Introduction
Ce document décrit la configuration du déchiffrement de Secure Sockets Layer (SSL) sur le module de FirePOWER utilisant ASDM (Gestion de Sur-case).
Conditions préalables
Conditions requises
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- La connaissance du Pare-feu ASA (appliance de sécurité adaptable), ASDM (Adaptive Security Device Manager)
- La connaissance de l'appliance de FirePOWER
- La connaissance du protocole HTTPS/SSL
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
- Version de logiciel courante 6.0.0 des modules ASA FirePOWER (ASA 5506X/5506H-X/5506W-X, ASA 5508-X, ASA 5516-X) et en haut
- Version de logiciel courante 6.0.0 du module ASA FirePOWER (ASA 5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X) et en haut
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.
Note: Assurez-vous que le module de FirePOWER a un permis de protection de configurer cette fonctionnalité. Pour vérifier le permis, naviguez vers la configuration > la configuration > le permis ASA FirePOWER.
Le module de FirePOWER déchiffre et examine les connexions d'arrivée et sortantes SSL qui sont réorientées à lui. Le trafic est déchiffré, des applications percées un tunnel telles que la conversation etc. de facebook, est détecté et une fois contrôlé. Les données déchiffrées sont examinées pour assurer les menaces, le Filtrage URL, le fichier bloquant, ou les données malveillantes.
Déchiffrement sortant SSL
Le module de firePOWER agit en tant que proxy en avant pour les connexions sortantes SSL en interceptant des demandes sortantes SSL et en régénérant un certificat pour le site que l'utilisateur veut visiter. L'autorité émettante (CA) est le certificat Auto-signé par FirePOWER. Si le certificat de firePOWER n'est pas une partie d'une hiérarchie qui existe ou si on ne l'ajoute pas au cache du navigateur d'un client, le client reçoit un avertissement tandis qu'il parcourt à un site sécurisé. Le déchiffrage-Resignmethod est utilisé pour exécuter le déchiffrement sortant SSL.
Déchiffrement d'arrivée SSL
Dans le cas du trafic d'arrivée à un serveur Web interne ou à un périphérique, l'administrateur importe une copie du certificat et de la clé de serveur protégé. Quand le certificat de serveur SSL est chargé sur le module de firePOWER, et stratégie de déchiffrement SSL est configuré pour le trafic d'arrivée, le périphérique alors les déchiffrages et examine le trafic en tant que lui en avant le trafic. Le module détecte alors le contenu malveillant, des menaces, malware circulant au-dessus de ce canal de sécuriser. D'ailleurs, le Keymethod Déchiffrage-connu est utilisé pour exécuter le déchiffrement d'arrivée SSL.
Configuration pour le déchiffrement SSL
Il y a deux méthodes de déchiffrement du trafic SSL.
- Déchiffrage - Démissionnez pour le trafic sortant SSL
- Déchiffrage - Connu pour le trafic d'arrivée SSL
Déchiffrement sortant SSL (déchiffrage - Démissionnez)
Le module de FirePOWER agit en tant que MITM (homme-dans-le-moyen) pour toutes les négociations SSL pour les serveurs publics SSL. Il démissionne le certificat du serveur public avec un certificat de CA intermédiaire qui est configuré sur le module de firePOWER.
Ce sont les trois étapes pour configurer le déchiffrement sortant SSL.
Étape 1. Configurez le certificat de CA.
Configurez ou un certificat auto-signé ou un certificat de CA de confiance intermédiaire pour le certificat démissionnent.
Configurez le certificat de CA Auto-signé
Afin de configurer le certificat de CA Auto-signé, naviguez vers la configuration > la configuration ASA FirePOWER > la Gestion > le PKI d'objet > CAs interne et cliquez sur en fonction Generate CA. Les systèmes invite pour les détails du certificat de CA. Suivant les indications de l'image, remplissez les détails selon votre condition requise.

Cliquez sur en fonction le CA auto-signé Generate pour générer le certificat de CA interne. Cliquez sur alors en fonction le CSR Generate pour générer la certificat-signer-demande qui est par conséquent partagée avec le serveur CA pour signer.
Configurez le certificat de CA intermédiaire
Afin de configurer le certificat de CA intermédiaire qui est signé par un autre tiers CA, naviguez vers la configuration > la configuration ASA FirePOWER > la Gestion > le PKI d'objet > CAs interne et cliquez sur en fonction l'importation CA.
Spécifiez le Nameof le certificat. Select parcourent et téléchargent le certificat de l'ordinateur local ou de la copie-pâte le contenu du certificat dans l'option de données de certificat. Afin de spécifier la clé privée du certificat, parcourez le fichier principal ou la copie-pâte la clé dans l'option principale.
Si la clé est chiffrée, activez la case chiffrée et spécifiez le mot de passe. Cliquez sur OK pour sauvegarder le contenu de certificat, suivant les indications de l'image :

