Cấu hình SSL/TLS Inspection trên Firewall Sophos XGS

Thảo luận trong 'Firewall Khác' bắt đầu bởi bacit, 14/5/24.

  1. bacit

    bacit New Member

    - Bài viết hôm nay sẽ hướng dẫn bạn cấu hình tính năng SSL/TLS Inspection trên thiết bị firewall Sophos XGS, tính năng này giúp hệ thống giám sát toàn bộ traffic mạng với Web và ứng dụng sử dụng các giap thức mã hóa (SSL, TLS…) qua đó giúp phát hiện các Threat, Viruse, Ransomware được truyền thông qua các kết nối được mã hóa này và thực hiện các kết nối bảo mật giữa các client và server trên internet.
    [​IMG]
    THỰC HIỆN CẤU HÌNH SSL/TLS INSPECTION:

    Bước 1: Bật SSL/TLS Inspection lên:

    Đăng nhập vào WebGUI của Sophos XGS bằng tài khoản admin.

    Đi vào PROTECT > Rules and policies -> SSL/TLS inspections rules -> click vào thanh trượt SSL/TLS inspection và click Add để thêm một SSL/TLS rule mới.
    [​IMG]
    Bước 2: Cấu hình SSL/TLS Inspection:

    Điền tên cho SSL/TLS Inspection rule mới

    Action: chọn Decrypt

    Chọn ô Log connections

    Decryption profile -> click Create new
    • Điền tên cho Decryption profile mới
    • Re-signing certificate authority > chọn Use CAs defined in SSL/TLS settings
    • Non-decryptable traffic: chọn Drop trong tất cả các mục để ngăn traffic không được unencrypt đi vào
    • Block action: chọn Reject & notify
    • Click Save
    [​IMG]

    [​IMG]

    [​IMG]

    [​IMG]
    Ở trang Rules and Policy, trong mục SSL/TLS inspection rule. Click thanh trượt để tắt rule Exclusions the website đi.
    [​IMG]
    Bước 3: Tạo firewall rule quét giao thức HTTP và decrypt traffic HTTPS:

    Trong rule cho traffic từ LAN sang WAN, chọn Scan HTTP and decrypted HTTPS

    Click Save.
    [​IMG]
    Bước 4: Kiểm tra kết nối trên PC Client:

    Trên thiết bị PC Client, lúc này nếu truy cập vào một trang web bất kỳ. Một trang cảnh báo lỗi sẽ hiện ra trên trình duyệt của cả 2 PC.
    [​IMG]
    Bước 5: Xem log được ghi trên Sophos XGS khi cả hai PC chưa được thêm certificate:

    Quay trở lại trang GUI của firewall Sophos, vào Log Viewer bạn sẽ thấy các log như hình dưới.

    Từ PC nếu traffic không thể được decrypt thì bị drop bỏ, do đó dẫn đến việc truy cập web sẽ bị lỗi.
    [​IMG]
    Thông báo trên Dashboard
    [​IMG]

    Bước 6: Download certificate từ Sophos XGS:

    Đi vào phần SYSTEM > chọn Certificates > Certificate authorities > click vào biểu tượng download trong SecurityAppliance_SSL_CA
    [​IMG]
    Bước 7: Thêm Sophos Certificate này vào PC1:

    Trên PC1, vào thư mục chứa file certificate vừa tải về. Double-click vào certificate đó một cửa sổ cài đặt sẽ hiện ra, ở đây click Next.
    [​IMG] [​IMG]
    Trong cửa sổ Certificate Store, click Browse > chọn thư mục Trusted Root Certification Authorities và click tiếp Next > Finish.
    [​IMG] [​IMG]
    Một thông báo sẽ hiện lên chọn Yes rồi sau đó OK.
    [​IMG]

    [​IMG]
    Bước 8. Kiểm tra truy cập tới trang web trên PC1 và PC2:

    PC1 > Sau khi đã thêm certificate vào, bạn có thể truy cập web được.
    [​IMG]
    PC2 > Vẫn chưa được thêm certificate > kết quả vẫn báo lỗi truy cập tới website.
    [​IMG]
    Kiểm tra log và dashboard một lần nữa.

    [​IMG]

    [​IMG]

    [​IMG]

    [​IMG]

    Cám ơn bạn đã theo dõi bài viết này, chúc các bạn thực hiện thành công!
     
    bacit, 14/5/24
    #1

trang này