پارتیان
دانشنامه
فایل های راهنما
پایگاه دانش
ویدئوهای آموزشی
پارتیان ابتکار پایداردانشنامهپایگاه دانشSSL Inspection در FortiGate

پایگاه دانش

SSL Inspection در FortiGate

مدت زمان مطالعه:

۲۱ خرداد ۱۴۰۵

0

0
2
SSL Inspection در FortiGate
SSL Inspection در FortiGate چیست و چه زمانی باید از Certificate Inspection یا Deep Inspection استفاده کنیم؟

SSL Inspection در FortiGate چیست و چه زمانی باید از Certificate Inspection یا Deep Inspection استفاده کنیم؟

امروزه بخش بزرگی از ترافیک وب با SSL/TLS رمزنگاری می‌شود. این موضوع از نظر محرمانگی و امنیت کاربران ضروری است، اما برای تجهیزات امنیتی یک چالش جدی ایجاد می‌کند: اگر FortiGate فقط آدرس مقصد و اطلاعات سطحی اتصال را ببیند، بسیاری از تهدیدها داخل ترافیک HTTPS پنهان می‌مانند. به همین دلیل SSL Inspection یکی از مهم‌ترین بخش‌های طراحی Security Profile در FortiGate است.

این مقاله بر اساس FortiGate / FortiOS 7.6 نوشته شده است و هدف آن این است که ادمین شبکه بداند تفاوت Certificate Inspection و Deep Inspection چیست، هرکدام برای چه سناریویی مناسب‌اند، روی Web Filter، Application Control، Antivirus و IPS چه اثری دارند و هنگام پیاده‌سازی باید به چه نکاتی توجه کند.

نکته مهم این است که SSL Inspection فقط یک گزینه برای روشن کردن نیست. اگر بدون طراحی درست فعال شود، می‌تواند باعث خطای Certificate، اختلال در برنامه‌ها، افزایش Latency، مصرف بیشتر منابع یا نارضایتی کاربران شود. بنابراین باید مرحله‌ای، محدود، مستند و متناسب با سناریوی شبکه پیاده‌سازی شود.

مروری بر این مقاله

  1. SSL Inspection در FortiGate یعنی چه؟
  2. چرا SSL Inspection برای Security Profileها مهم است؟
  3. Certificate Inspection چیست؟
  4. Deep Inspection چیست؟
  5. Protecting SSL Server چیست؟
  6. تفاوت Certificate Inspection و Deep Inspection
  7. اثر SSL Inspection روی Web Filter، Application Control، Antivirus و IPS
  8. چه زمانی از Certificate Inspection استفاده کنیم؟
  9. چه زمانی از Deep Inspection استفاده کنیم؟
  10. پیش‌نیازهای پیاده‌سازی Deep Inspection
  11. مراحل تنظیم SSL Inspection از GUI
  12. نمونه تنظیم SSL Inspection از CLI
  13. Exceptionها و ترافیک‌هایی که بهتر است Deep Inspect نشوند
  14. سناریوهای کاربردی
  15. عیب‌یابی SSL Inspection
  16. Best Practice
  17. چک‌لیست پیاده‌سازی

1. SSL Inspection در FortiGate یعنی چه؟

SSL Inspection یا SSL/SSH Inspection در FortiGate قابلیتی است که به FortiGate اجازه می‌دهد ترافیک رمزنگاری‌شده را تا حد مشخصی بررسی کند. این بررسی می‌تواند سطحی باشد؛ یعنی فقط Certificate، SNI، مقصد و اطلاعات اتصال بررسی شود، یا می‌تواند عمیق باشد؛ یعنی FortiGate ترافیک را رمزگشایی کند، محتوا را به Security Profileها بدهد و بعد دوباره برای سمت مقابل رمزنگاری کند.

Fortinet در مستندات FortiOS توضیح می‌دهد که SSL content scanning and inspection به FortiGate اجازه می‌دهد قابلیت‌هایی مثل Antivirus scanning، Web Filtering و Email Filtering را روی ترافیک رمزنگاری‌شده اعمال کند و این Profileها روی Firewall Policy قابل استفاده هستند.

