Menyiapkan pemfilteran HTTPS

Filtrasi diimplementasikan menggunakan beberapa metode:

• Analisis header Indikasi Nama Server (SNI) - berkat metode ini, dimungkinkan untuk menganalisis domain tempat klien terhubung, tanpa mengganti sertifikat dan mengganggu lalu lintas HTTPS. Domain yang ditentukan dalam sertifikat juga dianalisis;

• Metode SSL-bump - pemfilteran terjadi dengan mengganti sertifikat “on the fly” yang digunakan untuk menandatangani situs yang diminta. Sertifikat situs asli diganti dengan yang baru, ditandatangani bukan oleh otoritas sertifikasi, tetapi oleh sertifikat root Ideco NGFW. Dengan demikian, lalu lintas yang dikirimkan melalui koneksi HTTPS yang aman menjadi tersedia untuk diproses ke semua modul TKMTRM NGFW: antivirus Kaspersky dan ClamAV, layanan ICAP eksternal, dan filter konten (Anda dapat mengkategorikan URL permintaan lengkap dan konten jenis MIME).

Penyetelan Server TKMTRM NGFW

Secara default, server memfilter HTTPS tanpa spoofing sertifikat dengan menganalisis SNI dan domain dalam sertifikat.

Dekripsi lalu lintas HTTPS dikonfigurasikan di bagian Aturan Lalu Lintas -> Filter Konten -> Aturan menggunakan aturan yang dibuat oleh administrator dengan tindakan Dekripsi.

Contoh aturan dekripsi:

Menyiapkan stasiun kerja pengguna

Ketika opsi dekripsi lalu lintas HTTPS diaktifkan, browser, antivirus, klien IM, dan perangkat lunak jaringan lainnya di stasiun kerja pengguna akan memerlukan konfirmasi eksplisit untuk menggunakan sertifikat pengganti yang dibuat dan dikeluarkan oleh server Ideco NGFW. Untuk meningkatkan pengalaman pengguna, instal sertifikat akar server TKMTRM NGFW ke dalam sistem operasi stasiun kerja Anda dan jadikan tepercaya. Untuk melakukannya, ikuti langkah-langkah berikut:

1. Unduh sertifikat root SSL dengan membuka bagian web interface TKMTRM NGFW Layanan -> Sertifikat -> Sertifikat yang diunggah:

2. Buka pusat manajemen sertifikat di stasiun kerja Anda: Mulai -> Jalankan dengan menjalankan perintah dalam dialog mmc:

3.Dari menu File, pilih Tambah atau Hapus Snap-in:

4. Dari daftar Snap-in yang Tersedia, pilih Sertifikat, lalu klik tombol Tambah:

5. Di jendela yang terbuka, pilih Computer Account dan klik tombol Next:

6. Di jendela Pilih komputer, biarkan kotak centang Komputer lokal dan klik tombol Selesai.

7. Di bagian kiri jendela, klik panah di sebelah direktori Sertifikat (komputer lokal) -> Sertifikat akar tepercaya -> Sertifikat:

8. Dari menu Tindakan, pilih Semua Tugas -> Impor:

9. Ikuti instruksi di Wizard Impor Sertifikat untuk mengimpor sertifikat akar server Ideco NGFW. Sertifikat yang diimpor akan muncul dalam daftar di sisi kanan jendela:

Menambahkan sertifikat melalui kebijakan domain Microsoft Active Directory

Di jaringan tempat pengguna dikelola menggunakan Microsoft Active Directory, Anda dapat menginstal sertifikat TKMTRM NGFW untuk semua pengguna secara otomatis menggunakan Active Directory. Untuk melakukan ini, Anda perlu mengikuti langkah-langkah berikut:

1. Unduh sertifikat SSL root dengan membuka bagian interface TKMTRM NGFW Layanan -> Sertifikat -> Sertifikat yang diunggah.

2. Masuk ke pengontrol domain dengan hak administrator.

3. Mulai snap-in Manajemen Kebijakan Grup dengan menjalankan perintah gpmc.msc.

4. Temukan kebijakan domain yang digunakan pada komputer pengguna di Objek Kebijakan Grup (Kebijakan Domain Default). Klik kanan padanya dan pilih Edit.

5. Di Editor Manajemen Kebijakan Grup yang terbuka, pilih: Konfigurasi Komputer -> Kebijakan -> Konfigurasi Windows -> Pengaturan Keamanan -> Kebijakan Kunci Publik -> Otoritas Sertifikasi Root Tepercaya.

6. Klik kanan pada daftar yang terbuka, pilih Impor dan impor kunci Ideco NGFW.

7. Setelah me-reboot stasiun kerja atau menjalankan perintah gpupdate / force pada stasiun kerja tersebut, sertifikat akan muncul di penyimpanan sertifikat lokal dan tingkat kepercayaan yang diperlukan akan ditetapkan di dalamnya.

Mengonfigurasi enkripsi ulang lalu lintas menggunakan sertifikat terpisah

1. Unggah sertifikat yang akan digunakan untuk enkripsi ke bagian Layanan -> Sertifikat -> Sertifikat yang Diunggah;

2. Buka bagian Aturan Lalu Lintas -> Filter Konten -> Pengaturan;

3. Pada item Enkripsi ulang, pilih sertifikat yang diunduh pada langkah 1.

Untuk menerima informasi yang didekripsi oleh Filter Konten, klien harus menginstal sertifikat yang diunduh di penyimpanan sertifikat pengguna. Rekomendasi untuk menyiapkan komputer pengguna dapat ditemukan di bagian Menyiapkan stasiun kerja pengguna.

Kemungkinan masalah dan metode penyelesaiannya

• Mengaktifkan dekripsi lalu lintas mungkin tidak cukup untuk memalsukan sertifikat beberapa situs (misalnya, ya.ru, google.com). Dalam hal ini, Anda harus mengaktifkan opsi Blokir protokol QUIC dan HTTP/3 pada tab Pengaturan di bagian Filter Konten;

• Jika browser tidak menggunakan penyimpanan sertifikat sistem, Anda perlu menambahkan sertifikat Ideco NGFW ke sertifikat tepercaya browser. Di Mozilla Firefox, Anda juga dapat menyetel parameter security.enterprise\_roots.enabled (di about:config) ke true untuk memercayai sertifikat sistem;

• Jika antivirus digunakan pada mesin lokal yang memindai lalu lintas HTTPS menggunakan metode substitusi sertifikat, situs mungkin tidak terbuka karena substitusi sertifikat ganda. Anda perlu menonaktifkan pemindaian lalu lintas HTTPS di pengaturan antivirus Anda;

• Ketika pemfilteran SNI diaktifkan, server tidak akan mengizinkan lalu lintas selain lalu lintas HTTPS melewati port HTTPS. Akibatnya, program yang mencoba melakukan hal ini mungkin mengalami masalah. Agar dapat berfungsi, Anda harus mengizinkan bypass server proxy ke sumber daya yang mereka perlukan;

• Saat memblokir sumber daya HTTPS, untuk menampilkan halaman pemblokiran, Anda harus mengonfigurasi kepercayaan pada sertifikat SSL root NGFW, meskipun hanya pemfilteran SNI yang diaktifkan, karena jika sumber daya yang dibuka melalui HTTPS diblokir, SSL yang bertabrakan dengan substitusi SSL akan diterapkan NGFW sertifikat untuk mengganti konten sumber daya dengan halaman tentang pemblokirannya oleh server.