OzzTech - TLS loglarını iyileştirin

TLS loglarını iyileştirin

Sunucu sertifikası bilgilerini ve TLS anlaşmalarını loglara kaydetmek için SSL/SSH profiline yeni seçenekler eklendi. Bu seçenekler etkinleştirildiğinde UTM SSL loglarına yeni alanlar eklenir.

config firewall ssl-ssh-profile

     edit <name>

          set ssl-server-cert-log {enable | disable}

          set ssl-handshake-log {enable | disable}

     next

end

Sunucu sertifikası bilgilerinin ve TLS anlaşmalarının loglara kaydedilmesini sağlamak için:

  • SSL/SSH protokolü seçeneklerini yapılandırın:

config firewall ssl-ssh-profile

       edit "deep-inspection-clone"

            set comment "Read-only deep inspection profile."

             config https

                    set ports 443

                    set status deep-inspection

             end

             ...

            set ssl-exemptions-log enable

            set ssl-negotiation-log enable

            set ssl-server-cert-log enable

            set ssl-handshake-log enable

     next

end

  • Firewall Policy’lerinizi yapılandırın:

config firewall policy

     edit 1

          set utm-status enable

          set inspection-mode proxy

          set ssl-ssh-profile "deep-inspection-clone"

          set av-profile "av"

          set logtraffic all

          set nat enable

    next

end

Örnek SSL sunucu sertifika log

1: date=2021-06-17 time=16:55:26 eventtime=1623974126384215772 tz="-0700" logid="1702062103" type="utm" subtype="ssl" eventtype="ssl-negotiation" level="information" vd="vdom1" action="info" policyid=1 sessionid=6361 service="HTTPS" profile="deep-inspection-clone" srcip=10.1.100.11 srcport=48892 dstip=18.140.21.233 dstport=443 srcintf="port2" srcintfrole="undefined" dstintf="port3" dstintfrole="undefined" srcuuid="8666f70e-cfb9-51eb-4991-9012417d69da" dstuuid="8666f70e-cfb9-51eb-4991-9012417d69da" proto=6 sni="www.fortinet.com" eventsubtype="server-cert-info" hostname="www.fortinet.com" notbefore="2021-03-13T00:00:00Z" notafter="2022-04-13T23:59:59Z" issuer="DigiCert TLS RSA SHA256 2020 CA1" cn="*.fortinet.com" san="*.fortinet.com;www.fortinet.com;fortinet.com" sn="000aa00a00000a00000a00a00aa000a0" ski="df9152b605cc18b346efb34de6907275dbdb2b3c" certhash="1d55cd34a1ed5d3f69bd825a45e04fbd2efba937" keyalgo="rsa" keysize=2048

 

Örnek SSL handshake log:

2: date=2021-06-17 time=16:55:26 eventtime=1623974126411127210 tz="-0700" logid="1702062103" type="utm" subtype="ssl" eventtype="ssl-negotiation" level="information" vd="vdom1" action="info" policyid=1 sessionid=6361 service="HTTPS" profile="deep-inspection-clone" srcip=10.1.100.11 srcport=48892 dstip=18.140.21.233 dstport=443 srcintf="port2" srcintfrole="undefined" dstintf="port3" dstintfrole="undefined" srcuuid="8666f70e-cfb9-51eb-4991-9012417d69da" dstuuid="8666f70e-cfb9-51eb-4991-9012417d69da" proto=6 tlsver="tls1.3" sni="www.fortinet.com" cipher="0x1302" authalgo="rsa" kxproto="ecdhe" kxcurve="secp256r1" eventsubtype="handshake-done" hostname="www.fortinet.com" handshake="full" mitm="yes"

GUI'deki logları görüntülemek için:

Log & Report > SSL üzerinden:

TLS loglarını iyileştirin

FortiGate satın almak ve FortiGate Çözümleri için OzzTech Bilgi Güvenliği Teknolojileri ile İletişime Geçebilirsiniz! 

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.