نکته: در FortiOS 7.6، SSL/SSH Inspection یک Security Profile مستقل است که کنار Web Filter، Antivirus، IPS، Application Control و سایر Profileها در Firewall Policy انتخاب می‌شود. بدون انتخاب درست SSL Inspection، بسیاری از Profileها روی HTTPS فقط دید محدودی خواهند داشت.

2. چرا SSL Inspection برای Security Profileها مهم است؟

بسیاری از حملات، دانلود بدافزار، ارتباطات C2، ابزارهای Remote Access، سرویس‌های Shadow IT و حتی بعضی تکنیک‌های دور زدن Policy داخل HTTPS انجام می‌شوند. اگر FortiGate فقط لایه اتصال را ببیند، نمی‌تواند محتوای داخل صفحه، فایل دانلودی، URL کامل، بعضی Headerها یا Payload را کامل بررسی کند.

برای مثال، اگر کاربر یک فایل مخرب را از یک سایت HTTPS دانلود کند، Certificate Inspection فقط می‌تواند اطلاعات Certificate و مقصد را بررسی کند؛ اما برای اسکن محتوای فایل توسط Antivirus، معمولاً Deep Inspection لازم است. همین موضوع درباره بعضی موارد Web Filter، DLP، DNS over TLS، و تشخیص دقیق‌تر برخی Applicationها هم مطرح می‌شود.

قابلیت امنیتی بدون Deep Inspection چه محدودیتی دارد؟ با Deep Inspection چه چیزی بهتر می‌شود؟
Web Filter معمولاً دید محدودتر روی URL کامل و محتوای HTTPS دارد کنترل دقیق‌تر URL، Category و بعضی محتواهای وب
Antivirus فایل داخل HTTPS ممکن است کامل اسکن نشود امکان بررسی محتوای دانلود/آپلود رمزگشایی‌شده
Application Control تشخیص بعضی برنامه‌ها ممکن است فقط با SNI یا الگوی اتصال انجام شود تشخیص دقیق‌تر برخی برنامه‌ها، مخصوصاً روی HTTPS
IPS Payload رمزنگاری‌شده قابل مشاهده کامل نیست بررسی بهتر الگوهای حمله داخل ترافیک رمزگشایی‌شده
DLP / File Filter کنترل محتوا و فایل محدود می‌شود امکان بررسی دقیق‌تر فایل، نوع محتوا یا الگوهای حساس

3. Certificate Inspection چیست؟

Certificate Inspection سبک‌ترین مدل SSL Inspection است. در این حالت FortiGate اتصال HTTPS را کامل رمزگشایی نمی‌کند، بلکه بیشتر اطلاعات Certificate، SNI و مشخصات TLS Session را بررسی می‌کند. این مدل برای سناریوهایی مناسب است که می‌خواهید یک کنترل پایه روی ترافیک رمزنگاری‌شده داشته باشید، اما نمی‌خواهید FortiGate وارد محتوای رمزگشایی‌شده شود.

مزیت اصلی Certificate Inspection این است که ساده‌تر، سبک‌تر و کم‌ریسک‌تر از Deep Inspection است. چون FortiGate نقش Man-in-the-Middle کامل را بازی نمی‌کند، معمولاً نیازی به نصب CA داخلی روی کلاینت‌ها ندارد و احتمال خطای Certificate کمتر است.

Certificate Inspection چه چیزهایی را می‌بیند؟

  • دامنه یا Server Name Indication در بسیاری از ارتباطات
  • اطلاعات Certificate مقصد
  • اعتبار، صادرکننده و وضعیت کلی Certificate
  • برخی اطلاعات مربوط به TLS handshake

Certificate Inspection چه چیزهایی را کامل نمی‌بیند؟

  • محتوای صفحه وب داخل HTTPS
  • URL کامل بعد از دامنه
  • فایل دانلود یا آپلود شده داخل TLS
  • Payload حمله داخل درخواست رمزنگاری‌شده
  • بسیاری از Headerها و پارامترهای داخل HTTP
سناریوی مناسب: برای بیشتر کاربران عمومی، اگر فقط کنترل پایه Web Category، Application Control عمومی و کاهش ریسک بدون شکستن TLS کافی باشد، Certificate Inspection نقطه شروع مناسب‌تری است.

