해독 규칙 모범 사례
이 장에서는 모범 사례 및 권장 사항을 보여주는 해독 규칙를 사용한 SSL 정책의 예를 제공합니다. 먼저 SSL 및 액세스 제어 정책에 대한 설정에 대해 설명한 다음 모든 규칙을 살펴보고 특정 방식으로 정렬하는 것이 권장되는 이유를 살펴보겠습니다.
다음은 이 장에서 다룰 SSL 정책입니다.
사전 필터 및 플로우 오프로드를 사용하여 검사 우회
사전 필터링은 시스템에서 더 많은 리소스를 사용하는 평가를 수행하기 전에 이루어지는 첫 번째 액세스 제어 단계입니다. 사전 필터링은 간단하고 빠르며 일찍 이루어집니다. 사전 필터링은 제한된 외부 헤더 기준을 사용하여 신속하게 트래픽을 처리합니다. 내부 헤더를 사용하며 검사 기능이 더 강력한 후속 평가와 사전 필터링을 비교해 보십시오.
다음 경우에 사전 필터링을 구성하십시오.
-
성능 향상 - 검사가 필요하지 않은 트래픽은 일찍 제외할수록 좋습니다. 캡슐화된 연결을 검사하지 않고 외부 캡슐화 헤더를 기반으로 특정 유형의 일반 텍스트, 패스스루 터널을 단축 경로 지정 또는 차단할 수 있습니다. 조기에 처리하는 것이 유리한 그 밖의 연결도 단축 경로를 지정하거나 차단할 수 있습니다.
-
캡슐화된 트래픽에 심층 검사 맞춤 설정 - 동일한 검사 기준을 사용하여 나중에 캡슐화된 연결을 처리할 수 있도록 특정 터널 유형의 영역을 다시 지정할 수 있습니다. 영역 재지정이 필요한 이유는 사전 필터링 후 액세스 제어가 내부 헤더를 사용하기 때문입니다.
Firepower 4100/9300를 사용 가능한 경우, 신뢰할 수 있는 트래픽이 더 나은 성능을 위해 검사 엔진을 우회할 수 있는 기술인 대규모 플로우 오프로드를 사용할 수 있습니다. 예를 들어 데이터 센터에서 서버 백업을 전송하는 데 사용할 수 있습니다.
암호 해독 안 함 모범 사례
트래픽 로깅
아무것도 기록하지 않는 Do Not Decrypt(암호 해독 안 함) 규칙은 생성하지 않는 것이 좋습니다. 이러한 규칙은 매니지드 디바이스에서 여전히 처리에 시간이 걸리기 때문입니다. 해독 규칙 유형을 설정하는 경우 어떤 트래픽이 일치하는지 확인할 수 있도록 로깅을 활성화합니다.
해독 불가 트래픽에 대한 지침
웹사이트 자체를 해독할 수 없거나 웹사이트에서 SSL 피닝을 사용하여 사용자가 브라우저에서 오류 없이 해독된 사이트에 액세스하는 것을 효과적으로 방지하기 때문에 특정 트래픽을 해독할 수 없는 것으로 확인되었습니다.
인증서 피닝에 대한 자세한 내용은 TLS/SSL 피닝 정보의 내용을 참조하십시오.
이러한 사이트의 목록은 다음과 같이 유지 관리됩니다.
-
Cisco-Undecryptable-Sites라는 DN(고유 이름) 그룹
-
고정된 인증서 애플리케이션 필터
트래픽을 암호 해독하고 이러한 사이트로 이동할 때 사용자의 브라우저에서 오류가 표시되지 않도록 하려면 해독 규칙의 맨 아래에 Do Not Decrypt(암호 해독 안 함) 규칙을 설정하는 것이 좋습니다.
다음은 고정된 인증서 애플리케이션 필터를 설정하는 예입니다.
암호 해독 - 다시 서명 및 암호 해독 - 알려진 키 모범 사례
이 주제에서는 Decrypt - Resign(암호 해독 - 다시 서명) 및 Decrypt - Known Key(암호 해독 - 알려진 키) 해독 규칙에 대한 모범 사례를 설명합니다.
암호 해독 - 인증서 피닝을 사용한 다시 서명 모범 사례
일부 애플리케이션이 TLS/SSL 피닝또는 인증서 피닝이라는 기법을 사용하는데 이 기법에서는 원본 서버 인증서 지문이 애플리케이션 자체에 내장됩니다. 따라서 해독 규칙을 Decrypt - Resign(암호 해독 - 재서명) 작업으로 구성하는 경우, 애플리케이션이 매니지드 디바이스로부터 재서명된 인증서를 수신할 때 확인이 실패하고 연결이 중단됩니다.
TLS/SSL 피닝은 메시지 가로채기(man-in-the-middle) 공격을 차단하는 데 사용되므로 이 문제를 방지하거나 해결하는 방법은 없습니다. 다음 옵션을 이용할 수 있습니다.
-
Decrypt - Resign(암호 해독 - 다시 서명) 규칙 앞에 오는 이러한 애플리케이션 규칙에 대해서는 Do not Decrypt(암호 해독 안 함)를 생성하십시오.
-
웹 브라우저를 사용하여 애플리케이션에 액세스하도록 사용자에게 지시합니다.
인증서 피닝에 대한 자세한 내용은 Cisco Secure Firewall Management Center 디바이스 구성 가이드SSL 피닝 섹션을 참조하십시오.
암호 해독 - 알려진 키 모범 사례
Decrypt - Known Key(암호 해독 - 알려진 키) 규칙 작업은 내부 서버로 이동하는 트래픽에 사용하기 위한 것이므로 항상 이러한 규칙에 대상 네트워크를 추가해야 합니다(네트워크 규칙 조건). 이렇게 하면 트래픽이 서버가 있는 네트워크로 직접 이동하므로 네트워크의 트래픽이 줄어듭니다.
해독 규칙 우선적
패킷의 첫 번째 부분과 일치할 수 있는 규칙을 먼저 배치합니다. IP 주소를 참조하는 규칙(네트워크 규칙 조건)을 예로 들 수 있습니다.
해독 규칙 마지막으로 입력
다음 규칙 조건이 있는 규칙은 시스템에서 가장 긴 시간 동안 트래픽을 검사해야 하므로, 마지막 규칙이어야 합니다.
-
애플리케이션
-
카테고리
-
인증서
-
고유 이름(DN)
-
인증서 상태
-
암호 그룹
-
버전