Zyxel USG FLEX H Series [Firewall] - Ako blokovať webové lokality HTTPS pomocou filtrovania obsahu a kontroly SSL

Táto príručka ukazuje, ako účinne blokovať webové stránky HTTPS pomocou radu Zyxel USG FLEX H s využitím filtrovania obsahu, kontroly SSL a pravidiel bezpečnostných politík. Tento prístup sa zameriava na škodlivý alebo s podnikaním nesúvisiaci obsah (napr. streamované médiá, sociálne médiá atď.).

Poznámka: V tomto článku sú ako príklady použité všetky sieťové IP adresy a masky podsiete. Nahraďte ich skutočnými sieťovými IP adresami a maskami podsietí. Tento príklad bol testovaný pomocou zariadenia USG FLEX 500H (verzia firmvéru: uOS 1.32).

Nastavenie filtrovania obsahu

Vytvorte nový profil, povoľte protokol pre blokovacie akcie a vyberte kategórie na blokovanie (napr. "Streaming Media").

• Prejdite na stránku: Bezpečnostná služba > Filtrovanie obsahu
• Kliknutím na tlačidlo Pridať vytvorte profil filtrovania obsahu v časti Správa profilov.
• Zadajte názov profilu a povoľte protokol pre blokovacie akcie v časti Všeobecné nastavenia.
• Začiarknite kategóriu Streaming Media v časti Spravované kategórie a kliknite na tlačidlo Použiť.

Po vytvorení profilu musí byť prepojený s príslušnou bezpečnostnou politikou. Bez tohto kroku sa profil neaktivuje a nebude mať vplyv na zabezpečenie systému. To však urobíme neskôr po nastavení profilu pre kontrolór SSL. Kliknite na tlačidlo "Ok" a prejdite na ďalšiu položku.

Nastavenie kontroly SSL

Prejdite do časti Bezpečnostná služba > Kontrola SSL > Profil > Správa profilu a kliknutím na tlačidlo Pridať vytvorte profil.

• Použite vlastný certifikát certifikačnej autority - hoci v našom príklade používame predvolený certifikát, odporúča sa ho použiť (najlepšie podpísaný interne alebo dôveryhodnou internou certifikačnou autoritou). Vyhnite sa používaniu predvoleného certifikátu v produkčnej prevádzke.
• Nastavte minimálnu verziu TLS na TLS 1.2, pokiaľ staršie systémy nevyžadujú staršie verzie.
• Povoľte protokolovanie - vždy zaznamenávajte kontrolovanú prevádzku a výnimky kvôli prehľadnosti a riešeniu problémov.

Nepodporovaná súprava

• Szmeňte akciu na blokovanie, ak je to možné, aby ste zabránili používaniu nebezpečných alebo zastaraných šifier.
• Zapnite protokolovanie, aby ste mohli sledovať, čo sa obchádza, a neskôr vykonať informované úpravy.

Nedôveryhodné reťazce certifikátov

• Zmeňte Akciu na Blokovať - Povolenie nedôveryhodných certifikátov môže umožniť priechod škodlivej prevádzky.
• Povoľte protokolovanie pre úplný prehľad o pokusoch o nedôveryhodné spojenia.

Ďalšie dôležité tipy

• Certifikát certifikačnej autority distribuujte do všetkých klientskych zariadení a nainštalujte ho do časti "Dôveryhodné koreňové certifikačné autority ", aby ste sa vyhli varovaniam SSL.
• Vylúčte citlivé aplikácie (napr. bankovníctvo, vládne služby atď.) pomocou "Zoznamu nekontrolovať", pretože kontrola SSL môže narušiť ich funkčnosť alebo porušiť súlad s predpismi.
• Pravidelne sledujte protokoly a štatistiky SSL v časti Štatistiky zabezpečenia > Kontrola SSL
• Udržujte firmvér aktualizovaný, aby ste mohli využívať výhody vylepšení výkonu a zabezpečenia súvisiacich s kontrolou SSL.
• Vyhnite sa kontrole internej prevádzky (napr. LAN-to-LAN), pokiaľ to nie je výslovne potrebné.

Nastavenie bezpečnostnej politiky

Po vytvorení profilu je potrebné prepojiť ho s príslušnou bezpečnostnou politikou. Bez tohto kroku sa profil neaktivuje a nebude mať žiadny vplyv na bezpečnosť systému.

• Prejdite do časti Bezpečnostná politika > Ovládanie politiky. Upravte položku LAN_Outgoing (Odchádzajúca sieť) a prejdite do časti Profil.
• Vyberte položku Filtrovanie obsahu a položku Kontrola SSL. Kliknutím na tlačidlo Použiť uložte.

Export a inštalácia certifikátu

Keď je v zariadení Zyxel USG FLEX H Series povolená kontrola SSL a webová stránka nerozpozná predvolený certifikát zariadenia alebo mu nedôveruje, webové prehliadače zobrazia bezpečnostné upozornenie, ktoré indikuje problémy s certifikátom.

Aby ste tomu zabránili, musíte predvolený certifikát zo zariadenia FLEX exportovať a nainštalovať ho do klientskych počítačov (napr. do operačného systému Windows) ako dôveryhodný koreňový certifikát.

Prejdite na položky Systém > Certifikát > Moje certifikáty a exportujte predvolený certifikát zo zariadenia USG FLEX H.

Inštalácia certifikátu

Po stiahnutí súboru certifikátu (napr. default.crt) naň dvakrát kliknite.

• V okne certifikátu kliknite na tlačidlo "Otvoriť".
• V okne certifikátu kliknite na tlačidlo "Nainštalovať certifikát...".

• V sprievodcovi importom certifikátu vyberte:

V sprievodcovi importom certifikátu vyberte:

• "Aktuálny používateľ" - ak inštalujete certifikát len pre svoj používateľský účet (vo väčšine prípadov nie sú potrebné práva správcu).
• "Local Machine" (Miestny počítač) - ak sa má certifikát použiť pre všetkých používateľov v počítači (vyžadujú sa práva správcu).

Na ďalšej obrazovke vyberte možnosť "Umiestniť všetky certifikáty do nasledujúceho úložiska".

Kliknite na tlačidlo "Browse" (Prehľadávať) a potom vyberte položku "Trusted Root Certification Authorities" (Dôveryhodné koreňové certifikačné autority).

Dokončite sprievodcu a potvrďte inštaláciu.

Poznámka: Po nainštalovaní certifikátu budú prehliadače pri kontrole SSL dôverovať zariadeniu FLEX a pri prevádzke HTTPS sa už nebudú zobrazovať bezpečnostné upozornenia.

Testovanie výsledku

Použite webový prehliadač na prístup k službe YouTube. Brána vás presmeruje na zablokovanú stránku.

Prejdite do časti Protokoly a hlásenia > Protokoly/udalosti a výberom položky Filtrovanie obsahu skontrolujte protokoly.