4. Deep Inspection چیست؟

Deep Inspection حالتی است که FortiGate بین Client و Server قرار می‌گیرد، اتصال TLS را از سمت کاربر Terminate می‌کند، محتوا را بررسی می‌کند و سپس یک اتصال رمزنگاری‌شده جداگانه به Server مقصد برقرار می‌کند. در این مدل، FortiGate برای کلاینت یک Certificate جدید صادر می‌کند که باید توسط کلاینت قابل اعتماد باشد.

Fortinet در Best Practice مربوط به SSL/TLS deep inspection توضیح می‌دهد که در Deep Inspection، FortiGate به‌عنوان واسط به SSL Server وصل می‌شود، محتوا را decrypt و inspect می‌کند و سپس Threatها را شناسایی و Block می‌کند. این مدل برای دید امنیتی عمیق‌تر کاربرد دارد، اما نیازمند طراحی Certificate و مدیریت Exceptionهاست.

Client  →  TLS Session  →  FortiGate Deep Inspection  →  TLS Session  →  Server
                 │
                 └── Decrypt / Inspect / Re-encrypt

مزیت‌های Deep Inspection

  • دید عمیق‌تر روی محتوای HTTPS
  • امکان اسکن فایل‌های دانلودی با Antivirus
  • کنترل دقیق‌تر Web Filter و URLها
  • کمک به تشخیص بهتر Applicationهای رمزنگاری‌شده
  • امکان بررسی بهتر Payload برخی حملات توسط IPS
  • کاربرد در کنترل DoH/DoT، DLP و سناریوهای حساس‌تر

چالش‌های Deep Inspection

  • نیاز به CA Certificate قابل اعتماد روی کلاینت‌ها
  • احتمال اختلال در برخی برنامه‌ها به دلیل Certificate Pinning
  • افزایش مصرف CPU، RAM و Latency
  • نیاز به Exception برای سرویس‌های حساس مثل بانک، سلامت و بعضی سرویس‌های دولتی
  • نیاز به بررسی حقوقی، حریم خصوصی و سیاست سازمان

5. Protecting SSL Server چیست؟

Protecting SSL Server برای سناریوهای Inbound استفاده می‌شود؛ یعنی زمانی که یک Web Server داخلی دارید و کاربران اینترنتی به آن وصل می‌شوند. در این حالت FortiGate با Certificate همان Server یا Certificate واردشده روی FortiGate، ترافیک ورودی به سرور را بررسی می‌کند.

این حالت با Deep Inspection کاربران به اینترنت فرق دارد. Deep Inspection معمولاً برای Outbound Traffic کاربران استفاده می‌شود، اما Protecting SSL Server برای محافظت از سرویس داخلی سازمان در برابر ترافیک ورودی HTTPS کاربرد دارد.

Internet Client  →  FortiGate  →  Internal HTTPS Server
                    │
                    └── Inspect inbound SSL traffic using server certificate
سناریوی مناسب: اگر یک وب‌سایت یا پرتال داخلی را از طریق FortiGate منتشر کرده‌اید و می‌خواهید ترافیک HTTPS ورودی به سرور بررسی شود، باید به‌جای Deep Inspection کاربران، سناریوی Protecting SSL Server را بررسی کنید.

