تصور کنید تمام ترافیک کاربران سازمان شما از فایروال عبور می‌کند، اما بخش قابل توجهی از آن برای تجهیزات امنیتی قابل مشاهده نیست. در چنین شرایطی ممکن است یک فایل آلوده، که در ارتباط با سرورهای مهاجم بوده یا حتی بخشی از یک حمله پیشرفته است، بدون هیچ هشداری از شبکه عبور کند؛ تنها به این دلیل که در بستر HTTPS رمزنگاری شده است. امروزه رمزنگاری SSL و TLS به استاندارد اصلی ارتباطات اینترنتی تبدیل شده و تقریباً تمامی وب‌سایت‌ها، سرویس‌های ابری و برنامه‌های آنلاین از آن استفاده می‌کنند. اگرچه این فناوری امنیت و محرمانگی داده‌ها را افزایش می‌دهد، اما از طرف دیگر به بستری مناسب برای پنهان‌سازی فعالیت‌های مخرب نیز تبدیل شده است. اینجاست که SSL Inspection در فورتی گیت اهمیت پیدا می‌کند. این قابلیت به فایروال FortiGate اجازه می‌دهد ترافیک رمزنگاری‌شده را به‌صورت کنترل‌شده بررسی کرده و تهدیداتی را که در حالت عادی از دید راهکارهای امنیتی پنهان می‌مانند شناسایی کند.

 

چرا SSL Inspection در فورتی گیت اهمیت دارد؟

امروزه بخش عمده ترافیک وب از پروتکل HTTPS استفاده می‌کند؛ موضوعی که اگرچه امنیت و محرمانگی ارتباطات را افزایش داده است، اما چالش جدیدی را نیز برای تیم‌های امنیتی به وجود آورده است. زمانی که ترافیک رمزنگاری‌شده بدون بررسی از فایروال عبور کند، بخشی از دید امنیتی سازمان از بین می‌رود و تشخیص بسیاری از تهدیدات دشوارتر می‌شود. SSL Inspection در Fortigate برای رفع همین چالش طراحی شده و امکان بررسی و تحلیل ترافیک HTTPS را در اختیار موتورهای امنیتی قرار می‌دهد.

مهم‌ترین مزایای این قابلیت عبارت‌اند از:

  • شناسایی بدافزارهای پنهان

بسیاری از بدافزارها از ارتباطات HTTPS برای دانلود فایل‌های مخرب استفاده می‌کنند. SSL Inspection امکان بررسی این فایل‌ها را قبل از رسیدن به کاربر فراهم می‌کند.

  • افزایش کارایی IPS

سیستم جلوگیری از نفوذ (IPS) برای تشخیص حملات نیازمند مشاهده محتوای ترافیک است. رمزگشایی ارتباطات SSL باعث افزایش دقت تشخیص تهدیدات می‌شود.

  • کنترل دقیق برنامه‌ها

بخش زیادی از نرم‌افزارها و سرویس‌های ابری از HTTPS استفاده می‌کنند. SSL Inspection به فورتی گیت اجازه می‌دهد نوع برنامه و رفتار آن را با دقت بیشتری شناسایی کند.

  • جلوگیری از ارتباط با سرورهای مخرب

بسیاری از بدافزارها پس از آلوده‌سازی سیستم با سرورهای فرماندهی و کنترل (C2) ارتباط برقرار می‌کنند. این ارتباطات اغلب رمزنگاری‌شده هستند و بدون SSL Inspection قابل شناسایی نخواهند بود.

 

نحوه عملکرد SSL Inspection در فورتی گیت

برای بررسی ترافیک رمزنگاری‌شده، فورتی گیت به‌عنوان یک واسط امنیتی میان کاربر و سرور مقصد عمل می‌کند. در این فرآیند، فایروال دو ارتباط SSL/TLS مستقل ایجاد می‌کند؛ یکی با کاربر و دیگری با سرور مقصد. این معماری به فورتی گیت اجازه می‌دهد محتوای ترافیک را پیش از رسیدن به مقصد مورد بررسی قرار دهد.

