Инспектирование SSL-соединений

Часть сервисов безопасности UserGate, например HTTPS, SMTPS, POP3S, не проводят анализ содержимого и не обнаруживают сетевые атаки внутри шифрованных протоколов.

Чтобы UserGate определял приложения и сетевые атаки в шифрованных транспортных протоколах необходимо предварительно настроить перехват зашифрованных соединений. Для этого нужно импортировать корневой SSL-сертификат устройства UserGate на всех конечных хостах вашего VDC и настроить профиль инспектирования SSL.

Для установки корневого сертификата для ОС Windows:

  1. Перейдите в раздел меню UserGate → Сертификаты и нажмите Экспорт>Экспорт сертификата.

  2. После скачивания сертификата с именем certificate.der переместите его на каждый внутренний хост.

  3. Далее двойным щелчком мыши проведите установку данного сертификата, выполнив в операционной системе следующие операции: Установить сертификат –> Локальный компьютер –> Поместить все сертификаты в следующее хранилище сертификатов –> Обзор –> Доверенные корневые центры сертификации.

  4. ОС выведет сообщение об успешном импорте сертификата.

Обычно инспектированию подлежит весь транзитный сетевой трафик, поэтому создаваемый профиль безопасности должен распространяться на все хосты в заданных сетевых сегментах.

Для создания политики инспектирования SSL-соединений:

  1. Перейдите в раздел Политики безопасности → Инспектирование SSL и нажмите Добавить.

  2. На вкладке Общие введите название политики на латинице.

  3. В разделе Профиль SSL выберите профиль инспектирования SSL Default SSL profile, который содержит наборы протоколов шифрования.

  4. При необходимости задайте дополнительные параметры проверки корректности сертификатов удаленных хостов в разделе Атрибуты.

  5. На вкладке Источник выберите те внутренние зоны, исходящий трафик из которых должен инспектироваться.

  6. На вкладке Адрес назначения при необходимости укажите IP-адреса и имена доменов, при обращении к которым должно происходить инспектирование SSL-соединения. Рекомендуется оставить вкладку пустой.

  7. Остальные вкладки оставьте без изменения.

  8. Нажмите Сохранить.

Внимание

Политики инспектирования SSL-трафика по логике работы повторяют правила межсетевого экрана, но работают независимо. Поэтому могут для удобства иметь иной формат наполнения.

Для проверки корректности инспектирования SSL-соединения откройте в браузере любой внешний веб-сайт по протоколу HTTPS и просмотрите информацию о применяемом сертификате безопасности. Он должен быть выписан вышим устройством UserGate, а не оригинальным веб-сайтом.

Инспектирование SSH-трафика

Инспекция SSH-соединений происходит аналогично SSL-соединениям.

Создайте политику инспектирования SSH:

  1. Перейдите в раздел Политики безопасности → Инспектирование SSH.

  2. На вкладке Общие введите имя правила на латинице и при необходимости укажите атрибуты защиты SSH.

  3. На вкладке Источник выберите зоны, исходящий трафик которых должен инспектироваться.

  4. На вкладке Адрес назначения при необходимости укажите IP-адреса и имена доменов, при обращении к которым должно происходить инспектирование SSH-соединения. Рекомендуется оставить вкладку пустой.

  5. На вкладке Сервис нажмите Добавить и выберите SSH.

  6. Нажмите Сохранить.

Внимание

Политики инспектирования SSH-трафика по логике работы повторяют правила межсетевого экрана, но работают независимо. Поэтому могут для удобства иметь иной формат наполнения.

Теперь при установке SSH-соединений в качестве серверного сертификата будет выводиться сертификат ВМ UserGate.

Запустили Evolution free tier
для Dev & Test
Получить