Stosowanie mechanizmu SSL Proxy w celu analizy ruchu szyfrowanego
W celu poddania analizie ruchu szyfrowanego (w ramach protokołu SSL) urządzenie NETASQ/Stormshield musi taki ruch poddać deszyfracji.
Na poniższym przykładzie poddamy deszyfracji ruch w ramach protokołu HTTPS, a następnie uruchomimy dla deszyfrowanego ruchu analizę Antywirusową oraz filtrowanie URL.
W pierwszym kroku przechodzimy do modułu Polityki Ochrony -> Firewall i NAT i w zakładce Firewall klikamy Dodaj -> Kreator reguły SSL Proxy:
Po wybraniu powyższej opcji naszym oczom ukaże się kreator, za pomocą którego stworzymy reguły deszyfracji oraz analizy ruchu sieciowego w ramach komunikacji szyfrowanej.
W kreatorze podajemy z jakich adresów będzie nawiązywanie połączenie (na poniższym przykładzie wskazaliśmy obiekt Network_internals, który reprezentuje wszystkie sieci wewnętrzne). Naszym obiektem docelowym będzie Internet, a komunikacja będzie odbywała się na porcie HTTPS. Po określeniu podstawowych parametrów należy włączyć filtrowanie SSL wybierając jeden z dziesięciu dostępnych profilów oraz włączyć analizę Antywirusową:
Kreator po jego przejściu utworzy dwie reguły:
- Regułę, która deszyfruje ruch w ramach wskazanej przez nas komunikacji
- Regułę, która po deszyfracji poddaje ruch analizie Antywirusowej:
Po utworzeniu dwóch powyższych reguł poza analizą antywirusową możemy poddać ruch analizie przez filtrowanie URL. W tym celu przechodzimy do kolumny Polityki filtrowania w drugiej utworzonej regule i wybieramy interesujący nas profil filtrowania URL:
Utworzone w ten sposób reguły pozwalają na poddanie analizie szyfrowaną komunikację w ramach protokołu HTTPS. Utworzone reguły powinny wyglądać następująco:
