Rise Company
05-05-2020, 16:43
فورتي جيت FortiGate حل مشكلة تعطل بعض البرامج SSL Deep Inspection Issues
application Not working when enabling SSL Deep Inspection
حل مشكلة التفتيش عميق فى تعطل بعض البرامج
أسباب استخدام التفتيش العميق
بينما يوفر بروتوكول نقل النص التشعبي (HTTPS) الحماية على الإنترنت من خلال تطبيق تشفير طبقة المقابس الآمنة (SSL) على حركة مرور الويب ، يمكن استخدام حركة المرور المشفرة للتغلب على الدفاعات العادية لشبكتك.
على سبيل المثال ، قد تقوم بتنزيل ملف يحتوي على فيروس أثناء جلسة التجارة الإلكترونية ، أو قد تتلقى بريدًا إلكترونيًا للتصيد الاحتيالي يحتوي على تنزيل يبدو غير ضار ، يقوم عند تشغيله بإنشاء جلسة مشفرة إلى خادم أوامر وتحكم (C&C) وتنزيلات برامج ضارة على جهاز الكمبيوتر الخاص بك. نظرًا لأن الجلسات في هذه الهجمات مشفرة ، فقد تتجاوز إجراءات أمان شبكتك.
عندما تستخدم الفحص العميق ، تنتحل FortiGate هوية مستلم جلسة SSL الأصلية ، ثم تقوم بفك تشفير المحتوى وفحصه للعثور على التهديدات وحظرها. ثم يعيد تشفير المحتوى ويرسله إلى المستلم الحقيقي.
لا يحميك الفحص العميق من الهجمات التي تستخدم HTTPS فحسب ، بل يحميك أيضًا من البروتوكولات الأخرى المشفرة SSL شائعة الاستخدام مثل SMTPS و POP3S و IMAPS و FTPS.
https://www.rise.company/forum/images/imported/2020/05/4.png
رسائل المتصفح عند استخدام الفحص العميق
عندما تعيد FortiGate إعادة تشفير المحتوى ، فإنها تستخدم شهادة مخزنة على FortiGate مثل Fortinet_CA_SSL أو Fortinet_CA_Untrusted أو شهادة CA الخاصة بك التي قمت بتحميلها.
نظرًا لعدم وجود Fortinet_CA_SSL في قائمة المرجع المصدق الموثوق بها في المستعرض ، يعرض المستعرض تحذيرًا لشهادة غير موثوق بها عندما يتلقى شهادة خادم معاد تسجيلها من FortiGate. لإيقاف رسائل التحذير ، ثق في CA Fortinet_CA_SSL الموثوق بها لـ FortiGate وقم باستيرادها في متصفحك.
بعد استيراد Fortinet_CA_SSL إلى المستعرض الخاص بك ، إذا كنت لا تزال تتلقى رسائل حول شهادة غير موثوق بها ، فيجب أن تكون بسبب Fortinet_CA_U غير موثوق بها. لا تستورد مطلقًا شهادة Fortinet_CA_ غير موثوق بها في متصفحك.
لاستيراد Fortinet_CA_SSL في متصفحك:
[*=center] في FortiGate ، انتقل إلى ملفات تعريف الأمان> SSL / SSH Inspection وحدد الفحص العميق .
[*=center] شهادة CA الافتراضية هي Fortinet_CA_SSL .
[*=center] حدد تنزيل الشهادة .
[*=center]https://www.rise.company/forum/images/imported/2020/05/5.png
[*=center]
[*=center] على جهاز الكمبيوتر العميل ، انقر نقرًا مزدوجًا فوق ملف الشهادة وحدد فتح .
[*=center] حدد تثبيت الشهادة لتشغيل معالج استيراد الشهادات واستخدم المعالج لتثبيت الشهادة في مخزن المراجع المصدقة الجذر الموثوق بها . إذا ظهر تحذير أمني ، فحدد نعم لتثبيت الشهادة.
