This website uses Cookies. Click Accept to agree to our website's cookie use as described in our Privacy Policy. Click Preferences to customize your cookie settings.
Accept
Reject
Preferences
ABOUT CHECKMATES CYBER SECURITY COMMUNITY & FAQ
Create a Post
Help
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 

Are you a member of CheckMates?

×
Sign in with your Check Point UserCenter/PartnerMap account to access more great content and get a chance to win some Apple AirPods! If you don't have an account, create one now for free!
Kontur_xxx
Participant
‎2018-11-04 11:17 PM

Вопрос по SSL инспекции

Приветствую, коллеги.

Сталкивался с непонятной ситуации, сапорт (direct) морозится, уже больше 2х недель не может понять/решать.
Вот и думал может тут сможем общими силами решить.

И так, имеем 1450 Appliance, Version:     R77.20.80 (990172392)

Хотел на нем поднять SSL инспекцию, для лучшего фильтрации контента.

Включил инспекцию, скачал сертификат и установил в ручную на всех компах (Win 10 pro, браузеры - яндекс, IE, firefox)

Итого в настройках SSL имеем такую картину:

заметьте , логирование НЕ включено.

И.. пошло жесткий флуд в логах:

Как быть с этим? никак не получается отключить эти логи. А создать правило для каждого домена - этому можно посвятить неделю!
Вторая беда в том, хоть сертификат установлен, сайты открываются и на браузере видно, что сертификат подменен, однако в логах такая картина творится:

Подробнее один из них:

Их очень много и на разные домены.

Также, делал исключение.

Но они почему то НЕ работают тоже, точнее только первый работает. второй через раз и на пару компов, а третий вообще не работает. А это ДБО, без него никак.

В общем, трэш какой то получается.

10 Replies
Amir_Aliev
Ambassador
Ambassador
‎2018-11-06 01:52 AM

По последнему вопросу относительно ДБО: можете выяснить какие cipher suites использует нужный вам сайт ВТБ?

Есть вероятность, что там неподдерживаемый Check Point:

Supported cipher suites for HTTPS Inspection 

0 Kudos
Kontur_xxx
Participant
‎2018-11-06 03:31 AM
In response to Amir_Aliev

А как выяснить? надо звонить техподдержку и у них спрашивать?

Адрес сайта такой: https://i.vtb.ru/ 

без сертификата даже не открывается.

 Код ошибки: SSL_ERROR_NO_CYPHER_OVERLAP

P.S. Сейчас SSL инспекцию вообще отключил, так как пока что из ьа него больше проблем, чем пользы. Много нюансов, которые надо отработать и выяснить.

0 Kudos
Amir_Aliev
Ambassador
Ambassador
‎2018-11-06 04:04 AM
In response to Kontur_xxx

Похоже SSL-шифрование с ГОСТ-алгоритмами. Шлюз не разбирает трафик и не видит что там за URL, соответственно не может сделать Bypass.

Такие сайты Интернет-банков, некоторых государственных систем (например ЕГАИС) можно пропускать только по source или destination IP.

0 Kudos
Kontur_xxx
Participant
‎2018-11-06 04:12 AM
In response to Amir_Aliev

По source думаю не стоит, так как на этом компе еще другие приложения, которые нужны контролировать, а вот с destination можно подумать.. DNS имя не пойдет? именно IP надо?
Ну и  вопрос еще - это где надо прописать, в исключениях SSL, где я скрин выложил ?

0 Kudos
Amir_Aliev
Ambassador
Ambassador
‎2018-11-06 05:25 AM
In response to Kontur_xxx

Да, только по destination IP.

Я на SMB железках инспекцию не настраивал, но думаю что там, в Exceptions. В SmartConsole политика для HTTPS Inspection одна, с разными действиями Inspect/Bypass.

0 Kudos
Kontur_xxx
Participant
‎2018-11-06 09:13 PM
In response to Amir_Aliev

Спасибо, попробую. Но мне кажется система очень "сырая" и проблем от нее больше, чем пользы. Ну покрайне мере с нашим девайсом.
Саппорт пока динамит. От них пока что получил - это посоветовали перезагружать )))

0 Kudos
_Val_
Admin
Admin
‎2018-11-07 12:22 AM
In response to Amir_Aliev

совершенно частное мнение. имхо на смб инспекцию делать довольно некомфортно. слишком велики требования к ресурсам, которых и так немного

0 Kudos
Kontur_xxx
Participant
‎2018-11-07 12:41 AM
In response to _Val_

Частное мнение говорите? Имеем проблему, которую долгое время не могут решать, точнее даже вникать не могут!

На словах все это круто звучит, но на деле, когда надо решать проблему, это затягивается пол года. Имеем уже такой опыт IPS > https фильтрации, проблему решили в около 6-7 месяцев!

Теперь проблема новая , с SSL инспекции. Если оно есть, то должно работать, иначе зачем он? в ранних версиях прошивки его не было кстати. по появился где то год назад.

У нас обьем не так уж много. всего 40 рабочих станций. Такой обьем должен потянуть этот аппарат.

0 Kudos
_Val_
Admin
Admin
‎2018-11-07 03:42 AM
In response to Kontur_xxx

please give me your SR, I will take a look

0 Kudos
Kontur_xxx
Participant
‎2018-11-07 05:07 AM
In response to _Val_

3-0597445901

0 Kudos
Upcoming Events

    Sort by:
    CheckMates Events