Thanh Phương
Intern
Mục tiêu của bài lab là cấu hình tính năng SSL Decryption (Giải mã HTTPS) để Firewall có thể kiểm tra nội dung gói tin (Packet Inspection) bằng IPS và Malware Scanning. Quá trình này được chia làm hai kịch bản: Outbound (từ mạng nội bộ ra Internet) và Inbound (từ Internet vào máy chủ nội bộ).
Các bước cấu hình:
Import vào Chrome:
Hiện như này là ok
Import vào Firefox:
Nhấn OK là được
TEST Outbound
Mở 1 trang bất kỳ, bấm vào hình ổ khóa kế thành tìm kiếm, vào Connection is secure -> Certifcate is valid, nếu hiện Issued by như hình dưới là máy đã nhận chứng chỉ của sophos thành công
Ta sẽ lên tải 1 file chứa virus để xem kết quả: Đã decrypt gói tin và phát hiện Virus
Lưu ý: SSL/TLS inspection chỉ là "mở vỏ" để kiểm tra bên trong gói tin, bạn phải áp các chính sách Security thì nó mới có tác dụng
Dưới đây là giải thích chi tiết về nguyên lý khiến cấu hình này thất bại:
Tham khảo cấu hình IPS policy tại đây
TEST inbound:
Từ WAN truy cập vào web server ok
Nhưng khi ta tiến hành tấn công thì lập tức bị FW chặn, như vậy là luồng từ ngoài internet vào LAN đã được bảo vệ
1. Kịch bản Outbound: Kiểm soát người dùng LAN truy cập Internet
Đây là kịch bản phổ biến nhất, cho phép Firewall đóng vai trò là một Forward Proxy để kiểm tra dữ liệu người dùng tải về (ngăn chặn malware, web filter).Các bước cấu hình:
- Điều hướng đến Rules and policies > SSL/TLS inspection rules.
- Nhấp vào Add để tạo rule mới với các thông số:
- Rule name: Decrypt_Outbound_LAN.
- Action: Decrypt.
- Decryption profile: Maximum compatibility.
- Source zones: LAN.
- Destination zones: WAN.
- Services: HTTPS.
- Nhấn Save.
Import vào Chrome:
Hiện như này là ok
Import vào Firefox:
TEST Outbound
Mở 1 trang bất kỳ, bấm vào hình ổ khóa kế thành tìm kiếm, vào Connection is secure -> Certifcate is valid, nếu hiện Issued by như hình dưới là máy đã nhận chứng chỉ của sophos thành công
Ta sẽ lên tải 1 file chứa virus để xem kết quả: Đã decrypt gói tin và phát hiện Virus
Lưu ý: SSL/TLS inspection chỉ là "mở vỏ" để kiểm tra bên trong gói tin, bạn phải áp các chính sách Security thì nó mới có tác dụng
2. Kịch bản Inbound: Kiểm soát luồng truy cập từ WAN vào Web Server
Đối với kịch bản áp dụng SSL/TLS Inspection Rule để giải mã luồng dữ liệu từ ngoài Internet (WAN) đi vào Web Server nội bộ thông qua DNAT (Port Forwarding), cấu hình này là KHÔNG KHẢ THI về mặt kiến trúc bảo mật thực tế.Dưới đây là giải thích chi tiết về nguyên lý khiến cấu hình này thất bại:
Lý do 1: Lỗi "Man-in-the-Middle" và cảnh báo chứng chỉ
Tính năng SSL/TLS inspection của Sophos hoạt động bằng cách chặn gói tin, giải mã, và sau đó mã hóa lại bằng chứng chỉ CA nội bộ của Firewall.- Ở kịch bản Outbound, ta ép máy nội bộ (LAN) tin tưởng chứng chỉ CA này.
- Tuy nhiên, ở kịch bản Inbound, người dùng đến từ Internet (WAN). Máy tính của người dùng trên toàn cầu không hề biết và không tin tưởng CA của con Sophos Firewall. Do đó, ngay khi họ truy cập vào IP WAN của bạn (10.0.137.170), trình duyệt sẽ lập tức chặn đứng kết nối với lỗi cảnh báo đỏ: Your connection is not private / CERT_AUTHORITY_INVALID. Web Server của bạn sẽ hoàn toàn bị cô lập khỏi Internet.
Lý do 2: Sophos chủ động khóa Zone "WAN"
Chính vì lý do kỹ thuật trên, trong giao diện tạo rule của SSL/TLS inspection rules, Sophos đã chủ động ẩn hoặc không khuyến khích việc chọn WAN làm Source Zone. Hãng thiết kế luồng DPI Engine (DPI - Deep Packet Inspection) chuyên biệt cho hướng Outbound (đi ra), nhằm tránh việc quản trị viên cấu hình sai làm sập dịch vụ web đã public.
Giải pháp thực tế cho hệ thống
Để bảo vệ các Web Server nội bộ từ luồng truy cập Internet, mình sẽ dùng FW rule với Source zones là WAN, destination là IP của WAN, sau đó ta áp dụng IPS policy vàoTham khảo cấu hình IPS policy tại đây
TEST inbound:
Từ WAN truy cập vào web server ok
Nhưng khi ta tiến hành tấn công thì lập tức bị FW chặn, như vậy là luồng từ ngoài internet vào LAN đã được bảo vệ
Đính kèm
Bài viết liên quan
Được quan tâm
Bài viết mới