CIsco firepower vFTD配置SSL检测和文件检测 --- By 年糕泰迪
本文梳理记录了通过Cisco MFC在firepower vFTD中部署应用层一些安全检测防护策略,包括SSL检测/intrusion/File&malware策略以及验证检测过程,以及在部署过程中的问题解决。
部署环境:MFC/vFTD(kvm版本6.2.3)
部署拓扑:
针对host1 部署File&Malware 检测策略,对host2部署SSL 检测策略。
部署前提为以及部署了基本网络通信策略,确保hosts 能够正常对外通信访问。
部署过程:
1,首先为SSL检测制作自定义签名证书用于SSL 检测重签名。
在对象管理中找到PKI ,开始生成CA
根据实际情况填入相关组织信息,点击 Generate self-signed CA ,开始生产自签名证书,生产完毕后的证书是下面这样的,这里我们把这个证书download 下来,后面会用到,在下载过程中需要设定一个密码,我们要记住这个密码后面也会用到
2,开始部署策略。
2.1 intrusion ,***策略由于验证环境比较复杂,所以暂时在这儿部署了一条内置策略,选择的是balanced Security and connectivity ,记得保存。
2.2 FIle&Malware
新建一条名为demo的策略。这里可以选择文件传输载体的应用的类型(HTTP/FTP/Mail/SMB),传输方向(upload/download),采取的动作类型,(detect file /block file /Malware cloud lookup/block Malware),对于reset connection 的选项勾选后如果策略触发了后,终端客户端会有提示网络被reset了,如果不勾选那么终端不会有提示直至网络超时,所以建议勾选。store files 选项,对于触发了策略的文件MFC会留存一份,以便追溯查看,这个根据实际情况来。下面就是选择需要检测的文件类型,我这里选择的是可执行文件和office文档。
我这边定义的demo策略就比较严格了,目的是禁止任何形式的执行文件或office文档的下载和上传。
2.3 SSL
对于SSL策略的行为有很多种,此次演示部署的是解密-重签名,也就是指定检测ssl数据报文原本是client端到server端加密通信,但在经过vFTD后,VFTD将SSL卸载并利用自有签名证书对数据报进行签名后送出,这个是面向client端的,在用户端我们看到相应数据的证书使用的是自签名证书,数据在回应server端的时候继续被替换为原报文的证书。
这里选择重签名的时候就需要我们签名提到的自签名的内部证书了,要选择对应证书,再下面选项就是确定数据包安全区就流向,网络范围,用户等一系列自定义选项,最后logging配置一定要选,否则该策略没有对应日志查看。
重点:
上面的network选项一点要注意,这里确定了需要进行SSL检测的网络通信范围,因为SSL策略制定后是需要全局关联到access control大策略的,如果vFTD种部署身份识别策略(如关联了域账号身份)同样也需要注意范围,否则管理了access control后会影响到其他网段或者用户,这个要根据实际情况限定范围。在SSL策略定义好之后,对于不在检测范围内的流量最后会有一个Default Action ,是不解密还是block要慎重选择,建议do not decrypt ,否则不在范围的SSL数据报文都会被block掉。
最后是对无法解密的数据报文要采取的动作,无法解密的数据报文情况分以下一些类型,示例种采用的是系统默认选项,可以自定义。
2.4策略关联
回到Access control大策略中,这里需要关联上面指定的SSL检测策略(demo),我在SSL策略network中选的网络对象只有10.10.20.2一台主机,所以在这里关联后SSL检测也只对这一台主机的SSL报文检测生效,由于Default action是不解密,所以10.10.20.1的SSL 报文是不做检测的。
对于10.10.20.1部署的是前面指定的intrusion 和FIle&Malware策略。
说明:对于Access control策略中的Action ,如allow 是指定义的流量允许通过vFTD流向下一个报文处理模块,也就是书报文会继续被其他策略进行检测以决定是否转发,只有选择了Trust后指定流量才不会进行后续的安全检测。
2.5 策略阻塞提示页面
这里用了指定但用户端触发block策略后再浏览器展示给用户的反馈页面信息,有系统默认和自定义页面展示。
以上策略全部制定完成后,保存,并部署到vFTD中。
3,部署验证
3.1
①验证host1 10.10.20.1 File 检测策略是否生效。
上面可以看到exe文件在通过ftp下载时,连接被重置,
同样office文档也在下载时被重置,用户端验证生效。
接下来再通过MFC events中查看相应日志。
在analysis-File events中查看log ,发现有exe和office文档block记录,点击文档类型就可以看到详细内容。
验证File&Malware策略生效。
②验证host2 10.10.20.2 SSL检测策略是否生效。
