SSL로 암호화된 트래픽의 payload 데이터 까지 inspection하기 위해서는 SSL Deep-Inspection 이 필요하다. SSL Certificate-inspection을 사용하게 되면, 실제 암호화된 트래픽을 검사하지 못한다.
그렇기 때문에 SSL Certificate-inspection은 SSL Handshake의 Client hello 패킷에 있는 SNI(Server Name Indicator)를 확인하다. 즉 SSL Certificate-inspection은 내부데이터에 포함된 바이러스나 공격 또는 FQDN으로 확인할 수 없는 Application은 탐지할 수 없다.
만약 SNI가 없다면, SSL인증서의 subject 또는 subject alternative name을 확인한다.
SSL인증서의 subject의 CN 값이 실제 URL과 다른 경우도 있기 때문에 예상치 못한 동작을 일으킬수도 있다.
예를 들어 SNI 가 없고, subject의 CN값이 "daum.net" 인 경우, WebFilter에서 "*.daum.net"에 대해 URL FIlter를 적용하면 매치되지 않는다. CN값은 "daum.net" 인데, 필터링은 "*.daum.net" 이기 때문에 "." 차이로 매치되지 않는다.
FortiOS v7.0.1 이상에서는 GUI 로그에서도 확인가능하다.
'FortiGate > Security Profile' 카테고리의 다른 글
| IPS : 'socket size' 와 'fail-open' (0) | 2021.10.28 |
|---|---|
| SSL Deep Inspection 사용시 GoToMeeting 안되는 경우 (0) | 2021.08.30 |
| WebFilter : cache, cache TTL, URL category 확인 방법 (0) | 2021.08.04 |
| v6.4.0 부터 Antivrius의 normal 데이터베이스 없어짐 (0) | 2021.07.30 |
| v6.4.1 : File Filter 분리 (0) | 2021.07.28 |
댓글