https://community.checkpoint.com/t5/Russian/%D0%92%D0%BE%D0%BF%D1%80%D0%BE%D1%81-%D0%BF%D0%BE-SSL-%D0%B8%D0%BD%D1%81%D0%BF%D0%B5%D0%BA%D1%86%D0%B8%D0%B8/m-p/12964#M61 <HTML><HEAD></HEAD><BODY><P>Спасибо, попробую. Но мне кажется система очень "сырая" и проблем от нее больше, чем пользы. Ну покрайне мере с нашим девайсом. <BR />Саппорт пока динамит. От них пока что получил - это посоветовали перезагружать )))</P></BODY></HTML> Wed, 07 Nov 2018 05:13:35 GMT Kontur_xxx 2018-11-07T05:13:35Z https://community.checkpoint.com/t5/Russian/%D0%92%D0%BE%D0%BF%D1%80%D0%BE%D1%81-%D0%BF%D0%BE-SSL-%D0%B8%D0%BD%D1%81%D0%BF%D0%B5%D0%BA%D1%86%D0%B8%D0%B8/m-p/12958#M55 <HTML><HEAD></HEAD><BODY><P>Приветствую, коллеги.</P><P>Сталкивался с непонятной ситуации, сапорт (direct) морозится, уже больше 2х недель не может понять/решать.<BR />Вот и думал может тут сможем общими силами решить.</P><P>И так, имеем <STRONG>1450 Appliance, Version: &nbsp;&nbsp; &nbsp;R77.20.80 (990172392)</STRONG></P><P></P><P>Хотел на нем поднять SSL инспекцию, для лучшего фильтрации контента.</P><P>Включил инспекцию, скачал сертификат и установил в ручную на всех компах (Win 10 pro, браузеры - яндекс, IE, firefox)</P><P>Итого в настройках SSL имеем такую картину:<BR /><IMG alt="" class="image-1 jive-image" height="312" src="https://community.checkpoint.com/legacyfs/online/checkpoint/73140_sett.JPG" width="627" /></P><P>заметьте , логирование НЕ включено.</P><P>И.. пошло жесткий флуд в логах:<BR /><IMG alt="" class="image-2 jive-image j-img-original" src="https://community.checkpoint.com/legacyfs/online/checkpoint/73141_es_log1.JPG" /></P><P>Как быть с этим? никак не получается отключить эти логи. А создать правило для каждого домена - этому можно посвятить неделю!<BR />Вторая беда в том, хоть сертификат установлен, сайты открываются и на браузере видно, что сертификат подменен, однако в логах такая картина творится:<BR /><IMG alt="" class="image-3 jive-image j-img-original" src="https://community.checkpoint.com/legacyfs/online/checkpoint/73142_es_log2.JPG" /></P><P>Подробнее один из них:<BR /><IMG alt="" class="image-4 jive-image j-img-original" src="https://community.checkpoint.com/legacyfs/online/checkpoint/73143_rev.JPG" /></P><P>Их очень много и на разные домены.</P><P></P><P>Также, делал исключение.<BR /><IMG alt="" class="image-5 jive-image j-img-original" src="https://community.checkpoint.com/legacyfs/online/checkpoint/73144_исключение.JPG" /></P><P></P><P>Но они почему то НЕ работают тоже, точнее только первый работает. второй через раз и на пару компов, а третий вообще не работает. А это ДБО, без него никак.</P><P></P><P>В общем, трэш какой то получается. <SPAN class=""></SPAN></P></BODY></HTML> Mon, 05 Nov 2018 07:17:12 GMT https://community.checkpoint.com/t5/Russian/%D0%92%D0%BE%D0%BF%D1%80%D0%BE%D1%81-%D0%BF%D0%BE-SSL-%D0%B8%D0%BD%D1%81%D0%BF%D0%B5%D0%BA%D1%86%D0%B8%D0%B8/m-p/12958#M55 Kontur_xxx 2018-11-05T07:17:12Z https://community.checkpoint.com/t5/Russian/%D0%92%D0%BE%D0%BF%D1%80%D0%BE%D1%81-%D0%BF%D0%BE-SSL-%D0%B8%D0%BD%D1%81%D0%BF%D0%B5%D0%BA%D1%86%D0%B8%D0%B8/m-p/12959#M56 <HTML><HEAD></HEAD><BODY><P>По последнему вопросу относительно ДБО: можете выяснить какие cipher suites использует нужный вам сайт ВТБ?