본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.
Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.
이 문서에서는 ASDM(온박스 관리)을 사용하여 FirePOWER 모듈에서 SSL(Secure Sockets Layer) 암호 해독 구성에 대해 설명합니다.
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
참고:FirePOWER Module에 이 기능을 구성할 수 있는 Protect 라이센스가 있는지 확인합니다.라이센스를 확인하려면 Configuration(컨피그레이션) > ASA FirePOWER Configuration(ASA FirePOWER 컨피그레이션) > License(라이센스)로 이동합니다.
Firepower Module은 인바운드 및 아웃바운드 SSL 연결을 해독하고 검사하며, 이 연결은 리디렉션됩니다.트래픽이 해독되면 facebook 채팅 등의 터널링된 애플리케이션이 탐지되고 제어됩니다.해독된 데이터는 위협, URL 필터링, 파일 차단 또는 악성 데이터를 검사합니다.
Firepower 모듈은 아웃바운드 SSL 요청을 가로채고 사용자가 방문하려는 사이트에 대한 인증서를 다시 생성하여 아웃바운드 SSL 연결을 위한 전달 프록시 역할을 합니다. 발급 기관(CA)은 Firepower Self-Signed 인증서입니다.Firepower의 인증서가 존재하는 계층 구조의 일부가 아니거나 클라이언트의 브라우저 캐시에 추가되지 않은 경우 보안 사이트로 이동하는 동안 클라이언트가 경고를 받습니다.Decrypt-Resignmethod는 아웃바운드 SSL 암호 해독을 수행하는 데 사용됩니다.
내부 웹 서버 또는 디바이스로 인바운드 트래픽의 경우 관리자는 보호된 서버의 인증서 및 키의 복사본을 가져옵니다.SSL 서버 인증서가 firepower 모듈에 로드되고 SSL 암호 해독 정책이 인바운드 트래픽에 대해 구성된 경우, 디바이스는 트래픽을 전달할 때 트래픽을 해독하고 검사합니다.그런 다음 이 보안 채널을 통해 전달되는 악성 콘텐츠, 위협, 악성코드를 탐지합니다.또한 Decrypt-Known Keymethod를 사용하여 인바운드 SSL 해독을 수행합니다.
SSL 트래픽 해독 방법에는 두 가지가 있습니다.
Firepower 모듈은 공용 SSL 서버에 대한 모든 SSL 협상에 대해 MITM(man-in-the-middle) 역할을 합니다.Firepower 모듈에 구성된 중간 CA 인증서를 사용하여 공용 서버의 인증서를 폐기합니다.
다음은 아웃바운드 SSL 암호 해독을 구성하는 세 가지 단계입니다.
자체 서명 인증서 또는 중간 신뢰 CA 인증서를 인증서 사임에 대해 구성합니다.
자체 서명 CA 인증서 구성
자체 서명 CA 인증서를 구성하려면 Configuration(컨피그레이션) > ASA Firepower Configuration(ASA Firepower 컨피그레이션) > Object Management(개체 관리) > PKI > Internal CAs(내부 CA)로 이동하고 Generate CA(CA 생성)를 클릭합니다.CA 인증서의 세부사항을 묻는 메시지가 표시됩니다.이미지에 표시된 대로 요구 사항에 따라 세부 정보를 입력합니다.
Generate self signed CA(자체 서명 CA 생성)를 클릭하여 내부 CA 인증서를 생성합니다.그런 다음 Generate CSR(CSR 생성)을 클릭하여 인증서 서명 요청을 생성합니다. 그러면 서명하기 위해 CA 서버와 공유됩니다.
중간 CA 인증서 구성
다른 서드파티 CA에서 서명한 중간 CA 인증서를 구성하려면 Configuration(구성) > ASA Firepower Configuration(ASA Firepower 컨피그레이션) > Object Management(개체 관리) > PKI > Internal CAs(내부 CA)로 이동하고 Import CA(CA 가져오기)를 클릭합니다.
인증서의 이름을 지정합니다.로컬 컴퓨터에서 인증서를 찾아 업로드하거나 Certificate Data(인증서 데이터) 옵션에서 인증서 내용을 복사하여 붙여넣습니다.인증서의 개인 키를 지정하려면 키 파일을 찾아보거나 Key 옵션에 키를 복사하여 붙여 넣습니다.
