Zyxel Firewall [USG FLEX, ATP Serisi] - SSL Denetimi ve Güvenlik Hizmetlerinin En İyi Uygulaması

Başka sorularınız var mı? Bir talep gönder

Önemli Uyarı:
Değerli müşterimiz, makaleleri yerel dilinizde sunmak için makine çevirisi kullandığımızı lütfen unutmayın. Tüm metinler doğru şekilde çevrilemeyebilir. Çevrilmiş versiyondaki bilgilerin doğruluğu konusunda sorularınız veya tutarsızlıklarınız varsa, lütfen orijinal makaleyi buradan inceleyin:Orijinal Versiyon

Makale, Zyxel güvenlik duvarlarında [USG FLEX, ATP Serisi] SSL Denetimini yapılandırma, SSL trafiğinin şifresinin çözülmesini, taranmasını ve yeniden şifrelenmesini sağlama ve ardından SSL Denetimi en iyi uygulamaları hakkında adım adım bir kılavuz sağlar. Bu uygulamalar SSL Denetimini etkinleştirmeyi, istisna kriterlerini belirlemeyi, kritik web sitelerini tanımlamayı ve güvenilen siteler listesini düzenli olarak güncellemeyi içerir.

Giriş

SSL/TLS şifre çözme veya SSL şifre çözme olarak da bilinen SSL Inspection, şifrelenmiş ağ trafiğini potansiyel tehditlere karşı izlemek için kullanılan bir güvenlik tekniğidir. HTTPS'nin yaygın olarak benimsenmesiyle, şifreli trafik norm haline gelmiştir ve bu da tehditleri tespit etmek ve azaltmak için geleneksel güvenlik önlemleri için bir zorluk teşkil etmektedir. SSL Inspection, SSL ile şifrelenmiş verilerin şifresini çözerek, kötü amaçlı içerik için inceleyerek ve güvenli teslimat için yeniden şifreleyerek bu sınırlamanın üstesinden gelir.

Zyxel, ağ güvenliğini artırmak ve gelişen siber tehditlere karşı koruma sağlamak için SSL Inspection ve IP itibar filtreleme dahil olmak üzere bir dizi güvenlik hizmeti sunar. Bu hizmetleri düzgün bir şekilde yapılandırarak ve belirli siteler için bir istisna listesi oluşturarak, ağ ortamınızda verimlilik ve güvenlik arasında doğru dengeyi kurabilirsiniz.

1) SSL Denetimini Yapılandırın

SSL Inspection, diğer bazı UTM Profillerinin HTTPS trafiği ile düzgün çalışmasını sağlamak için SSL şifreli paketleri kontrol etmenizi sağlar. Bu video size genel bir yapılandırma kurulumunda rehberlik edecektir!

Zyxel güvenlik duvarlarında, İçerik filtresi Kategorilerini SSL Denetiminden hariç tutabilirsiniz.

Bu, "Hariç Tutma Listesi "nin en altına kaydırılarak ve "Gelişmiş" seçeneğine tıklanarak yapılabilir.

İzlenecek Adımlar:

1. Tarayıcı adres satırına IP adresini girerek cihazınıza erişin ve cihazın kimlik bilgilerini kullanarak oturum açın
2. Yapılandırma > Nesne > Sertifika bölümüne gidin
3. Varsayılan kendinden imzalı sertifikayı düzenleyin ve dışa aktarın
4. Windows'ta certmgr.msc dosyasını çalıştırmanız ve sertifikayı Güvenilir Kök Sertifika Yetkilileri > Sertifikalar bölümüne aktarmanız gerekir
5. USG'de, Yapılandırma > UTM Profili > SSL Denetimi'ne gidin
6. Yeni bir profil ekleyin ve daha önce dışa aktardığınız profili seçin
7. SSL trafiğine uygulanması gereken eylemi seçin
8. Yapılandırma > Güvenlik İlkesi > İlke Denetimi'ne gidin
9. SSL Denetimi işaretli yeni bir kural ekleyin
10. Örneğin Uygulama Devriyesi kullanıyorsanız, kuralı LAN'dan WAN'a ayarlayabilir ve kullanmak istediğiniz Uygulama Devriyesi Profilini seçebilirsiniz

LAN'dan WAN'a giden tüm SSL trafiği önce şifresi çözülecek, taranacak ve ya düşürülecek ya da tekrar şifrelenecektir.

Burada hariç tutulacak Kategorileri seçer ve "uygula" düğmesine tıklarsınız:

