Инспектирование SSL

С помощью данного раздела администратор может настроить инспекцию данных, передаваемых по протоколу TLS/SSL, это в первую очередь HTTPS, а также почтовые протоколы SMTPS и POP3S. В UserGate используется известная технология man-in-the-middle (MITM), при которой контент расшифровывается на сервере, а затем анализируется.

Инспектирование SSL необходимо для корректной работы правил фильтрации контента и правил веб-безопасности. Дешифрование SMTPS иPOP3S необходимо для блокирования спама и вирусной проверки почтового трафика.

С помощью правил данного раздела можно настроить инспектирование HTTPS только для определенных категорий, например, «Вредоносное ПО», «Анонимайзеры», «Ботнеты» и при этом не расшифровывать другие категории, например, «Финансы», «Правительство» и т.п. Для определения категории сайта используется информация, передаваемая в HTTPS-запросе - SNI (Server Name Indication), а если SNI отсутствует, то поле Subject Name в сертификате сервера. Содержимое поля Subject Alternative Name игнорируется.

После дешифрования данные шифруются сертификатом, выписанным центром сертификации, указанным в разделе Сертификаты. Чтобы браузеры пользователя не выдавали предупреждение о подмене сертификата, необходимо добавить сертификат центра сертификации в доверенные корневые сертификаты. Более подробно это описано в разделе Приложение 1. Установка сертификата локального удостоверяющего центра.

Аналогично браузерам пользователя некоторые почтовые серверы и пользовательские почтовые программы не принимают почту, если сертификат был подменен. В этом случае необходимо произвести в почтовых программах настройки, отключающие проверку сертификатов, или добавить исключения для сертификата UserGate. Подробно о том, как это сделать, смотрите в документации на почтовое ПО.

Важно! Правила применяются сверху вниз в том порядке, в котором они указаны в консоли. Выполняется всегда только первое правило, для которого совпали условия, указанные в правиле. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Выше/Ниже для изменения порядка применения правил.

Важно! Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила. Чекбокс Инвертировать в условии правила меняет действие условия на противоположное, что аналогично логическому действию отрицание.

Важно! Если не создано ни одного правила, то SSL не перехватывается и не дешифруются, соответственно, контент, передаваемый по SSL, не фильтруется.

Важно! UserGate поддерживает инспектирование широкого набора протоколов SSL, включая устаревшие версии, такие как TLSv1.0, TLSv1.1, и новые -- TLSv1.2, TLSv1.3. По умолчанию включен режим совместимости с устаревшими протоколами, который обеспечивает поддержку набора TLSv1.0-TLSv1.2. При отключении режима совместимости с устаревшими протоколами поддерживается работа только TLSv1.0-TLSv1.3. Настройка производится с помощью команды CLI legacy_ssl_enabled, подробно о командах CLI смотрите раздел Интерфейс командной строки (CLI).

Чтобы создать правило инспектирования SSL, необходимо нажать на кнопку Добавить в разделе Политики безопасности-->Инспектирование SSL и указать необходимые параметры.

Наименование

Описание

Вкл/Выкл

Включает или отключает правило.

Название

Название правила.

Описание

Описание правила.

Записывать в журнал правил

При активации данной опции информация о срабатывание правила будет регистрироваться в соответствующем журнале статистики.

Действие

Расшифровать

Не расшифровывать

Блокировать сайты с некорректными сертификатами

Позволяет блокировать доступ к серверам, предоставляющим некорректный сертификат HTTPS, например, если сертификат истек, отозван, выписан на другое доменное имя или не доверяемым центром сертификации.

Проверять по списку отозванных сертификатов

Проверять сертификат сайта в списке отозванных сертификатов (CRL) и блокировать, если он там найден.

Блокировать сертификаты с истекшим сроком действия

Блокировать сертификаты, срок действия которых истек.

Блокировать самоподписанные сертификаты

Блокировать самоподписанные сертификаты.

Пользователи

Список пользователей и групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Более подробно об идентификации пользователей читайте в главе Пользователи и устройства.

Источник

Зона источника трафика и/или списки IP-адресов источника трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса.

Адрес назначения

Списки IP-адресов назначения трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса.

Сервис

Сервис, для которого необходимо дешифровать трафик. Может быть HTTPS, SMTPS, POP3S.

Категории

Списки категорий UserGate URL filtering 4.0.

Домены

Списки доменов. Доменные имена, для которых применяется данное правило. Доменные имена создаются как списки URL за исключением того, что для инспектирования HTTPS могут быть использованы только доменные имена (www.example.com, а не http://www.example.com/home/). Более подробно о работе со списками URL читайте в главе Списки URL.

Время

Время, когда правило активно. Администратор может добавить необходимые ему временные интервалы в разделе Календари.

По умолчанию создано правило инспектирования SSL Decrypt all for unknown users, которое необходимо для авторизации неизвестных пользователей через Captive-портал.