Certificato SSL da utilizzare con SSL Inspection su Zyxel USG110

0

Ho una domanda riguardante la funzionalità di ispezione SSL della serie USG110 e successive. Ho l'obbligo di fornire un punto di accesso Wi-Fi pubblico, e sto cercando di utilizzare un USG110 per fornire controllo delle applicazioni e il filtro dei contenuti che posso funzionare correttamente con il traffico HTTP, la sfida che sto avendo è con HTTPS il traffico e la possibilità di utilizzare il controllo delle applicazioni e il filtro dei contenuti con questo tipo di traffico per fornire protezione al client con cui lavoro.

Sono stato in grado di utilizzare IDP per bloccare il traffico in base alla firma per il traffico, ad esempio sono riuscito a bloccare HTTPS sul sito web Spotify e poi con il controllo app ho anche bloccato l'accesso all'applicazione desktop Spotify. Quello che sto cercando di fare non è creare una regola per ogni sito o applicazione che vogliamo bloccare tramite IDP come con l'esempio di Spotify non ha bloccato tutti gli elementi di Spotify e ho dovuto usare una miscela di App Patrol e IDP . È qui che sto cercando di utilizzare la funzione di controllo SSL insieme a App Patrol e filtraggio dei contenuti sull'USG110 per darmi una panoramica completa di tutto il traffico che viene passato attraverso la rete e applicare le politiche a questo traffico.

La query che ho intorno all'ispezione SSL riguarda il certificato SSL, in quanto è un punto di accesso Wi-Fi pubblico Non riesco a controllare i dispositivi che si collegheranno a questa rete e quindi non posso installare il certificato autofirmato su a ciascun dispositivo in modo da riconoscere qualsiasi traffico HTTPS che viene scansionato da USG come proveniente da una fonte attendibile. Se dovessi acquistare un certificato SSL di terze parti da un'autorità di certificazione e quindi importarlo nell'USG, ciò toglierebbe la necessità di utilizzare il certificato autofirmato sull'USG e consentire la connessione HTTPS a un'origine esterna per mostra come connessione affidabile sui dispositivi?

Grazie in anticipo per la tua risposta

    
posta Andrew Severn 08.12.2014 - 13:23
fonte

1 risposta

1

Non può essere fatto. Non senza aver acquistato un certificato di sub-CA. (Che nessuna CA che si rispetti dovrebbe / dovrebbe vendere a chiunque.)

Mentre ci sono modi per aggirare questo, nessuno di loro è pratico. (E questa è una buona cosa.):
1) Non ti interessa il rilevamento. Sei solo un man-in-the-middle, dai loro un certificato non fidato e speri che facciano clic sugli avvisi del certificato. Questo è brutto.

2) Non ti interessa troppo il rilevamento. Sei solo man-in-the-middle a tutti, elimina HTTPS e certificati (usando SSLStrip ). Quindi non dovrai preoccuparti dei certificati.

3) Ti interessi un po 'di più nell'identificazione e sei molto, molto potente. Sei in grado di far rilasciare un certificato CA CA illimitato per la tua attività di intercettazione a una CA riconosciuta. Ciò richiederà la cooperazione di detta CA. (Quindi questa sarà solo un'opzione se sei uno stato-nazione.) - Allora speriamo che verremo scoperti, nominati e vergognati da Google Chrome. (Che cosa è successo nel 2013: link )

    
risposta data 08.12.2014 - 14:18
fonte

Leggi altre domande sui tag