Zyxel Firewall [USG FLEX, ATP Series] - Лучшая практика проверки SSL и услуг безопасности

Статья содержит пошаговое руководство по настройке SSL Inspection на брандмауэрах Zyxel [USG FLEX, ATP Series], обеспечивающее расшифровку, сканирование и повторное шифрование SSL-трафика, а также лучшие практики SSL Inspection. К ним относятся включение SSL Inspection, определение критериев исключения, выявление критически важных веб-сайтов и регулярное обновление списка доверенных сайтов.

Введение

Проверка SSL, также известная как расшифровка SSL/TLS или дешифровка SSL, - это техника безопасности, используемая для мониторинга зашифрованного сетевого трафика на предмет потенциальных угроз. С повсеместным распространением HTTPS зашифрованный трафик стал нормой, что создает проблемы для традиционных мер безопасности по обнаружению и устранению угроз. SSL Inspection преодолевает это ограничение, расшифровывая зашифрованные по протоколу SSL данные, проверяя их на наличие вредоносного содержимого и повторно шифруя для безопасной доставки.

Zyxel предлагает SSL Inspection и ряд услуг безопасности, включая фильтрацию IP-репутации, для повышения безопасности сети и защиты от развивающихся киберугроз. Правильно настроив эти службы и создав список исключений для определенных сайтов, вы сможете найти правильный баланс между эффективностью и безопасностью в своей сетевой среде.

1) Настройка проверки SSL

SSL Inspection позволяет проверять пакеты с SSL-шифрованием, чтобы несколько других профилей UTM правильно работали с HTTPS-трафиком. Это видео проведет вас через общую настройку конфигурации!

В брандмауэрах Zyxel можно исключить категории фильтра содержимого из проверки SSL.

Это можно сделать, прокрутив список "Исключить" до самого низа и нажав "Дополнительно".

Этапы выполнения:

1. Зайдите на устройство, введя его IP-адрес в адресную строку браузера, и войдите в систему, используя учетные данные устройства.
2. Перейдите в меню Конфигурация > Объект > Сертификат.
3. Отредактируйте самоподписанный сертификат по умолчанию и экспортируйте его.
4. В windows необходимо запустить certmgr.msc и импортировать сертификат в Trusted Root Certificate Authorities > Certificates.
5. На USG перейдите в раздел Конфигурация > Профиль UTM > Проверка SSL.
6. Добавьте новый профиль и выберите профиль, который вы экспортировали ранее.
7. Выберите действие, которое должно быть применено к SSL-трафику.
8. Перейдите в раздел Конфигурация > Политика безопасности > Контроль политики
9. Добавьте новое правило с отметкой Проверка SSL
10. Если вы, например, используете Application Patrol, вы можете установить правило от LAN к WAN и выбрать профиль Application Patrol, который вы хотите использовать.

Любой исходящий SSL-трафик из LAN в WAN будет сначала расшифрован, просканирован и либо отброшен, либо снова зашифрован.

Здесь вы выбираете категории для исключения и нажимаете кнопку "Применить":