مواقع معفاة من التفتيش العميق
يمكنك تكوين القوائم البيضاء لعنوان الويب وفئة الويب لتجاوز الفحص العميق لطبقة المقابس الآمنة.
إذا كنت لا ترغب في تطبيق فحص معمق للخصوصية أو لأسباب أخرى ، يمكنك استثناء الجلسة حسب العنوان أو الفئة أو القائمة البيضاء.
إذا كنت تعرف عنوان الخادم الذي تريد استثناءه ، فيمكنك استثناء هذا العنوان. يمكنك استثناء نوع عنوان محدد بما في ذلك عنوان IP ونطاق عناوين IP والشبكة الفرعية IP و FQDN و wildcard-FQDN والجغرافيا.
https://www.rise.company/forum/images/imported/2020/05/6.png
إذا كنت ترغب في استثناء جميع مواقع الويب الخاصة بالبنك ، فإن الطريقة السهلة هي استثناء فئة التمويل والمصارف التي تتضمن جميع مواقع الويب المالية والمصرفية المحددة في FortiGuard.
https://www.rise.company/forum/images/imported/2020/05/7.png
إذا كنت ترغب في استثناء مواقع الويب الموثوقة بشكل عام ، يمكنك تجاوز القائمة البيضاء لـ SSL في ملف تعريف SSL / SSH. تتضمن القائمة البيضاء مواقع ويب مشتركة موثوق بها من قبل FortiGuard. ببساطة تمكين المواقع ذات السمعة الطيبة .
https://www.rise.company/forum/images/imported/2020/05/8.png
حل المشكلة
creating exempts for SSL Inspections on Policy & Objects > SSL Inspection.
المرجع:
https://docs.fortinet.com/document/fortigate/6.2.0/cookbook/122078/deep-inspection
https://forum.fortinet.com/tm.aspx?m=123920
https://forum.fortinet.com/tm.aspx?m=159601
https://forum.fortinet.com/tm.aspx?m=141086
https://forum.fortinet.com/tm.aspx?m=143673
application Not working when enabling SSL Deep Inspection
حل مشكلة التفتيش عميق فى تعطل بعض البرامج
أسباب استخدام التفتيش العميق
بينما يوفر بروتوكول نقل النص التشعبي (HTTPS) الحماية على الإنترنت من خلال تطبيق تشفير طبقة المقابس الآمنة (SSL) على حركة مرور الويب ، يمكن استخدام حركة المرور المشفرة للتغلب على الدفاعات العادية لشبكتك.
على سبيل المثال ، قد تقوم بتنزيل ملف يحتوي على فيروس أثناء جلسة التجارة الإلكترونية ، أو قد تتلقى بريدًا إلكترونيًا للتصيد الاحتيالي يحتوي على تنزيل يبدو غير ضار ، يقوم عند تشغيله بإنشاء جلسة مشفرة إلى خادم أوامر وتحكم (C&C) وتنزيلات برامج ضارة على جهاز الكمبيوتر الخاص بك. نظرًا لأن الجلسات في هذه الهجمات مشفرة ، فقد تتجاوز إجراءات أمان شبكتك.
عندما تستخدم الفحص العميق ، تنتحل FortiGate هوية مستلم جلسة SSL الأصلية ، ثم تقوم بفك تشفير المحتوى وفحصه للعثور على التهديدات وحظرها. ثم يعيد تشفير المحتوى ويرسله إلى المستلم الحقيقي.
لا يحميك الفحص العميق من الهجمات التي تستخدم HTTPS فحسب ، بل يحميك أيضًا من البروتوكولات الأخرى المشفرة SSL شائعة الاستخدام مثل SMTPS و POP3S و IMAPS و FTPS.
https://www.rise.company/forum/images/imported/2020/05/4.png
رسائل المتصفح عند استخدام الفحص العميق
عندما تعيد FortiGate إعادة تشفير المحتوى ، فإنها تستخدم شهادة مخزنة على FortiGate مثل Fortinet_CA_SSL أو Fortinet_CA_Untrusted أو شهادة CA الخاصة بك التي قمت بتحميلها.
