iT邦幫忙

0

Fortigate 的 SSL 深層檢查造成LINE收發檔案異常

各位先進好,最近才接觸Fortinet的防火牆,型號 201E。
在政策設定上面,當我選擇了SSL深層檢查的時候,除了出現SSL不被信任之外(後來電腦信任簽發者及根憑證安裝了Fortigate提供的 CA SSL即解決)
還有另一項匪夷所思的事情就是LINE

我發現它傳送圖片或是文件檔,都送不出。 對方寄圖片,也一律看不到(如圖),深層檢查關掉就正常! 有人碰過類似問題嗎?
https://ithelp.ithome.com.tw/upload/images/20210225/201354583oHq0jltLo.jpg

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
2
mytiny
iT邦超人 1 級 ‧ 2021-02-26 14:05:45
最佳解答

樓主的情況,看來沒有前輩給經驗分享
因為使用Fortigate的用戶多半很少開deep scan
一方面因為以前的設備及OS版本開啟後效能不彰
後來則是SSL的Deep Scan各家外商設備處理都有些複雜
加上多數SI對客戶沒問就沒做,所以就...
其實樓主用certificate-inspection就很好用了

回來先說結論
在下用SSL Deep Scan並不會造成LINE收發檔案異常
DeepScan效能很不錯,但是LINE在手機有部分轉跳頁面會不能正常
這牽涉到的範圍很多,而且樓主都沒仔細提到
在Fortigate端,需要知道FortiOS版本、inspection modes以及Deep Scan的設定值(很多)
在Client端,也沒說是用手機還是電腦的LINE
手機還分Android與Apple,電腦也分為安裝版跟免安裝版
特別是在LINE程式中的跳轉網址,不是沒法驗證CA
要不然就是網頁由CDN轉跳,CA驗證肯定不過
以上這些都會跟發生的現象相關

總結官網手冊一句話
If you do not want to deep scan for privacy reasons but you want to control web site access, you can use certificate-inspection.

另外,通常只要不是由XX艦隊購買的
以樓主這機型應該有SI做技術服務才是
貴司的SI要比網上的同好前輩們更孰悉樓主網路架構

0
hsiang11
iT邦好手 1 級 ‧ 2021-02-25 23:23:31

我跟你說如何解吧
LINE有相當多的雲端伺服器,甚至可能來自各種不同的地區
Fortigate的SSL對LINE的檢查看起來都會出這種問題
原因不明 其他又都很正常
只能對所有的LINE伺服器略過檢查
關鍵就是依靠Fortiview去觀察LINE的流量都連到那些伺服器
一個一個都抓出來
因為有不少FQDN,可以用萬用字元

這種問題我看連很多SI也不會去解和反應原廠
所以說自己要去觀察
不要光看只是圖檔 來源可能每次都不同

0
bluegrass
iT邦高手 1 級 ‧ 2021-02-26 15:35:50

你根本就不懂資安, 沒事多手做SSL INSPECTION

SSL "深層" [很中二好沒=.=] 檢查 的原理就是MAN IN MIDDLE

不安裝Fortigate提供的CA當然出問題

而且不是全部網站支持SSL INSPECTION

針對某些政府/銀行/通訊應用去BYPASS INSPECTION是資安常識好沒

我要發表回答

立即登入回答