С помощью данного раздела администратор может настроить инспекцию данных, передаваемых по протоколу TLS/SSL, это в первую очередь HTTPS, а также почтовые протоколы SMTPS и POP3S. В UserGate используется известная технология man-in-the-middle (MITM), при которой контент расшифровывается на сервере, а затем анализируется.
Инспектирование SSL необходимо для корректной работы правил фильтрации контента и правил веб-безопасности. Дешифрование SMTPS иPOP3S необходимо для блокирования спама и вирусной проверки почтового трафика.
С помощью правил данного раздела можно настроить инспектирование HTTPS только для определенных категорий, например, «Вредоносное ПО», «Анонимайзеры», «Ботнеты» и при этом не расшифровывать другие категории, например, «Финансы», «Правительство» и т.п. Для определения категории сайта используется информация, передаваемая в HTTPS-запросе - SNI (Server Name Indication), а если SNI отсутствует, то поле Subject Name в сертификате сервера. Содержимое поля Subject Alternative Name игнорируется.
После дешифрования данные шифруются сертификатом, выписанным центром сертификации, указанным в разделе Сертификаты. Чтобы браузеры пользователя не выдавали предупреждение о подмене сертификата, необходимо добавить сертификат центра сертификации в доверенные корневые сертификаты. Более подробно это описано в разделе Приложение 1. Установка сертификата локального удостоверяющего центра.
Аналогично браузерам пользователя некоторые почтовые серверы и пользовательские почтовые программы не принимают почту, если сертификат был подменен. В этом случае необходимо произвести в почтовых программах настройки, отключающие проверку сертификатов, или добавить исключения для сертификата UserGate. Подробно о том, как это сделать, смотрите в документации на почтовое ПО.
Важно! Правила применяются сверху вниз в том порядке, в котором они указаны в консоли. Выполняется всегда только первое правило, для которого совпали условия, указанные в правиле. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Выше/Ниже для изменения порядка применения правил.
Важно! Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила. Чекбокс Инвертировать в условии правила меняет действие условия на противоположное, что аналогично логическому действию отрицание.
Важно! Если не создано ни одного правила, то SSL не перехватывается и не дешифруются, соответственно, контент, передаваемый по SSL, не фильтруется.
Важно! UserGate поддерживает инспектирование широкого набора протоколов SSL, включая устаревшие версии, такие как TLSv1.0, TLSv1.1, и новые -- TLSv1.2, TLSv1.3. По умолчанию включен режим совместимости с устаревшими протоколами, который обеспечивает поддержку набора TLSv1.0-TLSv1.2. При отключении режима совместимости с устаревшими протоколами поддерживается работа только TLSv1.0-TLSv1.3. Настройка производится с помощью команды CLI legacy_ssl_enabled, подробно о командах CLI смотрите раздел Интерфейс командной строки (CLI).
Чтобы создать правило инспектирования SSL, необходимо нажать на кнопку Добавить в разделе Политики безопасности-->Инспектирование SSL и указать необходимые параметры.
Наименование |
Описание |
|
Вкл/Выкл |
Включает или отключает правило. |
|
Название |
Название правила. |
|
Описание |
Описание правила. |
|
Записывать в журнал правил |
При активации данной опции информация о срабатывание правила будет регистрироваться в соответствующем журнале статистики. |
|
Действие |
Расшифровать Не расшифровывать |
|
Блокировать сайты с некорректными сертификатами |
Позволяет блокировать доступ к серверам, предоставляющим некорректный сертификат HTTPS, например, если сертификат истек, отозван, выписан на другое доменное имя или не доверяемым центром сертификации. |
|
Проверять по списку отозванных сертификатов |
Проверять сертификат сайта в списке отозванных сертификатов (CRL) и блокировать, если он там найден. |
|
Блокировать сертификаты с истекшим сроком действия |
Блокировать сертификаты, срок действия которых истек. |
|
Блокировать самоподписанные сертификаты |
Блокировать самоподписанные сертификаты. |
|
Пользователи |
Список пользователей и групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Более подробно об идентификации пользователей читайте в главе Пользователи и устройства. |
|
Источник |
Зона источника трафика и/или списки IP-адресов источника трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса. |
|
Адрес назначения |
Списки IP-адресов назначения трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса. |
|
Сервис |
Сервис, для которого необходимо дешифровать трафик. Может быть HTTPS, SMTPS, POP3S. |
|
Категории |
Списки категорий UserGate URL filtering 4.0. |
|
Домены |
Списки доменов. Доменные имена, для которых применяется данное правило. Доменные имена создаются как списки URL за исключением того, что для инспектирования HTTPS могут быть использованы только доменные имена (www.example.com, а не http://www.example.com/home/). Более подробно о работе со списками URL читайте в главе Списки URL. |
|
Время |
Время, когда правило активно. Администратор может добавить необходимые ему временные интервалы в разделе Календари. |
По умолчанию создано правило инспектирования SSL Decrypt all for unknown users, которое необходимо для авторизации неизвестных пользователей через Captive-портал.