SSL-Inspection mit Content-Filter ZyXEL USG Firewall-Serie ab Firmware Version 4.10 Knowledge Base KB-3506 Juni 2014 Studerus AG
SSL-INSPECTION MIT CONTENT-FILTER Content-Filter und HTTPS-Websites Der Content-Filter überwacht den Zugriff auf Webseiten. Je nach Inhalt der Webseite ist diese einer spezifischen Kategorie zugeordnet. Der Administrator bestimmt, welche Kategorien für den Zugriff zugelassen sind und welche die USG blockieren soll. Bei HTTPS-Webseiten kann der Content-Filter den Inhalt nicht beurteilen, da der Inhalt verschlüsselt ist. Hier hilft die Funktion SSL-Inspection der USG. Die USG terminiert dazu die HTTPS-Anfrage auf sich selbst und erstellt wiederum eine HTTPS- Verbindung zum Ziel. So kann die USG den Inhalt der Übertragung beobachten und Webseiten entsprechend den Vorgaben einer Kategorie zuordnen. Erstellen eines Zertifikats auf der USG Configuration > Object > Certificate > My Certificates > Add Geben Sie hier die Andresse an, mit der Sie vom internen Netzwerk auf die USG zugreifen. In diesem Beispiel ist es die IP-Adresse vom lan1. SSL-Inspection mit Content-Filter 2 KB-3506 / ATA
Exportieren und Installieren des erstellten Zertifikats Das auf der USG erstellte Zertifikat muss aus der USG exportiert und danach auf dem Computer lokal installiert werden. Falls eine eigene Domäne mit Active-Directory betrieben wird, kann man das Zertifikat auch über eine Gruppen-Richtlinie den entsprechenden Usern zuteilen. Das Zertifikat ist für SSL-Inspection nicht zwingend erfoderlich, verhindert aber, dass beim Aufruf einer HTTPS- Webseite ein Zertifikats-Fehler im Browser angezeigt wird. Eine weitere Möglichkeit ist, ein Zertifikat bei einem Anbieter wie zum Beispiel Verisign zu erwerben und dieses in die USG zu importieren. In diesem Fall ist das Installieren des Zertifikats auf den Clients nicht nötig. Configuration > Object > Certificate > My Certificates > Edit Das Speichern des Zertifikats mit der Dateiendung *.cer erleichtert den späteren Import. SSL-Inspection mit Content-Filter 3 KB-3506 / ATA
Ein Doppelklick auf das gespeicherte Zertifikat startet den Import-Assistenten. SSL-Inspection mit Content-Filter 4 KB-3506 / ATA
Die Installation des Zertifikats auf dem Computer ist somit abgeschlossen. SSL-Inspection mit Content-Filter 5 KB-3506 / ATA
Überprüfung der Installation des Zertifikats auf dem Computer Mittels Microsoft Management Console (mmc) kann die Installation des Zertifikats auf dem Computer überprüft werden. Start > Suchen SSL-Inspection mit Content-Filter 6 KB-3506 / ATA
SSL-Inspection mit Content-Filter 7 KB-3506 / ATA
Das Default Zertifikat muss mit dem auf der USG erstelltem Zertifikat ersetzt werden. Danach wird die Fehlermeldung bezüglich Zertifikat im Browser nicht mehr erscheinen, da das auf dem Computer installierte Zertifikat mit dem auf der USG übereinstimmt. Auch die URL (192.168.1.1) im Zertifikat ist jetzt richtig. > Configuration > System > WWW > Service Control Erstellen des SSL-Inspection Profils und zuteilen an eine Security Policy Configuration > UTM Profile > SSL Inspection > Add SSL-Inspection mit Content-Filter 8 KB-3506 / ATA
Per Default regelt die erste Security-Policy den Datenverkehr aus dem LAN1. Falls für dieses Netz SSL-Inspection aktiv sein soll, erweitern Sie dies Policy um das vorgängig erstellte Profil SSL_Inspection im Abschnitt UTM-Profile. Configuration > Security Policy > Policy Control > Edit SSL-Inspection mit Content-Filter 9 KB-3506 / ATA
Aktivieren und erstellen des Content-Filter-Profils: Configuration > UTM Profile > Content Filter > Profile > Add In der Sparte Managed Categories (herunter Scrollen) werden die Kategorien gewählt, die man mittels Content-Filter blockieren will. SSL-Inspection mit Content-Filter 10 KB-3506 / ATA
Zuordnen des Content-Filter-Profils an der Security-Policy: In der um SSL-Inspection erweiterten Security-Policy fügen wird zusätzlich das Profil für den Content-Filter hinzu. Der Content-Filter kann so auch verschlüsselte Webseiten kategorisieren und entsprechend freigeben oder sperren. Configuration > Security Policy > Policy Control > Edit SSL-Inspection mit Content-Filter 11 KB-3506 / ATA
Aktivieren der Logs und Statistiken für den Content-Filter: Monitor > UTM Statistics > Content Filter Configuration > Log & Report > Log Settings > Log Category Settings SSL-Inspection mit Content-Filter 12 KB-3506 / ATA
Zertifikats-Cache auf der USG Bei einem Zugriff auf eine mittels SSL (HTTPS) geschützte Seite speichert die USG deren Zertifikat im Cache. Dieses Zertifikat benutzt die USG, um die SSL-Verbindung von der USG zum HTTPS-Server zu erstellen. Soll die Verschlüsselungskette etwa für Online-Banking nicht unterbrochen werden, kann die USG das Zertifikat des HTTPS-Servers transparent bis zum Client weiterreichen. Die auf der Exclude-Liste aufgeführten Server sind von der SSL-Inspection ausgeschlossen. Der Exclude-Liste hinzugefügte Zertifikate sind grün markiert. Monitor > UTM Statistics > SSL Inspection Löschen eines Zertifikats aus der Exclude-Liste: Configuration > UTM Profile > SSL Inspection > Exclude List Info: Nach aktivieren dieser Option generiert die USG einen Logeintrag, sobald ein SSL Zugriff mittels eines in der Exclude List vorhandenen Zertifikat gemacht wird. SSL-Inspection mit Content-Filter 13 KB-3506 / ATA
Limitationen der SSL-Inspection Unterstützte USG-Modelle: USG 110, 210, 310, 1100 und 1900. Die USG 40(W) und 60(W) unterstützen SSL-Inspection nicht. Anti-Spam wird nicht unterstützt. Anti-Virus für aktive FTP-Übertragung wird nicht unterstützt. Der Client muss die Möglichkeit bieten, Zertifikate zu importieren. Die maximale Anzahl Zertifikate im Cache beträgt 50 (alle Modelle). Wenn der Cache der USG voll ist, wird jeweils das älteste Zertifikat gelöscht. Ein Zertifikat verbleibt maximal ein Tag im Cache. Ein Neustart löscht den Cache vollständig. Davon ausgenommen sind Zertifikate in der Exclude List. SSL-Inspection mit Content-Filter 14 KB-3506 / ATA