CA install & FortiGate SSL Inspection
SSL/TLS ဆိုတာ network ပေါ်မှာ အထူးသဖြင့် Internet ပေါ်မှာ သွားလာနေတယ့် Traffic တွေကိုလုံခြုံအောင်လုပ်ဆောင်ပေးတယ့် Protocol လည်းဖြစ် Tunnel လည်းဖြစ်ပါတယ်။ အခုခေတ်မှာ ကျွန်တော်တို့က HTTPS ကိုသုံးကြပါတယ်။ အရင်ကဆို HTTP နဲ့သုံးကြပါတယ်။ သူက Traffic ကို encrypt မလုပ်ပေးနိုင်ပါဘူး။ ပြောချင်တာက http://facebookcom, http://google.com စသည်ဖြင့်သုံးကြတာပါ။ http က encrypt မလုပ်ပေးပါဘူး အဲ့တော့ internet ပေါ်မှာ သွားလာနေတယ့် information, data, password စတာတွေကိုကြားဖြတ်ဖမ်းယူပြီးကြည့်ရင်အလွယ်လေးပါ။
HTTPS လက်ထက်မှာတော့ secure ပိုပြီးဖြစ်လာပါတယ်။ ဖြတ်သွားသမျှ traffic တွေကို encryption algorithms ကိုသုံးပြီး password, data, credit number စတာတွေကို encryption လုပ်ပေးပါတယ်။ https://google.com စသည်ဖြင့်ပေါ့။ အဲ့တော့ HTTPS ကိုသုံးပြီး Data တွေကို encrypt ရအောင် integrity ရအောင် SSL/TLS protocol တွေကိုသုံးပါတယ်။ SSL ဆိုတာ Public key, Private key တွေသုံးပြီး data transmission ကိုလုံခြုံအောင်လုပ်ပေးပါတယ်။ ဥပမာပြောရရင် - ခင်ဗျားက ဘိန်းအရောင်းအ၀ယ်လုပ်တယ်ပဲထားပါဆို့။ အဲ့တော့ခင်ဗျားဆီ ဘိန်းလာ၀ယ်ရင် ဘိန်းလိုချင်လို့ပါဆိုပြီး ပြောပြီး၀ယ်လို့ရလို့ကတော့သေချာတယ် ရဲကလည်း၀ယ်သူယောင်ဆောင်ပြီး လာ၀ယ်နိုင်ပါတယ်။ အဲ့တော့ခင်ဗျားက ခင်ဗျားရဲ့ regular customer တွေကို လျှို့၀ှက်ကုတ်တစ်ခုပြောထားမယ်။ ဘိန်းလိုချင်ရင် အဖြူရောင်လေးလားလို့မေးရင် အဖြူရောင်လေးလို့ပြန်ဖြေရမယ်။ ဒါဆိုသေချာတယ် ခင်ဗျားဆီက ဘိန်းကိုလိုချင်ရင် အဖြူရောင်လေးလား အဖြူရောင်လေး ဆိုတာကိုသိမှာ ၀ယ်လို့ရမယ်။ အဖြူရောင်လေးလားဆိုတာ Public key ဖြစ်ပြီး ဘိန်းလိုချင်တာလားကို encryption လုပ်ထားတာဖြစ်ပါတယ်။ အဖြူရောင်လေး ဆိုရင် ဘိန်းလိုချင်ပါတယ်ပေါ့။ အဲ့တော့ ခင်ဗျားက google.com လို့ခေါ်လိုက်တာနဲ့ google server နဲ့ TCP/IP 3 ways handshake ကိုလုပ်မယ် ပြီးရင် ခင်ဗျားက server ဘက်ကနေ public key တစ်ခုပို့မယ်ပေါ့ဗျာ...public key ကဘာလဲဆိုတော့ SSL certificate ပို့မယ်။ certificate ဆိုတာတရား၀င်အထောက်အထားမလား အဲ့တော့ google က သူသည် google အစစ်အမှန်ဖြစ်ကြောင်း public SSL certificate ပို့မယ် အဲ့မှာ Client ဘက်က private key ကို generate လုပ်ပြီး server ဘက်ကိုပြန်ပို့မယ်။ ပြီးတော့သူတို့ ကြားမှာ ssl/tls tunnel တစ်ခုတည်ဆောက်ပြီး data တွေကို encrypt လုပ်ပြီးသွားပါတယ်။ အဲ့တော့ ဘိန်းဖြူလိုချင်ရင် အဖြူရောင်လေးလားလို့မေးတာ public