Firewall Zyxel [USG FLEX, séria ATP] - Najlepšie postupy kontroly SSL a bezpečnostných služieb

Článok poskytuje podrobný návod na konfiguráciu kontroly SSL na firewalloch Zyxel [rad USG FLEX, ATP], zabezpečenie dešifrovania, skenovania a opätovného šifrovania prevádzky SSL, po ktorom nasledujú osvedčené postupy kontroly SSL. Tieto postupy zahŕňajú zapnutie kontroly SSL, určenie kritérií výnimiek, identifikáciu kritických webových lokalít a pravidelnú aktualizáciu zoznamu dôveryhodných lokalít.

Úvod

Kontrola SSL, známa aj ako dešifrovanie SSL/TLS alebo dešifrovanie SSL, je bezpečnostná technika používaná na monitorovanie šifrovanej sieťovej prevádzky na potenciálne hrozby. S rozšíreným používaním protokolu HTTPS sa šifrovaná prevádzka stala normou, čo predstavuje výzvu pre tradičné bezpečnostné opatrenia na odhaľovanie a zmierňovanie hrozieb. Kontrola SSL prekonáva toto obmedzenie dešifrovaním údajov šifrovaných pomocou protokolu SSL, ich kontrolou na prítomnosť škodlivého obsahu a opätovným zašifrovaním na účely bezpečného doručenia.

Spoločnosť Zyxel ponúka službu SSL Inspection a celý rad bezpečnostných služieb vrátane filtrovania reputácie IP, ktoré zvyšujú bezpečnosť siete a chránia pred vyvíjajúcimi sa kybernetickými hrozbami. Správnou konfiguráciou týchto služieb a vytvorením zoznamu výnimiek pre určité stránky môžete vo svojom sieťovom prostredí dosiahnuť správnu rovnováhu medzi efektívnosťou a bezpečnosťou.

1) Konfigurácia kontroly SSL

Kontrola SSL umožňuje kontrolovať balíky šifrované protokolom SSL, aby niekoľko ďalších profilov UTM mohlo správne pracovať s prevádzkou HTTPS. Toto video vás prevedie všeobecným nastavením konfigurácie!

V bránach firewall Zyxel môžete z kontroly SSL vylúčiť Kategórie filtrov obsahu.

Môžete to urobiť tak, že prejdete na spodnú časť "Zoznam vylúčených" a kliknete na "Rozšírené".

Kroky prechodu:

1. Pristúpte k svojmu zariadeniu zadaním jeho IP adresy do riadka s adresou prehliadača a prihláste sa pomocou poverenia zariadenia.
2. Prejdite do ponuky Konfigurácia > Objekt > Certifikát
3. Upravte predvolený certifikát s vlastným podpisom a exportujte ho
4. V systéme Windows musíte spustiť súbor certmgr.msc a importovať certifikát do časti Dôveryhodné koreňové certifikačné autority > Certifikáty
5. V zariadení USG prejdite do časti Konfigurácia > Profil UTM > Kontrola SSL
6. Pridajte nový profil a vyberte profil, ktorý ste predtým exportovali
7. Vyberte akciu, ktorá sa má použiť na prevádzku SSL
8. Prejdite do časti Konfigurácia > Bezpečnostná politika > Kontrola politiky
9. Pridajte nové pravidlo so začiarknutou možnosťou Kontrola SSL
10. Ak napríklad používate Application Patrol, môžete potom nastaviť pravidlo z LAN na WAN a vybrať profil Application Patrol, ktorý chcete použiť

Akákoľvek odchádzajúca prevádzka SSL z LAN do WAN sa potom najprv dešifruje, skontroluje a buď zahodí, alebo opäť zašifruje.

Tu si vyberiete Kategórie na vylúčenie a kliknete na "aplikovať":

