SSL Inspection és certificate pinning

Hálózatok egyéb

Sziasztok,

Egy Zyxel tűzfalat masszírozok, és ezen belül is az SSL Inspection bekapcsolása okoz fejtörést.

Ugyebár ilyenkor minden eszközre telepíteni kell a tűzfal tanúsítványát, és ezzel a HTTPS kapcsolatokat feloldja és ellenőrizheti az AV/IDP, stb.

Nade van a QUIC, (ezt letiltottam), van a certificate pinning és az Android/IOS appok. Azt már tudom, hogy rengeteg site-ot jokerrel ellátva ki kell vonni az ellenőrzés alól (https://help.zscaler.com/zia/certificate-pinning-and-ssl-inspection), de van még két app, amit nem tudok megoldani egyelőre, a Messenger és a Pinterest.

Nem tudja valaki, mi a megoldás ezekre?

  • 298 megtekintés

( lpds | 2020. 10. 09., p – 01:22 )

Arra tippelek, hogy a kerdesed arra vonakozik, hogy mi legyen a joker a messenger eseten? 

*facebook.com szerintem mukodhet. 

En ugyan visszafele csinaltam - arra kertek, hogy egy laptopon tegyem lehetetlenne a messenger elereset a hasznalaja szamara (maga a hasznalo kert meg erre) es ott a relative egyszeru megoldast az lett, hogy a /etc/hosts-ba bekerult a facebook.com 127.0.0.1 es ettol meghalt az app. 

Valoszinuleg ha atengeded akkor Neked mukodni fog. Csak tipp. 

A pinteresttel nincs tapasztalatom. Soha nem ertettem meg, hogy valojaban mire jo igy nem hasznalom.  

( lcseh | 2020. 10. 09., p – 08:15 )

Az a baj ezzel, hogy túl sok mindent kell "exclude"-ba rakni. A Youtube, facebook, stb kapcsán ha a *.google.com stílusban teszek kivételt, agyoncsapok minden - a google meg facebook irányából jövő cucc ellenőrzési lehetőségét. Sem google docs, sem google drive sem semmi nem lesz szűrhető.

Az látszik egyre inkább, hogy a mobil kliensek különválasztása a megoldás, akár külön SSID/VLAN/zóna szintjén. Mást nem nagyon tehetek, mert akkor kb a fél internetet ki kell szedni. Jól kib...sztak az SSL Inspectionnel a cert pinningesek....

A külön SSID-t elvetném, az az Airtime-ból anélkül is elvisz 5-10%-ot, ha egy kliens sem használja. Marad a külön VLAN-ba rakás user ID alapon... Na fel kell kötnöm a gatyámat...