فرآیند SSL Inspection به‌طور خلاصه شامل مراحل زیر است:

  1. کاربر درخواست اتصال HTTPS به یک وب‌سایت یا سرویس را ارسال می‌کند.
  2. فورتی گیت درخواست را دریافت کرده و ارتباط SSL کاربر را خاتمه می‌دهد.
  3. فایروال به‌صورت هم‌زمان یک ارتباط SSL جدید با سرور مقصد برقرار می‌کند.
  4. ترافیک رمزنگاری‌شده به‌صورت موقت رمزگشایی می‌شود.
  5. موتورهای امنیتی فورتی گیت مانند IPS، Antivirus، Web Filtering و Application Control محتوای ارتباط را بررسی می‌کنند.
  6. در صورت عدم شناسایی تهدید، داده‌ها مجدداً رمزنگاری شده و برای کاربر یا سرور ارسال می‌شوند.

به این ترتیب، فورتی گیت می‌تواند محتوای واقعی ترافیک HTTPS را مشاهده کرده و سیاست‌های امنیتی سازمان را روی ارتباطاتی اعمال کند که در حالت عادی برای تجهیزات امنیتی غیرقابل مشاهده هستند.

 

عملکرد ssl در فورتی گیت

 

انواع SSL Inspection در فورتی گیت

فورتی گیت برای بررسی ترافیک رمزنگاری‌شده SSL/TLS دو روش اصلی را در اختیار مدیران شبکه قرار می‌دهد. انتخاب هر یک از این روش‌ها به سطح امنیت مورد نیاز، نوع کاربران، سیاست‌های سازمان و منابع سخت‌افزاری فایروال بستگی دارد.

اگرچه هر دو روش با هدف افزایش دید امنیتی طراحی شده‌اند، اما از نظر میزان دسترسی به محتوای ترافیک و سطح حفاظت تفاوت‌های قابل توجهی با یکدیگر دارند.

 

1. Certificate Inspection

Certificate Inspection ساده‌ترین روش بازرسی SSL در فورتی گیت محسوب می‌شود. در این حالت فایروال تنها اطلاعات مربوط به گواهی دیجیتال سرور را بررسی می‌کند و محتوای واقعی ارتباط HTTPS رمزگشایی نمی‌شود.

به عبارت دیگر، فورتی گیت می‌تواند اعتبار گواهی، صادرکننده (CA)، تاریخ انقضا و برخی ویژگی‌های امنیتی ارتباط را ارزیابی کند، اما به محتوای درون ارتباط دسترسی نخواهد داشت.

این روش معمولاً در سازمان‌هایی استفاده می‌شود که به دلایل فنی یا ملاحظات حریم خصوصی امکان رمزگشایی کامل ترافیک را ندارند.

 

مزایای Certificate Inspection

  • مصرف پردازشی پایین‌تر نسبت به Deep Inspection
  • راه‌اندازی سریع و ساده
  • عدم نیاز به نصب گواهی فورتی گیت روی کلاینت‌ها
  • کاهش احتمال بروز ناسازگاری با برخی سرویس‌ها و برنامه‌ها

 

محدودیت‌های Certificate Inspection

از آنجا که محتوای ارتباطات HTTPS رمزگشایی نمی‌شود، موتورهای امنیتی فورتی گیت قادر به بررسی فایل‌های دانلودی، شناسایی بدافزارهای مخفی یا تحلیل کامل ترافیک نخواهند بود. در نتیجه بخشی از تهدیدات همچنان می‌توانند درون ارتباطات رمزنگاری‌شده پنهان بمانند.

به همین دلیل Certificate Inspection بیشتر به‌عنوان یک راهکار حداقلی برای افزایش دید امنیتی شناخته می‌شود و سطح حفاظت آن با Deep Inspection قابل مقایسه نیست.

