Bu makale sizlere DPI-SSL servisi ile SonicWall’un Derin Paket İnceleme teknolojisini genişleterek şifreli SSL trafiğinin ve diğer SSL tabanlı trafik denetiminin yapılmasına olanak tanır. SSL trafiği şeffaf olarak çözülür, tehditlere karşı taranır ve daha sonra yeniden şifrelenir ve hiçbir tehdit veya güvenlik açığı bulunmuyorsa kendi hedefine gönderilir. DPI-SSL, şifreli HTTPS’i ve diğer SSL tabanlı trafiği analiz etmek için ek güvenlik, uygulama kontrolü sağlar.
Aşağıdaki güvenlik servisleri ve özellikleri DPI-SSL’i kullanabilmektedirler:
Gateway Anti-Virus
Gateway Anti-Spyware
Intrusion Prevention
Content Filtering
Application Firewall
Packet Capture
Packet Mirror
Client DPI-SSL dağıtım senaryosu, genellikle LAN üzerindeki istemciler WAN’da bulunan içeriğe göz attığında HTTPS trafiğini incelemek için kullanılır. Yaygın olarak kullanılan sertifika Default SonicWall DPI-SSL Certificate Authority (CA) Sertifikasıdır. Sertifika güven hatalarını ortadan kaldırmak için bu sertifika tarayıcıya eklenmelidir. Chrome ve IE’da bu, Windows Sertifika Deposu’nun (Windows Certificate Store ) bir parçasıdır, ancak Firefox için bunun manuel olarak eklenmesi gerekir. Bu servisi kullanabilmeniz için lisansınızın olduğundan emin olmalısınız. DPI-SSL servisi bir kereye mahsus alınan bir lisanstır. Yapılandırma için aşağıdaki adımları uygulamaya başlayabiliriz.
- SonicWall web arayüzüne bağlanın
- Manage | Deep Packet Inspection | SSL Client Deployment adımına gelin
- Client SSL sayfasında, Enable SSL Client Inspection’ı seçiniz.
DPI-SSL Client servisi bir kez etkinleştirildiğinde, SonicWall üzerinden geçmekte olan tüm SSL trafiğini kesintisiz ve şeffaf olarak çözecektir. Tüm kullanıcıların, SSL yaptığı trafiklerde “Sertifika Güven” uyarısı ile karşılaşacaktır. Hangi güvenlik Servisleri üzerinden SSL analizi yapılmak isteniyorsa onu seçmeniz yeterli olacaktır.
“Sertifika güven” hatalarını önlemek ve yeniden imzalama sertifika yetki belgesinin sertifikaları başarıyla yeniden imzalamasını sağlamak için tarayıcıların bu sertifika yetki belgesine güvenmeleri gerekmektedir.
Manage | Deep Packet Inspection | SSL Client Deployment | Certificate sayfasında, Default SonicWall DPI-SSL Certificate Authority (CA) certificate’i indirmek için (download) linkine tıklayın.
Sertifikayı tarayıcıya eklemek için, aşağıdakileri yapın:
- Internet Explorer: Tools | Internet Options’a gidin, Content sekmesine tıklayın ve Certificates’e tıklayın.
Trusted Root Certification Authorities sekmesine tıklayın ve Import’a tıklayın. Sertifika Ekleme Sihirbazı (Certificate Import Wizard) sertifikayı eklerken size yol gösterecektir.
- Firefox: Tools | Options’a gidin, Advanced sekmesine ve ardından Encryption sekmesine tıklayın. View
Certificates’e tıklayın, Authorities sekmesini seçin ve Import’a tıklayın. Sertifika dosyasını seçin,
Trust this CA to identify websites onay kutusunun seçili olduğundan emin olun ve OK butonuna tıklayın.
- Mac: Sertifika dosyasını çift tıklayın, Keychain menüsünü seçin, X509 Anchors’a tıklayın ve ardından OK’ye tıklayın. Sistem kullanıcı adını ve şifresini girin ve OK’ye tıklayın.
Nasıl Test Edilir:
SonicWall’da bir paket yakalamaya başlayın. Packet Monitor ‘ün Advanced sekmesinin altında olan Monitor intermediate SSL decrypted traffic ‘i etkinleştirdiğinizden emin olun. https://mail.google.com veya başka herhangi bir HTTPS web sitesine gidin. Yakalama dosyasını açın. Hem HTTPS hem de HTTP trafiğini aşağıdaki gibi görebileceksiniz:
Aşağıdaki ekran görüntüsü şifresi çözülen ESMTP (465) trafiğinin bir örneğidir:
Yorumlar
Yorum Gönder