6. تفاوت Certificate Inspection و Deep Inspection

مورد Certificate Inspection Deep Inspection
سطح بررسی اطلاعات Certificate، SNI و اتصال محتوای رمزگشایی‌شده ترافیک
نیاز به نصب CA روی کلاینت معمولاً خیر بله، برای جلوگیری از خطای Certificate
اثر روی Performance کمتر بیشتر
امکان اسکن فایل داخل HTTPS محدود بهتر و کامل‌تر
ریسک اختلال برنامه‌ها کمتر بیشتر، مخصوصاً با Certificate Pinning
سناریوی مناسب کنترل عمومی کاربران، Performance بالا، ریسک کم واحدهای حساس، کنترل فایل، DLP، شناسایی دقیق‌تر Threatها

7. اثر SSL Inspection روی Web Filter، Application Control، Antivirus و IPS

SSL Inspection روی نحوه عملکرد بیشتر Security Profileها اثر مستقیم دارد. هرچه ترافیک رمزنگاری‌شده‌تر باشد و FortiGate دید کمتری داشته باشد، Profileها مجبورند با اطلاعات محدودتری تصمیم بگیرند. این موضوع مخصوصاً در ترافیک HTTPS، HTTP/2، DoH و برنامه‌های SaaS مهم است.

Web Filter

با Certificate Inspection، Web Filter معمولاً می‌تواند تصمیم‌هایی در سطح دامنه و Category بگیرد. با Deep Inspection، کنترل URL و برخی محتوای HTTP داخل TLS دقیق‌تر می‌شود. اگر سازمان نیاز دارد مسیرهای خاص یا URLهای دقیق‌تری را کنترل کند، Deep Inspection در Policyهای محدود ارزشمندتر می‌شود.

Application Control

Application Control در FortiGate می‌تواند بسیاری از برنامه‌ها را با Signature، رفتار ترافیک و Decoderها تشخیص دهد، اما برای بعضی برنامه‌های رمزنگاری‌شده یا سرویس‌هایی که داخل HTTPS پنهان می‌شوند، Deep Inspection دید بهتری ایجاد می‌کند.

Antivirus

اگر فایل از داخل HTTPS دانلود شود و FortiGate محتوا را رمزگشایی نکند، Antivirus دید کافی روی فایل نخواهد داشت. Deep Inspection برای سناریوهایی که اسکن فایل‌های دانلودی اهمیت دارد، معمولاً ضروری‌تر است.

IPS

IPS برای تشخیص Exploitها و Payloadهای مخرب به دید روی محتوای ترافیک نیاز دارد. روی HTTPS بدون Deep Inspection، بخشی از Payload قابل مشاهده نیست. البته فعال کردن IPS با Deep Inspection باید بر اساس ظرفیت دستگاه و حساسیت سرویس انجام شود.

8. چه زمانی از Certificate Inspection استفاده کنیم؟

Certificate Inspection برای بیشتر شبکه‌ها نقطه شروع مناسب‌تری است، چون هم ساده‌تر است، هم احتمال اختلال کمتر دارد و هم بار پردازشی کمتری نسبت به Deep Inspection ایجاد می‌کند.

  • اینترنت کاربران عمومی سازمان
  • Guest Network
  • شعب با FortiGateهای کوچک‌تر
  • Policyهای پرترافیک که Latency در آن‌ها مهم است
  • سناریوهایی که فقط کنترل Category یا دامنه کافی است
  • مرحله اولیه پیاده‌سازی قبل از رفتن به Deep Inspection
پیشنهاد عملیاتی: برای شروع، روی بیشتر Policyهای عمومی از Certificate Inspection استفاده کنید و Deep Inspection را فقط برای گروه‌های مشخص، VLANهای حساس یا سناریوهایی فعال کنید که واقعاً به دید محتوایی نیاز دارند.

9. چه زمانی از Deep Inspection استفاده کنیم؟

Deep Inspection زمانی ارزش دارد که سازمان حاضر است هزینه مدیریتی و پردازشی بیشتری پرداخت کند تا دید امنیتی عمیق‌تری روی ترافیک رمزنگاری‌شده داشته باشد. این حالت باید هدفمند و محدود پیاده‌سازی شود.

