Zyxel USG FLEX H Series [Firewall] - Cum să blocați site-urile HTTPS utilizând filtrarea conținutului și inspecția SSL

Acest ghid demonstrează cum să blocați în mod eficient site-urile HTTPS utilizând Zyxel USG FLEX H Series prin valorificarea regulilor de filtrare a conținutului, inspecție SSL și politici de securitate. Abordarea vizează conținutul rău intenționat sau nelegat de afaceri (de exemplu, streaming media, social media etc.).

Notă: Acest articol utilizează toate adresele IP de rețea și măștile de subrețea ca exemple. Vă rugăm să le înlocuiți cu adresele IP și măștile de subrețea reale ale rețelei dvs. Acest exemplu a fost testat utilizând USG FLEX 500H (Versiunea firmware: uOS 1.32).

Configurarea filtrării conținutului

Creați un profil nou, activați jurnalul pentru acțiunile de blocare și alegeți categoriile pe care să le blocați (de exemplu, "Streaming Media").

• Navigați la: Serviciul de securitate > Filtrare conținut
• Faceți clic pe Add (Adăugare) pentru a crea un profil de filtrare a conținutului în Profile Management (Gestionare profil).
• Introduceți numele profilului și activați jurnalul pentru acțiunea de blocare în Setări generale.
• Bifați categoria Streaming Media în Managed Categories și faceți clic pe Apply (Aplicare).

După crearea profilului, acesta trebuie să fie legat la politica de securitate corespunzătoare. Fără acest pas, profilul nu va fi activat și nu va afecta securitatea sistemului. Dar vom face acest lucru mai târziu, după configurarea profilului pentru inspectorul SSL. Faceți clic pe "Ok" și treceți la următorul element.

Configurarea inspecției SSL

Mergeți la Security Service > SSL inspection > profile > Profile Management și faceți clic pe Add (Adăugare) pentru a crea profilul

• Utilizați un certificat CA personalizat - deși folosim certificatul implicit în exemplul nostru, se recomandă utilizarea acestuia (de preferință semnat intern sau de un CA intern de încredere). Evitați utilizarea celui implicit în producție.
• Setați versiunea minimă TLS la TLS 1.2, cu excepția cazului în care sistemele moștenite necesită versiuni mai vechi.
• Activați înregistrarea - înregistrați întotdeauna traficul inspectat și excepțiile pentru vizibilitate și depanare.

Suită nesuportată

• Сodificați Acțiunea la Blocare, dacă este posibil, pentru a preveni utilizarea cifrului nesigur sau depreciat.
• Activați jurnalizarea pentru a monitoriza ce este ocolit și pentru a face ajustări în cunoștință de cauză ulterior.

Lanțuri de certificate neîncrezătoare

• Schimbați acțiunea la Blocare - Permiterea certificatelor neîncrezătoare poate lăsa să treacă traficul rău intenționat.
• Activați înregistrarea pentru o vizibilitate completă a conexiunilor neîncrezătoare încercate.

Alte sfaturi importante

• Distribuiți certificatul CA tuturor dispozitivelor client și instalați-l la "Trusted Root Certification Authorities" pentru a evita avertismentele SSL.
• Excludeți aplicațiile sensibile (de exemplu, servicii bancare, guvernamentale etc.) utilizând "Do Not Inspect List", deoarece inspecția SSL le poate întrerupe funcționalitatea sau poate încălca conformitatea.
• Monitorizați în mod regulat jurnalele și statisticile SSL sub Statistici de securitate > Inspecție SSL
• Mențineți firmware-ul actualizat pentru a beneficia de îmbunătățirile de performanță și securitate legate de inspecția SSL.
• Evitați inspectarea traficului intern (de exemplu, LAN-la-LAN), cu excepția cazului în care este necesar în mod specific.

Configurarea politicii de securitate

După crearea profilului, acesta trebuie să fie legat de politica de securitate corespunzătoare. Fără acest pas, profilul nu va fi activat și nu va avea niciun impact asupra securității sistemului.

• Mergeți la Politica de securitate > Controlul politicii. Editați LAN_Outgoing și derulați în jos până la secțiunea profil.
• Selectați Content Filtering și SSL Inspection. Faceți clic pe Apply (Aplicare) pentru a salva.

Exportarea și instalarea certificatului

Atunci când Inspecția SSL este activată pe Zyxel USG FLEX H Series, iar un site web nu recunoaște sau nu are încredere în certificatul implicit al dispozitivului, browserele web vor afișa un avertisment de securitate care indică probleme cu certificatul.

Pentru a preveni acest lucru, trebuie să exportați certificatul implicit de pe dispozitivul FLEX și să îl instalați pe mașinile client (de exemplu, sistemul de operare Windows) ca un certificat rădăcină de încredere.

Mergeți la Sistem > Certificat > Certificatele mele pentru a exporta certificatul implicit de pe USG FLEX H.

Instalarea certificatului

După descărcarea fișierului de certificat (de ex., default.crt), faceți dublu clic pe acesta.

• În fereastra certificatului, faceți clic pe "Open" (Deschide).
• În fereastra certificatului, faceți clic pe "Install Certificate...".

• În Asistentul pentru importul certificatelor, alegeți:

În Asistentul pentru importul certificatelor, alegeți:

• "Current User" - dacă instalați certificatul doar pentru contul dvs. de utilizator (în majoritatea cazurilor nu sunt necesare drepturi de administrator).
• "Local Machine" (Mașină locală ) - dacă certificatul trebuie să se aplice tuturor utilizatorilor de pe computer (sunt necesare drepturi de administrator).

Selectați "Place all certificates in the following store" (Plasați toate certificatele în următorul magazin) în ecranul următor.

Faceți clic pe "Browse", apoi alegeți "Trusted Root Certification Authorities".

Finalizați expertul și confirmați instalarea.

Notă: Odată ce certificatul este instalat, browserele vor avea încredere în dispozitivul FLEX în timpul inspecției SSL, iar avertismentele de securitate nu vor mai apărea pentru traficul HTTPS.

Testați rezultatul

Utilizați un browser web pentru a accesa YouTube. Gateway-ul vă va redirecționa către o pagină blocată.

Mergeți la Log & Report > Log/Events și selectați Content Filtering pentru a verifica jurnalele.