 

2. Deep Inspection

Deep Inspection کامل‌ترین و پیشرفته‌ترین روش SSL Inspection در فورتی گیت است. در این حالت فایروال ترافیک SSL/TLS را به‌صورت کنترل‌شده رمزگشایی کرده و محتوای واقعی ارتباط را در اختیار موتورهای امنیتی قرار می‌دهد.

این فرآیند باعث می‌شود سرویس‌هایی مانند IPS، Antivirus، Web Filtering، Application Control و FortiSandbox بتوانند ترافیکی را بررسی کنند که در حالت عادی برای آن‌ها قابل مشاهده نیست.

در واقع زمانی که Deep Inspection فعال باشد، فورتی گیت تنها به بررسی گواهی بسنده نمی‌کند، بلکه محتوای کامل ارتباط را از نظر تهدیدات امنیتی، فایل‌های مخرب، رفتارهای مشکوک و نقض سیاست‌های سازمانی تحلیل می‌کند.

 

مزایای Deep Inspection

  • شناسایی بدافزارهای مخفی در ارتباطات HTTPS
  • بررسی فایل‌های دانلودی پیش از رسیدن به کاربران
  • افزایش دقت سیستم جلوگیری از نفوذ (IPS)
  • بهبود عملکرد Web Filtering و Application Control
  • شناسایی ارتباطات مشکوک با سرورهای فرماندهی و کنترل (C2)
  • افزایش چشمگیر دید امنیتی در شبکه

 

محدودیت‌های Deep Inspection

اجرای Deep Inspection به منابع پردازشی بیشتری نیاز دارد، زیرا فایروال باید ترافیک را رمزگشایی، تحلیل و مجدد رمزنگاری کند.

از سوی دیگر، برای اینکه فورتی گیت بتواند محتوای ترافیک HTTPS را بررسی کند، باید در فرآیند ارتباط SSL میان کاربر و سرور قرار گیرد. در این حالت فایروال فورتی گیت گواهی دیجیتال وب‌سایت مقصد را به‌صورت مستقیم به کاربر ارائه نمی‌کند، بلکه از یک گواهی صادرشده توسط CA داخلی خود استفاده می‌کند. به همین دلیل لازم است گواهی CA فورتی گیت روی سیستم‌ها و مرورگرهای کاربران به‌عنوان یک مرجع معتبر شناخته شود.

در غیر این صورت، کاربران هنگام مراجعه به وب‌سایت‌های HTTPS با پیام‌هایی مانند «اتصال امن نیست» یا «گواهی این وب‌سایت مورد اعتماد نیست» مواجه خواهند شد. به همین دلیل، استقرار Deep Inspection در محیط‌های سازمانی معمولاً نیازمند توزیع و اعتمادسازی گواهی CA فورتی گیت روی تمامی کلاینت‌ها است.

همچنین برخی سرویس‌های حساس مانند سامانه‌های بانکی، درگاه‌های پرداخت، نرم‌افزارهای مالی یا برنامه‌هایی که از مکانیزم Certificate Pinning استفاده می‌کنند، ممکن است با فرآیند SSL Inspection سازگار نباشند. به همین دلیل، برخی سرویس‌ها و برنامه‌های حساس در فهرست استثناهای SSL Inspection قرار می‌گیرند تا ارتباط آن‌ها بدون مشکل برقرار شود.

 

کدام روش انتخاب بهتری است؟

اگر هدف تنها بررسی اعتبار گواهی‌ها و اعمال حداقلی کنترل‌های امنیتی باشد، Certificate Inspection می‌تواند گزینه مناسبی باشد. اما در محیط‌های سازمانی که امنیت اولویت بالایی دارد، Deep Inspection انتخاب استاندارد و توصیه‌شده محسوب می‌شود.