2) Osvedčené postupy kontroly SSL

1. Povolenie kontroly SSL: Pred vytvorením zoznamu výnimiek sa uistite, že je v bezpečnostnom zariadení Zyxel správne povolená kontrola SSL. Tento krok môže zahŕňať vygenerovanie a inštaláciu certifikátov SSL, aby ste sa vyhli bezpečnostným varovaniam na klientskych zariadeniach (pozri tento článok).
2. Určenie kritérií výnimiek: Definujte jasné kritériá na pridávanie webových stránok do zoznamu výnimiek. Zvyčajne by tieto kritériá mali zahŕňať dôkladné posúdenie reputácie, účelu a úrovne dôveryhodnosti webu. Do zoznamu výnimiek by sa mali zaradiť len dôveryhodné webové lokality.
3. Kritické webové lokality a služby: Určite kritické webové lokality a služby, ktoré musia zostať vyňaté z kontroly SSL, aby sa zabezpečila ich nepretržitá funkčnosť. Môžu medzi ne patriť dôležité obchodné aplikácie, finančné portály alebo online platobné brány.
4. Pravidelná aktualizácia dôveryhodných webových stránok: Kybernetické hrozby sa neustále vyvíjajú a webové stránky, ktoré sú dnes bezpečné, môžu byť zajtra ohrozené. Priebežne kontrolujte a aktualizujte zoznam dôveryhodných lokalít, aby ste zaistili bezpečnosť svojho sieťového prostredia.
5. Vytváranie bielych a čiernych zoznamov: Využívajte prístupy whitelistingu aj blacklistingu na filtrovanie reputácie IP. Na obídenie kontroly SSL vytvorte bielu listinu dôveryhodných lokalít a na posilnenie bezpečnostných opatrení vytvorte čiernu listinu známych škodlivých lokalít.
6. Interné zdroje: Vylúčte interné sieťové zdroje, ako sú intranetové stránky a dôveryhodné servery, z kontroly SSL, aby ste zabránili zbytočným nákladom na dešifrovanie a opätovné šifrovanie.
7. Výnimka pre citlivé údaje: V záujme ochrany súkromia používateľov a dodržiavania predpisov o ochrane údajov by sa malo zvážiť vyňatie lokalít, ktoré spracúvajú citlivé údaje, ako sú napríklad lekárske záznamy alebo osobné údaje.
8. Spolupráca s používateľmi: Pri vytváraní zoznamu výnimiek zapojte kľúčové zainteresované strany a koncových používateľov. Získavanie spätnej väzby a poznatkov od zamestnancov môže pomôcť identifikovať dôležité webové stránky a zlepšiť celkovú efektívnosť siete.
9. Pravidelné revízie: Vykonávajte pravidelné revízie zoznamu výnimiek, aby ste zabezpečili jeho relevantnosť a účinnosť. Odstráňte nepotrebné položky a podľa potreby pridajte nové dôveryhodné stránky.
10. Zaznamenávanie a monitorovanie: Umožnite podrobné zaznamenávanie a monitorovanie kontroly SSL a bezpečnostných služieb s cieľom odhaliť akékoľvek potenciálne anomálie alebo pokusy o neoprávnený prístup.

3) Odporúčania týkajúce sa zoznamu výnimiek pre webové stránky SSL Inspection

Keďže zoznam dôveryhodných webových lokalít sa musí z bezpečnostných dôvodov neustále monitorovať a kontrolovať, môžeme navrhnúť niekoľko kategórií webových lokalít, ktoré sa bežne považujú za výnimky v rámci kontroly SSL:

1. Finančné inštitúcie: Webové lokality bánk, úverových družstiev a iných finančných inštitúcií, ktoré spracúvajú citlivé finančné transakcie a osobné údaje.
2. Vládne a oficiálne webové stránky: Vládne webové stránky, oficiálne portály a verejné služby, ktoré vyžadujú bezpečnú komunikáciu.
3. Poskytovatelia zdravotnej starostlivosti: Webové stránky nemocníc, kliník a poskytovateľov zdravotnej starostlivosti, ktorí spracúvajú dôverné lekárske informácie.
4. Vzdelávacie inštitúcie: Webové lokality škôl, univerzít a vzdelávacích platforiem, na ktorých študenti pristupujú k učebným materiálom a zdrojom.
5. Interné sieťové zdroje: Intranetové stránky, interné servery a iné dôveryhodné zdroje používané výlučne organizáciou.
6. Nástroje na spoluprácu a komunikáciu: Dôveryhodné komunikačné nástroje, ako sú videokonferenčné platformy alebo celopodnikové systémy zasielania správ.
7. Webové lokality právnych orgánov a orgánov činných v trestnom konaní: Webové stránky právnických firiem, právnych služieb a orgánov činných v trestnom konaní, ktoré spracúvajú citlivé informácie.
8. Renomované spravodajstvo a médiá: Známe a zavedené spravodajské webové stránky a médiá.
9. Servery na aktualizáciu softvéru a systémov: Webové lokality poskytujúce aktualizácie softvéru a záplaty z oficiálnych zdrojov.
10. Poskytovatelia softvéru ako služby (SaaS): Dôveryhodné cloudové služby, ktoré sú dôležité pre podnikové operácie.

Nezabudnite, že zoznam dôveryhodných webových stránok sa bude líšiť v závislosti od konkrétnych potrieb a požiadaviek vašej organizácie. Do procesu tvorby a udržiavania zoznamu výnimiek vždy zapojte kľúčové zainteresované strany, ako sú správcovia IT, vedúci oddelení a koncoví používatelia. Zoznam pravidelne revidujte a aktualizujte, aby ste zabezpečili jeho relevantnosť a účinnosť pri zabezpečovaní rovnováhy medzi efektívnosťou siete a bezpečnosťou.