2011 FortiGate SSL İçerik Denetimi [Bu dökümanda SSL içeriğinin nasıl denetlendiği ve ayarlarının nasıl yapılandırıldığı anlatılmıştır.] v400-build0320-rev.01 RZK Mühendislik ve Bilgisayar Sistemleri 0
FortiGate () SSL İçerik Denetimi Datasheet FortiGate SSL Ayarları FortiGate üzerinden geçecek olan HTTPS, POP3S, SMTPS, IMAPS trafiklerinde SSL trafiği denetlemek için öncelikle Firewall -> Policy -> Protocol Options menüsünde kullandığımız objeyi edit ediyoruz. HTTPS için Enable Deep Scanning seçeneğini işaretliyoruz. Daha sonra bu objeyi firewall kuralımızda aktif ediyoruz. FortiGate () SSL İçerik Denetimi v400-build0320-rev.01 1
Bir banka sayfasının secure portalına giriş yaptığımızda internet browser (firefox, ie vb.) bize sertifikayı tanımadığını ve sitenin güvenli olamayacağını belirtiyor. - Firefox 4.0.1 - - Internet Explorer 9 - FortiGate () SSL İçerik Denetimi v400-build0320-rev.01 2
Çünkü artık devreye FortiGate SSL proxy girdiğinden browser bankanın SSL bilgisini değil FortiGate in SSL bilgisini görüyor. Web sitesi bankaya ait ama sertifika FortiGate e ait. - Firefox 4.0.1 - - Internet Explorer 9 - FortiGate () SSL İçerik Denetimi v400-build0320-rev.01 3
Internet Browser ın bu sertifikayı tanıması ve güvenmesi gerekir. Yoksa devamlı her secure sitede sertifika uyarısı verecektir. Bunun için FortiGate cihazımızda System -> Ceritificates Local Certificates menüsünden FortiGate e ait olan Fortinet_CA_SSLProxy sertifikasını bilgisayarımıza indiriyoruz. İndirdiğimiz Fortinet_CA_SSLProxy.cer isimli sertifika dosyasını internet browser a yüklememiz gerekiyor. Aşağıda adım adım Firefox ve Internet Explorer için yükleme aşamaları gösterilmiştir. - Firefox 4.0.1 - Firefox ta Options menüsünden Advanced-Encryption-View Certificates bölümüne girin. Authorities sekmesinden Import butonuna basın. Sertifika dosyasını seçip onaylayın. FortiGate () SSL İçerik Denetimi v400-build0320-rev.01 4
Ekrana gelen dialog penceresindeki seçenekleri işaretleyerek işlemi tamamlayın. Sertifika Firefox a yüklenmiştir. - Internet Explorer 9 - Internet Explorer da Tools Internet Options menüsüne girin. Content sekmesindeki Certificates butonuna basın. FortiGate () SSL İçerik Denetimi v400-build0320-rev.01 5
Açılan pencerede Trusted Root Ceritification Authorities sekmesinden Import butonuna basın. Next butonuna basarak devam edin. FortiGate () SSL İçerik Denetimi v400-build0320-rev.01 6
Browse butonuna basarak sertifika dosyasını seçin. Next butonuna basarak işlemlere devam edin. Next butonuna basın. FortiGate () SSL İçerik Denetimi v400-build0320-rev.01 7
Açılan ekranda Yes butonuna basın. Sertifika Internet Explorer a yüklenmiştir. Sertifika yüklendikten sonra artık browser bir uyarı yapmayacaktır. Çünkü artık FortiGate sertifikasını tanımaktadır. Aşağıda sertifika yüklemesinden sonra browserların SSL bağlantılarını görüyorsunuz. FortiGate () SSL İçerik Denetimi v400-build0320-rev.01 8
- Firefox 4.0.1 - - Internet Explorer 9 FortiGate () SSL İçerik Denetimi v400-build0320-rev.01 9
Troubleshooting TEST-FW # diagnose debug application ssl 255 TEST-FW # diagnose debug enable Results ssl_loop.c:mainloop:2953 nready=0 errno=0 ssl_loop.c:mainloop:2953 nready=0 errno=0 ssl_loop.c:mainloop:2953 nready=0 errno=0 [*]: Current connections [4/8000] <000.000000> [46508]: 192.168.1.99:51752 --> 193.254.228.215:443: [SSL SETUP ] Event - INPROGRESS_EVENT <000.000000> [46508]: 192.168.1.99:51752 --> 193.254.228.215:443: [SSL SETUP ] INPROGRESS_STATE <000.000000> [46508]: 192.168.1.99:51752 --> 193.254.228.215:443: [SSL SVRWRTRDY ] Event - SSL_SETUP_EVENT <000.000000> [46508]: 192.168.1.99:51752 --> 193.254.228.215:443: [SSL SVRWRTRDY ] SSL_SETUP_STATE <000.000000> [46508]: 192.168.1.99:51752 --> 193.254.228.215:443: [SSL LOOPEND ] Event - URLFILTER_WAIT_EVENT <000.000000> [46508]: 192.168.1.99:51752 --> 193.254.228.215:443: [SSL LOOPEND ] URLFILTER_WAIT_STATE <000.000000> [46508]: received from urlfilter -- action=4, exempt=0, epoch=1, cat=finance and Banking, msg= <000.000000> [46508]: 192.168.1.99:51752 --> 193.254.228.215:443: [SSL LOOPEND ] Event - SSL_CONTINUE_SETUP_EVENT <000.000000> [46508]: 192.168.1.99:51752 --> 193.254.228.215:443: [SSL LOOPEND ] SSL_CONTINUE_SETUP_STATE <000.000000> [46508]: 192.168.1.99:51752 --> 193.254.228.215:443: [SSL LOOPEND ] Event - SSL_SETUP_DONE_EVENT <000.000000> [46508]: 192.168.1.99:51752 --> 193.254.228.215:443: [SSL LOOPEND ] SSL_PROXY_STATE Ek Kaynaklar : http://kb.fortinet.com/kb/microsites/search.do?cmd=displaykc&doctype=kc&externalid=fd32404&sliceid=1& doctypeid=dt_kcarticle_1_1&dialogid=18091244&stateid=0%200%2018089298 http://docs.fortinet.com/fgt/handbook/40mr2/fortigate-system-admin-40-mr2.pdf RZK Mühendislik ve Bilgisayar Sistemleri 1326. Sokak (Eski 71. Sk.) No:5 / 2-4 06460 Öveçler Ankara / Türkiye Tel:+90 (312) 472 15 30 Fax:+90 (312) 472 15 40 FortiGate () SSL İçerik Denetimi v400-build0320-rev.01 10