Каких-то пару десятков лет назад большинство сайтов работали без SSL-шифрования и это давало возможность файерволам легко заглядывать в пролетающий трафик и вылавливать вредоносные файлы и куски кода. Теперь же мы живём в то время, когда сайта, работающего по HTTP днём с огнём не найдёшь. Весь трафик шифруется и это сильно снизило возможности аппаратных файерволов по поиску зловредов.

Перед системными администраторами встаёт нелёгкий выбор. С одной стороны, можно отлавливать вредоносов на конечном устройстве, устанавливая антивирусы и оплачивать лицензии за каждое рабочее место. С другой стороны, лучше было бы «отстреливать» их ещё на подходе, но для этого устройству надо видеть незашифрованные данные. Сегодня мы посмотрим, как Zyxel USG Flex 200H решает эту дилемму и каким образом не позволяет разнообразной малвари проникать в защищаемую сеть.

Инспектируем SSL


Итак, перед нами задача понимать, что именно происходит внутри шифрованного соединения. Чтобы устройство могло это сделать, потребуется соединение вначале расшифровать и затем проверить на соответствие политикам безопасности. Если ничего подозрительного не найдено, то вновь зашифровать соединение и отправить получателю. В случае обнаружения вредоносного файла или скрипта – отбросить соединение, чтобы оно не попало в локальную сеть.

Проблема этой схемы в том, что получатель получит предупреждение о незащищённом соединении и браузер может даже заблокировать запрашиваемую страницу. Чтобы этого избежать, необходимо экспортировать сертификат с Zyxel USG Flex 200H, а на компьютере получателя добавить его в список корневых доверенных центров сертификации. Таким образом, операционная система получателя будет по-прежнему считать соединение защищённым:

Схема работы SSL инспекции

Звучит отлично, но стоит сразу учитывать, что этот метод может нарушить защищённость конфиденциальных и чувствительных данных, поэтому нужно будет создать и поддерживать актуальным список ресурсов, где подобное «вскрытие» трафика нежелательно:
  • бизнес-приложения,
  • финансовые порталы,
  • платёжные шлюзы,
  • доверенные серверы,
  • интрасети,
  • медицинские порталы и им подобные.
Это снизит потребление ресурсов на расшифровку и повторное шифрование. Тем не менее, нужно быть готовым периодически пересматривать список исключённых из проверки ресурсов и активно работать с пользователями, чтобы вовремя его пополнять. Ну и не забывать о ведении логов для выявления попыток взлома.

Выявляем вредителей


Пример страницы статистики угроз по URL за сутки

Теперь, когда у устройства есть доступ к трафику, появляется возможность защитить пользователей от вредоносных приложений и фишинговых сайтов. Для этого в арсенале Zyxel Flex 200H есть Антивирус, Контент-фильтр, Фильтр угроз и Песочница.

Антивирус работает локально с помощью базы данных сигнатур, которые периодически обновляются с серверов Zyxel. Если искомой сигнатуры нет, но эвристика определяет его как подозрительный, то хэш отправляется на проверку в обширную облачную базу данных. Копии подозрительных исполняемых файлов и скриптов могут быть также направлены в Песочницу, где файл попадает внутрь изолированной виртуальной машины, запускается и система безопасности анализирует его поведение.

Если от Песочницы поступает сигнал о вредоносной активности, то оригинальный файл по-умолчанию будет уничтожен. Работает эта система достаточно быстро, поскольку Песочница построена на базе высокопроизводительных серверов, ежесекундно проверяющих десятки тысяч файлов и скриптов.

Конечно, тотальная проверка всех скачиваемых форматов файлов будет требовать большого количества ресурсов. Хорошей практикой будет вначале понаблюдать с какими угрозами чаще всего сталкивается устройство и впоследствие скорректировать список форматов, подлежащих проверке:

Доступные типы файлов для проверки «на лету»

Ну и бич нашего времени – фишинговые сайты, маскирующиеся под легитимные ресурсы, например, порталы онлайн-банкинга, социальные сети и почтовые сервисы. Для опытного и внимательного пользователя они редко представляют угрозу, ведь домен всегда отображается в адресной строке. Но вот рядовой юзер способен элементарно попасть «на крючок» и ввести свои персональные или финансовые данные, которые мгновенно улетят в базу данных злоумышленников.

Последствия такого действия печальны: с кредитных карт списывают крупные суммы, аккаунты в социальных сетях взламываются и с них ведётся рассылка спама, а захваченные адреса электронной почты могут дать доступ ещё ко многим сервисам без включённой двухфакторной аутентификации.

Zyxel USG Flex 200H решает этот вопрос при помощи Фильтра угроз, который способен распознать фишинговые URL, выдав пользователю вместо поддельной страницы предупреждение:

Пример страницы блокировки при попытке перехода на фишинговый сайт

База данных фишинговых URL постоянно пополняется, да и системный администратор может вручную вести «черный список» ресурсов, куда пользователю попадать не стоит. Чтобы иметь полную картину происходящего, стоит почаще заглядывать в логи, тем более, что система логирования у устройства весьма удобная и информативная:

Страница просмотра логов в веб-интерфейсе

Кроме того устройство поддерживает SecuReporter, облачную интеллектуальную службу аналитики и отчетов с функциями сбора и корреляции данных. Раз в неделю вам на почту будет приходить PDF-файл с детальным отчётом по безопасности.