  • واحدهای حساس مثل مالی، فناوری اطلاعات، SOC یا ادمین‌ها
  • کنترل دانلود فایل از اینترنت
  • اسکن بهتر Malware داخل HTTPS
  • کنترل دقیق‌تر سرویس‌های SaaS و Shadow IT
  • بررسی دقیق‌تر Application Control روی ترافیک رمزنگاری‌شده
  • کنترل DoH و DoT در سناریوهای خاص
  • DLP یا File Filter در مسیرهای محدود
هشدار: Deep Inspection را روی کل سازمان و همه کاربران به‌صورت ناگهانی فعال نکنید. ابتدا روی یک گروه کوچک تست کنید، Certificate را درست Deploy کنید، Exceptionها را بسازید، لاگ‌ها را بررسی کنید و بعد مرحله‌ای گسترش دهید.

10. پیش‌نیازهای پیاده‌سازی Deep Inspection

قبل از فعال کردن Deep Inspection باید چند موضوع آماده باشد. اگر این پیش‌نیازها رعایت نشود، احتمال خطای Certificate، باز نشدن سایت‌ها و اختلال در برنامه‌ها زیاد می‌شود.

  • داشتن CA Certificate مناسب برای FortiGate
  • نصب CA روی کلاینت‌ها از طریق GPO، MDM، FortiClient یا روش سازمانی
  • تعریف Exception برای سایت‌ها و برنامه‌های حساس
  • بررسی ظرفیت CPU، Memory و Session دستگاه
  • هماهنگی با تیم حقوقی، حریم خصوصی و سیاست سازمان
  • فعال بودن لاگ روی Policyهای تست
  • داشتن برنامه Rollback در صورت اختلال

CA Certificate چه نقشی دارد؟

در Deep Inspection، FortiGate برای سایت مقصد یک Certificate جدید به کلاینت ارائه می‌دهد. اگر کلاینت به CA صادرکننده این Certificate اعتماد نداشته باشد، مرورگر یا برنامه خطای Certificate نشان می‌دهد. بنابراین CA مورد استفاده در SSL Inspection باید در Trust Store کلاینت‌ها نصب شده باشد.

11. مراحل تنظیم SSL Inspection از GUI

برای ساخت یا ویرایش SSL/SSH Inspection Profile در FortiOS 7.6، مسیر کلی GUI به شکل زیر است:

Security Profiles > SSL/SSH Inspection

ساخت Profile برای Certificate Inspection

  1. وارد مسیر SSL/SSH Inspection شوید.
  2. Profile پیش‌فرض certificate-inspection را Clone کنید یا یک Profile جدید بسازید.
  3. نامی مثل Corp-Certificate-Inspection انتخاب کنید.
  4. حالت Inspection را روی Certificate Inspection قرار دهید.
  5. تنظیمات مربوط به Untrusted یا Invalid Certificate را بر اساس سیاست سازمان مشخص کنید.
  6. Profile را روی Firewall Policy کاربران اعمال کنید.
Policy & Objects > Firewall Policy > Edit Policy > Security Profiles > SSL Inspection

ساخت Profile برای Deep Inspection

  1. ابتدا CA Certificate سازمانی را آماده و روی FortiGate Import کنید.
  2. از مسیر SSL/SSH Inspection یک Profile جدید بسازید.
  3. نامی مثل Corp-Deep-Inspection انتخاب کنید.
  4. CA Certificate مناسب را انتخاب کنید.
  5. Protocol Port Mapping را مطابق نیاز تنظیم کنید.
  6. Exemptions را برای سایت‌ها و Categoryهای حساس بررسی کنید.
  7. Profile را فقط روی Policyهای تست یا گروه محدود اعمال کنید.
نکته: Fortinet در مستندات FortiOS 7.6 مسیر ساخت SSL/SSH Inspection Profile را از Security Profiles > SSL/SSH Inspection معرفی می‌کند و سپس این Profile باید داخل Firewall Policy انتخاب شود.

12. نمونه تنظیم SSL Inspection از CLI

ساختار دقیق CLI ممکن است بر اساس Patch Version و Featureهای فعال کمی تفاوت داشته باشد. قبل از Script کردن، بهتر است تنظیم پایه را از GUI بسازید و سپس خروجی را با دستور show بررسی کنید.

