Согласно Google, более 70 % всех веб-страниц в 2019 году обслуживаются через HTTPS, защищённый протокол передачи гипертекста. HTTP — это протокол, который используют веб-браузеры и веб-серверы для обмена данными, и «S» в конце HTTPS означает, что данные зашифрованы с помощью TLS, Transport Layer Security. TLS отлично обеспечивает конфиденциальность и приватность данных, и именно поэтому он столь широко используется в Интернете.
К сожалению, эта гарантия конфиденциальности и приватности применима не только к законному трафику. Вредоносные программы и угрозы могут скрываться на HTTPS-сайтах так же хорошо, как и на HTTP-сайтах. По мере роста популярности HTTPS неудивительно, что исследователи безопасности находят всё больше угроз вредоносного ПО на HTTPS-веб-сайтах. Чтобы ещё больше ухудшить ситуацию, HTTPS делает антивирусные и IPS движки менее эффективными, поскольку они не могут сканировать угрозы в трафике, зашифрованном с использованием TLS.
Когда включена инспекция TLS, точка присутствия Cato действует как «человек в середине» между веб-браузером и веб-сервером:
-
PoP расшифровывает TLS-трафик, который получает от клиента или сервера.
-
PoP сканирует расшифрованный трафик с помощью антивируса и IPS.
-
PoP снова шифрует трафик.
-
PoP отправляет зашифрованные пакеты в пункт назначения.
Инспекция TLS в сочетании с антивирусом и IPS защищает вашу сеть от зашифрованных и незашифрованных вредоносных угроз. Если вы используете защиту от угроз без инспекции TLS, ваша сеть уязвима для атак из зашифрованных источников. Поэтому мы настоятельно рекомендуем включить инспекцию TLS, если вы используете антивирус или IPS.
В этом руководстве вы узнаете, как постепенно развернуть инспекцию TLS. Начните с включения инспекции TLS для нескольких пользователей и убедитесь, как она работает для них. Затем вы сможете активировать эту функцию для всего аккаунта.
Для получения дополнительной информации о сертификате Cato смотрите Установка корневого сертификата для инспекции TLS.
Включение инспекции TLS для небольшой группы пользователей позволяет провести тестирование и выявить любые проблемы с установкой сертификата или совместимостью веб-сайтов до развертывания функции для всех конечных пользователей. Ваша тестовая база может быть такой большой, как сайт, или такой маленькой, как отдельный компьютер. Вы можете выбрать включение инспекции TLS на следующих объектах:
-
Сайты
-
Сети внутри площадки
-
Пользователи VPN
-
Отдельные компьютеры (хосты)
-
Любая комбинация вышеперечисленных опций
Тестирование должно быть выполнено на каждом устройстве и операционной системе, которыми пользуется ваша организация. Тестовые пользователи должны выполнять обычные деловые действия и сообщать обо всех аномалиях администратору сети или системы для дальнейшего расследования.
Когда вы включаете инспекцию TLS, политика по умолчанию предполагает инспекцию всего HTTPS-трафика. Чтобы провести тестирование только для конкретных пользователей, сначала необходимо настроить правило Обход с Источник, определенным как Любой. Затем создайте правило Инспектировать с более высоким приоритетом и добавьте тестовых пользователей в поле Источник. Это пример политики инспекции TLS для тестирования конкретных пользователей:
Для получения дополнительной информации о включении политики инспекции TLS для тестовых пользователей, смотрите Конфигурирование политики инспекции TLS для аккаунта.
Современные браузеры показывают значок замка в адресной строке, если сайт зашифрован с использованием TLS. Нажатие на значок замка открывает опцию, позволяющую увидеть подробности сертификата, включая корневую CA. Инспекция TLS активна, когда вы видите Cato Networks, за которым следуют имя PoP в качестве издателя или проверщика сертификата.
Дополнительную информацию об установке корневого Центра Сертификации см. в Проверка корневого сертификата CA от Cato.
-
Нажмите на значок замка, а затем нажмите Сертификат.
-
Проверьте поле "Выпущено".
В процессе тестирования вы можете обнаружить, что некоторые веб-сайты или приложения не работают с включенной инспекцией TLS. Вы можете исключить целевые домены, IP-адреса и даже полные категории URL из инспекции TLS, создав новое правило с действием Обход в политике инспекции TLS. Возможно, вам потребуется добавить веб-сайт в Доверенные назначения по одной из следующих причин:
-
Привязка сертификата: Сервер инструктирует клиент проверять публичный ключ, который он получает от сервера, с помощью предоставленного хэша истинного публичного ключа. Это смягчает метод атаки человека в середине, используемый инспекцией TLS, так как публичный ключ, отправленный клиенту от PoP, не соответствует хэшу.
-
Аутентификация клиента: веб-сервер требует, чтобы клиент аутентифицировался с помощью клиентского сертификата. Инспекция TLS неудачна, потому что у PoP нет клиентского сертификата.
0 комментариев
Войдите в службу, чтобы оставить комментарий.