Étape 2. Configurez la stratégie SSL.
La stratégie SSL définit l'action de déchiffrement et identifie le trafic sur lequel Déchiffrage-démissionnez la méthode de déchiffrement est appliqué. Configurez les règles SSL de multiple basées sur votre stratégie de sécurité de condition requise et d'organisation d'affaires.
Afin de configurer la stratégie SSL, naviguer pour configurer > configuration > stratégies > SSL ASA FirePOWER et cliquer sur Add la règle.
Nom : Spécifiez le nom de la règle.
Action : Spécifiez l'action comme déchiffrage - Démissionnez et choisissez le certificat de CA de la liste déroulante qui est configurée dans l'étape précédente.
Définissez les conditions dans la règle d'apparier le trafic car il y a des nombreuses options (zone, réseau, utilisateurs etc.), spécifié pour définir le trafic qui doit être déchiffré.
Pour générer les événements du déchiffrement SSL, activez le loggingat se connectant l'option, suivant les indications de l'image :

Cliquez sur Add pour ajouter la règle SSL.
La mémoire ASA FirePOWER de clic change pour sauvegarder la configuration de la stratégie SSL.
Étape 3. Configurez la stratégie de contrôle d'accès
Une fois que vous configurez la stratégie SSL avec des règles appropriées, vous devez spécifier la stratégie SSL dans le contrôle d'accès pour implémenter les modifications.
Pour configurer la stratégie de contrôle d'accès, naviguez vers la configuration > la configuration > les stratégies > le contrôle d'accès ASA FirePOWER.
Cliquez sur rien la stratégie SSL ou naviguez vers avancé > paramètre de la stratégie SSL. Spécifiez la stratégie SSL de la liste déroulante et cliquez sur OK pour la sauvegarder, suivant les indications de l'image :

La mémoire ASA FirePOWER de clic change pour sauvegarder la configuration de la stratégie SSL.
Vous devez déployer la stratégie de contrôle d'accès vers le capteur. Avant que vous appliquiez la stratégie, il y a une indication cette stratégie de contrôle d'accès périmée sur le module. Pour déployer les modifications au capteur, le clic se déploient et choisi déployez l'option de modifications de FirePOWER. Vérifiez les modifications apportées et le clic se déploient.
Note: Dans la version 5.4.x, si vous devez appliquer la stratégie d'accès au capteur, cliquez sur Apply les modifications ASA FirePOWER.
Note: Naviguez vers la surveillance > ASA FirePOWER surveillant > état de tâche. Vous sollicitez alors des modifications de configuration pour s'assurer que la tâche est terminée.
Déchiffrement d'arrivée SSL (déchiffrage - Connu)
La méthode d'arrivée de déchiffrement SSL (Déchiffrage-connu) est utilisée pour déchiffrer le trafic d'arrivée SSL pour lequel vous avez configuré le certificat de serveur et la clé privée. Vous devez importer le certificat de serveur et la clé privée au module de FirePOWER. Quand le trafic SSL frappe le module de FirePOWER, il déchiffre le trafic et exécute l'inspection sur le trafic déchiffré. Après inspection, le module de FirePOWER re-chiffre le trafic et l'envoie au serveur.
Ce sont les quatre étapes pour configurer le déchiffrement sortant SSL :
Étape 1. Importez le certificat et la clé de serveur.
Afin d'importer le certificat et la clé de serveur, naviguez vers la configuration > la configuration ASA FirePOWER > la Gestion > le PKI d'objet > des CERT internes et cliquez sur en fonction le CERT interne Add.
Suivant les indications de l'image, spécifiez le Nameof le certificat. Choisi parcourez pour sélectionner le certificat de l'ordinateur local ou la copie-pâte le contenu du certificat dans les données de certificat. Afin de spécifier la clé privée du certificat, parcourez le fichier principal ou la copie-pâte la clé dans la touche option.
Si la clé est chiffrée, alors activez la case à cocher chiffrée et spécifiez le mot de passe, suivant les indications de l'image :

