NEXT-GEN USG: Filtri Web
Content Filter & SSL Inspection
Creazione utenti In questo scenario configureremo le policy di accesso internet ed il Content Filter basato su utenti locali. Quindi per prima cosa andiamo a creare gli utenti locali (nel nostro esempio sono tre) dal menù Object > User/Group (se non si vogliono creare utenti saltare questo step).
Creazione utenti Creiamo un gruppo che racchiuda gli utenti a cui bloccheremo l accesso e quello per l utente con accesso libero
Web Authentication Per far si che tutti gli utenti della lan vengano sottoposti ad autenticazione dobbiamo creare una policy di autenticazione nel menù dedicato Web Authentication (se non si vogliono creare utenti saltare questo step). Come source andiamo ad inserire la rete da cui proverranno le richieste (LAN1_SUBNET), destination sarà any (internet), come schedule possiamo lasciare none. In Authentication selezioniamo force. Questa policy reindirizzerà tutte le richieste http verso la pagina di login del firewall, a seguito dell inserimento di user e password verranno sbloccate le policy assegnate agli utenti. Il servizio DNS deve essere lasciato tra i servizi non sottoposti ad autenticazione. Impostiamo anche gli eventuali bypass (unnecessary) ad esempio per i server
Creazione Policy Content-Filter Ora possiamo creare i profili Content- Filter. Andiamo su UTM Profile > Content Filter e, da Profile Management, clicchiamo su Add
Creazione Policy Content-Filter In Category Service (attivabile se abbiamo la licenza attiva) creiamo il profilo per bloccare tutto il traffico. Impostiamo quindi il Block sulle Managed Web Pages e in Managed Categories andiamo a selezionare tutte le voci. In questo modo bloccheremo tutte le categorie di siti
Creazione Policy Content-Filter In Custom Service possiamo creare delle eccezioni. In Trusted Web Sites possiamo inserire i siti che bypassano il content filter. Possiamo usare il carattere jolly * Ad esempio inserendo www.zyxel.* verrano abilitati tutti i siti zyxel come www.zyxel.it, www.zyxel.com, www.zyxel.co.uk e così via.
Creazione Policy Content-Filter Creiamo anche un profilo libero dove lasciamo tutto in Pass ma attiviamo il log per tenere traccia della navigazione
SSL Inspection Le seguenti impostazioni su SSL INSPECTION sono valide solo a partire da USG110. Se lavorate su USG40/40W ed USG60/60W queste impostazioni non possono essere applicate in quanto non hanno le funzionalità di SSL Inspection
SSL Inspection Dal menù SSL Insepction andiamo ad abilitare il controllo delle connessioni cifrate. Questo permetterà all USG di decifrare le connessioni protette, come le HTTPS, e quindi applicare il content filter anche alle connessioni in HTTPS. Dobbiamo quindi solo aggiungere un profilo impostando il block sulle voci
Per creare le White List dei certificati ammessi abilitiamo il report nella sezione Monitor. SSL Inspection
SSL Inspection Nella Cache List andiamo a selezionare il certificato del sito da far passare e lo aggiungiamo alla Exclude List.
SSL Inspection Potremo tenere così sotto controllo la lista delle esclusioni dell SSL Inspection.
Creazione Security Policy Andiamo quindi ad applicare il profilo content-filter bloccato. Andiamo sul menù Security Policy > Policy Control e aggiungiamo una nuova regola in direzione LAN1 to WAN come User impostiamo il gruppo Utenti_bloccati. Nella scheda UTM Profile abilitiamo il Content Filter selezionando il profilo bloccato creato in precedenza e il profilo di controllo ssl.
Creazione Security Policy Allo stesso modo creiamo il profilo per gli utenti con la navigazione libera
Verifica policy Accedendo ad internet il firewall intercetterà la richiesta e chiederà di autentificarsi. Facciamo login con utente1
Verifica policy Se proviamo a navigare il content filter bloccherà l accesso. Grazie all SSL Inspection (dipsonibile solo a partire dall USG110) verrà controllato e bloccato anche il traffico HTTPS. Dai log possiamo controllare e verificare i siti bloccati.
Thank You!