Помимо рейтинга URL, устройство способно обнаруживать и автоматически блокировать DNS-запросы по вредоносным доменам. Ещё имеется возможность на лету сопоставлять запрашиваемые пользователями IP-адреса с базой данных известных вредоносных IP-адресов и блокировать трафик с них (и на них).

Кроме того Zyxel USG Flex 200H может в реальном времени мониторить трафик почтовых серверов и выявлять письма, представляющие опасность, например, отслеживая и уничтожая вредоносные вложения, вроде специально подготовленных PDF-файлов. Это отличная возможность обезопасить сеть и сотрудников от возможных атак по электронной почте.

Настройка за 5 минут


Экспорт сертификата


По-умолчанию в устройстве есть заводской сертификат, который можно использовать для настройки SSL-инспекции. Чтобы увидеть его параметры, зайдите в веб-интерфейс и откройте страницу Система > Сертификаты. На вкладке Сертификаты шлюза будет отображаться единственный установленный сертификат. Поставьте напротив него галочку и нажмите Экспорт:

Экспорт дефолтного сертификата

При желании задайте пароль и сохраните default.crt на ваш компьютер. На клиентской машине добавьте этот сертификат в Доверенные корневые центры сертификации (Trusted Root Certificate Authorities). Это можно сделать разными способами, в зависимости от используемой операционной системы, не будем останавливаться на этом. С этого момента любое SSL-соединение с файервола будет восприниматься браузером, как легитимное.

Разумеется, вы можете импортировать любой собственный сертификат в список сертификатов шлюза, например, сертификат вашей организации.

Создание профиля


Откройте Сервисы безопасности > Инспекция SSL. На вкладке Профили нажмите кнопку Добавить. Задайте имя и выберите сертификат из списка. В нашем случае это дефолтный сертификат устройства. После этого нажмите кнопку Применить:

Создание нового профиля для Инспекции SSL

Применение профиля


Система предупредит, что профиль сохранен, но чтобы он заработал, нужно привязать его к политике безопасности и предложит это сделать сейчас. Согласитесь, нажав ОК. Теперь выберите нужную вам политику безопасности. Для теста мы применим профиль ко всем доступным политикам, выделив их все и нажав OK:

Выбор политики безопасности

Настройка закончена. Новый профиль будет сохранён и вы сможете увидеть статистику на странице Статистика безопасности > Инспекция SSL:

Пример страницы статистики SSL-инспекции

Заключение


Стратегия защиты при которой угрозы обезвреживаются на внешнем периметре сети в большинстве случаев себя оправдывает. Да, современные браузеры и операционные системы способны выявлять вредоносные файлы и вовремя их блокировать, но это не всегда работает корректно. К тому же, от действий пользователя, который способен, несмотря на предупреждения, скачать и открыть заражённый файл, может пострадать не только он сам.

Конечно, не стоит забывать, что Zyxel USG Flex 200H в первую очередь файервол и его главная задача отфильтровать потенциально опасные соединения. Но вместе с этим он способен лучше обеспечивать защиту сети, используя дополнительные сервисы и максимально утилизируя собственные системные ресурсы.

Комментарии (5)


  1. sergbe
    19.06.2024 09:31
    +3

    Well done автору )


  1. Pavel1114
    19.06.2024 09:31
    +1

    Сегодня мы посмотрим, как Zyxel USG Flex 200H решает эту дилемму

    Вроде же не решает? Всё также расшифровывает и зашифровывает обратно


    1. Zyxel_Russia
      19.06.2024 09:31

      Пожалуйста внимательно читайте дальше - все написано!


      1. yppro
        19.06.2024 09:31

        Проблема этой схемы в том, что получатель получит предупреждение о незащищённом соединении и браузер может даже заблокировать запрашиваемую страницу. Чтобы этого избежать, необходимо экспортировать сертификат с Zyxel USG Flex 200H, а на компьютере получателя добавить его в список корневых доверенных центров сертификации. Таким образом, операционная система получателя будет по‑прежнему считать соединение защищённым

        Решается проблема что пользователь получит предупреждение. Сертификат заставит систему считать соединение защищённым.

        нужно будет создать и поддерживать актуальным список ресурсов, где подобное «вскрытие» трафика нежелательно

        Ну и список исключений.

        Я тоже не вижу уникального решения дилеммы. Обмануть систему сертификатом и не расшифровывать выбранные сайты — это не решение. Зашифрованный трафик вообще никак не обойти, только расшифровывать. Я неправ?


      1. BoberMod
        19.06.2024 09:31

        А в чем невнимательность? Там дальше так и написано - "на компьютере получателя добавить его в список корневых доверенных центров сертификации".

        То есть в принципе ничего нового, никакого особого решения тут нет.