معرفی و آموزش SSL inspection در فورتی گیت
SSL inspection در فورتی گیت | اکثر ما با HTTPS و نحوه ی محافظت آن از فعالیت های مختلف در بستر اینترنت با استفاده از رمزگذاری SSL در ترافیک وب آشنا هستیم. مزیت استفاده از https این است که داده ها را رمزگذاری نموده تا کاملا ایمن باقی بمانند. با این حال، استفاده از https خطراتی نیز به همراه دارد، زیرا از ترافیک رمزگذاری شده می توان برای دور زدن دفاع طبیعی استفاده کرد.
به عنوان مثال، ممکن است شما فایلی حاوی ویروس را دانلود نمایید، یا ممکن است یک ایمیل فیشینگ دریافت کنید که به ظاهر مشکلی نداشته باشد، اما پس از راه اندازی فایل پیوست، شروع به دانلود بدافزار بر روی کامپیوتر شما خواهد کرد. از آن جا که داده ها رمزگذاری شده اند، ممکن است از اقدامات امنیتی شبکه عبور نمایند.
به منظور محافظت از شبکه در برابر این تهدیدات، بازرسی SSL یا SSL inspection کلیدی است که فورتی گیت برای رمزگشایی داده ها، مشاهده داده های رمزگذاری شده، یافتن تهدیدات و مسدود کردن آن ها استفاده می کند. بازرسی SSL نه تنها شما را در برابر حملاتی که از https استفاده می کند، محافظت می نماید، بلکه از سایر پروتکل های رایج رمزگذاری شده مانند SMTP، POP3، IMAP و FTP نیز محاظفت می کند.
بازرسی کامل SSL ا (Full SSL inspection)
جهت اطمینان خاطر از این که تمامی محتوای رمزگذاری شده، بازرسی می شوند بهتر است از SSL inspection کامل که به آن، deep inspection نیز گفته می شود، استفاده شود. زمانی که از Full SSL inspection استفاده می شود، فورتیگیت، نقش دریافت کننده ی اصلی داده های SSL را ایفا نموده و سپس محتوا را رمزگشایی نموده و آن ها را بازرسی می نماید. سپس FortiGate محتوا را مجددا رمزگذاری نموده و آن ها را ارسال می کند.
زمانی که فورتی گیت، محتوا را مجددا رمزگذاری می نماید، از یک certificate ذخیره شده در آن فورتی گیت استفاده می کند. کاربر می بایست به این certificate اعتماد داشته باشد، تا از بروز خطاهای certificate جلوگیری به عمل آید. این که این اعتماد وجود داشته باشد یا خیر، به کاربر بستگی دارد.
دو روش برای ssl inspection کامل وجود دارد:
- Multiple clients connecting to multiple servers (اتصال چندین کلاینت به سرورهای مختلف )
- از گواهینامه CA استفاده می شود که می تواند با استفاده از منوی certificate آپلود شود.
- به طور معمول در مورد سیاست های خروجی اعمال می شود، که در آن ها مقصد ناشناخته است (مانند ترافیک معمولی وب)
- آدرس و لیست سفید وب را می توان به منظور دور زدن ssl inspection تنظیم کرد.
- Protecting SSL server (محافظت از سرور SSL)
- به منظور محافظت از یک سرور واحد، از یک server certificate استفاده می شود که می تواند با استفاده از منوی certificate آپلود شود.
- به طور معمول، در مورد سیاست های وروی و به منظور محافظت از سرورهای خارجی موجود از طریق IPهای مجازی اعمال می شود.
SSL certificate inspection چیست؟
فورتیگیت از نوع دوم SSL inspection که به SSL certificate inspection معروف است، نیز پشتیانی می کند. زمانی که certificate inspection مورد استفاده قرار می گیرد، فورتی گیت، اطلاعات مربوط به هدر (header) بسته ها را بررسی می کند.
از Certificate inspection برای تایید هویت سرورهای وب استفاده می شود و می توان به کمک آن به این اطمینان رسید که پروتکل HTTPS به عنوان یک راه حل جهت دسترسی به سایت های مسدود شده توسط وب فیلترینگ، استفاده نمی شود.
تنها ویژگی امنیتی که می توان با استفاده از حالت SSL certificate inspection ایجاد نمود، web filtering است. با این حال می توان گفت، به این دلیل که تنها packet header بازرسی می شود، پس این روش قادر به بازگو کردن ایرادهای certificate نمی باشد و به هنگام استفاده ی web filtering، یک جایگزین مناسب برای full SSL inspection محسوب می شود.
به هنگام استفاده ی SSL certificate inspection، ممکن است با توجه به تلاش FortiGate در به نمایش گذاشتن یک پیام جایگزین برای سایت هایی که از HTTPS استفاده می کنند، شما خطاهای certificate را برای سایت های مسدود شده، دریافت نمایید. به منظور جلوگیری از این خطاها، می بایست certificate که فورتی گیت برای رمزگذاری استفاده می کند، در مرورگر خود نصب نمایید. به صورت پیش فرض، همان certificate که برای SSL inspection استفاده می شود، باید نصب گردد.
- Preventing certificate warnings (CA-signed certificate).
- Preventing certificate warnings (default certificate).
- Preventing certificate warnings (self-signed)
عیب یابی
رایج ترین مشکلی که در مورد SSL inspection وجود دارد این است که زمانی که certificate، مورد اعتماد نباشد، خطاهای SSL را دریافت می کنند. این موضوع به این دلیل است که به صورت پیش فرض، فورتی گیت از certificate استفاده می کند که مورد اعتماد مشتریان نیست. بسته به این که از certificate پیش فرض فورتی گیت استفاده می کنید یا از signed certificate یا CA-signed certificate، چندین روش برای حل این مشکل وجود دارد.
بهترین اقدامات در مورد SSL inspection
از آن جا که کلیه ی ترافیک ها، باید رمزگشایی، بازرسی و رمزگذاری مجدد شوند، استفاده از SSL inspection می تواند عملکرد کلی فورتی گیت شما را کاهش دهد. برای جلوگیری از استفاده ی بیش از حد از منابع برای SSL inspection، اقدامات زیر را انجام دهید:
- Know your traffic: از میزان ترافیک مورد انتظار خود مطلع باشید و در جریان باشید که چند درصد از ترافیک شما، رمزگذاری شده است. در ضمن شما قادر به محدود کردن تعداد خط مشی هایی که ترافیک های رمزگذاری شده را مجاز می دانند، هستید.
- Be selective: از لیست سفید استفاده کنید و سیاست های خود را اصلاح کنید تا SSL inspection فقط در موارد مورد نیاز اعمال شود.
- Use hardware acceleration: مدل های فورتی گیت به همراه CP9 یا CPU، دارای پردازنده های پروتکل SSL/TLS برای بررسی محتوای SSL و شتاب دهنده ی SSL می باشند.
- Test real-world SSL inspection performance yourself: از سیاست های انعطاف پذیر فورتی گیت استفاده کنید تا SSL inspection را به تدریج اعمال کنید، نه این که آن را به یک باره فعال نمایید.