С помощью данного раздела администратор может настроить инспекцию данных, передаваемых по протоколу HTTPS. В UTM используется известная технология man-in-the-middle (MITM), при которой контент расшифровывается на сервере, а затем анализируется. Дешифрование HTTPS необходимо для корректной работы правил фильтрации контента и правил веб-безопасности.
С помощью правил данного раздела можно настроить дешифрование HTTPS только для определенных категорий, например, таких, как «Вредоносное ПО», «Анонимайзеры», «Ботнеты» и при этом не расшифровывать другие категории, например, «Финансы», «Правительство» и т.п. Для определения категории сайта используется информация, передаваемая в HTTPS-запросе -- SNI (Server Name Indication), а если SNI отсутствует, то поле Subject Name в сертификате сервера. Содержимое поля Subject Alternative Name игнорируется.
После дешифрования данные шифруются сертификатом, выписанным центром сертификации, указанным в разделе Сертификаты. Чтобы браузеры пользователя не выдавали предупреждение о подмене сертификата, необходимо добавить сертификат центра сертификации в доверенные корневые сертификаты. Более подробно это описано в Приложении 1.
Важно! Правила применяются сверху вниз в том порядке, в котором они указаны в консоли. Выполняется всегда только первое правило, для которого совпали условия, указанные в правиле. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз для изменения порядка применения правил.
Важно! Если не создано ни одного правила, то HTTPS не перехватывается и не дешифруются, соответственно контент, передаваемый по HTTPS не фильтруется.
Важно! Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила.
Чтобы создать правило дешифрации HTTPS, необходимо нажать на кнопку Добавить в разделе Политики безопасностиà Дешифрование HTTPS и указать необходимые параметры.
|
Наименование |
Описание |
|
Вкл/Выкл |
Включает или отключает правило |
|
Название |
Название правила |
|
Описание |
Описание правила |
|
Действие |
Расшифровать Не расшифровывать |
|
Блокировать сайты с некорректными сертификатами |
Позволяет блокировать доступ к серверам, предоставляющим некорректный сертификат HTTPS, например, сертификат истек, отозван, выписан на другое доменное имя или не доверяемым центром сертификации |
|
Пользователи |
Список пользователей, групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Более подробно об идентификации пользователей читайте в главе Идентификация пользователей |
|
Адрес назначения |
Списки IP-адресов назначения трафика. Более подробно о работе со списками IP-адресов читайте в главе БиблиотекиàIP-адреса |
|
Сервис |
Сервис, для которого необходимо дешифровать трафик. Может быть HTTPS, SMTPS, POP3S |
|
Категории |
Списки категорий Entensys URL Filtering 3.0. Использование категорий требует наличия специальной лицензии. Entensys URL Filtering 3.0 -- это крупнейшая база электронных ресурсов, разделенных для удобства оперирования на 73 категории. В руках администратора находится управление доступом к таким категориям, как порнография, вредоносные сайты, онлайн-казино, игровые и развлекательные сайты, социальные сети и многие другие |
|
Домены |
Списки доменов. Доменные имена, для которых применяется данное правило. Доменные имена создаются как списки URL за исключением того, что для дешифрации HTTPS могут быть использованы только доменные имена (www.example.com, а не http://www.example.com/home/). Более подробно о работе со списками URL читайте в главе БиблиотекиàСписки URL |
|
Время |
Время, когда правило активно. Администратор может добавить необходимые ему временные интервалы в разделе БиблиотекиàКалендари |
В продукте создано правило дешифрации «Decrypt all for unknown users», которое необходимо для авторизации неизвестных пользователей через Captive-портал.