Ideco NGFW
Скачать PDF
v7.9
v7.9
  • Об Ideco UTM
  • Общая информация
    • Лицензирование
    • Техническая поддержка
  • Установка
    • Создание загрузочного USB flash диска
    • Особенности настроек гипервизоров
    • Системные требования
    • Подготовка к установке
    • Процесс установки
    • Первоначальная настройка
  • Настройка
    • Подключение к провайдеру
      • Подключение по Ethernet
      • Подключение по PPPoE
      • Подключение по PPTP (VPN)
      • Подключение по L2TP (VPN)
      • Подключение по 3G, 4G (LTE)
      • Одновременное подключение к нескольким провайдерам
    • Управление пользователями
      • Дерево пользователей
      • Управление учетными записями пользователей
      • Настройка учетных записей пользователей
      • Интеграция с Active Directory
        • Ввод сервера в домен
        • Импорт пользователей
        • Авторизация пользователей
          • Скрипты автоматической авторизации/разавторизации
      • Пользователи терминального сервера
      • Wi-Fi сети
    • Типы авторизации
      • Авторизация по IP-адресу
      • Авторизация по PPPoE
      • Авторизация по PPTP
      • Веб-авторизация
      • Single Sign-On аутентификация через Active Directory
      • Авторизация через Ideco Agent
    • Публикация ресурсов
      • Публикация веб-приложений (обратный прокси-сервер)
      • Настройка почтового релея для публикации сервера в локальной сети
      • Портмаппинг (проброс портов, DNAT)
      • Настройка публичного IP-адреса на компьютере в локальной сети
      • Доступ из внешней сети без NAT
      • Доступ до внешних ресурсов без авторизации
    • Мониторинг
      • Пересылка системных сообщений
      • SNMP
      • Интеграция с Zabbix
    • Правила доступа
      • Файрвол
      • Контроль приложений
        • Описание протоколов
      • Контент-фильтр
        • Описание категорий контент-фильтра
        • Настройка фильтрации HTTPS
      • Ограничение скорости
      • Антивирусы веб-трафика
      • Предотвращение вторжений
      • Объекты
      • Администраторы
        • Удаленный доступ по SSH
      • Пользовательские квоты
      • Защита от bruteforce-атак
    • Сервисы
      • Маршрутизация
      • Обнаружение устройств
      • Профили выхода в Интернет
      • Прокси
        • Подключение к внешним ICAP-сервисам
        • Настройка прокси с одним интерфейсом
        • Исключить IP-адреса из обработки прокси-сервером
      • Почтовый сервер
        • Подготовка к настройке почтового сервера
        • Настройка почтового сервера
        • Настройка почтовых клиентов
        • Web-почта
        • Переадресация почты (почтовые алиасы)
        • Дополнительные возможности и антиспам
        • Настройка почтового релея
        • Fetchmail
        • Рекомендации по защите сервера
        • Схема фильтрации почтового трафика
      • Обратный прокси
        • Протестированные CMS
        • Web Application Firewall
      • DNS
      • DHCP
      • Туннельные протоколы VPN
        • Подключение офисов (site-to-site)
          • IPSec
            • Филиалы и главный офис
            • Подключение пользователей
            • Подключение устройств
          • OpenVPN
          • PPTP VPN
          • Подключение Keenetic по SSTP
          • Подключение pfSense к Ideco UTM по IPsec
          • Подключение pfSense к Ideco UTM с использованием OpenVPN
          • Подключение Kerio Control к Ideco UTM по IPSec
        • Подключение пользователей (client-to-site)
          • IPSec IKEv2
            • Скрипт автоматического создания пользовательских подключений по IPSec IKEv2
          • SSTP
            • Скрипт автоматического создания пользовательских подключений по SSTP
            • Подключение Wi-Fi роутеров Keenetic
          • L2TP/IPSec
            • Скрипт автоматического создания пользовательских подключений по L2TP/IPSec
          • PPTP
          • Особенности маршрутизации и организации доступа
          • Веб-кабинет пользователя
          • Инструкция по запуску PowerShell-скриптов
            • Инструкция по созданию подключения в Windows 7
      • Дополнительно
    • Отчеты
    • Интеграция UTM и SkyDNS
  • Обслуживание
    • Обслуживание сервера
      • Обновление сервера
      • Удаленный доступ для управления сервером
      • Регистрация сервера
      • Резервное копирование и восстановление данных
      • Режим удаленного помощника
  • Популярные рецепты
    • Популярные рецепты
      • Проверка настроек фильтрации с помощью security.ideco.ru
      • Что делать если ваш IP попал в черные списки DNSBL
      • Настройка программы Proxifier для прямых подключений к прокси-серверу
      • Установка доверенного SSL сертификата на сервер
      • Доступ в удаленные сети через роутер в локальной сети
      • Перенос данных и настроек на другой сервер
      • Выбор аппаратной платформы для Ideco UTM
      • Восстановление пароля администратора
        • Для версий 6.0 - 7.6
      • Особенности подключения через ADSL-модем
      • Использование ics_tune.sh
      • Блокировка популярных ресурсов
      • Что делать если не работает Интернет
  • Changelog
    • Версия Ideco UTM 7.Х.Х
Powered by GitBook
On this page
  • Настройка сервера Ideco UTM
  • Настройка рабочей станции пользователя
  • Добавление сертификата через политики домена Microsoft Active Directory
  • Возможные проблемы и методы их решения

Was this helpful?