به همین دلیل سازمان‌های بزرگ و مراکز حساس، Deep Inspection را به‌عنوان بخشی از استراتژی دفاع چندلایه خود پیاده‌سازی می‌کنند.

 

SSL Inspection چه سرویس‌هایی را تقویت می‌کند؟

یکی از مهم‌ترین مزایای SSL Inspection در فورتی گیت این است که موتورهای امنیتی مختلف را از محدودیت ترافیک رمزنگاری‌شده خارج می‌کند. زمانی که محتوای ارتباطات HTTPS قابل مشاهده باشد، سرویس‌های امنیتی می‌توانند با دقت بیشتری تهدیدات را شناسایی و سیاست‌های امنیتی را اعمال کنند.

  • Antivirus

بدون SSL Inspection، فایل‌هایی که از طریق ارتباطات HTTPS دانلود می‌شوند ممکن است بدون بررسی کامل از فایروال عبور کنند. با فعال‌سازی این قابلیت، موتور آنتی‌ویروس فورتی گیت می‌تواند فایل‌های دانلودی را تحلیل کرده و بدافزارهای شناخته‌شده را پیش از رسیدن به کاربران مسدود کند.

  • IPS

سیستم جلوگیری از نفوذ (IPS) در فورتی گیت برای شناسایی حملات سایبری به مشاهده محتوای واقعی ترافیک نیاز دارد. SSL Inspection این امکان را فراهم می‌کند تا الگوهای مخرب، تلاش‌های سوءاستفاده از آسیب‌پذیری‌ها و حملات تحت وب حتی در ارتباطات HTTPS نیز شناسایی شوند.

  • Web Filtering

بسیاری از وب‌سایت‌ها و سرویس‌های آنلاین امروزه از HTTPS استفاده می‌کنند. SSL Inspection به فورتی گیت اجازه می‌دهد محتوای این ارتباطات را بهتر تحلیل کرده و سیاست‌های فیلترینگ را با دقت بیشتری اعمال کند.

  • Application Control

بخش زیادی از برنامه‌های امروزی از ارتباطات رمزنگاری‌شده استفاده می‌کنند. با فعال بودن SSL Inspection، فورتی گیت می‌تواند برنامه‌ها و سرویس‌های آنلاین را با دقت بیشتری شناسایی کرده و کنترل مؤثرتری بر استفاده از آن‌ها داشته باشد.

  • FortiSandbox

فایل‌ها و محتوای مشکوکی که از طریق ارتباطات رمزنگاری‌شده منتقل می‌شوند می‌توانند برای تحلیل عمیق‌تر به FortiSandbox ارسال شوند. این موضوع احتمال شناسایی بدافزارهای ناشناخته و تهدیدات پیشرفته را افزایش می‌دهد.

 

بهترین روش‌های پیاده‌سازی SSL Inspection در فورتی گیت

برای دستیابی به حداکثر امنیت و حداقل اختلال، رعایت نکات زیر توصیه می‌شود:

 

  • استفاده هدفمند از Deep Inspection

Deep Inspection بالاترین سطح دید امنیتی را فراهم می‌کند، اما بهتر است ابتدا برای کاربران داخلی و بخش‌هایی از شبکه که بیشترین تعامل را با اینترنت دارند پیاده‌سازی شود. این رویکرد ضمن افزایش امنیت، مدیریت منابع فایروال را نیز ساده‌تر می‌کند.

یکی از اشتباهات رایج در برخی سازمان‌ها، فعال‌سازی ناگهانی Deep Inspection برای تمامی کاربران و سرویس‌ها است. اگرچه این رویکرد می‌تواند دید امنیتی را به‌سرعت افزایش دهد، اما در عمل ممکن است باعث بروز مشکلاتی در برخی برنامه‌ها، افزایش تماس کاربران با واحد پشتیبانی و رشد تعداد تیکت‌های Help Desk شود. به همین دلیل، بسیاری از کارشناسان امنیت توصیه می‌کنند SSL Inspection به‌صورت مرحله‌ای پیاده‌سازی شود تا مشکلات احتمالی پیش از گسترش به کل سازمان شناسایی و برطرف شوند.