키가 암호화된 경우 Encrypted 확인란을 활성화하고 비밀번호를 지정합니다.OK(확인)를 클릭하여 이미지에 표시된 대로 인증서 내용을 저장합니다.
SSL 정책은 암호 해독 작업을 정의하고 해독 Decrypt-Resign 방법이 적용되는 트래픽을 식별합니다.비즈니스 요구 사항 및 조직 보안 정책에 따라 여러 SSL 규칙을 구성합니다.
SSL 정책을 구성하려면 Configure(구성) > ASA FirePOWER Configuration(ASA FirePOWER 컨피그레이션) > Policies(정책) > SSL로 이동하고 Add Rule(규칙 추가)을 클릭합니다.
이름: 규칙의 이름을 지정합니다.
작업: 작업을 Decrypt - Resign으로 지정하고 이전 단계에서 구성된 드롭다운 목록에서 CA 인증서를 선택합니다.
여러 옵션(영역, 네트워크, 사용자 등)이 지정되어 해독해야 할 트래픽을 정의하므로 트래픽을 매칭할 조건을 규칙에 정의합니다.
SSL 암호 해독 이벤트를 생성하려면 이미지에 표시된 대로 logging logging 옵션을 활성화합니다.
Add(추가)를 클릭하여 SSL 규칙을 추가합니다.
Store ASA Firepower Changes(ASA Firepower 변경 사항 저장)를 클릭하여 SSL 정책의 컨피그레이션을 저장합니다.
적절한 규칙으로 SSL 정책을 구성한 후에는 액세스 제어에서 SSL 정책을 지정하여 변경 사항을 구현해야 합니다.
액세스 제어 정책을 구성하려면 Configuration(컨피그레이션) > ASA Firepower Configuration(ASA Firepower 컨피그레이션) > Policies(정책) > Access Control(액세스 제어)로 이동합니다.
SSL 정책 중 None(없음)을 클릭하거나 Advanced(고급) > SSL Policy Setting(SSL 정책 설정)으로 이동합니다.드롭다운 목록에서 SSL 정책을 지정하고 이미지에 표시된 대로 OK를 클릭하여 저장합니다.
클릭 ASA Firepower 변경 사항 저장 SSL 정책의 컨피그레이션을 저장합니다.
센서에 액세스 제어 정책을 구축해야 합니다.정책을 적용하기 전에 모듈에서 액세스 제어 정책이 오래되었음을 나타냅니다. 센서에 변경 사항을 배포하려면 [배포]를 클릭하고 [FirePOWER 변경 사항 배포] 옵션을 선택합니다.변경 사항을 확인하고 Deploy(구축)를 클릭합니다.
참고:버전 5.4.x에서 센서에 액세스 정책을 적용해야 하는 경우 Apply ASA FirePOWER Changes(ASA FirePOWER 변경 사항 적용)를 클릭합니다.
참고:Monitoring(모니터링) > ASA Firepower Monitoring(ASA Firepower 모니터링) > Task Status(작업 상태)로 이동합니다.그런 다음 구성 변경을 신청하여 작업이 완료되었는지 확인합니다.
인바운드 SSL 암호 해독(Decrypt-Known) 방법은 서버 인증서 및 개인 키를 구성한 인바운드 SSL 트래픽을 해독하는 데 사용됩니다.서버 인증서 및 개인 키를 Firepower 모듈로 가져와야 합니다.SSL 트래픽이 Firepower 모듈에 도달하면 트래픽을 해독하고 해독된 트래픽에 대한 검사를 수행합니다.검사 후 Firepower 모듈은 트래픽을 다시 암호화하여 서버로 전송합니다.
다음은 아웃바운드 SSL 암호 해독을 구성하는 4단계입니다.
Server Certificate and Key(서버 인증서 및 키)를 가져오려면 Configuration(구성) > ASA Firepower Configuration(ASA Firepower 컨피그레이션) > Object Management(개체 관리) > PKI > Internal Certs(내부 인증서)로 이동하고 Add Internal Cert(내부 인증서 추가)를 클릭합니다.
이미지에 표시된 대로 인증서의 이름을 지정합니다.찾아보기를 선택하여 로컬 컴퓨터에서 인증서를 선택하거나 인증서 데이터에 인증서 내용을 복사하여 붙여넣습니다.인증서의 개인 키를 지정하려면 키 파일을 찾아보거나 옵션 Key에서 키를 복사하여 붙여 넣습니다.
