Stosowanie mechanizmu SSL Proxy w celu analizy ruchu szyfrowanego

firmware 3.x Firewall i NAT SSL Proxy

 

01 marca 2020

W celu poddania analizie ruchu szyfrowanego (w ramach protokołu SSL) urządzenie NETASQ/Stormshield musi taki ruch poddać deszyfracji.

Na poniższym przykładzie poddamy deszyfracji ruch w ramach protokołu HTTPS, a następnie uruchomimy dla deszyfrowanego ruchu analizę Antywirusową oraz filtrowanie URL.

W pierwszym kroku przechodzimy do modułu Polityki Ochrony -> Firewall i NAT i w zakładce Firewall klikamy Dodaj -> Kreator reguły SSL Proxy:

Po wybraniu powyższej opcji naszym oczom ukaże się kreator, za pomocą którego stworzymy reguły deszyfracji oraz analizy ruchu sieciowego w ramach komunikacji szyfrowanej.

W kreatorze podajemy z jakich adresów będzie nawiązywanie połączenie (na poniższym przykładzie wskazaliśmy obiekt Network_internals, który reprezentuje wszystkie sieci wewnętrzne). Naszym obiektem docelowym będzie Internet, a komunikacja będzie odbywała się na porcie HTTPS. Po określeniu podstawowych parametrów należy włączyć filtrowanie SSL wybierając jeden z dziesięciu dostępnych profilów (opcjonalnie możemy włączyć analizę Antywirusową):

Kreator po jego przejściu utworzy dwie reguły:

  1. Regułę, która deszyfruje ruch w ramach wskazanej przez nas komunikacji
  2. Regułę, która po deszyfracji poddaje ruch analizie Antywirusowej:

Po utworzeniu dwóch powyższych reguł poza analizą antywirusową możemy poddać ruch analizie przez filtrowanie URL. W tym celu przechodzimy do kolumny Polityki filtrowania w drugiej utworzonej regule i wybieramy interesujący nas profil filtrowania URL:

Utworzone w ten sposób reguły pozwalają na poddanie analizie szyfrowaną komunikację w ramach protokołu HTTPS. Utworzone reguły powinny wyglądać następująco:

UWAGA!

Włączenie filtrowania SSL Proxy bez uprzedniego zaimportowania Centrum Certyfikacji urządzenia spowoduje pojawianie się komunikatu o niezaufanym certyfikacie w przeglądarkach użytkowników. Procedura dotycząca importu certyfikatów na stacjach roboczych została opisana w artykule zamieszczonym w sekcji Polityki filtrowania -> Import certyfikatu SSL Proxy.