Blokowanie stron na podstawie SNI

firmware 4.x Firewall i NAT URL Filtering

 

Włączenie mechanizmu deszyfracji ruchu w celu blokowania niechcianych kategorii stron www, wymaga od administratora wykorzystywanie zaufanego urzędu certyfikacji. W tym celu można utworzyć na urządzeniu Stormshield własny urząd certyfikacji, a następnie zaimportować go do wszystkich stacji roboczych. Sytuacja jednak się komplikuje w przypadku:

  • nieposiadania Active Directory.
  • chęci zablokowania niechcianych kategorii stron WWW dla sieci gości.

Wymuszenie importu niezaufanego globalnie urzędu certyfikacji na urządzeniach gości może skutkować negatywnym odbiorem naszej organizacji.

Problem ten jednak możemy obejść wykorzystując parametr SNI.

Kiedy klient inicjuje połączenie z witryną za pomocą protokołu HTTPS, przesyła do serwera nazwę domeny żądanej witryny w postaci zwykłego tekstu. Jest to tzw. funkcja wskazania nazwy serwera (SNI, Server Name Indication), która umożliwia wybranie przez serwer odpowiedniego certyfikatu do zaprezentowania klientowi. Rozwiązanie Stormshield Network Security korzysta z tej funkcji w celu kontrolowania dostępu do witryn bez konieczności odszyfrowywania ruchu.

Blokować witryny możemy wykorzystując:

  1. polską lub chmurową bazę adresów URL
  2. Niestandardową kategorię

W pierwszym kroku przechodzimy do sekcji Konfiguracja, gdzie będziemy wykonywali wszystkie zmiany.

Następnie tworzymy niestandardową kategorię przechodząc do Obiekty -> Klasyfikacja URL -> Nazwa certyfikatu, a następnie klikając w Dodaj grupę CN:

Nazywamy naszą kategorię i wprowadzamy parametry CN:

Po utworzeniu naszej kategorii przechodzimy do Polityki ochrony -> Filtrowanie SSL, gdzie tworzymy reguły dla wybranego przez nas profilu. Ważne jest by pamiętać o ostatniej regule, która informuje urządzenie, by nie deszyfrowało całego ruchu, którego nie chcemy blokować.

W ostatnim kroku przechodzimy do Polityki ochrony -> Firewall i NAT, gdzie klikamy w przycisk Dodaj, a następnie wybieramy z listy Kreator reguły SSL proxy.

W formularzu kreatora reguły wprowadzamy trzy elementy:

  1. Adres źródłowy – dla jakich adresów włączamy blokowanie kategorii stron
  2. Port docelowy – wybieramy protokół HTTPS
  3. Filtrowanie SSL – wskazujemy konfigurowany przez nas wcześniej profil polityki filtrowania SSL

Podczas próby wejścia na zablokowaną przez nas stronę youtube.com, powinien się pojawić następujący komunikat