SSL Inspection op Zywalls

SSL Inspection op Zywalls

Is SSL inspection een goed idee?
Wat is SSL Inspection?
Wat zijn alternatieven van SSL inspection

SSL inspection op ZyWall's

​Zyxel heeft dit geïmplementeerd omdat de concurrenten het ook hebben. Maar is het daarom ook een goed idee?​
Zyxel beschrijft op https://kb.zyxel.com/KB/searchArticle!viewDetail.action?articleOid=014958&lang=EN wat SSL inspection is en hoe het moet worden ingesteld.​ Deze oplossing is lastig:
Om dit te laten werken moet het certificaat van de ZyWALL worden vertrouwd door de apparatuur waar vandaan de webpagina over HTTPS wordt opgevraagd. Dat is dus op alle PC's, laptops, tablets, smartphones en wat er verder maar een pagina kan opvragen.​
In hospitality oplossingen is het onmogelijk om te zorgen dat alle gasten op al hun apparatuur het certificaat van de ZyWall gaan vertrouwen.​
Sommige servers en applicaties (de Chrome browser wanneer google.com wordt geopend, automatische updates van Windows) detecteren SSL inspection als een Man-in-the-Middle (MitM) aanval. Dat kan voorkomen worden door deze sites (google.com, microsoft.com, banksites e.d.) uit te sluiten van SSL inspection.​
Alternatief Content Filtering 2.0​
CF ondersteunt het filteren op host namen via de (ingebouwde) DNS.​
Bij CONFIGURATION > UTM Profile> Content Filter > Profile > General Settings > Enable HTTPS Domain Filter for HTTPS traffic. ​
Wanneer de aangesloten apparatuur probeert om een verbinding te maken naar een.willekeurige.site dan gaat de apparatuur eerst aan de (ingestelde of afgegeven) DNS vragen wat het IP adres is. Afhankelijk van wat wordt toegestaan kan de DNS dan om te laten doorgaan het echte IP of om het te blokkeren (bijvoorbeeld) het eigen IP afgeven.​
Het enige is dat een aantal browsers nu ook DNS queries over HTTPS gaat doen. En gebruikers kunnen ook zelf een VPN naar een DNS opzetten. In deze gevallen gaat ook deze methode niet werken.​
Alternatief 2 Geo IP blocking​
Hiermee kan toegang worden geblokkeerd of juist expliciet worden toegestaan naar of vanaf bepaalde landen en/of continenten.​
Bij CONFIGURATION > Object > Address/Geo IP > Address > Add kunnen er objecten worden toegevoegd van het type GEOGRAPHY.​
Dit kan alleen worden omzeild met VPN's.​
De alternatieven kunnen gelijktijdig worden gebruikt. Hebben als voordeel dat ze geen eisen stellen aan de clients. En werken goed zo lang de DNS van de ZyWALL en geen VPN vanaf de cliënt wordt gebruikt.​
Voor Content Filtering en Geo IP zijn licenties noodzakelijk. Wij helpen u graag met de aanschaf daarvan.​