2) SSL Denetimi En İyi Uygulamaları

  1. SSL Denetimini Etkinleştirme: Bir istisna listesi oluşturmadan önce, Zyxel güvenlik cihazınızda SSL Denetiminin doğru şekilde etkinleştirildiğinden emin olun. Bu adım, istemci cihazlarda güvenlik uyarılarını önlemek için SSL sertifikalarının oluşturulmasını ve yüklenmesini içerebilir ( bu makaleye bakın).
  2. İstisna Kriterlerini Belirleme: Web sitelerini istisna listesine eklemek için net kriterler tanımlayın. Tipik olarak, bu kriterler sitenin itibarı, amacı ve güvenilirlik düzeyinin kapsamlı bir değerlendirmesini içermelidir. İstisnalar için yalnızca güvenilir web siteleri dikkate alınmalıdır.
  3. Kritik Web Siteleri ve Hizmetler: Kesintisiz işlevsellik sağlamak için SSL Denetiminden muaf tutulması gereken kritik web sitelerini ve hizmetleri belirleyin. Bunlar arasında temel iş uygulamaları, finansal portallar veya çevrimiçi ödeme ağ geçitleri yer alabilir.
  4. Güvenilir Siteleri Düzenli Olarak Güncellemek: Siber tehditler sürekli olarak gelişmektedir ve bugün güvenli olan web siteleri yarın tehlikeye girebilir. Ağ ortamınızın güvenliğini sağlamak için güvenilir siteler listesini sürekli olarak gözden geçirin ve güncelleyin.
  5. Beyaz Liste ve Kara Liste: IP itibar filtrelemesi için hem beyaz liste hem de kara liste yaklaşımlarını kullanın. SSL Denetimini atlamak için saygın siteleri beyaz listeye alın ve güvenlik önlemlerini geliştirmek için bilinen kötü amaçlı siteleri kara listeye alın.
  6. Dahili Kaynaklar: Gereksiz şifre çözme ve yeniden şifreleme ek yükünü önlemek için intranet siteleri ve güvenilir sunucular gibi dahili ağ kaynaklarını SSL Denetiminden hariç tutun.
  7. Hassas Veriler için Muafiyet: Tıbbi kayıtlar veya kişisel bilgiler gibi hassas verileri işleyen siteler, kullanıcı gizliliğini korumak ve veri koruma düzenlemelerine uymak için muafiyet açısından değerlendirilmelidir.
  8. Kullanıcılarla İşbirliği: İstisna listesini oluştururken kilit paydaşları ve son kullanıcıları dahil edin. Çalışanlardan geri bildirim ve içgörü toplamak, temel web sitelerinin belirlenmesine ve ağın genel verimliliğinin artırılmasına yardımcı olabilir.
  9. Periyodik İncelemeler: Uygunluğunu ve etkinliğini sağlamak için istisna listesini düzenli olarak gözden geçirin. Gereksiz girişleri kaldırın ve gerektiğinde yeni güvenilir siteler ekleyin.
  10. Günlüğe Kaydetme ve İzleme: Olası anormallikleri veya yetkisiz erişim girişimlerini tespit etmek için SSL Inspection ve güvenlik hizmetlerinin ayrıntılı günlüğe kaydedilmesini ve izlenmesini etkinleştirin.

3) SSL Inspection Web Sitesi İstisna Listesi Önerileri

Güvenilir web sitelerinin bir listesinin güvenlik nedeniyle sürekli olarak izlenmesi ve gözden geçirilmesi gerektiğinden, SSL denetiminde istisnalar için genellikle dikkate alınan bazı web sitesi kategorileri önerebiliriz:

  1. Finansal Kurumlar: Hassas finansal işlemleri ve kişisel verileri işleyen bankaların, kredi birliklerinin ve diğer finansal kurumların web siteleri.
  2. Devlet ve Resmi Web Siteleri: Devlet web siteleri, resmi portallar ve güvenli iletişim gerektiren kamu hizmetleri.
  3. Sağlık Hizmeti Sağlayıcıları: Gizli tıbbi bilgileri işleyen hastanelerin, kliniklerin ve sağlık hizmeti sağlayıcılarının web siteleri.
  4. Eğitim Kurumları: Okulların, üniversitelerin ve öğrencilerin öğrenim materyallerine ve kaynaklarına eriştiği eğitim platformlarının web siteleri.
  5. Dahili Ağ Kaynakları: İntranet siteleri, dahili sunucular ve yalnızca kuruluş tarafından kullanılan diğer güvenilir kaynaklar.
  6. İşbirliği ve İletişim Araçları: Video konferans platformları veya şirket çapında mesajlaşma sistemleri gibi güvenilir iletişim araçları.
  7. Yasal ve Kolluk Web Siteleri: Hassas bilgileri işleyen hukuk firmaları, hukuk hizmetleri ve kolluk kuvvetlerinin web siteleri.
  8. Saygın Haber ve Medya Kuruluşları: Tanınmış ve köklü haber siteleri ve medya kuruluşları.
  9. Yazılım ve Sistem Güncelleme Sunucuları: Resmi kaynaklardan yazılım güncellemeleri ve yamaları sağlayan web siteleri.
  10. Hizmet Olarak Yazılım (SaaS) Sağlayıcıları: İş operasyonları için kritik öneme sahip güvenilir bulut tabanlı hizmetler.

Güvenilir web siteleri listesinin kuruluşunuzun özel ihtiyaç ve gereksinimlerine bağlı olarak değişeceğini unutmayın. İstisna listesinin oluşturulması ve sürdürülmesi sürecine her zaman BT yöneticileri, departman müdürleri ve son kullanıcılar gibi kilit paydaşları dahil edin. Ağ verimliliği ve güvenlik arasında bir denge sağlamada uygunluğunu ve etkinliğini sağlamak için listeyi düzenli olarak gözden geçirin ve güncelleyin.

Bu bölümdeki makaleler

Bu makale yardımcı oldu mu?
2 kişi içerisinden 2 kişi bunun yardımcı olduğunu düşündü
Paylaş

Yorumlar

0 yorum

Yorum yazmak için lütfen oturum açın: oturum aç.