</P><P>Есть вероятность, что там неподдерживаемый Check Point:</P><P><A class="link-titled" href="https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&amp;solutionid=sk104562" title="https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&amp;solutionid=sk104562">Supported cipher suites for HTTPS Inspection</A>&nbsp;</P></BODY></HTML> Tue, 06 Nov 2018 09:52:01 GMT https://community.checkpoint.com/t5/Russian/%D0%92%D0%BE%D0%BF%D1%80%D0%BE%D1%81-%D0%BF%D0%BE-SSL-%D0%B8%D0%BD%D1%81%D0%BF%D0%B5%D0%BA%D1%86%D0%B8%D0%B8/m-p/12959#M56 Amir_Aliev 2018-11-06T09:52:01Z https://community.checkpoint.com/t5/Russian/%D0%92%D0%BE%D0%BF%D1%80%D0%BE%D1%81-%D0%BF%D0%BE-SSL-%D0%B8%D0%BD%D1%81%D0%BF%D0%B5%D0%BA%D1%86%D0%B8%D0%B8/m-p/12960#M57 <HTML><HEAD></HEAD><BODY><P>А как выяснить? надо звонить техподдержку и у них спрашивать? </P><P>Адрес сайта такой: <A class="link-titled" href="https://i.vtb.ru/" title="https://i.vtb.ru/">https://i.vtb.ru/</A>&nbsp;</P><P>без сертификата даже не открывается.</P><P>&nbsp;Код ошибки: SSL_ERROR_NO_CYPHER_OVERLAP</P><P></P><P><EM>P.S. Сейчас SSL инспекцию вообще отключил, так как пока что из ьа него больше проблем, чем пользы. Много нюансов, которые надо отработать и выяснить.</EM></P></BODY></HTML> Tue, 06 Nov 2018 11:31:52 GMT https://community.checkpoint.com/t5/Russian/%D0%92%D0%BE%D0%BF%D1%80%D0%BE%D1%81-%D0%BF%D0%BE-SSL-%D0%B8%D0%BD%D1%81%D0%BF%D0%B5%D0%BA%D1%86%D0%B8%D0%B8/m-p/12960#M57 Kontur_xxx 2018-11-06T11:31:52Z https://community.checkpoint.com/t5/Russian/%D0%92%D0%BE%D0%BF%D1%80%D0%BE%D1%81-%D0%BF%D0%BE-SSL-%D0%B8%D0%BD%D1%81%D0%BF%D0%B5%D0%BA%D1%86%D0%B8%D0%B8/m-p/12961#M58 <HTML><HEAD></HEAD><BODY><P>Похоже SSL-шифрование с ГОСТ-алгоритмами. Шлюз не разбирает трафик и не видит что там за URL, соответственно не может сделать Bypass.</P><P>Такие сайты Интернет-банков, некоторых государственных систем (например ЕГАИС) можно пропускать только по source или destination IP.</P></BODY></HTML> Tue, 06 Nov 2018 12:04:30 GMT https://community.checkpoint.com/t5/Russian/%D0%92%D0%BE%D0%BF%D1%80%D0%BE%D1%81-%D0%BF%D0%BE-SSL-%D0%B8%D0%BD%D1%81%D0%BF%D0%B5%D0%BA%D1%86%D0%B8%D0%B8/m-p/12961#M58 Amir_Aliev 2018-11-06T12:04:30Z https://community.checkpoint.com/t5/Russian/%D0%92%D0%BE%D0%BF%D1%80%D0%BE%D1%81-%D0%BF%D0%BE-SSL-%D0%B8%D0%BD%D1%81%D0%BF%D0%B5%D0%BA%D1%86%D0%B8%D0%B8/m-p/12962#M59 <HTML><HEAD></HEAD><BODY><P>По source думаю не стоит, так как на этом компе еще другие приложения, которые нужны контролировать, а вот с destination можно подумать.. DNS имя не пойдет? именно IP надо? <BR />Ну и&nbsp; вопрос еще - это где надо прописать, в исключениях SSL, где я скрин выложил ? </P></BODY></HTML> Tue, 06 Nov 2018 12:12:08 GMT https://community.checkpoint.com/t5/Russian/%D0%92%D0%BE%D0%BF%D1%80%D0%BE%D1%81-%D0%BF%D0%BE-SSL-%D0%B8%D0%BD%D1%81%D0%BF%D0%B5%D0%BA%D1%86%D0%B8%D0%B8/m-p/12962#M59 Kontur_xxx 2018-11-06T12:12:08Z https://community.checkpoint.com/t5/Russian/%D0%92%D0%BE%D0%BF%D1%80%D0%BE%D1%81-%D0%BF%D0%BE-SSL-%D0%B8%D0%BD%D1%81%D0%BF%D0%B5%D0%BA%D1%86%D0%B8%D0%B8/m-p/12963#M60 <HTML><HEAD></HEAD><BODY><P>Да, только по destination IP.</P><P>Я на SMB железках инспекцию не настраивал, но думаю что там, в Exceptions. В SmartConsole политика для HTTPS Inspection одна, с разными действиями Inspect/Bypass.