Zyxel Firewall [USG FLEX, ATP Series] - Najlepsze praktyki inspekcji SSL i usług bezpieczeństwa

Artykuł zawiera przewodnik krok po kroku dotyczący konfigurowania inspekcji SSL na zaporach Zyxel [USG FLEX, seria ATP], zapewniając, że ruch SSL jest odszyfrowywany, skanowany i ponownie szyfrowany, a następnie najlepsze praktyki inspekcji SSL. Praktyki te obejmują włączanie inspekcji SSL, określanie kryteriów wyjątków, identyfikowanie krytycznych witryn internetowych i regularne aktualizowanie listy zaufanych witryn.

Wprowadzenie

Inspekcja SSL, znana również jako deszyfrowanie SSL/TLS lub deszyfrowanie SSL, jest techniką bezpieczeństwa stosowaną do monitorowania zaszyfrowanego ruchu sieciowego pod kątem potencjalnych zagrożeń. Wraz z powszechnym przyjęciem HTTPS, szyfrowany ruch stał się normą, co stanowi wyzwanie dla tradycyjnych środków bezpieczeństwa w celu wykrywania i łagodzenia zagrożeń. SSL Inspection pokonuje to ograniczenie poprzez odszyfrowanie danych zaszyfrowanych SSL, sprawdzenie ich pod kątem złośliwej zawartości i ponowne zaszyfrowanie w celu bezpiecznego dostarczenia.

Zyxel oferuje SSL Inspection i szereg usług bezpieczeństwa, w tym filtrowanie reputacji IP, w celu zwiększenia bezpieczeństwa sieci i ochrony przed ewoluującymi zagrożeniami cybernetycznymi. Odpowiednia konfiguracja tych usług i utworzenie listy wyjątków dla niektórych witryn pozwala zachować równowagę między wydajnością a bezpieczeństwem w środowisku sieciowym.

1) Konfiguracja inspekcji SSL

Inspekcja SSL umożliwia sprawdzanie pakietów szyfrowanych SSL w celu umożliwienia kilku innym profilom UTM prawidłowej pracy z ruchem HTTPS. Ten film przeprowadzi Cię przez ogólną konfigurację!

W zaporach Zyxel można wykluczyć kategorie filtrów treści z inspekcji SSL.

Można to zrobić, przewijając do dołu "Listy wykluczeń" i klikając "Zaawansowane".

Kroki instruktażowe:

1. Uzyskaj dostęp do urządzenia, wprowadzając jego adres IP w wierszu adresu przeglądarki i zaloguj się przy użyciu poświadczeń urządzenia.
2. Przejdź do Konfiguracja > Obiekt > Certyfikat
3. Edytuj domyślny samopodpisany certyfikat i wyeksportuj go
4. W systemie Windows należy uruchomić certmgr.msc i zaimportować certyfikat do Trusted Root Certificate Authorities > Certificates.
5. W USG przejdź do Configuration > UTM Profile > SSL Inspection.
6. Dodaj nowy profil i wybierz profil, który został wcześniej wyeksportowany.
7. Wybierz akcję, która ma być zastosowana do ruchu SSL
8. Przejdź do Configuration > Security Policy > Policy Control.
9. Dodaj nową regułę z zaznaczoną opcją SSL Inspection.
10. Jeśli na przykład używasz Application Patrol, możesz ustawić regułę z LAN na WAN i wybrać profil Application Patrol, którego chcesz użyć.

Każdy wychodzący ruch SSL z sieci LAN do sieci WAN zostanie najpierw odszyfrowany, przeskanowany i albo odrzucony, albo ponownie zaszyfrowany.

Tutaj wybierasz kategorie do wykluczenia i klikasz "zastosuj":

2) Najlepsze praktyki inspekcji SSL

1. Włączanie inspekcji SSL: Przed utworzeniem listy wyjątków należy upewnić się, że inspekcja SSL jest poprawnie włączona na urządzeniu zabezpieczającym Zyxel. Ten krok może wymagać wygenerowania i zainstalowania certyfikatów SSL, aby uniknąć ostrzeżeń bezpieczeństwa na urządzeniach klienckich (patrz ten artykuł).
2. Określanie kryteriów wyjątków: Zdefiniuj jasne kryteria dodawania stron internetowych do listy wyjątków. Zazwyczaj kryteria te powinny obejmować dokładną ocenę reputacji witryny, jej celu i poziomu wiarygodności. Tylko zaufane witryny powinny być brane pod uwagę jako wyjątki.
3. Krytyczne witryny i usługi: Zidentyfikuj krytyczne witryny i usługi, które muszą pozostać wyłączone z inspekcji SSL, aby zapewnić nieprzerwaną funkcjonalność. Mogą to być istotne aplikacje biznesowe, portale finansowe lub bramki płatności online.
4. Regularne aktualizowanie zaufanych witryn: Zagrożenia cybernetyczne stale ewoluują, a witryny, które dziś są bezpieczne, jutro mogą stać się zagrożone. Nieustannie przeglądaj i aktualizuj listę zaufanych witryn, aby zapewnić bezpieczeństwo swojego środowiska sieciowego.
5. Biała i czarna lista: Wykorzystaj zarówno białą, jak i czarną listę do filtrowania reputacji IP. Biała lista renomowanych witryn pozwala ominąć inspekcję SSL, a czarna lista znanych złośliwych witryn zwiększa środki bezpieczeństwa.
6. Zasoby wewnętrzne: Wyklucz wewnętrzne zasoby sieciowe, takie jak witryny intranetowe i zaufane serwery, z inspekcji SSL, aby zapobiec niepotrzebnemu odszyfrowywaniu i ponownemu szyfrowaniu.
7. Wyłączenie danych wrażliwych: Witryny obsługujące wrażliwe dane, takie jak dokumentacja medyczna lub dane osobowe, powinny być objęte wyłączeniem w celu ochrony prywatności użytkowników i zachowania zgodności z przepisami o ochronie danych.
8. Współpraca z użytkownikami: Zaangażuj kluczowych interesariuszy i użytkowników końcowych podczas tworzenia listy wyjątków. Zbieranie informacji zwrotnych i spostrzeżeń od pracowników może pomóc zidentyfikować istotne strony internetowe i poprawić ogólną wydajność sieci.
9. Okresowe przeglądy: Przeprowadzaj regularne przeglądy listy wyjątków, aby zapewnić jej trafność i skuteczność. W razie potrzeby usuwaj niepotrzebne wpisy i dodawaj nowe zaufane witryny.
10. Rejestrowanie i monitorowanie: Włącz szczegółowe rejestrowanie i monitorowanie SSL Inspection i usług bezpieczeństwa, aby wykryć wszelkie potencjalne anomalie lub próby nieautoryzowanego dostępu.

3) Zalecenia dotyczące listy wyjątków witryn inspekcji SSL

Ponieważ lista zaufanych stron internetowych musi być stale monitorowana i weryfikowana ze względów bezpieczeństwa, możemy zasugerować kilka kategorii stron internetowych, które są powszechnie brane pod uwagę jako wyjątki w inspekcji SSL:

1. Instytucje finansowe: Strony internetowe banków, spółdzielczych kas oszczędnościowo-kredytowych i innych instytucji finansowych, które obsługują wrażliwe transakcje finansowe i dane osobowe.
2. Strony rządowe i oficjalne: Strony rządowe, oficjalne portale i usługi publiczne, które wymagają bezpiecznej komunikacji.
3. Dostawcy usług opieki zdrowotnej: Strony internetowe szpitali, klinik i dostawców usług medycznych obsługujących poufne informacje medyczne.
4. Instytucje edukacyjne: Strony internetowe szkół, uniwersytetów i platform edukacyjnych, na których studenci uzyskują dostęp do materiałów i zasobów edukacyjnych.
5. Wewnętrzne zasoby sieciowe: Witryny intranetowe, serwery wewnętrzne i inne zaufane zasoby wykorzystywane wyłącznie przez organizację.
6. Narzędzia do współpracy i komunikacji: Zaufane narzędzia komunikacyjne, takie jak platformy wideokonferencyjne lub firmowe systemy przesyłania wiadomości.
7. Witryny prawne i organów ścigania: Strony internetowe firm prawniczych, usług prawnych i organów ścigania, które obsługują poufne informacje.
8. Renomowane serwisy informacyjne i media: Znane i uznane serwisy informacyjne i media.
9. Serwery aktualizacji oprogramowania i systemów: Strony internetowe udostępniające aktualizacje i poprawki oprogramowania z oficjalnych źródeł.
10. Dostawcy oprogramowania jako usługi (SaaS): Zaufane usługi oparte na chmurze, które są krytyczne dla operacji biznesowych.

Pamiętaj, że lista zaufanych stron internetowych będzie się różnić w zależności od konkretnych potrzeb i wymagań Twojej organizacji. Zawsze angażuj kluczowych interesariuszy, takich jak administratorzy IT, kierownicy działów i użytkownicy końcowi, w proces tworzenia i utrzymywania listy wyjątków. Regularnie przeglądaj i aktualizuj listę, aby zapewnić jej przydatność i skuteczność w zapewnianiu równowagi między wydajnością sieci a bezpieczeństwem.