키가 암호화되어 있으면 Encrypted(암호화됨) 확인란을 활성화하고 이미지에 표시된 대로 비밀번호를 지정합니다.
Store ASA FirePOWER Changes를 클릭하여 인증서 내용을 저장합니다.
내부 중간 또는 루트 CA 인증서에서 서명한 서버 인증서의 경우 CA 인증서의 내부 체인을 firepower 모듈로 가져와야 합니다.가져오기를 수행한 후 firepower 모듈은 서버 인증서를 검증할 수 있습니다.
CA 인증서를 가져오려면 Configuration(구성) > ASA Firepower Configuration(ASA Firepower 컨피그레이션) > Object Management(개체 관리) > Trusted CAs(신뢰할 수 있는 CA)로 이동하고 Add Trusted CA(신뢰할 수 있는 CA 추가)를 클릭하여 CA 인증서를 추가합니다.
SSL 정책은 인바운드 트래픽을 해독하기 위해 Decrypt-known 메서드를 구성하려는 작업과 서버 세부사항을 정의합니다.여러 내부 서버가 있는 경우 서로 다른 서버 및 처리하는 트래픽을 기반으로 여러 SSL 규칙을 구성합니다.
SSL 정책을 구성하려면 Configure(구성) > ASA FirePOWER Configuration(ASA FirePOWER 컨피그레이션) > Policies(정책) > SSL로 이동하고 Add Rule(규칙 추가)을 클릭합니다.
이름: 규칙의 이름을 지정합니다.
작업: 작업을 Decrypt - known으로 지정하고 이전 단계에서 구성된 드롭다운 목록에서 CA 인증서를 선택합니다.
SSL 암호 해독을 활성화할 서버의 흥미로운 트래픽을 정의하기 위해 여러 옵션(네트워크, 애플리케이션, 포트 등)이 지정되므로 이 규칙과 일치시킬 조건을 정의합니다. 신뢰할 수 있는 CA 인증서 탭의 선택된 신뢰할 수 있는 CA에서 내부 CA를 지정합니다.
SSL 암호 해독 이벤트를 생성하려면 logging logging 옵션을 활성화합니다.
Add(추가)를 클릭하여 SSL 규칙을 추가합니다.
그런 다음 Store ASA Firepower Changes(ASA Firepower 변경 사항 저장)를 클릭하여 SSL 정책의 컨피그레이션을 저장합니다.
적절한 규칙으로 SSL 정책을 구성한 후에는 액세스 제어에서 SSL 정책을 지정하여 변경 사항을 구현해야 합니다.
액세스 제어 정책을 구성하려면 Configuration(컨피그레이션) > ASA Firepower Configuration(ASA Firepower 컨피그레이션) > Policies(정책) > Access Control(액세스 제어)로 이동합니다.
SSL 정책 옆에 있는 None 옵션을 클릭하거나 Advanced(고급) > SSL Policy Setting(SSL 정책 설정)으로 이동하고 드롭다운 목록에서 SSL 정책을 지정하고 OK(확인)를 클릭하여 저장합니다.
클릭 ASA Firepower 변경 사항 저장 SSL 정책의 컨피그레이션을 저장합니다.
액세스 제어 정책을 구축해야 합니다.정책을 적용하기 전에 모듈에서 액세스 제어 정책이 오래된 것을 확인할 수 있습니다. 센서에 변경 사항을 배포하려면 [배포]를 클릭하고 [FirePOWER 변경 사항 배포] 옵션을 선택하십시오.변경 사항을 확인하고 팝업 창에서 Deploy를 클릭합니다.
참고:버전 5.4.x에서 센서에 액세스 정책을 적용해야 하는 경우 Apply ASA FirePOWER Changes(ASA FirePOWER 변경 사항 적용)를 클릭합니다.
참고:Monitoring(모니터링) > ASA Firepower Monitoring(ASA Firepower 모니터링) > Task Status(작업 상태)로 이동합니다.그런 다음 구성 변경을 신청하여 작업이 완료되었는지 확인합니다.
이 섹션을 사용하여 컨피그레이션이 제대로 작동하는지 확인합니다.
현재 이 컨피그레이션에 사용할 수 있는 특정 문제 해결 정보가 없습니다.