 

  • تعریف استثنا برای سرویس‌های حساس

برخی سرویس‌های بانکی، سامانه‌های مالی و برنامه‌هایی که از Certificate Pinning استفاده می‌کنند ممکن است با SSL Inspection سازگار نباشند. شناسایی این سرویس‌ها و قرار دادن آن‌ها در فهرست استثناها از بروز اختلال جلوگیری می‌کند.

 

  • به‌روزرسانی منظم FortiOS

نسخه‌های جدید FortiOS علاوه بر رفع آسیب‌پذیری‌ها، پشتیبانی بهتری از نسخه‌های جدید TLS، الگوریتم‌های رمزنگاری و قابلیت‌های SSL Inspection ارائه می‌کنند.

 

  • پایش لاگ‌ها و رخدادهای امنیتی

لاگ‌های SSL Inspection می‌توانند اطلاعات ارزشمندی درباره ارتباطات مشکوک، خطاهای گواهی و تهدیدات احتمالی در اختیار تیم امنیت قرار دهند. بررسی این اطلاعات به بهبود سیاست‌های امنیتی کمک می‌کند.

 

  • نظارت بر مصرف منابع

رمزگشایی و بررسی ترافیک HTTPS نیازمند پردازش بیشتری است. بنابراین لازم است مصرف CPU، حافظه و Sessionهای فایروال به‌صورت مستمر پایش شود تا عملکرد شبکه تحت تأثیر قرار نگیرد.

 

  • یکپارچه‌سازی با FortiAnalyzer

استفاده از FortiAnalyzer امکان تحلیل عمیق‌تر لاگ‌ها، تهیه گزارش‌های مدیریتی و بررسی رخدادهای مرتبط با SSL Inspection را فراهم می‌کند.

 

آیا SSL Inspection در فورتی گیت باعث کاهش سرعت شبکه می‌شود؟

در صورتی که مدل فورتی گیت متناسب با حجم ترافیک انتخاب شده باشد، تأثیر SSL Inspection بر عملکرد شبکه بسیار ناچیز خواهد بود. اما در شبکه‌های پرترافیک یا هنگام استفاده از سخت‌افزارهای قدیمی، فعال‌سازی Deep Inspection می‌تواند باعث افزایش مصرف CPU و کاهش کارایی شود.

به همین دلیل قبل از فعال‌سازی گسترده این قابلیت باید ظرفیت سخت‌افزاری دستگاه ارزیابی شود.

 

جمع‌بندی

امروزه چالش اصلی تیم‌های امنیتی دیگر کمبود ابزارهای دفاعی نیست، بلکه حفظ دید امنیتی در برابر حجم عظیمی از ترافیک رمزنگاری‌شده است. در چنین شرایطی، SSL Inspection به سازمان‌ها کمک می‌کند تا بدون چشم‌پوشی از مزایای HTTPS، کنترل و نظارت مؤثرتری بر ارتباطات شبکه داشته باشند.

با این حال، موفقیت در پیاده‌سازی SSL Inspection تنها به فعال‌سازی یک قابلیت در فورتی گیت محدود نمی‌شود. انتخاب روش مناسب بازرسی، مدیریت صحیح استثناها، توجه به سازگاری سرویس‌های حساس و پایش مستمر عملکرد فایروال، عواملی هستند که نقش تعیین‌کننده‌ای در بهره‌برداری موفق از این قابلیت دارند.

در نهایت، SSL Inspection را می‌توان پلی بین رمزنگاری و امنیت دانست؛ قابلیتی که به سازمان‌ها اجازه می‌دهد ضمن حفظ محرمانگی ارتباطات، از تبدیل شدن ترافیک HTTPS به یک نقطه کور امنیتی جلوگیری کنند.