HTTPS Inspection v korporátnom prostredí

Posted on By Martin Hasin Žiadne komentáre na HTTPS Inspection v korporátnom prostredí

HTTPS Inspection je bezpečnostná technológia, ktorá umožňuje analyzovať obsah šifrovanej HTTPS komunikácie. Vzhľadom na to, že väčšina moderného internetového prenosu je dnes šifrovaná, tradičné bezpečnostné systémy bez tejto funkcie strácajú schopnosť efektívne odhaľovať škodlivé aktivity, ktoré sú ukryté v šifrovaných dátach.

Cieľom HTTPS Inspection je zachovať viditeľnosť a kontrolu nad tým, čo prechádza cez zabezpečený (TLS) kanál, pričom sa odhaľujú hrozby, ktoré by inak ostali nepovšimnuté.

Prečo je potrebná v korporátnom prostredí?

V podnikových sieťach sa čoraz častejšie objavujú hrozby, ktoré využívajú šifrovanie ako prostriedok na skrytie svojho správania. Medzi najčastejšie prípady patrí:

  • Malvér distribuovaný cez HTTPS, ktorý nie je zachytený bežnými antivírusmi.
  • C&C komunikácia (Command & Control) medzi kompromitovanými zariadeniami a riadiacimi servermi útočníkov.
  • Phishingové weby s platným TLS certifikátom, ktoré obchádzajú základné kontroly reputácie.
  • Obchádzanie bezpečnostných politík pomocou proxy serverov a VPN služieb fungujúcich cez HTTPS.

Bez inšpekcie šifrovaného prenosu organizácia stráca prehľad o väčšine svojej sieťovej prevádzky, čím vzniká vážne bezpečnostné riziko.

Ako funguje HTTPS Inspection?

HTTPS Inspection pracuje na princípe tzv. man-in-the-middle (MITM) mechanizmu, kde sa bezpečnostné zariadenie nachádza medzi klientom a cieľovým serverom:

  1. Klient sa pokúsi nadviazať šifrované spojenie s cieľovým serverom.
  2. Bezpečnostná brána toto spojenie zachytí a vytvorí si vlastné TLS spojenie so serverom.
  3. Následne vytvorí samostatné TLS spojenie so samotným klientom, pričom vydá vlastný, dynamicky generovaný certifikát (za predpokladu, že klient dôveruje internej certifikačnej autorite).
  4. Prenos je v zariadení dešifrovaný, analyzovaný a podľa definovaných politík buď povolený, alebo zablokovaný.
  5. Po schválení je komunikácia zašifrovaná späť a odoslaná cieľovému serveru.

Prínosy a možnosti detekcie

  • Zvýšená viditeľnosť nad sieťovou prevádzkou
    Umožňuje bezpečnostným tímom presne identifikovať, aký obsah sa v HTTPS komunikácii prenáša.
  • Detekcia škodlivého kódu a anomálií
    Šifrovaný malware, nežiaduce skripty alebo dátové exfiltrovacie pokusy môžu byť včas odhalené.
  • Zabezpečenie súladu s predpismi
    Pomáha pri plnení požiadaviek GDPR, NIS2, ISO 27001 a iných štandardov kybernetickej bezpečnosti.
  • DLP (Data Loss Prevention)
    Zabraňuje neautorizovanému prenosu citlivých dát cez HTTPS kanály.

Kľúčové aspekty nasadenia

  • Distribúcia internej certifikačnej autority (CA) na všetky zariadenia v sieti – klienti musia dôverovať falošným certifikátom generovaným bezpečnostnou bránou.
  • Výkonové nároky – inšpekcia TLS spojení si vyžaduje značné výpočtové kapacity, predovšetkým pri väčšom počte súbežných relácií.
  • Vynímky – určité typy komunikácie, ako internetové bankovníctvo alebo zdravotnícke aplikácie, by mali byť z inšpekcie vylúčené z dôvodu zákonných obmedzení.

HTTPS Inspection je dnes kľúčovou súčasťou moderných bezpečnostných stratégií vo firemnom prostredí. V kombinácii s ďalšími opatreniami – ako sú firewall, sandboxing, reputačné databázy a behaviorálna analýza – poskytuje komplexnú ochranu pred sofistikovanými kybernetickými hrozbami ukrytými v šifrovanej komunikácii.

Praktické nasadenie: HTTPS Inspection v prostredí Check Point

Medzi najčastejšie využívané riešenia v enterprise segmente patrí Check Point – známy svojou robustnosťou, granulárnym riadením politík a vysokou úrovňou integrácie so zvyškom bezpečnostného ekosystému.