بررسی Profileهای موجود

show firewall ssl-ssh-profile

نمونه Profile ساده Certificate Inspection

config firewall ssl-ssh-profile
    edit "Corp-Certificate-Inspection"
        set comment "Certificate inspection profile for general users"
        config https
            set status certificate-inspection
        end
    next
end

نمونه Profile پایه Deep Inspection

config firewall ssl-ssh-profile
    edit "Corp-Deep-Inspection"
        set comment "Deep inspection profile for selected users"
        set caname "Corp-SSL-Inspection-CA"
        config https
            set status deep-inspection
            set ports 443
        end
    next
end

اعمال SSL Inspection Profile روی Firewall Policy

config firewall policy
    edit 10
        set name "Users-to-Internet"
        set srcintf "LAN"
        set dstintf "wan1"
        set srcaddr "all"
        set dstaddr "all"
        set action accept
        set schedule "always"
        set service "ALL"
        set utm-status enable
        set ssl-ssh-profile "Corp-Certificate-Inspection"
        set webfilter-profile "WF-Users"
        set application-list "APP-Users"
        set ips-sensor "IPS-Users"
        set av-profile "AV-Users"
        set logtraffic all
        set nat enable
    next
end
توجه: اگر دستورهای CLI روی نسخه شما دقیقاً همین نام پارامترها را نداشتند، داخل همان context از علامت سؤال استفاده کنید. FortiOS در Patch Versionهای مختلف ممکن است بعضی گزینه‌ها را کمی متفاوت نمایش دهد.

13. Exceptionها و ترافیک‌هایی که بهتر است Deep Inspect نشوند

Deep Inspection همیشه نباید روی همه ترافیک‌ها اعمال شود. بعضی سرویس‌ها به دلیل حساسیت، حریم خصوصی، Certificate Pinning یا ماهیت فنی، بهتر است از Deep Inspection مستثنا شوند.

نوع ترافیک دلیل Exception پیشنهاد
سایت‌های بانکی و مالی حساسیت حریم خصوصی و احتمال خطای Certificate Bypass یا Certificate Inspection
سرویس‌های سلامت و پزشکی داده حساس و الزامات قانونی بر اساس سیاست سازمان Exempt شود
برنامه‌های دارای Certificate Pinning با Certificate صادرشده توسط FortiGate کار نمی‌کنند Exception بر اساس FQDN یا Category
آپدیت بعضی Vendorها ممکن است امضای محتوا یا TLS Validation حساس داشته باشند ابتدا Monitor، سپس Exception هدفمند
ترافیک ادمین یا سرویس‌های حساس داخلی ریسک اختلال مدیریتی Policy جدا و کنترل‌شده

14. سناریوهای کاربردی

سناریوی اول: اینترنت کاربران سازمان

برای بیشتر کاربران سازمان، شروع با Certificate Inspection منطقی‌تر است. بعد از پایدار شدن Policyها می‌توان Deep Inspection را فقط برای گروه‌های مشخص یا مسیرهای خاص فعال کرد.

  • SSL Inspection پیشنهادی: Certificate Inspection
  • Security Profileها: Web Filter، DNS Filter، Application Control، IPS و AV
  • Deep Inspection فقط برای گروه‌های تست یا کاربران حساس

سناریوی دوم: واحد مالی یا واحد حساس

برای واحدهای حساس ممکن است سازمان بخواهد کنترل عمیق‌تری روی فایل، بدافزار، برنامه‌ها و سایت‌های SaaS داشته باشد. در این حالت Deep Inspection قابل بررسی است، اما باید Exceptionهای حریم خصوصی و سایت‌های مالی دقیق تعریف شوند.

  • SSL Inspection پیشنهادی: Deep Inspection محدود
  • پیش‌نیاز: نصب CA روی کلاینت‌ها
  • نیازمند Exception برای بانک، سلامت و برنامه‌های دارای Pinning

سناریوی سوم: Guest Network

برای مهمان‌ها معمولاً Deep Inspection توصیه نمی‌شود، چون مدیریت Certificate روی دستگاه‌های مهمان دشوار است. Certificate Inspection به همراه Web Filter، DNS Filter و Application Control معمولاً انتخاب عملیاتی‌تری است.

