanaler: Kjente og etablerte nyhetsnettsteder og medier.
  9. Servere for programvare- og systemoppdateringer: Nettsteder som tilbyr programvareoppdateringer og oppdateringer fra offisielle kilder.
  10. Leverandører av programvare-som-en-tjeneste (SaaS): Pålitelige skybaserte tjenester som er kritiske for virksomhetens drift.

Husk at listen over pålitelige nettsteder vil variere avhengig av organisasjonens spesifikke behov og krav. Involver alltid viktige interessenter, for eksempel IT-administratorer, avdelingsledere og sluttbrukere, i prosessen med å opprette og vedlikeholde unntakslisten. Gjennomgå og oppdater listen jevnlig for å sikre at den er relevant og effektiv når det gjelder å skape en balanse mellom nettverkseffektivitet og sikkerhet.

Artikler i denne seksjonen

Se mer
Var denne artikkelen nyttig?
2 av 2 syntes dette var nyttig
Del