TLS/SSL 규칙 모범 사례
이 장에서는 모범 사례 및 권장 사항을 보여주는 TLS/SSL를 사용한 SSL 정책의 예를 제공합니다. 먼저 SSL 및 액세스 제어 정책에 대한 설정에 대해 설명한 다음 모든 규칙을 살펴보고 특정 방식으로 정렬하는 것이 권장되는 이유를 살펴보겠습니다.
다음은 이 장에서 다룰 SSL 정책입니다.
사전 필터 및 플로우 오프로드를 사용하여 검사 우회
사전 필터링은 시스템에서 더 많은 리소스를 사용하는 평가를 수행하기 전에 이루어지는 첫 번째 액세스 제어 단계입니다. 사전 필터링은 간단하고 빠르며 일찍 이루어집니다. 사전 필터링은 제한된 외부 헤더 기준을 사용하여 신속하게 트래픽을 처리합니다. 내부 헤더를 사용하며 검사 기능이 더 강력한 후속 평가와 사전 필터링을 비교해 보십시오.
다음 경우에 사전 필터링을 구성하십시오.
-
성능 향상 - 검사가 필요하지 않은 트래픽은 일찍 제외할수록 좋습니다. 캡슐화된 연결을 검사하지 않고 외부 캡슐화 헤더를 기반으로 특정 유형의 일반 텍스트, 패스스루 터널을 단축 경로 지정 또는 차단할 수 있습니다. 조기에 처리하는 것이 유리한 그 밖의 연결도 단축 경로를 지정하거나 차단할 수 있습니다.
-
캡슐화된 트래픽에 심층 검사 맞춤 설정 - 동일한 검사 기준을 사용하여 나중에 캡슐화된 연결을 처리할 수 있도록 특정 터널 유형의 영역을 다시 지정할 수 있습니다. 영역 재지정이 필요한 이유는 사전 필터링 후 액세스 제어가 내부 헤더를 사용하기 때문입니다.
Firepower 4100/9300를 사용 가능한 경우, 신뢰할 수 있는 트래픽이 더 나은 성능을 위해 검사 엔진을 우회할 수 있는 기술인 대규모 플로우 오프로드를 사용할 수 있습니다. 예를 들어 데이터 센터에서 서버 백업을 전송하는 데 사용할 수 있습니다.
암호 해독 안 함 모범 사례
트래픽 로깅
아무것도 기록하지 않는 Do Not Decrypt(암호 해독 안 함) 규칙은 생성하지 않는 것이 좋습니다. 이러한 규칙은 매니지드 디바이스에서 여전히 처리에 시간이 걸리기 때문입니다. TLS/SSL 규칙 유형을 설정하는 경우 어떤 트래픽이 일치하는지 확인할 수 있도록 로깅을 활성화합니다.
해독 불가 트래픽에 대한 지침
웹사이트 자체를 해독할 수 없거나 웹사이트에서 SSL 피닝을 사용하여 사용자가 브라우저에서 오류 없이 해독된 사이트에 액세스하는 것을 효과적으로 방지하기 때문에 특정 트래픽을 해독할 수 없는 것으로 확인되었습니다.
인증서 피닝에 대한 자세한 내용은 TLS/SSL 피닝 정보의 내용을 참조하십시오.
이러한 사이트의 목록은 다음과 같이 유지 관리됩니다.
-
Cisco-Undecryptable-Sites라는 DN(고유 이름) 그룹
트래픽을 암호 해독하고 이러한 사이트로 이동할 때 사용자의 브라우저에서 오류가 표시되지 않도록 하려면 TLS/SSL 규칙의 맨 아래에 Do Not Decrypt(암호 해독 안 함) 규칙을 설정하는 것이 좋습니다.
암호 해독 - 다시 서명 및 암호 해독 - 알려진 키 모범 사례
이 주제에서는 Decrypt - Resign(암호 해독 - 다시 서명) 및 Decrypt - Known Key(암호 해독 - 알려진 키) TLS/SSL 규칙에 대한 모범 사례를 설명합니다.
암호 해독 - 다시 서명 모범 사례
인증서 피닝을 사용하는 애플리케이션에 대해 Decrypt - Resign(암호 해독 - 다시 서명) 규칙을 설정하는 경우 다음 모범 사례를 준수해야 합니다.
-
이러한 규칙을 모든 Decrypt - Resign(암호 해독 - 다시 서명) 규칙 앞에 배치합니다.
-
인증서 피닝에 대한 Decrypt - Resign(암호 해독 - 다시 서명) 규칙 작업을 해당 애플리케이션에 대한 요청이 시작되는 네트워크로 제한합니다(네트워크 규칙 조건).
인증서 피닝에 대한 자세한 내용은 Firepower Management Center 디바이스 구성 가이드SSL 피닝 섹션을 참조하십시오.
암호 해독 - 알려진 키 모범 사례
Decrypt - Known Key(암호 해독 - 알려진 키) 규칙 작업은 내부 서버로 이동하는 트래픽에 사용하기 위한 것이므로 항상 이러한 규칙에 대상 네트워크를 추가해야 합니다(네트워크 규칙 조건). 이렇게 하면 트래픽이 서버가 있는 네트워크로 직접 이동하므로 네트워크의 트래픽이 줄어듭니다.
우선 적용할 TLS/SSL 규칙
패킷의 첫 번째 부분과 일치할 수 있는 규칙을 먼저 배치합니다. IP 주소를 참조하는 규칙(네트워크 규칙 조건)을 예로 들 수 있습니다.
마지막에 추가할 TLS/SSL 규칙
다음 규칙 조건이 있는 규칙은 시스템에서 가장 긴 시간 동안 트래픽을 검사해야 하므로 마지막 규칙이어야 합니다.
-
애플리케이션
-
카테고리
-
인증서
-
고유 이름(DN)
-
인증서 상태
-
암호 그룹
-
버전