เรื่อง: Web Server (https) กับ ssl inspection
 
 12311

My Name: picpostman ออฟไลน์
  • ดูรายละเอียด
01 ก.ย. 18, 14:40:44น.
สอบถามครับ
ถ้ามี web server  ที่เป็น https อยุ่ใน zone dmz แล้วให้คนจากภายนอก access เข้ามาได้
1.เราจำเป็นต้องเปิด SSL Inspection เป็น deep-inspection ไหมครับ?
2.ถ้าต้องเปิด deep-inspection เราต้องเอา certificate มา import เข้า fortigate ด้วยไหมครับ?
3.ถ้าต้องใช้ certificate จะต้องไปซื้อ cer plublic มาใส่หรอครับ? หรือต้องใช้ cer แบบไหนครับ
ขอบคุณครับ

My Name: earth ออฟไลน์
  • ดูรายละเอียด
ตอบกลับ #1 03 ก.ย. 18, 17:40:42น.
ถ้าเข้าจากภายนอก ไม่ต้องเปิด  SSL Inspection
ที่ Policy wan-lan ครับ

My Name: picpostman ออฟไลน์
  • ดูรายละเอียด
ตอบกลับ #2 03 ก.ย. 18, 21:38:28น.
ถึงแม้จะไม่ใช้ ssl inspection ตัว fortigate จะยังสามารถบล็อค การโจมตีจากภายนอกที่เป็น https ได้ใช่ไหมครับ?
เช่น IPS ที่เป็น HTTPS ตามรูปครับ

My Name: earth ออฟไลน์
  • ดูรายละเอียด
ตอบกลับ #3 04 ก.ย. 18, 10:23:18น.
ถ้าอย่างนั้นก็ต้อง on ips ที่ policy ขาเข้าจากภายนอกเข้ามาหา server ภายใน (wan to lan) ครับ
เพื่อป้องกันการบุกรุกการโจมตีต่างๆ จากภายนอก ที่อาจจะสุ่มเข้ามาทาง Service ที่เปิดไว้

My Name: picpostman ออฟไลน์
  • ดูรายละเอียด
ตอบกลับ #4 04 ก.ย. 18, 22:44:14น.
ใช่ครับผมตั้งใจจะเปิด IPS และ WAF ด้วยครับ
จากลิ้งนี้ WAF
https://cookbook.fortinet.com/protecting-web-applications-54/

และ IPS
https://cookbook.fortinet.com/protecting-web-server/

มีการเปิด ssl deep inspection ด้วย ผมสงสัยว่า ต้อง import cer เข้าที่ FGT ด้วยหรือเปล่าครับ?

My Name: picpostman ออฟไลน์
  • ดูรายละเอียด
ตอบกลับ #5 10 ก.ย. 18, 20:55:29น.
ผมหาคำตอบได้แล้วครับ จากในคู่มื่อ
ต้องใช้ certificate : จำเป็นต้องใช้
ต้องใช้ certificate ของอะไร: ต้องใส่ certificate  ของเว็บ server ในหัวข้อ 2. Protecting SSL Server

เพิ่มเติมตามรูปครับ

My Name: picpostman ออฟไลน์
  • ดูรายละเอียด
ตอบกลับ #6 10 ก.ย. 18, 20:58:10น.
เหตุผลที่ต้องใช้ cer

My Name: tanasuna ออฟไลน์
  • ดูรายละเอียด
  • ของชำร่วยงานศพ
ตอบกลับ #7 02 ต.ค. 18, 11:10:45น.
กำลังหาข้อมูลอยู่ดี ขอบคุณครับ ;D

ของชำร่วยงานศพ
แก้ไขครั้งสุดท้าย: 05 ต.ค. 18, 16:03:56น. โดย tanasuna

My Name: picpostman ออฟไลน์
  • ดูรายละเอียด
ตอบกลับ #8 02 ต.ค. 18, 17:20:07น.
กำลังหาข้อมูลอยู่ดี ขอบคุณครับ ;D

ถ้าใช้ Cer public ของ GlobalSign ต้องใช้ Intermediate Cer ด้วยนะครับ  ถ้าไม่ใส่ จะเวิคแค่ IE และ Chrome แต่ Firefox  จะมีปัญหา