  1. Настройка
  2. Правила доступа
  3. Контент-фильтр

Настройка фильтрации HTTPS

PreviousОписание категорий контент-фильтраNextОграничение скорости

Last updated 3 years ago

Was this helpful?

Фильтрация HTTPS-трафика обеспечивает возможность последующей обработки сайтов, доступных по HTTPS. Фильтрация реализуется несколькими методами:

  • Анализом заголовков Server Name Indication (SNI) - благодаря этому методу возможен анализ домена, на который подключается клиент, без подмены сертификата и вмешательства в HTTPS-трафик. Также анализируются домены указанные в сертификате.

  • Методом SSL-bump. Путём подмены «на лету» сертификата, которым подписан запрашиваемый сайт. Оригинальный сертификат сайта подменяется новым, подписанным не центром сертификации, а корневым сертификатом Ideco UTM. Таким образом, передающийся по защищённому HTTPS-соединению трафик становится доступным для обработки всеми модулями, предоставляемыми Ideco UTM: контент-фильтром (возможно категоризировать полный URL запроса и MIME-type контента), антивирусами Касперского и ClamAV, а также внешним ICAP-сервисам.

    Специфика реализации фильтрации HTTPS-трафика с подменой сертификата

    требует настройки обеих сторон подключения: сервера Ideco UTM и

    рабочей станции каждого пользователя в локальной сети.

Настройка сервера Ideco UTM

По умолчанию сервер осуществляет фильтрацию HTTPS без подмены сертификатов с помощью анализа SNI и доменов в сертификате.

Настройка дешифрации HTTPS-трафика осуществляется в разделе Правила -> Контент-фильтр с помощью создаваемых администратором правил с действием Расшифровать.

Можно расшифровывать трафик только для выбранных категорий ресурсов и для определенных пользователей, либо для всех запросов и всех пользователей. Пример правила представлен ниже:

Настройка рабочей станции пользователя

При включенной опции расшифровки HTTPS-трафика браузер и другое сетевое ПО (например, антивирусы, клиенты IM и пр.) на рабочей станции пользователя потребует явного подтверждения на использование подменного сертификата, созданного и выданного сервером Ideco UTM. Для повышения удобства работы пользователя следует установить в операционную систему рабочей станции корневой сертификат сервера Ideco UTM и сделать его доверенным. Корневой SSL-сертификат доступен для скачивания со страницы логина в панели управления сервером.

Чтобы установить корневой сертификат на рабочей станции пользователя, требуется выполнить следующие действия:

1. Скачать корневой SSL-сертификат, открыв страницу логина в web-интерфейс панели управления сервера Ideco UTM:

2. Открыть на рабочей станции центр управления сертификатами: Пуск -> Выполнить, выполнив в диалоге команду certmgr.msc:

3. В центре управления сертификатами выбрать раздел Доверенные корневые сертификаты -> Сертификаты:

4. В правой части окна нажать правую кнопку мыши и выбрать действие Все задачи -> Импорт.... Откроется окно мастера импорта сертификатов. Следуя инструкциям мастера импортировать корневой сертификат сервера Ideco UTM. Импортированный сертификат появится в списке в правой части окна

Добавление сертификата через политики домена Microsoft Active Directory

В сетях, где управление пользователями осуществляется с помощью Microsoft Active Directory, вы можете установить сертификат Ideco UTM для всех пользователей автоматически с помощью Active Directory.

1. Скачайте корневой SSL-сертификат, открыв страницу логина в web-интерфейс панели управления сервера Ideco UTM:

2. Зайдите на контроллер домена с помощью аккаунта, имеющего права администратора домена.

3. Запустите оснастку управления групповой политикой, выполнив командуgpmc.msc.

4. Найдите политику домена, использующуюся на компьютерах пользователей в Объектах групповой политики (на скриншоте - Default Domain Policy).

Нажмите на неё правой кнопкой мышки и выберите Изменить.

5. В открывшемся редакторе управления групповыми политиками выберите: Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Политики открытого ключа -> Доверенные корневые центры сертификации.

6. Нажмите правой кнопкой мыши по открывшемуся списку, выберите Импорт... и импортируйте ключ Ideco UTM.

7. После перезагрузки рабочих станций или выполнения на них команды gpupdate /force сертификат появится в локальных хранилищах сертификатов и будет установлен нужный уровень доверия к нему.

Возможные проблемы и методы их решения

  • Некоторые браузеры, например Mozilla Firefox, могут не использовать системное хранилище сертификатов. В таком случае нужно добавить сертификат Ideco UTM в доверенные сертификаты таких браузеров. В Firefox также можно включить параметр

    security.enterprise_roots.enabled (в about:config) в значение true, для доверия системным сертификатам.

  • Если на локальной машине используется антивирус, проверяющий HTTPS-трафик методом подмены сертификатов, сайты могут не открываться из-за двойной подмены сертификатов. Нужно отключить в антивирусе проверку HTTPS-трафика.

  • Для отображения страницы блокировки при блокировке HTTPS-ресурсов необходимо настроить доверие корневому SSL-сертификату UTM даже если включена только SNI-фильтрация, т.к. в случае срабатывания блокировки ресурса, открываемого по HTTPS, будет применен SSL-bumping с подстановкой SSL-сертификата UTM для возможности подмены контента ресурса страницей о его блокировке сервером.

При включенной SNI-фильтрации сервер не будет пропускать по HTTPS-порту не HTTPS-трафик. Таким образом могут возникнуть проблемы с программами, пытающимися это сделать. Для их работы необходимо разрешить к нужным им ресурсам.

обход прокси-сервера