Sophos XG v18: Hướng dẫn cấu hình SSL/TLS Inspection trên thiết bị tường lửa Sophos XG version 18

Mục lục

1. Overview
2. Sơ đồ cấu hình
3. Tình huống triển khai
4. Hướng dẫn cấu hình
5. Thực hiện testing với 2 máy tính
6. Kết quả

I. Overview

Bài viết hướng dẫn cấu hình tính năng SSL/TLS Inspection trên thiết bị Sophos XG v18, với tính năng SSL/TLS Inspection giúp hệ thống của bạn monitor được tất cả lưu lượng hoạt động mạng với Web và App sử dụng các giao thức mã hoá trên Internet (SSL, TLS, …) điều đó giúp phát hiện các mối đe doạ, virus, ransomware được truyền qua các kết nối được mã hoá đó và thực thi các kết nối an toàn giữa clients và servers trên internet

II. Sơ đồ cấu hình

III. Tình huống triển khai

Thực hiện bật rule SSL/TLS Inspection và cấu hình policy scan HTTP và decrypt HTTPS trên thiết bị tường lửa Sophos XG

Với máy tính PC1 ta sẽ thực hiện add certificate của Sophos, để kiểm tra máy tính PC1 sau khi add Sophos certificate thì các lưu lượng mạng của PC1 có được giải mã không

Với máy tính PC2 ta sẽ không add certificate của Sophos, để kiểm tra máy tính PC2 sẽ bị drop các lưu lượng mà Sophos không thể giải mã

Mobile sẽ không add certificate của Sophos, để kiểm tra thiết bị di động sẽ bị drop các lưu lượng mà Sophos không thể giải mã

IV. Hướng dẫn cấu hình

• Đăng nhập vào thiết bị Sophos XG với tài khoản Admin
• Vào mục PROTECT -> Chọn Rules and policies -> Vào SSL/TLS inspection rules -> Bật SSL/TLS inspection và nhấn Add để tạo 1 SSL/TLS Inspection rule mới

• Đặt tên cho SSL/TLS Inspection Rule name
• Ở mục Action: Chọn Decrypt
• Tick vào mục Log connections
• Ở mục Decryption profile -> Nhấn Create new
  • Đặt tên cho Decryption profile
  • Ở mục Re-signing certificate authority -> Chọn Use Cas defined in SSL/TLS settings
  • Ở mục Non-decryptable traffic: Chọn Drop ở tất cả các mục để không cho những traffic không được giải mã không được đi trong hệ thống
  • Ở mục Block action -> Chọn Reject & notify
  • Nhấn Save để lưu lại

• Ở mục Source zones: Chọn LAN
• Ở mục Source networks and devices: Chọn Any
• Ở mục Users and groups: Chọn Anybody
• Ở mục Destination zones: Chọn WAN
• Ở mục Destination networks: Chọn Any
• Ở mục Services: Chọn Any
• Ở mục Categories and websites: Chọn Any

-> Nhấn Save để lưu lại

• Sau đó ta vào mục Firewall rules -> Chọn policy LAN to WAN -> Ở mục Web filtering, chọn Scan HTTP and decrypted HTTPS

V. Thực hiện testing với 2 máy tính

Sau khi tạo policy với SSL/TLS Inspection

Khi 2 máy tính truy cập mạng, sử dụng truy cập web

Cả 2 máy đều không truy cập được Web

Thực hiện Add Sophos Certificate lên máy tính 1

• Vào Certificates -> Chọn mục Certificate authorities -> Nhấn icon Download ở SecurityAppliance_SSL_CA

• Trên máy tính 1 thực hiện add Certificate đã download -> Trên thanh search, gõ mmc -> Nhấn File -> Chọn Add/Remove Snap-in…

• Chọn Certificate -> Nhấn Add -> Chọn Computer account nếu máy tính sử dụng Workgroup hoặc My user account nếu máy tính sử dụng Domain

• Chọn Local computer -> Nhấn Finish

• Vào Certificates -> Vào mục Trusted Root Certificates -> Chọn Certificates -> Chuột phải chọn All Tasks -> Nhấn Import -> Tìm kiếm đến nơi lưu Sophos Certificate đã download trước đó

• Sau khi add certificate

VI. Kết quả

Sau khi add certificate cho máy 1

Máy 1 đã truy cập web bình thường

Máy 2 vẫn không truy cập web được

Kiểm tra log

Máy 1

Máy 2