</P></BODY></HTML> Tue, 06 Nov 2018 13:25:26 GMT https://community.checkpoint.com/t5/Russian/%D0%92%D0%BE%D0%BF%D1%80%D0%BE%D1%81-%D0%BF%D0%BE-SSL-%D0%B8%D0%BD%D1%81%D0%BF%D0%B5%D0%BA%D1%86%D0%B8%D0%B8/m-p/12963#M60 Amir_Aliev 2018-11-06T13:25:26Z https://community.checkpoint.com/t5/Russian/%D0%92%D0%BE%D0%BF%D1%80%D0%BE%D1%81-%D0%BF%D0%BE-SSL-%D0%B8%D0%BD%D1%81%D0%BF%D0%B5%D0%BA%D1%86%D0%B8%D0%B8/m-p/12964#M61 <HTML><HEAD></HEAD><BODY><P>Спасибо, попробую. Но мне кажется система очень "сырая" и проблем от нее больше, чем пользы. Ну покрайне мере с нашим девайсом. <BR />Саппорт пока динамит. От них пока что получил - это посоветовали перезагружать )))</P></BODY></HTML> Wed, 07 Nov 2018 05:13:35 GMT https://community.checkpoint.com/t5/Russian/%D0%92%D0%BE%D0%BF%D1%80%D0%BE%D1%81-%D0%BF%D0%BE-SSL-%D0%B8%D0%BD%D1%81%D0%BF%D0%B5%D0%BA%D1%86%D0%B8%D0%B8/m-p/12964#M61 Kontur_xxx 2018-11-07T05:13:35Z https://community.checkpoint.com/t5/Russian/%D0%92%D0%BE%D0%BF%D1%80%D0%BE%D1%81-%D0%BF%D0%BE-SSL-%D0%B8%D0%BD%D1%81%D0%BF%D0%B5%D0%BA%D1%86%D0%B8%D0%B8/m-p/12965#M62 <HTML><HEAD></HEAD><BODY><P>совершенно частное мнение. имхо на смб инспекцию делать довольно некомфортно. слишком велики требования к ресурсам, которых и так немного</P></BODY></HTML> Wed, 07 Nov 2018 08:22:31 GMT https://community.checkpoint.com/t5/Russian/%D0%92%D0%BE%D0%BF%D1%80%D0%BE%D1%81-%D0%BF%D0%BE-SSL-%D0%B8%D0%BD%D1%81%D0%BF%D0%B5%D0%BA%D1%86%D0%B8%D0%B8/m-p/12965#M62 _Val_ 2018-11-07T08:22:31Z https://community.checkpoint.com/t5/Russian/%D0%92%D0%BE%D0%BF%D1%80%D0%BE%D1%81-%D0%BF%D0%BE-SSL-%D0%B8%D0%BD%D1%81%D0%BF%D0%B5%D0%BA%D1%86%D0%B8%D0%B8/m-p/12966#M63 <HTML><HEAD></HEAD><BODY><P>Частное мнение говорите? Имеем проблему, которую долгое время не могут решать, точнее даже вникать не могут! </P><P>На словах все это круто звучит, но на деле, когда надо решать проблему, это затягивается пол года. Имеем уже такой опыт IPS &gt; https фильтрации, проблему решили в около 6-7 месяцев!</P><P>Теперь проблема новая , с SSL инспекции. Если оно есть, то должно работать, иначе зачем он? в ранних версиях прошивки его не было кстати. по появился где то год назад.</P><P>У нас обьем не так уж много. всего 40 рабочих станций. Такой обьем должен потянуть этот аппарат.</P></BODY></HTML> Wed, 07 Nov 2018 08:41:33 GMT https://community.checkpoint.com/t5/Russian/%D0%92%D0%BE%D0%BF%D1%80%D0%BE%D1%81-%D0%BF%D0%BE-SSL-%D0%B8%D0%BD%D1%81%D0%BF%D0%B5%D0%BA%D1%86%D0%B8%D0%B8/m-p/12966#M63 Kontur_xxx 2018-11-07T08:41:33Z https://community.checkpoint.com/t5/Russian/%D0%92%D0%BE%D0%BF%D1%80%D0%BE%D1%81-%D0%BF%D0%BE-SSL-%D0%B8%D0%BD%D1%81%D0%BF%D0%B5%D0%BA%D1%86%D0%B8%D0%B8/m-p/12967#M64 <HTML><HEAD></HEAD><BODY><P>please give me your SR, I will take a look</P></BODY></HTML> Wed, 07 Nov 2018 11:42:29 GMT https://community.checkpoint.com/t5/Russian/%D0%92%D0%BE%D0%BF%D1%80%D0%BE%D1%81-%D0%BF%D0%BE-SSL-%D0%B8%D0%BD%D1%81%D0%BF%D0%B5%D0%BA%D1%86%D0%B8%D0%B8/m-p/12967#M64 _Val_ 2018-11-07T11:42:29Z https://community.checkpoint.com/t5/Russian/%D0%92%D0%BE%D0%BF%D1%80%D0%BE%D1%81-%D0%BF%D0%BE-SSL-%D0%B8%D0%BD%D1%81%D0%BF%D0%B5%D0%BA%D1%86%D0%B8%D0%B8/m-p/12968#M65 <HTML><HEAD></HEAD><BODY><P><SPAN class="">3-0597445901</SPAN></P></BODY></HTML> Wed, 07 Nov 2018 13:07:18 GMT https://community.checkpoint.com/t5/Russian/%D0%92%D0%BE%D0%BF%D1%80%D0%BE%D1%81-%D0%BF%D0%BE-SSL-%D0%B8%D0%BD%D1%81%D0%BF%D0%B5%D0%BA%D1%86%D0%B8%D0%B8/m-p/12968#M65 Kontur_xxx 2018-11-07T13:07:18Z