  • SSL Inspection پیشنهادی: Certificate Inspection
  • کنترل اصلی: DNS Filter، Web Filter، Application Control
  • عدم نیاز به نصب CA روی دستگاه‌های مهمان

سناریوی چهارم: کنترل DoH و DoT

برای کنترل DNS over HTTPS و DNS over TLS، فقط بستن پورت 53 کافی نیست. FortiGate می‌تواند با ترکیب Application Control، Web Filter، DNS Filter و در بعضی موارد Deep Inspection دید بهتری روی ترافیک رمزنگاری‌شده DNS ایجاد کند.

  • DoT معمولاً روی TCP/853 دیده می‌شود
  • DoH معمولاً روی HTTPS/TCP/443 اجرا می‌شود
  • برای تشخیص دقیق‌تر DoHهای سفارشی ممکن است Deep Inspection لازم شود

سناریوی پنجم: Protecting SSL Server

اگر FortiGate جلوی یک HTTPS Server داخلی قرار دارد، باید سناریوی Protecting SSL Server بررسی شود. در این مدل Certificate سرور روی FortiGate استفاده می‌شود تا ترافیک ورودی به Server قابل بررسی باشد.

  • سناریو: انتشار سرویس داخلی HTTPS
  • SSL Inspection پیشنهادی: Protecting SSL Server
  • نیازمند Import کردن Server Certificate روی FortiGate

15. عیب‌یابی SSL Inspection

مشکلات SSL Inspection معمولاً یکی از این دلایل را دارد: CA روی کلاینت نصب نشده، برنامه Certificate Pinning دارد، Certificate مقصد نامعتبر است، Exceptionها ناقص‌اند، یا دستگاه FortiGate از نظر منابع تحت فشار است.

علائم رایج

  • مرورگر خطای Certificate نشان می‌دهد
  • بعضی سایت‌ها فقط برای کاربران دارای Deep Inspection باز نمی‌شوند
  • برنامه موبایل یا دسکتاپ به سرور وصل نمی‌شود
  • Latency زیاد شده است
  • Antivirus یا Web Filter لاگ‌های متفاوتی نسبت به قبل تولید می‌کند

دستورهای مفید

show firewall ssl-ssh-profile
show firewall policy
get system performance status
diagnose debug flow filter addr <client-ip>
diagnose debug flow show function-name enable
diagnose debug enable
diagnose debug flow trace start 50

بعد از تست، Debug را غیرفعال کنید:

diagnose debug disable
diagnose debug reset
تحلیل سریع: اگر فقط یک برنامه خاص مشکل دارد، احتمال Certificate Pinning یا حساسیت TLS وجود دارد. اگر همه سایت‌ها خطای Certificate می‌دهند، احتمالاً CA روی کلاینت‌ها نصب یا Trust نشده است. اگر مشکل فقط در ساعات پرترافیک دیده می‌شود، Performance دستگاه و تعداد Sessionها را بررسی کنید.

16. Best Practice

  • برای شروع، Certificate Inspection را روی Policyهای عمومی فعال کنید.
  • Deep Inspection را مرحله‌ای و روی گروه‌های محدود پیاده‌سازی کنید.
  • برای Deep Inspection از CA سازمانی قابل مدیریت استفاده کنید.
  • CA را با GPO، MDM یا روش استاندارد روی کلاینت‌ها Deploy کنید.
  • برای بانک، سلامت، سرویس‌های حساس و برنامه‌های دارای Certificate Pinning، Exception تعریف کنید.
  • Deep Inspection را روی Guest Network عمومی فعال نکنید، مگر اینکه مدیریت Certificate امکان‌پذیر باشد.
  • روی FortiGateهای کوچک، اثر CPU و Memory را قبل از گسترش بررسی کنید.
  • SSL Inspection را با Flow/Proxy، Security Profileها و ظرفیت دستگاه هماهنگ طراحی کنید.
  • بعد از فعال‌سازی، لاگ‌های Web Filter، Antivirus، IPS و Application Control را بررسی کنید.
  • قبل از هر تغییر گسترده، Rollback Plan داشته باشید.