V nasledujúcej časti článku sa budeme venovať praktickému nasadeniu HTTPS Inspection v prostredí Check Point Security Gateway, kde si ukážeme:

  • ako správne nakonfigurovať inšpekciu TLS komunikácie,
  • ako distribuovať interný certifikát do firemných zariadení,
  • a ako nastaviť výnimky, ktoré zaručia súlad so zákonnými požiadavkami a funkčnosť kritických aplikácií.

Krok 1: Zapnutie URL Filtering v Check Point SmartConsole

Na obrázku vidíme konfiguračné okno pre Virtual System Cluster Properties (konkrétne firewall fw_cloud), kde sa aktivujú jednotlivé bezpečnostné moduly (tzv. blades).

Popis postupu:

  1. Otvor si SmartConsole a pre daný virtuálny systém (napr. VSX) klikni pravým tlačidlom a zvoľ Edit.
  2. V ľavom menu klikni na sekciu „Network Security“.
  3. V časti Access Control zaškrtni možnosť „URL Filtering“.

Čo to spôsobí:

Aktiváciou URL Filtering blade umožníš, aby firewall:

  • analyzoval navštevované webové adresy (URL),
  • porovnával ich s Check Point reputačnou databázou (Security Intelligence),
  • umožnil vytvárať politiky prístupu na základe kategórií (napr. „Social Networks“, „Gambling“, „Malware Sites“ atď.),
  • poskytoval reporty o webovej aktivite používateľov.

Súvis s HTTPS Inspection:

URL Filtering spolu s HTTPS Inspection dokáže analyzovať celé URL aj v šifrovanej komunikácii, nielen doménu. To je možné len vtedy, keď je HTTPS komunikácia dešifrovaná (man-in-the-middle), takže firewall vidí celú požiadavku – nielen example.com, ale aj /login či /malware.exe.

Krok 2: Zapnutie HTTPS Inspection v Check Point Gateway

Toto nastavenie umožňuje aktiváciu inšpekcie šifrovanej HTTPS komunikácie pre Outbound (odchádzajúce) spojenia. Cieľom je, aby firewall mohol dešifrovať, analyzovať a kontrolovať obsah HTTPS prenosu.

Step 1: Výber certifikačnej autority (Outbound CA certificate)

V tejto časti sa definuje, ktorý CA certifikát bude brána používať na vydávanie dynamických (falošných) certifikátov pre klientov:

  • Use the global setting: Použije sa centrálne definovaný certifikát (v administrácii SmartDashboard alebo SmartConsole).
  • Override global setting: Umožňuje výber vlastného CA certifikátu špecificky pre tento virtuálny systém (VSX), ak má byť nezávislý od globálnych nastavení.

🔸 CA certifikát musí byť dôveryhodný pre všetky klientské zariadenia – inak budú používateľom zobrazované chyby SSL (napr. v prehliadači).

Step 2: Nasadenie certifikátu do klientských zariadení

Po výbere CA certifikátu v kroku 1 je nevyhnutné zabezpečiť, aby všetky klientské zariadenia dôverovali tejto certifikačnej autorite. Bez tohto kroku nebude môcť Check Point bezpečnostná brána dôveryhodne generovať certifikáty pre dešifrovanie TLS spojení, čo spôsobí chyby v prehliadačoch a aplikáciách (napr. „Your connection is not private“, NET::ERR_CERT_AUTHORITY_INVALID).

Tento krok upozorňuje, že CA certifikát použitý v kroku 1 je potrebné:

  • exportovať kliknutím na Export certificate…,
  • a importovať do dôveryhodných certifikátov vo všetkých koncových zariadeniach (napr. cez GPO v doméne).

Bez toho sa HTTPS Inspection technicky zapne, ale funkčne zlyhá, pretože klienti odmietnu falošné certifikáty vydané gatewayom.

Manuálne nasadenie na Windows zariadenie (jednorazové testovanie)

Tento postup je vhodný na testovanie alebo v menších prostrediach bez domény.

  • Dvakrát klikni na exportovaný certifikát (.cer súbor).
  • Klikni na tlačidlo Inštalovať certifikát.
  • Zvoľ možnosť Lokálny počítač (vyžaduje administrátorské práva).
  • Zvoľ možnosť Umiestniť všetky certifikáty do nasledovného úložiska.
  • Vyber Dôveryhodné koreňové certifikačné autority.
  • Dokonči inštaláciu.

Po tomto kroku bude Windows aj jeho prehliadače (Chrome, Edge) dôverovať MITM certifikátom vygenerovaným firewallom.

