20 Ara 2013

Fortigate Configuring FortiOS v5.0 Webfiltering for HTTPS scanning without SSL Deep Scanning

Öncelikle fortigate firmware iniz v5 ise bu patche v5.05 e geçebilirsiniz ,

Geçiş prosedürlerine uyun lütfen,v5.05 sizin için daha iyi ve daha stabil,log cihazınız varsa onuda update etmelisiniz.

http://docs.fortinet.com/fgt/sysadmin/fortigate-https-webfiltering-without-ssl-deep-scan-50.pdf 

FortiOS 5.0 ile ssl inspection/deep scan yapmaya gerek olmadan https filtreleme gelistirildi ve CN yanind SNI (Server Name Inspection) ozelligi de eklendi. 

 

Bu sayede ssl inspection yapmadan artik bir onceki ornekteki https://youtube.com da bloklamak mumkun oluyor.

 

Dolayisiyla musterilerde browserlara FGT in SSL_Proxy sertifikasini girmek, musteriden kendi CA inden subordinate sertifika/root sertifika alip Fortigate uzerine yuklemek vb.. Gibi islemlere aslinda gerek kalmiyor.

 

Bunu yapmanin yontemi ilgili web filter profile icerisinden “scan encrypted connections” secenegini kaldirmak.

 

 

 

Burada 2 konu var dikkat edilmesi gereken;

 

  • SSL inspection profile her ne kadar web filtering icin kullanilmayacak olsa da ilgili policy icerisinde secilmeli (bu 5.2 ile duzenlenecek tekrar)
  • Fortigate sadece “blokladigi” https siteler icin kendi seri nosunu iceren bir sertifika cikariyor. Bunun nedeni ssl inspection yapmasi degil (zaten yapmiyor) ama bloklanan sayfa bir https site oldugundan kullaniciya donen blok sayfasi da https uzerinden olmali dogal olarak. Bu sayfayi yaratabilmek icin kendi sertifikasini sunuyor kullaniciya. Bunu kaldirmak isterseniz ilgili web filter profile da CLI uzerinden asagidaki degisikligi yaparak blok sayfasini/sertifika uyarisini da kaldirabilirsiniz.

 

config webfilter profile

 

    edit “default”

 

       set https-replacemsg disable

 

    end

 

end

 

 

 


Savaş Demir
Fortinet : (FCNSP) (FCNSA) Ver:V.5
Fortinet Certified Email Security Professional (FCESP)