Cliquez sur en fonction les modifications de la mémoire ASA FirePOWER pour sauvegarder le contenu de certificat.
Étape 2. Importez le certificat de CA (facultatif).
Pour le certificat de serveur signé par certificat de CA interne d'intermédiaire ou de racine, vous devez importer la chaîne interne des Certificats CA au module de firePOWER. Après que l'importation soit effectuée, le module de firePOWER peut valider le certificat de serveur.
Pour importer le certificat de CA, naviguer vers la configuration > la configuration ASA FirePOWER > la Gestion d'objet > a fait confiance au CAs et clique sur Add a fait confiance au CA pour ajouter le certificat de CA.
Étape 3. Configurez la stratégie SSL.
La stratégie SSL définit l'action et les petits groupes de serveur pour lesquels vous souhaitez configurer la méthode Déchiffrage-connue pour déchiffrer le trafic d'arrivée. Si vous avez de plusieurs serveurs internes, configurez les plusieurs règles SSL basées sur différents serveurs et le trafic qu'elles traitent.
Pour configurer la stratégie SSL, naviguer pour configurer > configuration > stratégies > SSL ASA FirePOWER et cliquer sur en fonction la règle Add.
Nom : Spécifiez le nom de la règle.
Action : Spécifiez l'action comme déchiffrage - connu et choisissez le certificat de CA de la liste déroulante qui est configurée dans l'étape précédente.
Définissez la condition pour apparier ceci ordonne, car il y a des nombreuses options (réseau, application, ports etc.) spécifiées pour définir le trafic intéressant du serveur pour lequel vous voulez activer le déchiffrement SSL. Spécifiez le CA interne dans l'onglet de confiance sélectionné de certificat de CA confié par CAs.
Pour générer les événements du déchiffrement SSL, activez le loggingat se connectant l'option.

Cliquez sur Add pour ajouter la règle SSL.
Et cliquez sur alors en fonction les modifications de la mémoire ASA FirePOWER pour sauvegarder la configuration de la stratégie SSL.
Étape 4. Configurez la stratégie de contrôle d'accès.
Une fois que vous configurez la stratégie SSL avec des règles appropriées, vous devez spécifier la stratégie SSL dans le contrôle d'accès pour implémenter les modifications.
Pour configurer la stratégie de contrôle d'accès, naviguez vers la configuration > la configuration > les stratégies > le contrôle d'accès ASA FirePOWER.
N'en cliquez sur l'aucun option à coté de stratégie SSL ou naviguez vers avancé > paramètre de la stratégie SSL, spécifiez la stratégie SSL de la liste déroulante et cliquez sur OK pour la sauvegarder.
La mémoire ASA FirePOWER de clic change pour sauvegarder la configuration de la stratégie SSL.
Vous devez déployer la stratégie de contrôle d'accès. Avant que vous appliquiez la stratégie, vous pouvez voir une stratégie de contrôle d'accès d'indication périmée sur le module. Pour déployer les modifications au capteur, le clic se déploient et choisissent déploient l'option de modifications de FirePOWER. Vérifiez les modifications apportées et le clic se déploient dans la fenêtre externe.
Note: Dans la version 5.4.x, si vous devez appliquer la stratégie d'accès au capteur, cliquez sur Apply les modifications ASA FirePOWER.
Note: Naviguez vers la surveillance > ASA FirePOWER surveillant > état de tâche. Vous sollicitez alors des modifications de configuration pour s'assurer que la tâche est terminée.
Vérifiez
Utilisez cette section pour confirmer que votre configuration fonctionne correctement.
- Pour la connexion sortante SSL, une fois que vous parcourez un site Web SSL de public du réseau interne, les systèmes invite un message d'erreur du certificat. Vérifiez le contenu de certificat et vérifiez les informations CA. Le certificat de CA interne que vous avez configuré dans le module de FirePOWER apparaît. Recevez le message d'erreur pour parcourir le certificat ssl. Pour éviter le message d'erreur, ajoutez le certificat de CA dans votre navigateur a fait confiance à la liste CA.

- Vérifiez les événements de connexion pour vérifier qui la stratégie SSL et la règle SSL est hitby le trafic. Naviguez vers la surveillance > ASA FirePOWER surveillant > le temps réel Eventing.Select un événement et cliquez sur en fonction les détails de vue. Vérifiez les statistiques de déchiffrement SSL.
- Assurez-vous que le déploiement de stratégie de contrôle d'accès se termine avec succès.
- Assurez-vous que la stratégie SSL est incluse dans la stratégie de contrôle d'accès.
- Assurez-vous que la stratégie SSL contient des règles appropriées pour d'arrivée et la direction sortante.
- Assurez-vous que les règles SSL contiennent l'état approprié pour définir le trafic intéressant.
- Surveillez les événements de connexion pour vérifier la stratégie SSL et la règle SSL.
- Vérifiez l'état de déchiffrement SSL.
Dépannez
Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.