نظرًا لعدم وجود Fortinet_CA_SSL في قائمة المرجع المصدق الموثوق بها في المستعرض ، يعرض المستعرض تحذيرًا لشهادة غير موثوق بها عندما يتلقى شهادة خادم معاد تسجيلها من FortiGate. لإيقاف رسائل التحذير ، ثق في CA Fortinet_CA_SSL الموثوق بها لـ FortiGate وقم باستيرادها في متصفحك.
بعد استيراد Fortinet_CA_SSL إلى المستعرض الخاص بك ، إذا كنت لا تزال تتلقى رسائل حول شهادة غير موثوق بها ، فيجب أن تكون بسبب Fortinet_CA_U غير موثوق بها. لا تستورد مطلقًا شهادة Fortinet_CA_ غير موثوق بها في متصفحك.
لاستيراد Fortinet_CA_SSL في متصفحك:
[*=center] في FortiGate ، انتقل إلى ملفات تعريف الأمان> SSL / SSH Inspection وحدد الفحص العميق .
[*=center] شهادة CA الافتراضية هي Fortinet_CA_SSL .
[*=center] حدد تنزيل الشهادة .
[*=center]https://www.rise.company/forum/images/imported/2020/05/5.png
[*=center]
[*=center] على جهاز الكمبيوتر العميل ، انقر نقرًا مزدوجًا فوق ملف الشهادة وحدد فتح .
[*=center] حدد تثبيت الشهادة لتشغيل معالج استيراد الشهادات واستخدم المعالج لتثبيت الشهادة في مخزن المراجع المصدقة الجذر الموثوق بها . إذا ظهر تحذير أمني ، فحدد نعم لتثبيت الشهادة.
مواقع معفاة من التفتيش العميق
يمكنك تكوين القوائم البيضاء لعنوان الويب وفئة الويب لتجاوز الفحص العميق لطبقة المقابس الآمنة.
إذا كنت لا ترغب في تطبيق فحص معمق للخصوصية أو لأسباب أخرى ، يمكنك استثناء الجلسة حسب العنوان أو الفئة أو القائمة البيضاء.
إذا كنت تعرف عنوان الخادم الذي تريد استثناءه ، فيمكنك استثناء هذا العنوان. يمكنك استثناء نوع عنوان محدد بما في ذلك عنوان IP ونطاق عناوين IP والشبكة الفرعية IP و FQDN و wildcard-FQDN والجغرافيا.
https://www.rise.company/forum/images/imported/2020/05/6.png
إذا كنت ترغب في استثناء جميع مواقع الويب الخاصة بالبنك ، فإن الطريقة السهلة هي استثناء فئة التمويل والمصارف التي تتضمن جميع مواقع الويب المالية والمصرفية المحددة في FortiGuard.
https://www.rise.company/forum/images/imported/2020/05/7.png
إذا كنت ترغب في استثناء مواقع الويب الموثوقة بشكل عام ، يمكنك تجاوز القائمة البيضاء لـ SSL في ملف تعريف SSL / SSH. تتضمن القائمة البيضاء مواقع ويب مشتركة موثوق بها من قبل FortiGuard. ببساطة تمكين المواقع ذات السمعة الطيبة .
https://www.rise.company/forum/images/imported/2020/05/8.png
حل المشكلة
creating exempts for SSL Inspections on Policy & Objects > SSL Inspection.
المرجع:
https://docs.fortinet.com/document/fortigate/6.2.0/cookbook/122078/deep-inspection
https://forum.fortinet.com/tm.aspx?m=123920
https://forum.fortinet.com/tm.aspx?m=159601
https://forum.fortinet.com/tm.aspx?m=141086
https://forum.fortinet.com/tm.aspx?m=143673