2) Лучшие практики проверки SSL

1. Включение проверки SSL: Прежде чем создавать список исключений, убедитесь, что на устройстве безопасности Zyxel правильно включена проверка SSL. Этот шаг может включать в себя генерацию и установку SSL-сертификатов, чтобы избежать предупреждений о безопасности на клиентских устройствах (см. эту статью).
2. Определение критериев исключения: Определите четкие критерии для добавления веб-сайтов в список исключений. Как правило, эти критерии должны включать тщательную оценку репутации, цели и уровня надежности сайта. Исключения должны касаться только проверенных сайтов.
3. Критически важные веб-сайты и службы: Определите критически важные веб-сайты и службы, которые должны быть освобождены от проверки SSL для обеспечения бесперебойной работы. К ним могут относиться важные бизнес-приложения, финансовые порталы или платежные онлайн-шлюзы.
4. Регулярно обновляйте доверенные сайты: Киберугрозы постоянно развиваются, и сайты, которые сегодня безопасны, завтра могут оказаться под угрозой. Постоянно пересматривайте и обновляйте список доверенных сайтов, чтобы обеспечить безопасность вашей сетевой среды.
5. Белые и черные списки: Для фильтрации IP-репутации используйте как белые, так и черные списки. Вносите в белый список надежные сайты, чтобы обойти проверку SSL, и вносите в черный список известные вредоносные сайты, чтобы усилить меры безопасности.
6. Внутренние ресурсы: Исключите внутренние сетевые ресурсы, такие как сайты интрасети и доверенные серверы, из проверки SSL, чтобы избежать ненужных затрат на расшифровку и повторное шифрование.
7. Исключение для чувствительных данных: Сайты, работающие с конфиденциальными данными, такими как медицинские записи или личная информация, должны рассматриваться на предмет исключения для защиты конфиденциальности пользователей и соблюдения правил защиты данных.
8. Сотрудничество с пользователями: Привлекайте ключевых заинтересованных лиц и конечных пользователей к созданию списка исключений. Сбор отзывов и мнений сотрудников поможет выявить важные веб-сайты и повысить общую эффективность сети.
9. Периодические обзоры: Проводите регулярные проверки списка исключений, чтобы убедиться в его актуальности и эффективности. Удаляйте ненужные записи и добавляйте новые доверенные сайты по мере необходимости.
10. Ведение журнала и мониторинг: Включите подробное протоколирование и мониторинг работы SSL Inspection и служб безопасности, чтобы обнаружить любые потенциальные аномалии или попытки несанкционированного доступа.

3) Рекомендации по составлению списка исключений веб-сайтов SSL Inspection

Поскольку список доверенных веб-сайтов должен постоянно контролироваться и пересматриваться по соображениям безопасности, мы можем предложить некоторые категории веб-сайтов, которые обычно рассматриваются в качестве исключений при проверке SSL:

1. Финансовые учреждения: Веб-сайты банков, кредитных союзов и других финансовых учреждений, которые работают с конфиденциальными финансовыми операциями и персональными данными.
2. Правительственные и официальные веб-сайты: Правительственные веб-сайты, официальные порталы и государственные службы, требующие безопасной связи.
3. Поставщики медицинских услуг: Веб-сайты больниц, клиник и медицинских учреждений, работающих с конфиденциальной медицинской информацией.
4. Образовательные учреждения: Веб-сайты школ, университетов и образовательных платформ, где студенты получают доступ к учебным материалам и ресурсам.
5. Внутренние сетевые ресурсы: Интранет-сайты, внутренние серверы и другие доверенные ресурсы, используемые исключительно организацией.
6. Средства совместной работы и коммуникации: Надежные средства коммуникации, например платформы для видеоконференций или общекорпоративные системы обмена сообщениями.
7. Юридические и правоохранительные веб-сайты: Веб-сайты юридических фирм, юридических служб и правоохранительных органов, которые работают с конфиденциальной информацией.
8. Авторитетные новостные и медийные издания: Известные и авторитетные новостные веб-сайты и СМИ.
9. Серверы обновлений программного обеспечения и систем: Веб-сайты, предоставляющие обновления и исправления программного обеспечения из официальных источников.
10. Поставщики программного обеспечения как услуги (SaaS): Надежные "облачные" службы, критически важные для ведения бизнеса.

Помните, что список надежных веб-сайтов будет зависеть от конкретных потребностей и требований вашей организации. Всегда привлекайте ключевых заинтересованных лиц, таких как ИТ-администраторы, руководители отделов и конечные пользователи, к процессу создания и ведения списка исключений. Регулярно пересматривайте и обновляйте список, чтобы убедиться в его актуальности и эффективности в обеспечении баланса между эффективностью и безопасностью сети.