Mục lục
- Overview
- Sơ đồ cấu hình
- Tình huống triển khai
- Hướng dẫn cấu hình
- Thực hiện testing với 2 máy tính
- Kết quả
I. Overview
Bài viết hướng dẫn cấu hình tính năng SSL/TLS Inspection trên thiết bị Sophos XG v18, với tính năng SSL/TLS Inspection giúp hệ thống của bạn monitor được tất cả lưu lượng hoạt động mạng với Web và App sử dụng các giao thức mã hoá trên Internet (SSL, TLS, …) điều đó giúp phát hiện các mối đe doạ, virus, ransomware được truyền qua các kết nối được mã hoá đó và thực thi các kết nối an toàn giữa clients và servers trên internet
II. Sơ đồ cấu hình
III. Tình huống triển khai
Thực hiện bật rule SSL/TLS Inspection và cấu hình policy scan HTTP và decrypt HTTPS trên thiết bị tường lửa Sophos XG
Với máy tính PC1 ta sẽ thực hiện add certificate của Sophos, để kiểm tra máy tính PC1 sau khi add Sophos certificate thì các lưu lượng mạng của PC1 có được giải mã không
Với máy tính PC2 ta sẽ không add certificate của Sophos, để kiểm tra máy tính PC2 sẽ bị drop các lưu lượng mà Sophos không thể giải mã
Mobile sẽ không add certificate của Sophos, để kiểm tra thiết bị di động sẽ bị drop các lưu lượng mà Sophos không thể giải mã
IV. Hướng dẫn cấu hình
- Đăng nhập vào thiết bị Sophos XG với tài khoản Admin
- Vào mục PROTECT -> Chọn Rules and policies -> Vào SSL/TLS inspection rules -> Bật SSL/TLS inspection và nhấn Add để tạo 1 SSL/TLS Inspection rule mới
- Đặt tên cho SSL/TLS Inspection Rule name
- Ở mục Action: Chọn Decrypt
- Tick vào mục Log connections
- Ở mục Decryption profile -> Nhấn Create new
- Đặt tên cho Decryption profile
- Ở mục Re-signing certificate authority -> Chọn Use Cas defined in SSL/TLS settings
- Ở mục Non-decryptable traffic: Chọn Drop ở tất cả các mục để không cho những traffic không được giải mã không được đi trong hệ thống
- Ở mục Block action -> Chọn Reject & notify
- Nhấn Save để lưu lại
- Ở mục Source zones: Chọn LAN
- Ở mục Source networks and devices: Chọn Any
- Ở mục Users and groups: Chọn Anybody
- Ở mục Destination zones: Chọn WAN
- Ở mục Destination networks: Chọn Any
- Ở mục Services: Chọn Any
- Ở mục Categories and websites: Chọn Any
-> Nhấn Save để lưu lại
- Sau đó ta vào mục Firewall rules -> Chọn policy LAN to WAN -> Ở mục Web filtering, chọn Scan HTTP and decrypted HTTPS
V. Thực hiện testing với 2 máy tính
Sau khi tạo policy với SSL/TLS Inspection
Khi 2 máy tính truy cập mạng, sử dụng truy cập web
Cả 2 máy đều không truy cập được Web
Thực hiện Add Sophos Certificate lên máy tính 1
- Vào Certificates -> Chọn mục Certificate authorities -> Nhấn icon Download ở SecurityAppliance_SSL_CA
- Trên máy tính 1 thực hiện add Certificate đã download -> Trên thanh search, gõ mmc -> Nhấn File -> Chọn Add/Remove Snap-in…
- Chọn Certificate -> Nhấn Add -> Chọn Computer account nếu máy tính sử dụng Workgroup hoặc My user account nếu máy tính sử dụng Domain
- Chọn Local computer -> Nhấn Finish
- Vào Certificates -> Vào mục Trusted Root Certificates -> Chọn Certificates -> Chuột phải chọn All Tasks -> Nhấn Import -> Tìm kiếm đến nơi lưu Sophos Certificate đã download trước đó
- Sau khi add certificate
VI. Kết quả
Sau khi add certificate cho máy 1
Máy 1 đã truy cập web bình thường
Máy 2 vẫn không truy cập web được
Kiểm tra log
Máy 1
Máy 2