Sophos NGFW Cấu hình tính năng SSL Decryption để giải mã các traffic được mã hóa để nhằm kiểm tra sâu vào dữ liệu khi đi qua NGFW

Mục tiêu của bài lab là cấu hình tính năng SSL Decryption (Giải mã HTTPS) để Firewall có thể kiểm tra nội dung gói tin (Packet Inspection) bằng IPS và Malware Scanning. Quá trình này được chia làm hai kịch bản: Outbound (từ mạng nội bộ ra Internet) và Inbound (từ Internet vào máy chủ nội bộ).

1. Kịch bản Outbound: Kiểm soát người dùng LAN truy cập Internet​

Đây là kịch bản phổ biến nhất, cho phép Firewall đóng vai trò là một Forward Proxy để kiểm tra dữ liệu người dùng tải về (ngăn chặn malware, web filter).

Các bước cấu hình:
  1. Điều hướng đến Rules and policies > SSL/TLS inspection rules.
  2. Nhấp vào Add để tạo rule mới với các thông số:
    1782729172620.png
    1782729183085.png
    • Rule name: Decrypt_Outbound_LAN.
    • Action: Decrypt.
    • Decryption profile: Maximum compatibility.
    • Source zones: LAN.
    • Destination zones: WAN.
    • Services: HTTPS.
  3. Nhấn Save.
Yêu cầu bắt buộc (Phần Client):Vì Firewall đánh tráo chứng chỉ gốc của trang web (VD: Google) bằng chứng chỉ của chính nó, bạn bắt buộc phải tải chứng chỉ CA của Sophos (SecurityAppliance_SSL_CA) và cài đặt vào mục Trusted Root Certification Authorities trên các máy client trong vùng LAN. Nếu không, trình duyệt sẽ chặn kết nối và báo lỗi bảo mật.

Import vào Chrome:
1782729222133.png
1782729225608.png
1782729331519.png
1782729339721.png
1782729347604.png


Hiện như này là ok
1782729368878.png


Import vào Firefox:
1782729433315.png
1782729645205.png
1782729645158.png

1782729658707.png
Nhấn OK là được

TEST Outbound
Mở 1 trang bất kỳ, bấm vào hình ổ khóa kế thành tìm kiếm, vào Connection is secure -> Certifcate is valid, nếu hiện Issued by như hình dưới là máy đã nhận chứng chỉ của sophos thành công
1782730152271.png


Ta sẽ lên tải 1 file chứa virus để xem kết quả: Đã decrypt gói tin và phát hiện Virus
1782730334925.png
1782730369609.png
1782730356439.png


Lưu ý: SSL/TLS inspection chỉ là "mở vỏ" để kiểm tra bên trong gói tin, bạn phải áp các chính sách Security thì nó mới có tác dụng

2. Kịch bản Inbound: Kiểm soát luồng truy cập từ WAN vào Web Server​

Đối với kịch bản áp dụng SSL/TLS Inspection Rule để giải mã luồng dữ liệu từ ngoài Internet (WAN) đi vào Web Server nội bộ thông qua DNAT (Port Forwarding), cấu hình này là KHÔNG KHẢ THI về mặt kiến trúc bảo mật thực tế.

Dưới đây là giải thích chi tiết về nguyên lý khiến cấu hình này thất bại:

Lý do 1: Lỗi "Man-in-the-Middle" và cảnh báo chứng chỉ​

Tính năng SSL/TLS inspection của Sophos hoạt động bằng cách chặn gói tin, giải mã, và sau đó mã hóa lại bằng chứng chỉ CA nội bộ của Firewall.
  • Ở kịch bản Outbound, ta ép máy nội bộ (LAN) tin tưởng chứng chỉ CA này.
  • Tuy nhiên, ở kịch bản Inbound, người dùng đến từ Internet (WAN). Máy tính của người dùng trên toàn cầu không hề biết và không tin tưởng CA của con Sophos Firewall. Do đó, ngay khi họ truy cập vào IP WAN của bạn (10.0.137.170), trình duyệt sẽ lập tức chặn đứng kết nối với lỗi cảnh báo đỏ: Your connection is not private / CERT_AUTHORITY_INVALID. Web Server của bạn sẽ hoàn toàn bị cô lập khỏi Internet.
1782730656444.png
1782730662552.png


Lý do 2: Sophos chủ động khóa Zone "WAN"​

Chính vì lý do kỹ thuật trên, trong giao diện tạo rule của SSL/TLS inspection rules, Sophos đã chủ động ẩn hoặc không khuyến khích việc chọn WAN làm Source Zone. Hãng thiết kế luồng DPI Engine (DPI - Deep Packet Inspection) chuyên biệt cho hướng Outbound (đi ra), nhằm tránh việc quản trị viên cấu hình sai làm sập dịch vụ web đã public.
1782730734675.png


Giải pháp thực tế cho hệ thống​

Để bảo vệ các Web Server nội bộ từ luồng truy cập Internet, mình sẽ dùng FW rule với Source zones là WAN, destination là IP của WAN, sau đó ta áp dụng IPS policy vào
Tham khảo cấu hình IPS policy tại đây
1782730963385.png


1782730969248.png





TEST inbound:
Từ WAN truy cập vào web server ok
1782731142636.png




Nhưng khi ta tiến hành tấn công thì lập tức bị FW chặn, như vậy là luồng từ ngoài internet vào LAN đã được bảo vệ
1782731273644.png
1782731304848.png
 

Đính kèm

  • 1782729635243.png
    1782729635243.png
    129.1 KB · Lượt xem: 0
Back
Top