Create a Post
cancel
Showing results for 
Search instead for 
Did you mean: 
Kontur_xxx
Participant

Вопрос по SSL инспекции

Приветствую, коллеги.

Сталкивался с непонятной ситуации, сапорт (direct) морозится, уже больше 2х недель не может понять/решать.
Вот и думал может тут сможем общими силами решить.

И так, имеем 1450 Appliance, Version:     R77.20.80 (990172392)

Хотел на нем поднять SSL инспекцию, для лучшего фильтрации контента.

Включил инспекцию, скачал сертификат и установил в ручную на всех компах (Win 10 pro, браузеры - яндекс, IE, firefox)

Итого в настройках SSL имеем такую картину:

заметьте , логирование НЕ включено.

И.. пошло жесткий флуд в логах:

Как быть с этим? никак не получается отключить эти логи. А создать правило для каждого домена - этому можно посвятить неделю!
Вторая беда в том, хоть сертификат установлен, сайты открываются и на браузере видно, что сертификат подменен, однако в логах такая картина творится:

Подробнее один из них:

Их очень много и на разные домены.

Также, делал исключение.

Но они почему то НЕ работают тоже, точнее только первый работает. второй через раз и на пару компов, а третий вообще не работает. А это ДБО, без него никак.

В общем, трэш какой то получается.

10 Replies
Amir_Aliev
Ambassador
Ambassador

По последнему вопросу относительно ДБО: можете выяснить какие cipher suites использует нужный вам сайт ВТБ?

Есть вероятность, что там неподдерживаемый Check Point:

Supported cipher suites for HTTPS Inspection 

0 Kudos
Kontur_xxx
Participant

А как выяснить? надо звонить техподдержку и у них спрашивать?

Адрес сайта такой: https://i.vtb.ru/ 

без сертификата даже не открывается.

 Код ошибки: SSL_ERROR_NO_CYPHER_OVERLAP

P.S. Сейчас SSL инспекцию вообще отключил, так как пока что из ьа него больше проблем, чем пользы. Много нюансов, которые надо отработать и выяснить.

0 Kudos
Amir_Aliev
Ambassador
Ambassador

Похоже SSL-шифрование с ГОСТ-алгоритмами. Шлюз не разбирает трафик и не видит что там за URL, соответственно не может сделать Bypass.

Такие сайты Интернет-банков, некоторых государственных систем (например ЕГАИС) можно пропускать только по source или destination IP.

0 Kudos
Kontur_xxx
Participant

По source думаю не стоит, так как на этом компе еще другие приложения, которые нужны контролировать, а вот с destination можно подумать.. DNS имя не пойдет? именно IP надо?
Ну и  вопрос еще - это где надо прописать, в исключениях SSL, где я скрин выложил ?

0 Kudos
Amir_Aliev
Ambassador
Ambassador

Да, только по destination IP.

Я на SMB железках инспекцию не настраивал, но думаю что там, в Exceptions. В SmartConsole политика для HTTPS Inspection одна, с разными действиями Inspect/Bypass.

0 Kudos
Kontur_xxx
Participant

Спасибо, попробую. Но мне кажется система очень "сырая" и проблем от нее больше, чем пользы. Ну покрайне мере с нашим девайсом.
Саппорт пока динамит. От них пока что получил - это посоветовали перезагружать )))

0 Kudos
_Val_
Admin
Admin

совершенно частное мнение. имхо на смб инспекцию делать довольно некомфортно. слишком велики требования к ресурсам, которых и так немного

0 Kudos
Kontur_xxx
Participant

Частное мнение говорите? Имеем проблему, которую долгое время не могут решать, точнее даже вникать не могут!

На словах все это круто звучит, но на деле, когда надо решать проблему, это затягивается пол года. Имеем уже такой опыт IPS > https фильтрации, проблему решили в около 6-7 месяцев!

Теперь проблема новая , с SSL инспекции. Если оно есть, то должно работать, иначе зачем он? в ранних версиях прошивки его не было кстати. по появился где то год назад.

У нас обьем не так уж много. всего 40 рабочих станций. Такой обьем должен потянуть этот аппарат.

0 Kudos
_Val_
Admin
Admin

please give me your SR, I will take a look

0 Kudos
Kontur_xxx
Participant

3-0597445901

0 Kudos
Upcoming Events

    CheckMates Events