안녕하세요! 커뮤니티 여러분?
오늘은 Secure Firewall OS 7.2 버전에서 새로 추가된 TLS 1.3 Decryption기능에 대해서 알아보겠습니다.
데모 구성도:
데모 장비 및 버전:
SFMCv - 7.2.2(build 54)
SFTDv - 7.2.2(build 54)
TLS 1.3 요구사항 :
- Secure Firewall Threat Defense and Management Center OS Version – 7.2 or higher
- IPS Engine – Snort 3 only
- FMC GUI 에서만 설정가능
TLS 1.3 소개 :
- Snort3 와 함께 Decryption 동작
- Decryption Features
- IPS, File, Malware 탐지
- HTTP 1.1 과 HTTP 2 지원
- Resign 과 Known Key decryption 지원
TLS 1.3 decryption configuration :
Inside Client 10.0.1.101 IP 확인
https://eicar.org/download-anti-malware-testfile/ 접속
Ctrl+Shift+I (컨트롤+쉬프트+영문i) 입력 > 오른쪽 새로운 창이 열리면 Security 탭 클릭
View Certificate 클릭
인증서 발행 기관 확인
윈도우10은 Defender 기능으로 eicar malware 파일을 차단합니다. 그러므로, 실시간 윈도우 Defender 기능을 끄고 테스트를 하셔야 합니다.
아래와 같이 윈도우 Defender 기능을 꺼주시기 바랍니다.
키보드에서 윈도우 키를 누른후 Settings 클릭
Update & Security클릭
왼쪽 Windows Security 클릭
Virus & threat protection 클릭
Manage settings 클릭
Real-time protection is off, leaving your device vulnerable.
Cloud-delivered protection is off, Your device may be vulnerable.
두가지 항목 Off
다시 client 로 돌아와서 eicar 사이트에서 eicar_com.zip 파일이 정상적으로 다운로드 되는지 확인합니다.
이제부터 SFMC 로 돌아와서 internal internal CA를 생성하겠습니다.
Objects > Objects Management 클릭
PKI > Internal CAs 클릭
Generate CA 클릭
각 항목별 요구조건에 맞게 입력후, Generate self-signed CA 클릭
CA 생성된후, 다운로드를 위해 옆 pencil 아이콘을 클릭합니다.
Download 클릭
적절한 암호 입력후 OK 클릭
저장할 위치 선택후 다운로드
다운로드된 CA를 10.0.1.101 client 에 설치. Install PFX 선택
사용자 혹은 디바이스 선택후, Next 클릭
Next 클릭
이전 암호값 입력후, Next 클릭
위치 경로를 Trusted Root Certification Authorities 로 지정후, Next 클릭
Next 클릭
Finish 클릭
Yes 클릭
OK 클릭
SSL Policy 를 만들기 위해 Policies > SSL 클릭
New Policy 클릭
적절한 이름 입력후, Save 클릭
Add Rule 클릭
Rule Name 및 이전에 생성한 Demo-CA 선택 > SSL decryption 이 필요한 Security zone 설정
SSL decryption 이 적용될 source/destination zone 선택
SSL decryption 이 적용될 DN 입력
로그가 남도록 로그 선택 > Add 클릭
Advanced Settings 탭 클릭 > Enable TLS 1.3 Decryption 선택 > Save 클릭
생성한 SSL Policy 를 기존 사용중인 ACP 에 추가. Policies > Access Policy 클릭
SSL Policy : None 클릭
SSL policy 선택후, OK 클릭
사전에 설정된IPS Policy 확인
모든 설정 적용을 위해 Deploy All 클릭
Client 에서 eicar 사이트 재접속후, 인증서 확인
인증서가 변경된 것을 확인 할 수 있습니다.
eicar_com.zip 파일 다운로드 시도
SSL decryption 과 IPS 정책으로 파일 다운로드는 되지 않습니다.
오늘도 긴 글 읽어 주셔서 감사드리며, 다음에는 더욱 좋은 컨텐츠로 찾아 뵙겠습니다.
감사합니다!!!