Step 3: Aktivácia inšpekcie

  • ☑ Enable HTTPS Inspection – týmto sa HTTPS Inspection skutočne aktivuje.
  • Deployment Mode:
    • Full inspection – všetka outbound HTTPS komunikácia bude dešifrovaná a analyzovaná (produkčný režim).
    • Learning mode – len vzorka prenosu sa analyzuje bez zásahu, slúži na testovanie vplyvu a kompatibility.

Krok 3: Definovanie pravidiel v Outbound HTTPS Inspection Policy

Táto sekcia umožňuje nastaviť presné pravidlá, podľa ktorých Check Point rozhodne, či má:

  • komunikáciu dešifrovať a analyzovať (Inspect),
  • alebo ju ponechať bez zásahu (Bypass).

Vysvetlenie polí v tabuľke:

PoleVýznam
No.Poradie pravidla – pravidlá sa vyhodnocujú zhora nadol.
NameNázov pravidla.
SourceZdroj – zvyčajne Any, teda akýkoľvek interný klient.
DestinationCieľ – často Internet, čo znamená akékoľvek externé spojenie.
ServicesTyp služby (napr. HTTPS, HTTP_and_HTTPS_proxy atď.).
Category / Custom AppsWebové kategórie alebo aplikácie, ktoré sa pravidlom riadia.
ActionČo sa má s komunikáciou urobiť: Inspect alebo Bypass.
TrackZáznam do logu.
Install OnNa ktorú gateway (VSX) sa pravidlo inštaluje.
CommentPoznámky – často uvádzajú dôvod výnimky alebo odkazy na politiku.

Na spodku je uvedené:

Unmatched traffic will be bypassed.

To znamená, že ak sa komunikácia nezhoduje so žiadnym pravidlom v tejto politike, bude automaticky vyňatá z inšpekcie. Preto je dôležité mať „defaultné pravidlo“ ako posledné – s akciou Inspect, aby nič neuniklo kontrole.

Zhrnutie odporúčaného postupu:

  1. Začni výnimkami – definuj, čo sa nemá inšpektovať (napr. banky, zdravotníctvo, vláda).
  2. Zadefinuj konkrétne kategórie, ktoré sa musia kontrolovať (napr. pornografia, hazard, anonymizéry).
  3. Pridaj posledné pravidlo Inspect Any, aby bolo všetko ostatné pod kontrolou.
  4. Sleduj logy a testuj kompatibilitu – niektoré aplikácie nemusia zniesť dešifrovanie (napr. niektoré VPN klienty, bankové portály).

Krok 4: Overenie a sledovanie HTTPS Inspection cez logy

Po zapnutí inšpekcie a nastavení pravidiel je nevyhnutné monitorovať jej činnosť cez logy, ktoré poskytujú detailný prehľad o dešifrovanej komunikácii a detekovaných hrozbách.

Overenie správnej funkčnosti na klientovi

Po importe CA certifikátu do systému je dôležité overiť, že:

  1. HTTPS komunikácia je zachytávaná firewallom (MITM funguje).
  2. Používateľ nevidí žiadne varovania v prehliadači.
  3. Certifikát webovej stránky je vydaný internou CA (teda tou, ktorú používa Check Point).

Ako overiť funkčnosť:

  1. Otvor v prehliadači HTTPS stránku, napríklad https://www.youtube.com.
  2. Klikni na zámok vedľa URL adresy a zobraz detail o zabezpečení.
  3. Uvidíš niečo ako: ✅ You are securely connected to this site.
    🔒 Verified by: fw-xyz.localdomain
    ℹ️ „Mozilla does not recognize this certificate issuer. It may have been added from your operating system or by an administrator.“

Čo to znamená?

  • Prehliadač rozpoznal, že certifikát nepochádza od globálnej verejnej CA, ale od internej CA, ktorú vygeneroval Check Point.
  • Zobrazenie „Verified by: fw-[názov]“ znamená, že TLS spojenie bolo MITM zachytené a nový certifikát bol správne vygenerovaný a akceptovaný klientom.
  • Firefox zobrazí dodatočné info o tom, že certifikát nepozná – čo je v poriadku, pokiaľ ho klient akceptuje a nezobrazuje chybu.

CEO at  | martin.hasin@gmail.com | Website |  + posts

Odborník na kybernetickú bezpečnosť, správu Azure Cloud a VMware onprem. Využíva technológie, ako Checkmk a MRTG, na monitorovanie siete a zvyšovanie efektívnosti a bezpečnosti IT infraštruktúry. Kontakt: hasin(at)mhite.sk

Checkpoint Tags:, ,

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *