Zyxel Firewall [USG FLEX, ATP Series] - Cele mai bune practici de inspecție SSL și servicii de securitate

Articolul oferă un ghid pas cu pas privind configurarea Inspecției SSL pe firewall-urile Zyxel [USG FLEX, ATP Series], asigurându-se că traficul SSL este decriptat, scanat și re-criptat, urmat de cele mai bune practici de inspecție SSL. Aceste practici includ activarea Inspecției SSL, stabilirea criteriilor de excepție, identificarea site-urilor web critice și actualizarea periodică a listei site-urilor de încredere.

Introducere

Inspecția SSL, cunoscută și sub numele de decriptare SSL/TLS sau decriptare SSL, este o tehnică de securitate utilizată pentru a monitoriza traficul de rețea criptat în vederea identificării potențialelor amenințări. Odată cu adoptarea pe scară largă a HTTPS, traficul criptat a devenit o regulă, ceea ce reprezintă o provocare pentru măsurile de securitate tradiționale de detectare și atenuare a amenințărilor. Inspecția SSL depășește această limitare prin decriptarea datelor criptate SSL, inspectarea acestora pentru conținut malițios și re-criptarea lor pentru livrare securizată.

Zyxel oferă inspecția SSL și o gamă de servicii de securitate, inclusiv filtrarea reputației IP, pentru a spori securitatea rețelei și a proteja împotriva amenințărilor cibernetice în continuă evoluție. Prin configurarea corectă a acestor servicii și crearea unei liste de excepții pentru anumite site-uri, puteți obține echilibrul corect între eficiență și siguranță în mediul dvs. de rețea.

1) Configurați inspecția SSL

Inspecția SSL vă permite să verificați pachetele criptate SSL pentru a permite altor câteva profiluri UTM să funcționeze corect cu traficul HTTPS. Acest videoclip vă va ghida prin configurarea unei configurații generice!

În firewall-urile Zyxel, puteți exclude categoriile de filtre de conținut de la Inspecția SSL.

Acest lucru se poate face prin derularea până în partea de jos a "Exclude List" și făcând clic pe "Advanced".

Pași de ghidare:

1. Accesați dispozitivul introducând adresa IP a acestuia în linia de adrese a browserului și autentificați-vă utilizând credențialele dispozitivului
2. Navigați la Configuration > Object > Certificate (Configurare > Obiect > Certificat)
3. Modificați certificatul auto-semnat implicit și exportați-l
4. Pe Windows, trebuie să rulați certmgr.msc și să importați certificatul în Trusted Root Certificate Authorities > Certificates
5. Pe USG, navigați la Configuration > UTM Profile > SSL Inspection
6. Adăugați un nou profil și selectați profilul pe care l-ați exportat anterior
7. Selectați acțiunea care ar trebui aplicată traficului SSL
8. Navigați la Configuration > Security Policy > Policy Control
9. Adăugați o regulă nouă cu opțiunea SSL Inspection bifată
10. Dacă, de exemplu, utilizați Application Patrol, puteți seta regula de la LAN la WAN și selectați profilul Application Patrol pe care doriți să îl utilizați

Orice trafic SSL de ieșire din LAN către WAN va fi mai întâi decriptat, scanat și fie eliminat, fie criptat din nou.

Aici Alegeți Categoriile de exclus și faceți clic pe "apply":

2) Cele mai bune practici de inspecție SSL

1. Activarea inspecției SSL: Înainte de a crea o listă de excepții, asigurați-vă că Inspecția SSL este activată corect pe dispozitivul de securitate Zyxel. Acest pas poate implica generarea și instalarea certificatelor SSL pentru a evita avertizările de securitate pe dispozitivele client (consultați acest articol).
2. Determinarea criteriilor de excepție: Definiți criterii clare pentru adăugarea site-urilor web la lista de excepții. De obicei, aceste criterii ar trebui să includă o evaluare aprofundată a reputației, scopului și nivelului de încredere al site-ului. Numai site-urile de încredere ar trebui să fie luate în considerare pentru excepții.
3. Site-uri web și servicii esențiale: Identificați site-urile și serviciile esențiale care trebuie să rămână exceptate de la inspecția SSL pentru a asigura funcționalitatea neîntreruptă. Acestea pot include aplicații de afaceri esențiale, portaluri financiare sau porți de plată online.
4. Actualizarea periodică a site-urilor de încredere: Amenințările cibernetice sunt în continuă evoluție, iar site-urile web care sunt sigure astăzi ar putea fi compromise mâine. Revizuiți și actualizați în permanență lista site-urilor de încredere pentru a asigura securitatea mediului dvs. de rețea.
5. Liste albe și liste negre: Utilizați atât abordarea de tip whitelisting, cât și cea de tip blacklisting pentru filtrarea reputației IP. Întocmiți lista albă a site-urilor de încredere pentru a ocoli inspecția SSL, iar lista neagră a site-urilor rău intenționate cunoscute pentru a consolida măsurile de securitate.
6. Resurse interne: Excludeți resursele interne ale rețelei, cum ar fi site-urile de intranet și serverele de încredere, de la inspecția SSL pentru a preveni supraîncărcarea inutilă de decriptare și recriptare.
7. Excepție pentru datele sensibile: Site-urile care gestionează date sensibile, cum ar fi fișele medicale sau informațiile personale, ar trebui să fie luate în considerare pentru exceptare, pentru a proteja confidențialitatea utilizatorilor și a respecta reglementările privind protecția datelor.
8. Colaborarea cu utilizatorii: Implicați principalele părți interesate și utilizatorii finali atunci când creați lista de excepții. Colectarea feedback-ului și a opiniilor angajaților poate ajuta la identificarea site-urilor web esențiale și la îmbunătățirea eficienței generale a rețelei.
9. Revizuiri periodice: Efectuați revizuiri periodice ale listei de excepții pentru a asigura relevanța și eficacitatea acesteia. Eliminați intrările inutile și adăugați noi site-uri de încredere, după cum este necesar.
10. Înregistrare și monitorizare: Activați înregistrarea și monitorizarea detaliată a inspecției SSL și a serviciilor de securitate pentru a detecta orice potențiale anomalii sau încercări de acces neautorizat.

3) Recomandări privind lista de excepții a site-urilor de inspecție SSL

Deoarece o listă de site-uri de încredere trebuie monitorizată și revizuită în mod constant din motive de securitate, putem sugera câteva categorii de site-uri care sunt de obicei luate în considerare pentru excepții în inspecția SSL:

1. Instituții financiare: Site-urile web ale băncilor, uniunilor de credit și ale altor instituții financiare care gestionează tranzacții financiare sensibile și date personale.
2. Site-uri guvernamentale și oficiale: Site-uri web guvernamentale, portaluri oficiale și servicii publice care necesită comunicare securizată.
3. Furnizori de servicii medicale: Site-uri web ale spitalelor, clinicilor și furnizorilor de asistență medicală care gestionează informații medicale confidențiale.
4. Instituții de învățământ: Site-uri web ale școlilor, universităților și platformelor educaționale unde studenții accesează materiale și resurse de învățare.
5. Resurse de rețea interne: Site-uri intranet, servere interne și alte resurse de încredere utilizate exclusiv de organizație.
6. Instrumente de colaborare și comunicare: Instrumente de comunicare de încredere, cum ar fi platformele de videoconferință sau sistemele de mesagerie la nivelul întregii companii.
7. Site-uri juridice și de aplicare a legii: Site-urile web ale firmelor de avocatură, ale serviciilor juridice și ale agențiilor de aplicare a legii care gestionează informații sensibile.
8. Publicații de știri și media de renume: Site-uri web de știri și puncte de difuzare media cunoscute și consacrate.
9. Servere de actualizare software și sistem: Site-uri web care furnizează actualizări software și patch-uri din surse oficiale.
10. Furnizori de software-as-a-Service (SaaS): Servicii de încredere bazate pe cloud care sunt esențiale pentru operațiunile de afaceri.

Rețineți că lista site-urilor de încredere va varia în funcție de nevoile și cerințele specifice ale organizației dvs. Implicați întotdeauna părțile interesate cheie, cum ar fi administratorii IT, șefii de departamente și utilizatorii finali, în procesul de creare și menținere a listei de excepții. Revizuiți și actualizați periodic lista pentru a asigura relevanța și eficacitatea acesteia în asigurarea unui echilibru între eficiența și securitatea rețelei.