1.Tổng quan
Mức mã hóa lưu lượng mạng tiếp tục tăng đều đặn. Trong năm ngoái, tỷ lệ phần trăm các trang được tải qua HTTPS như báo cáo của Google đã tăng từ 82% lên 87% trên nền tảng Windows. Nó thậm chí còn cao hơn trên máy Mac với 93%. Với tốc độ này, chúng ta không còn xa với Internet được mã hóa TLS 100%.
Trong phần thứ hai này trong loạt bài viết về tận dụng tối đa các tính năng mới tuyệt vời trong XG Firewall v18, chúng tôi sẽ tập trung cụ thể vào các tài nguyên có sẵn cho bạn để tận dụng tối đa giải pháp Xstream TLS 1.3 inspection mới trong tường lửa XG v18.
2. Xstream TLS inspection
Ở phần cuối cùng của bài viết trước, chúng tôi đã đề cập đến kiến trúc Xstream và công cụ DPI Xstream mới trong XG Firewall v18. Giải pháp kiểm tra TLS mới là thành phần chính của kiến trúc mới và cung cấp giải mã cho lưu lượng được mã hóa TLS / SSL với sự hỗ trợ riêng cho tiêu chuẩn TLS 1.3 mới nhất.
Với hầu hết các luồng lưu lượng chuyển qua tường lửa hiện được mã hóa, việc kiểm tra TLS là hết sức quan trọng để mở ra điểm mù khổng lồ này để cho phép tường lửa thực hiện công việc của mình và kiểm tra nội dung đi vào mạng nội bộ. Như chúng ta sẽ thảo luận trong phần tiếp theo của loạt bài này, công cụ DPI có thể cực kỳ hiệu quả trong việc xác định các biến thể ransomware mới và các mối đe dọa khác, nhưng chỉ hiệu quả khi nó kiểm tra lưu lượng không được mã hóa.
3. Cách thức hoạt động ?
Các luồng lưu lượng được mã hóa được kiểm tra bởi công cụ DPI mới được chuyển đến công cụ kiểm tra TLS để giải mã trước khi được kiểm tra. Sau khi kiểm tra, luồng được mã hóa lại và gửi đến đích của nó. Nếu bạn quan tâm đến việc tìm hiểu thêm về cách mã hóa và kiểm tra TLS hoạt động, và tại sao nó lại quan trọng, tôi khuyên bạn nên xem xét hai tài sản tuyệt vời này về chủ đề:
Công cụ kiểm tra Xstream TLS mới trong XG Firewall v18 cung cấp một số lợi ích hấp dẫn làm cho nó trở thành giải pháp lý tưởng cho internet mã hóa hiện đại ngày nay:
- Hiệu suất cao với khả năng kết nối cao
- Khả năng hiển thị chưa từng có vào các luồng lưu lượng được mã hóa và lỗi bề mặt
- Công cụ dễ dàng xử lý lỗi và xử lý ngoại lệ chỉ bằng vài cú nhấp chuột
- Hỗ trợ cho TLS 1.3 mà không cần chuyển đổi xuống phiên bản TLS thấp hơn.
- Hỗ trợ cho tất cả các bộ mật mã hiện đại với xác nhận chứng chỉ mạnh mẽ
- Kiểm tra tất cả lưu lượng, ứng dụng và cổng
- Các công cụ chính sách mạnh mẽ và linh hoạt, cho phép cân bằng hoàn hảo giữa hiệu suất, quyền riêng tư và bảo vệ
4. Bắt đầu với TLS inspection
Như chúng tôi đã đề cập trong bài viết trước, việc tận dụng công cụ kiểm tra TLS mới trong XG Firewall v18 là siêu dễ dàng. Về cơ bản, nó yêu cầu kiểm tra một hộp trong tường lửa của bạn để kích hoạt nó và sau đó tạo quy tắc trên tab SSL/TLS inspection rules mới như dưới đây.
Để có cái nhìn tổng quan trong năm phút về cách tạo quy tắc kiểm tra SSL / TLS của riêng bạn, hãy xem video hướng dẫn ngắn này:
Bạn nên bắt đầu dần dần với mã hóa TLS, với một tiểu vùng hạn chế của mạng của bạn hoặc một vài hệ thống thử nghiệm. Điều này sẽ cho phép bạn xây dựng chuyên môn của mình với giải pháp kiểm tra TLS mới và khám phá các quy tắc mới, ghi nhật ký, báo cáo và các tùy chọn xử lý lỗi.
Không phải tất cả các ứng dụng và máy chủ đều hỗ trợ kiểm tra TLS đầy đủ và đúng cách, vì vậy hãy xem Trung tâm điều khiển để biết lỗi và tận dụng các công cụ tích hợp thuận tiện để loại trừ các trang web hoặc dịch vụ có vấn đề. Tường lửa XG của bạn đi kèm với hai quy tắc kiểm tra TLS được đóng gói sẵn ngoài hộp giúp loại trừ dễ dàng. Theo mặc định, họ loại trừ các miền đáng tin cậy được biết là không tương thích với giải mã TLS, chẳng hạn như iCloud, một số tên miền của Microsoft và các miền khác. Bạn có thể dễ dàng tùy chỉnh các quy tắc này trực tiếp thông qua tiện ích trên Trung tâm điều khiển khi có vấn đề phát sinh hoặc thông qua việc cập nhật trực tiếp các quy tắc loại trừ đó.
Khi bạn cảm thấy thoải mái với công cụ DPI và kiểm tra TLS, chúng tôi khuyên bạn nên áp dụng rộng rãi hơn trên mạng của mình. Khi bạn đã sẵn sàng để kiểm tra TLS rộng hơn và muốn đẩy chứng chỉ CA ra nhiều hệ thống hơn, chúng tôi khuyên bạn nên sử dụng trình hướng dẫn được tích hợp trong các công cụ quản lý chính sách nhóm Microsoft Active Directory để thực hiện công việc này nhanh chóng và dễ dàng.
Khi bạn triển khai kiểm tra TLS rộng hơn, hãy theo dõi cẩn thận các số liệu hiệu suất hệ thống tường lửa của bạn để đảm bảo phần cứng của bạn không bị tắc nghẽn. Mặc dù kiến trúc Xstream trong XG Firewall v18 mang lại hiệu suất rất lớn cho việc kiểm tra TLS, từ việc kiểm tra 0% lưu lượng được mã hóa đến 80-90% lưu lượng TLS của bạn có thể có tác động đến hiệu suất tùy thuộc vào tường lửa của bạn.
Nếu tường lửa của bạn có thể được hưởng lợi từ một số khoảng trống bổ sung, hãy xem xét làm mới phần cứng cho mô hình dung lượng cao hơn hiện tại. Bạn chắc chắn không muốn mạo hiểm KHÔNG kiểm tra lưu lượng truy cập TLS với tốc độ mà tin tặc và kẻ tấn công đang sử dụng điểm mù khổng lồ này để làm lợi thế cho chúng.