Wymagane zmiany
Od wersji firmware 4.7 został zmieniony dostawca chmurowej (rozszerzonej) bazy URL. W związku z tym wymagana jest zmiana konfiguracji urządzenia Stormshield związana z filtrowaniem SSL/URL. Zmiany te wymagane są ze względu na 3 czynniki:
- Kategorie URL uległy zmianie – poprzednie i nowe kategorie nie są w pełni zgodne. Niektóre kategorie zostały dodane, inne zaś usunięte;
- Zmiana logiki klasyfikacji – nowa polityka filtrowania URL/SSL musi znajdować się w trybie czarnej listy;
- Należy dostosować nową politykę filtrów, aby móc przypisać do reguły Firewall profile filtrowania URL/SSL.
Zmiana logiki klasyfikacji
Logika klasyfikacji ulega zmianie po aktualizacji. Zasady filtrowania muszą teraz znajdować się trybie czarnej listy. Wymaga to rozważenia następujących kwestii:
- Kategorie adresów URL, które mają być zabronione, muszą znajdować się nad regułami dopuszczającymi inne kategorie;
- Producent zaleca stworzenie polityki filtrowania z podziałem na kilka sekcji.
Rekomendowane sekcje
Sekcja | Opis | Akcja | |
---|---|---|---|
Filtrowanie URL | Filtrowanie SSL | ||
1. Compromised URLs | Kategoria zawierająca złośliwe adresy URL | Blokuj | Blokuj bez deszyfracji |
2. Zawsze blokuj | Nielegalne, niebezpieczne i zawierające przemoc kategorie | Blokuj | Blokuj bez deszyfracji |
3. Zawsze zezwalaj. Nigdy nie deszyfruj | Treści wymagające ochrony danych użytkowników (bankowość, opieka zdrowia, itp.) | Zezwól | Zezwól bez deszyfracji |
4. Zawsze zezwalaj. Może być deszyfrowane | Treści związane z sektorem biznesowym organizacji i których wymaga praca użytkowników | Zezwól | Deszyfruj |
5. Blokowanie rekomendowane | Treści, które powinny być blokowane | Blokuj | Blokuj bez deszyfracji |
6. Zezwolenie rekomendowane | Treści, które powinny być dozwolone aby użytkownik mógł przeglądać Internet. Wysoko zalecane jest dodanie kategorii unknown, misc, hosting i computersandsoftware. Niektóre kategorie mogą być zezwolone w określonym przedziale czasowym (media społecznościowe) | Zezwól | Deszyfruj |
7. Zezwól na wszystko | Akcja dla wszystkich stron nie będących skategoryzowanych powyżej | Zezwól | Deszyfruj |
Wpływ na reguły filtrowania URL/SSL
Sposób przetwarzania reguł filtrów URL/SSL w przypadku zmiany bazy danych zależy od tego, czy poprzednia i nowa kategoria adresów URL są zgodne. Istnieje kilka możliwości:
- Kategorie pasują
- Kategorie częściowo się zgadzają
- Kategorie nie są zgodne, stara kategoria nie ma odpowiednika
- Kategorie nie pasują, nowa kategoria nie ma odpowiednika
Po zmianie bazy danych w niektórych scenariuszach będzie wymagana interwencja administratora w celu naprawy niespójności lub błędów w konfiguracji. W interfejsie urządzenia pojawią się komunikaty ostrzegawcze:
W menu po lewej stronie, przy sekcjach Filtrowanie URL i Filtrowanie SSL
Oraz w Panelu kontrolnym w Wiadomościach
Zanim wykonasz aktualizację
Zanim przystąpisz do aktualizacji urządzenia zalecane jest wykonanie poniższych kroków w celu zmniejszenia problemów z bazą URL, które mogą wystąpić po aktualizacji.
Ważne! Przed aktualizacją zapory zalecane jest wykonanie kopii konfiguracji, aby móc ją przywrócić w razie potrzeby.
Dla każdego użytego profilu filtrowania URL:
- Wyłącz wszystkie reguły z akcją Blokuj.
- Utwórz regułę z akcją Zezwól i grupą URL Any. Umieść ją na samym dole.
Dla każdego użytego profilu filtrowania SSL:
- Wyłącz wszystkie reguły z akcją Blokuj.
- Utwórz regułę z akcją Nie deszyfruj i grupą URL Any. Umieść ją na samym dole.
Po dokonaniu powyższych zmian możesz przystąpić do aktualizacji urządzenia. Zmodyfikowane polityki nie są wersjami optymalnym, ale pomogą uniknąć problemów blokowanego ruchu użytkowników po aktualizacji.
Po wykonaniu aktualizacji
Ważne! Przed zmianami wykonaj kopię konfiguracji, aby móc ją przywrócić w razie potrzeby.
Gdy urządzenie Stormshield będzie już w wersji z nową bazą URL, możesz skorzystać z dwóch opcji:
- Import profilów filtrowania URL/SSL przygotowanych przez producenta Stormshield (szybsze rozwiązanie)
- Ręczna napraw polityki bezpieczeństwa.
Import profilów
Producent rozwiązania Stormshield oferuje plik backupowy .na, który zawiera 3 rekomendowane filtry URL/SSL. Możesz zaimportować plik do swojego urządzenia. Te profile będą automatycznie umieszczone jako 3 pierwsze zarówno w SSL jak i URL:
- 00: „permissive”
- 01: „standard”
- 02: „restrictive”
Plik .na możesz pobrać TUTAJ.
1. Przejdź do interfejsu urządzenia Stormshield do sekcji Ustawienia systemowe > System > Import konfiguracji.
2. Wskaż pobrany plik konfiguracyjny .na. Nie klikaj jeszcze Importuj konfigurację.
3. Rozwiń opcje zaawansowane.
4. Odznacz wszystko (domyślnie) i zaznacz tylko Filtrowanie URL i Filtrowanie SSL.
5. Kliknij Importuj konfigurację.
Ręczna naprawa polityk bezpieczeństwa
Filtrowanie URL/SSL
Przejdź w interfejsie urządzenia do Polityki Ochrony > Filtrowanie URL / Filtrowanie SSL. Dla każdego profilu URL i SSL wykonaj:
- Kliknij Dodaj wszystkie wbudowane kategorie.
- Wybierz kategorie, które chcesz blokować/zezwolić i przebuduj swój profil zgodnie z sugerowanymi sekcjami.
- Kliknij Usuń reguły, aby usunąć reguły oznaczone jako nieznana kategoria.
- Dodaj ostatnią regułę zezwalającą na wszystko (any) jako ostatnią.
Reguły Firewall
Przejdź do reguł Firewall Polityki Ochrony > Firewall i NAT. W regułach, w których używasz filtrowania URL lub SSL wskaż nowe, odpowiednie filtry.
Jeżeli reguł z wyjątkiem uwierzytelniania, musisz je naprawić poprzez wymianę kategorii na nowe.