Вы здесь

Cisco ASA with FirePOWER 11 SSL Decryption

SSL Decryption позволяет расшифровать трафик от пользователей на сайты https, чтобы затем выполнить проверку на настроенные политики.

Создадим Internal CA:
Configuration > ASA FirePOWER Configuration > Object Management > PKI > Internal CAs -> Generate CA
cisco_asa_with_firepower_11_ssl_decryption_01_ciscomaster.ru.jpg

Загрузим сертификат созданного CA:
cisco_asa_with_firepower_11_ssl_decryption_02_ciscomaster.ru.jpg
Мы загрузим файл типа PKCS12. Данный тип файл содержит в себе сертификат + Private key
de620fda-8666-11eb-9046-96de488b71b8.p12

Идём на страницу SSL policy:
Configuration > ASA FirePOWER Configuration > Policies > SSL

Создадим SSL Policy Rule, которое будет определять, какой типа трафика будет подвергаться SSL Decryption.
Поскольку SSL Decryption "тяжелая" операция, рекомендуется создавать достаточно узкие правила.
Но наше правило учебное.
Также поменяем имя SSL Policy.
cisco_asa_with_firepower_11_ssl_decryption_03_ciscomaster.ru_0.jpg

Сохраняем:
Store ASA FirePOWER Changes

Далее мы должны привязать SSL policy к Access Control Policy:
Configuration > ASA FirePOWER Configuration > Policies > Access Control Policy
cisco_asa_with_firepower_11_ssl_decryption_04_ciscomaster.ru.jpg

Сохраняем:
- Store ASA FirePOWER Changes
- Deploy FirePOWER Changes

Далее нам понадобится файл с сертификатом.
Сертификат необходимо установить клиентским компам, чтобы они не ругались на сертификат.

Вытаскиваем Private Key:

C:\temp>G:\PROGRA~2\GnuWin32\bin\openssl.exe pkcs12 -nocerts -in CA.p12 -out CAkey.pem

Вытаскиваем сам сертификат:

C:\temp>G:\PROGRA~2\GnuWin32\bin\openssl.exe pkcs12 -clcerts -in CA.p12 -out CAcert.pem

В итоге мы получим два файла:
CAcert.pem
CAkey.pem

Переносим файл CAkey.pem на виндовую машину, и в mmc Certificates делаем Import в Trusted Root Certification Authorities:
cisco_asa_with_firepower_11_ssl_decryption_05_ciscomaster.ru.jpg

Для теста создадим правило:
cisco_asa_with_firepower_11_ssl_decryption_06_ciscomaster.ru.jpg

Тестирование SSL Decryption

cisco_asa_with_firepower_11_ssl_decryption_07_ciscomaster.ru.jpg

Monitoring:
Monitoring > ASA FirePOWER Monitoring > Real Time Eventing
cisco_asa_with_firepower_11_ssl_decryption_08_ciscomaster.ru_0.jpg

Добавить комментарий

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Допустимые HTML-теги: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и абзацы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и абзацы переносятся автоматически.
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.
Target Image