17. چک‌لیست پیاده‌سازی SSL Inspection در FortiGate

مورد وضعیت مطلوب
نسخه FortiOS سناریو با FortiOS 7.6 و Patch Version دستگاه تطبیق داده شده باشد
نوع Inspection برای هر Policy مشخص باشد: Certificate Inspection، Deep Inspection یا Protecting SSL Server
CA Certificate برای Deep Inspection آماده و روی کلاینت‌ها Trust شده باشد
Firewall Policy SSL/SSH Inspection Profile درست روی Policy اعمال شده باشد
Security Profileها Web Filter، Antivirus، IPS و Application Control با SSL Inspection هماهنگ باشند
Exception بانک، سلامت، Certificate Pinning و سرویس‌های حساس بررسی شده باشند
Performance CPU، Memory، Session و Latency قبل و بعد از فعال‌سازی بررسی شود
Logging لاگ‌های مربوط به Security Profileها و خطاهای SSL بررسی شوند
Pilot Deep Inspection ابتدا روی گروه محدود تست شود
Rollback برنامه بازگشت به Certificate Inspection یا no-inspection آماده باشد

مطالب مرتبط

پرسش و پاسخ

برای Guest Network معمولاً Certificate Inspection مناسب‌تر است، چون نصب CA روی دستگاه‌های مهمان دشوار است. ترکیب Web Filter، DNS Filter و Application Control معمولاً برای Guest عملیاتی‌تر است.
بله. Certificate Inspection بار کمی دارد، اما Deep Inspection به دلیل رمزگشایی و رمزنگاری مجدد، مصرف CPU و Memory را افزایش می‌دهد و ممکن است Latency ایجاد کند. قبل از گسترش باید Performance بررسی شود.
بعضی برنامه‌ها از Certificate Pinning استفاده می‌کنند و فقط Certificate اصلی سرور را قبول می‌کنند. وقتی FortiGate Certificate جدید صادر می‌کند، این برنامه‌ها اتصال را رد می‌کنند. برای این موارد باید Exception تعریف شود.
معمولاً نه. Deep Inspection باید مرحله‌ای و هدفمند فعال شود. برای بیشتر کاربران عمومی، Certificate Inspection انتخاب کم‌ریسک‌تری است. Deep Inspection برای گروه‌های حساس، کنترل فایل، DLP یا تشخیص دقیق‌تر تهدیدها مناسب‌تر است.
بله. برای اینکه کاربران خطای Certificate نبینند، CA مورد استفاده FortiGate در Deep Inspection باید روی کلاینت‌ها Trusted باشد. این کار معمولاً با GPO، MDM، FortiClient یا روش سازمانی انجام می‌شود.
Certificate Inspection فقط اطلاعاتی مثل Certificate و SNI را بررسی می‌کند و محتوای HTTPS را رمزگشایی نمی‌کند. Deep Inspection محتوا را رمزگشایی می‌کند تا Security Profileهایی مثل Antivirus، Web Filter و IPS بتوانند دقیق‌تر عمل کنند.

امتیاز و دیدگاه کاربران

دیدگاه خود را درباره این مقاله بیان کنید.ثبت دیدگاه
متشکریم از همراهی شما، میتوانید نظرات و پیشنهادات خود را از طریق فرم زیر برایمان ارسال کنید.

اطلاعات تماس

تهران، پاسداران، روبروی گلستان هشتم، پلاک 394 واحد 5+98 21 72983000info@partian.co

محصولات

سیبتافورتی گیتفورتی وبفورتی آنالیزرفورتی میل

دسترسی سریع

راهکارهاخدماتدانلوددانشنامهدرباره ما
پارتیان

در شبکه های اجتماعی به ما بپیوندید

تمام حقوق مادی و معنوی این سایت متعلق به شرکت پارتیان ابتکار پایدار می‌باشد.

طراحی سایت : رادکام