트래픽 암호 해독 설명
인터넷의 대부분의 트래픽은 암호화되며 대부분의 경우 암호 해독을 원하지 않습니다. 그렇지 않은 경우에도 관련 정보를 수집하여 필요한 경우 네트워크에서 차단할 수 있습니다.
선택:
-
트래픽을 해독하고 심층 검사의 전체 어레이를 적용합니다.
-
AMP(Advanced Malware Protection)
-
보안 인텔리전스
-
Threat Intelligence Director
-
애플리케이션 탐지기
-
URL 및 범주 필터링
-
-
트래픽을 암호화된 상태로 두고 다음을 찾아 잠재적으로 차단할 액세스 제어 및 SSL 정책을 설정합니다.
-
이전 프로토콜 버전(예: SSL(Secure Sockets Layer))
-
비보안 암호 그룹
-
위험도가 높고 사업 타당성이 낮은 애플리케이션
-
신뢰할 수 없는 발급자 고유 이름
-
액세스 제어 정책은 SSL 정책을 비롯한 하위 정책 및 기타 구성을 호출하는 기본 구성입니다. SSL 정책을 액세스 제어와 연결하면 시스템은 해당 SSL 정책을 사용하여 암호화된 세션을 처리한 후 액세스 제어 규칙을 사용하여 해당 세션을 평가합니다. TLS/SSL 검사를 구성하지 않거나 디바이스에서 지원하지 않는 경우에는 액세스 제어 규칙이 암호화된 모든 트래픽을 처리합니다.
TLS/SSL 검사 구성에서 암호화된 트래픽 통과를 허용하는 경우에도 액세스 제어 규칙이 암호화된 트래픽을 처리합니다. 그러나 일부 액세스 제어 규칙 조건에는 암호화되지 않은 트래픽이 필요하므로 암호화된 트래픽과 일치하는 규칙이 더 적을 수 있습니다. 또한 기본적으로 시스템은 암호화된 페이로드의 침입 및 파일 검사를 비활성화합니다. 이는 암호화 연결이 침입 및 파일 검사가 구성된 액세스 제어 규칙과 일치하는 경우, 오탐을 줄이고 성능을 높이는 데 도움이 됩니다.
정책에 트래픽 암호 해독이 필요하지 않은 경우에도 선택적인 암호 해독을 모범 사례로 권장합니다. 즉, 원치 않는 애플리케이션, 암호 그룹 및 안전하지 않은 프로토콜을 찾기 위해 몇 가지 TLS/SSL 규칙을 설정해야 합니다. 이러한 유형의 규칙은 트래픽의 데이터를 해독할 필요가 없으며, 트래픽에 이러한 바람직하지 않은 특성이 있는지 확인하기만 하면 됩니다.
Notes(참고)
매니지드 디바이스에서 암호화된 트래픽을 처리하는 경우, 암호 해독 규칙만 설정합니다. 암호 해독 규칙에는 성능에 영향을 미칠 수 있는 처리 오버헤드가 필요합니다.
Firepower System은 상호 인증을 지원하지 않습니다. 즉, 클라이언트 인증서를 FMC에 업로드하여 암호 해독-다시 서명 또는 암호 해독-알려진 키 TLS/SSL 규칙 작업에 사용할 수 없습니다. 자세한 내용은 암호 해독 및 파기(발신 트래픽) 및 알려진 키 암호 해독(수신 트래픽)의 내용을 참조하십시오.
Firepower System은 현재 TLS 버전 1.3 암호화 또는 암호 해독을 지원하지 않습니다. 사용자가 TLS 1.3 암호화를 협상하는 웹사이트를 방문하면 웹 브라우저에서 다음과 유사한 오류가 표시될 수 있습니다.
-
ERR_SSL_PROTOCOL_ERROR
-
SEC_ERROR_BAD_SIGNATURE
-
ERR_SSL_VERSION_INTERFERENCE
이 동작을 제어하는 방법에 대한 자세한 내용은 Cisco TAC에 문의하십시오.
FlexConfig를 사용하여 TCP 최대 세그먼트 크기(MSS) 값을 설정하는 경우 관찰된 MSS가 설정보다 작을 수 있습니다. 자세한 내용은 TCP MSS 정보를 참고하십시오.