구매 혹은 리뉴얼하기
구매 혹은 리뉴얼하기
취소
제안사항 사용
자동 제안 기능은 사용자가 입력함에 따라 가능한 일치 항목을 제안하여 검색 결과를 신속하게 좁히는 데 도움이 됩니다.
다음에 대한 결과 표시 
다음에 대한 검색 
다음을 의미합니까? 
cancel
새 글 작성하기
479
VIEWS
0
Helpful
0
의견

Secure Firewall – New Features – TLS 1.3 Decryption

Kai Shin
Cisco Employee
Cisco Employee

날짜: ‎01-16-2023 09:28 AM

안녕하세요! 커뮤니티 여러분?

오늘은 Secure Firewall OS 7.2 버전에서 새로 추가된 TLS 1.3 Decryption기능에 대해서 알아보겠습니다.

 

데모 구성도:

KaiShin_0-1673789831148.png

데모 장비 및 버전:

SFMCv - 7.2.2(build 54)

SFTDv - 7.2.2(build 54)

 

TLS 1.3 요구사항 :

  • Secure Firewall Threat Defense and Management Center OS Version – 7.2 or higher
  • IPS Engine – Snort 3 only
  • FMC GUI 에서만 설정가능

 

TLS 1.3 소개 :

  • Snort3 와 함께 Decryption 동작
  • Decryption Features
    - IPS, File, Malware 탐지
    - HTTP 1.1 HTTP 2 지원
  • Resign Known Key decryption 지원

 

TLS 1.3 decryption configuration :

 

Inside Client 10.0.1.101 IP 확인

KaiShin_52-1673790441915.png

 

https://eicar.org/download-anti-malware-testfile/ 접속

Ctrl+Shift+I (컨트롤+쉬프트+영문i) 입력 > 오른쪽 새로운 창이 열리면 Security 탭 클릭

KaiShin_3-1673789944270.png

 

View Certificate 클릭

KaiShin_4-1673789952186.png

 

인증서 발행 기관 확인

KaiShin_5-1673789963150.png

 

윈도우10Defender 기능으로 eicar malware 파일을 차단합니다. 그러므로, 실시간 윈도우 Defender 기능을 끄고 테스트를 하셔야 합니다.

아래와 같이 윈도우 Defender 기능을 꺼주시기 바랍니다.

키보드에서 윈도우 키를 누른후 Settings 클릭

KaiShin_6-1673789973198.png

 

Update & Security클릭

KaiShin_7-1673790021539.png

 

왼쪽 Windows Security 클릭

KaiShin_8-1673790028160.png

 

Virus & threat protection 클릭

KaiShin_9-1673790034911.png

 

Manage settings 클릭

KaiShin_10-1673790043894.png

 

Real-time protection is off, leaving your device vulnerable.

Cloud-delivered protection is off, Your device may be vulnerable.

두가지 항목 Off

KaiShin_11-1673790057370.png

 

다시 client 로 돌아와서 eicar 사이트에서 eicar_com.zip 파일이 정상적으로 다운로드 되는지 확인합니다.

KaiShin_12-1673790068860.png

 

이제부터 SFMC 로 돌아와서 internal internal CA를 생성하겠습니다.

Objects > Objects Management 클릭

KaiShin_13-1673790079736.png

 

PKI > Internal CAs 클릭

KaiShin_14-1673790092040.png

 

Generate CA 클릭

KaiShin_15-1673790098938.png

 

각 항목별 요구조건에 맞게 입력후, Generate self-signed CA 클릭

KaiShin_16-1673790121848.png

 

CA 생성된후, 다운로드를 위해 옆 pencil 아이콘을 클릭합니다.

KaiShin_17-1673790142820.png

 

Download 클릭

KaiShin_18-1673790150765.png

 

적절한 암호 입력후 OK 클릭

KaiShin_19-1673790163171.png

 

저장할 위치 선택후 다운로드

KaiShin_20-1673790169676.png

 

다운로드된 CA10.0.1.101 client 에 설치. Install PFX 선택

KaiShin_21-1673790174843.png

 

사용자 혹은 디바이스 선택후, Next 클릭

KaiShin_22-1673790181741.png

 

Next 클릭

KaiShin_23-1673790188382.png

 

이전 암호값 입력후, Next 클릭

KaiShin_24-1673790195036.png

 

위치 경로를 Trusted Root Certification Authorities 로 지정후, Next 클릭

KaiShin_25-1673790201763.png

 

Next 클릭

KaiShin_26-1673790210380.png

 

Finish 클릭

KaiShin_27-1673790217150.png

 

Yes 클릭

KaiShin_28-1673790224512.png

 

OK 클릭

KaiShin_29-1673790231330.png

 

SSL Policy 를 만들기 위해 Policies > SSL 클릭

KaiShin_30-1673790237921.png

 

New Policy 클릭

KaiShin_31-1673790246365.png

 

적절한 이름 입력후, Save 클릭

KaiShin_32-1673790260059.png

 

Add Rule 클릭

KaiShin_33-1673790266629.png

 

Rule Name 및 이전에 생성한 Demo-CA 선택 > SSL decryption 이 필요한 Security zone 설정

KaiShin_34-1673790273224.png

 

SSL decryption 이 적용될 source/destination zone 선택

KaiShin_35-1673790279709.png

 

SSL decryption 이 적용될 DN 입력

KaiShin_36-1673790286573.png

 

로그가 남도록 로그 선택 > Add 클릭

KaiShin_37-1673790293262.png

 

Advanced Settings 탭 클릭 > Enable TLS 1.3 Decryption 선택 > Save 클릭

KaiShin_38-1673790299613.png

 

생성한 SSL Policy 를 기존 사용중인 ACP 에 추가. Policies > Access Policy 클릭

KaiShin_39-1673790306199.png

 

SSL Policy : None 클릭

KaiShin_40-1673790312706.png

 

SSL policy 선택후, OK 클릭

KaiShin_41-1673790319251.png

 

사전에 설정된IPS Policy 확인

KaiShin_42-1673790326359.png

 

모든 설정 적용을 위해 Deploy All 클릭

KaiShin_43-1673790333684.png

 

Client 에서 eicar 사이트 재접속후, 인증서 확인

KaiShin_44-1673790340524.png

 

인증서가 변경된 것을 확인 할 수 있습니다.

KaiShin_45-1673790354667.png

 

eicar_com.zip 파일 다운로드 시도

KaiShin_46-1673790361611.png

 

SSL decryption IPS 정책으로 파일 다운로드는 되지 않습니다.

KaiShin_47-1673790370469.png

KaiShin_48-1673790377201.png

KaiShin_49-1673790392810.png

KaiShin_50-1673790398864.png

KaiShin_51-1673790405953.png

 

오늘도 긴 글 읽어 주셔서 감사드리며, 다음에는 더욱 좋은 컨텐츠로 찾아 뵙겠습니다.

감사합니다!!!

 

레이블:
0 Helpful
시작하기

상단의 검색창에 키워드, 문구, 또는 질문을 입력하여 궁금한 내용을 찾아보세요.

이곳에서의 여러분의 여정이 훌륭하기를 바랍니다! 시스코 커뮤니티에 빠르게 익숙해지는 데 도움이 되는 몇 가지 링크를 준비했습니다.

빠른 링크

커뮤니티를 보다 손쉽게 둘러보실 수 있는 빠른 링크를 사용해보세요

보안 전문가에게 물어보세요 아이디어 및 뉴스 공유 기술 관련 비디오 게시 또는 보기
Customers Also Viewed These Support Documents