早host2中我们访问https://www.cisco.com 这时候浏览器提示网站证书不是可信证书,这种情况是我们经常遇到的,当然我们可以手动添加排除后继续访问,但我们总不能对所有的网站都手动添加例外,因为在不是了SSL resign策略后所有的https站点证书在用户端浏览都不是server签发的可信任证书而是我们的自签名证书,这个不是权威CA办法了浏览器肯定时不可信的,这样操作麻烦也影响用户体验,解决这个问题就要提到之前制作保存的自签名证书了,我们可以把自签名添加到Windows系统中作为可信任证书。
下面的方式时对于单个用户而言操作,在实际生产环境可通过域控组策略见自签名证书推送到域内主机即可,签发的证书我们要留意有效期,必须证书失效影响用户体验。
首先打开Internet option ,找到certificates,再找到受信任根证书权威机构,import我们之前保存的自签名证书(注意我们导出的证书后缀时.p12格式,在导入的时候选择支持这个格式,否则会找不到保存的证书)。
导入过程中需要输入一个密码,这个就是我们当时再制造完成后下载证书时输入的密码。导入完成后,我们的自签名证书再Windows中就成了可信证书了,这时候浏览器就不会再弹出非受信警告了。
接下来重新打开一个浏览器,继续访问,这时候新打开的浏览器没有报证书警告,而且地址栏中也显示当前访问的网站时加密安全的。
接下来我们再看看此时的这个证书信息。
这是我们自签名的证书,而正常不经过SSL检测时站点的证书是 Cisco server端下发的证书。
同样我们再从MFC的event中看看相应的log。再connection event 中我们选择对源IP查询后可以看到hosts访问的所有浏览,其中ssl流量我们可以很清除的看到匹配的是SSL哪个策略,以及访问的URL。
而在不匹配SSL检测的host1中访问的SSL流量我们也看看是什么信息,很明显对于https流量只能看到域名,其他路径及访问内容是看不见的,不解密当然是看不见的。
另外这里显示的日志字段可以根据查询需要自定义显示,点击右键就可以选择,有几十个字段可供选择。
到这里部署和验证工作就结束了。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
系统坏了,慌不慌
本文转载自微信公众号「跨界架构师」,作者Zachary 。转载本文请联系跨界架构师公众号。 作为程序员,相信有一件事是大家最不想见到的。那就是,线上运行的系统出现了技术性故障。(特别还是周末你正在外面happy的时候:D) 处理这类事情特别能体现一个人的综合能力。因为它会涉及到抗压能力、对外的沟通能力,以及排查问题所需的技术能力等等多个方面。 如果你还没机会成为核心开发,其实很少会有这样充满压力的经历。因为在这个情况下处理事情其实是很慌的,毕竟所有使用系统的人以及他们的老板、你的上级、你的老板等等无数双眼睛都在盯着这件事情。 我还记得有一年双11,我作为“首席问题处理官”正在紧急处理服务器扛不住压力的问题,老板默默走到我身后问到“什么问题啊?什么时候好?”。你脑补一下这画面,想象一下看看。 只要你接下去还会继续从事程序员这个职业,我想这样的场景你总归会有机会遇到的。因为一个著名的定律——墨菲定律。 墨菲定律:凡是可能出错的事就一定会出错。维基百科 如果没有一个清晰的应对思路,那么一旦发生线上问题就会像热锅上的蚂蚁一样,急得团团转,像无头苍蝇一样到处乱撞(试)。 所以,我这次就想分享一些...
- 下一篇
Apache HBase 2.3.0 发布,分布式数据库
Apache HBase 2.3.0 已发布,这是一个高可靠性、高性能、面向列、可伸缩的分布式存储系统,利用 HBase 技术可在廉价 PC Server 上搭建起大规模结构化存储集群。 HBase 2.3.0 是 HBase 2.x 系列中的第四个次要版本,旨在提升 HBase 的稳定性和可靠性。 值得关注的新功能包括: 对 JDK 11 的初步支持(要求 Hadoop 3.2.0+) Hadoop 版本增加到 2.10.0 和 3.1.2 ZooKeeper 版本增加到 3.5.7 围绕 HBCK2 的许多改进 HBase 客户端与 ZooKeeper 连接现在是可选的 基于 TinyLFU 的 BlockCache 持久性存储器上的 Bucket 缓存 改进 MTTR:将 WAL 拆分为 HFile 下载地址:https://hbase.apache.org/downloads.html 详情查看 发布公告。
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Linux系统CentOS6、CentOS7手动修改IP地址
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长
- Red5直播服务器,属于Java语言的直播服务器
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- Windows10,CentOS7,CentOS8安装Nodejs环境
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果