Menu
EUR
SSL Inspection op Zywalls
30 Apr 2020

SSL Inspection op Zywalls

Door: Alcindo Ferreira Reacties: 0

SSL inspection op ZyWall's

​Zyxel heeft dit geïmplementeerd omdat de concurrenten het ook hebben. Maar is het daarom ook een goed idee?​
Zyxel beschrijft op https://kb.zyxel.com/KB/searchArticle!viewDetail.action?articleOid=014958&lang=EN wat SSL inspection is en hoe het moet worden ingesteld.​ Deze oplossing is lastig:
Om dit te laten werken moet het certificaat van de ZyWALL worden vertrouwd door de apparatuur waar vandaan de webpagina over HTTPS wordt opgevraagd. Dat is dus op alle PC's, laptops, tablets, smartphones en wat er verder maar een pagina kan opvragen.​
In hospitality oplossingen is het onmogelijk om te zorgen dat alle gasten op al hun apparatuur het certificaat van de ZyWall gaan vertrouwen.​
Sommige servers en applicaties (de Chrome browser wanneer google.com wordt geopend, automatische updates van Windows) detecteren SSL inspection als een Man-in-the-Middle (MitM) aanval. Dat kan voorkomen worden door deze sites (google.com, microsoft.com, banksites e.d.) uit te sluiten van SSL inspection.​
Alternatief Content Filtering 2.0​
CF ondersteunt het filteren op host namen via de (ingebouwde) DNS.​
Bij CONFIGURATION > UTM Profile> Content Filter > Profile > General Settings > Enable HTTPS Domain Filter for HTTPS traffic. ​
Wanneer de aangesloten apparatuur probeert om een verbinding te maken naar een.willekeurige.site dan gaat de apparatuur eerst aan de (ingestelde of afgegeven) DNS vragen wat het IP adres is. Afhankelijk van wat wordt toegestaan kan de DNS dan om te laten doorgaan het echte IP of om het te blokkeren (bijvoorbeeld) het eigen IP afgeven.​
Het enige is dat een aantal browsers nu ook DNS queries over HTTPS gaat doen. En gebruikers kunnen ook zelf een VPN naar een DNS opzetten. In deze gevallen gaat ook deze methode niet werken.​
Alternatief 2 Geo IP blocking​
Hiermee kan toegang worden geblokkeerd of juist expliciet worden toegestaan naar of vanaf bepaalde landen en/of continenten.​
Bij CONFIGURATION > Object > Address/Geo IP > Address > Add kunnen er objecten worden toegevoegd van het type GEOGRAPHY.​
Dit kan alleen worden omzeild met VPN's.​
De alternatieven kunnen gelijktijdig worden gebruikt. Hebben als voordeel dat ze geen eisen stellen aan de clients. En werken goed zo lang de DNS van de ZyWALL en geen VPN vanaf de cliënt wordt gebruikt.​
Voor Content Filtering en Geo IP zijn licenties noodzakelijk. Wij helpen u graag met de aanschaf daarvan.​
SSL SSL Inspection Zywall Zyxel

Recente artikelen

18-05-2022
Zyxel-beveiligingsadvies voor kwetsbaarheid voor os-opdrachtinjectie van firewalls
30-09-2021
Nieuwe firmware-release op 27 september een potentieel risico!
26-07-2021
Beveiligingskwetsbaarheidswaarschuwing en firmwarepatches ZyXEL Firewall Apparatuur
05-08-2020
Zyxel Nebula Control Center 9.2 uitgerold
08-07-2020
Waarom (niet) kiezen voor een Zywall USG Flex?

Tags

802.11AX Access Points Draadloos Epos Firewall Firmware Genexis Headset Jabra Kwetsbaarheid Nebula Patch Risico SBG Sennheiser SSL SSL Inspection VDSL VMG Waarschuwing WiFi Wifi 6 Zywall Zywall VPN Zyxel

Nieuwsbrief

Blijf op de hoogte over onze laatste acties
© Copyright 2024 Valadis BV
Kies uw taal
Kies uw valuta

Mijn account

Wachtwoord vergeten?
of

Recent toegevoegd

Totaal excl. btw
€--,--
Bestel nog voor €--,-- en de verzending is gratis
Bekijk winkelwagen (0) Doorgaan naar afrekenen
0
Vergelijk
Start vergelijking

Laat een reactie achter

Uw e-mailadres zal niet worden gepubliceerd

Dit artikel is toegevoegd aan uw winkel wagen!
Doorgaan naar afrekenen Ga verder met winkelen
Wij slaan cookies op om onze website te verbeteren. Is dat akkoord? Ja Nee Meer over cookies »