key ရောင်းတယ့်ကောင်ဘက် အဖြူရောင်လေး လို့ပြန်ဖြေတာ private key အဲ့တော့ ရဲကလာ၀ယ်မယ် ရောင်းတယ့်ကောင်က အဖြူရောင်လေးလားလို့မေးရင် ရဲဘက်က အမှုန့်လို့ပြန်ဖြေရင်သေချာတယ် မရောင်းသင့်တော့ဘူး။ အဖြူရောင်လေးလားလို့မေးတာက ဘိန်းရောင်းတယ့်ကောင်ပါဆိုပြီး certificate ရော encryption ရောတစ်ခါတည်း public အနေနဲ့မေးတာဖြစ်ပြီး ၀ယ်သူဘက်က အဖြူရောင်လေးလို့ private key ပို့နိုင်မှ ဖြေနိုင်မှ ဘိန်းရပြီး အဆက်အသွယ်လုံခြုံပါမယ်။
အဲ့တော့စဥ်းစားကြည့် Firewall ကိုလည်း encryption traffic တွေကဖြတ်သန်းသွားတာပါပဲ။ network ထဲက user တစ်ယောက်က google.com လို့ access လှမ်းလုပ်တယ်ပဲဆိုပါစို့။ အဲ့ Traffic က google server ဆီသွားပြီး ခုနကပြောသလို့ အဲ့ Traffic ကလည်း encryption လုပ်ပြီးသွားမှပါပဲ။ အခုခေတ်ကတော့ဘယ် Traffic မဆို encryption လုပ်ပြီးသွားကြတာပါပဲ။ အဲ့တော့ Firewall က အဲ့ traffic ကိုစစ်ဖို့ဆိုရင် encryption လုပ်ထားတာကို ဖြည်မှရပါမယ် ပြောချင်တာက decryption ပြန်လုပ်ပေးရမယ်ဆိုလိုတာပါ။ အဲ့တော့ အဲ့ Traffic ကို decryption လုပ်ဖို့ဆို Firewall မှာလည်း SSL Certificate public key လိုပါတယ်။ အဲ့တော့ပြန်ပြောရမယ်ဆိုရင် Traffic တစ်ခုထဲမှာ Packet တစ်ခုထဲမှာ Virus ပါမပါ စတာတွေကိုစစ်နိုင်ဖို့ encrypt လုပ်ထားတာကို Decrypt လုပ်ဖို့လိုပါတယ်။ အဲ့လိုလုပ်ဖို့ SSL public Certificate key ရှိမှဖြစ်မှာပါ။ Firewall တိုင်း Palo Alto ပဲဖြစ်ဖြစ် Fortigate ပဲဖြစ်ဖြစ် HTTPS နဲ့သွားနေတယ့် Traffic တွေကို Filter လုပ်ဖို့ SSL/TLS Decryption profile တစ်ခုလိုကိုလိုပါတယ်။ Encryption လုပ်ထားတယ့် Traffic က မစစ်နိုင်လို့ Decryption ပြန်လုပ်ပေးရတာဖြစ်ပြီး အဲ့လိုလုပ်နိုင်ဖို့ကလည်း certificate တစ်ခုလည်းလိုပါတယ်။ Firewall ကနေ public certificate တစ်ခုထုတ်ပေးမယ်။ ပြီးတော့ Certificate ကို Client ပေါ်မှာ install ပြန်လုပ်ပြီး generate ပြန်လုပ်ပါမယ်။ ဒါမှသာ traffic တိုင်းကို decrypt လုပ်နိုင်မှာပါ။ ပြောချင်တာက Firewall က အေး ငါကတော့ တာ၀န်ရှိသူဖြစ်ပြီး မင်းတို့ဖြတ်သန်းသွားလာမှုကို စစ်ဆေးရမယ်ဆိုပြီး သူ့ ရဲ့ ၀န်ထမ်းကတ် ကိုထုတ်ပြတာနဲ့တူပါတယ်။ Encryption လုပ်ထားတယ့် Data ကိုနားမလည်လို့ decrypt ပြန်လုပ်ရတာပါ။ Firewall တိုင်း SSL/TLS Decryption Profile ကိုလိုပါတယ်။ Certificate တစ်ခုထုတ်ပြီး လုပ်ဆောင်ရမှာပါ။ Valid Time တွေကို သတိပြုပြီး CA Server မှာ Generate ထုတ်လည်းအဆင်ပြေပါတယ်။ Video လေးနဲ့ page မှာရှင်းပြပါ့မယ်။
Видео CA install & FortiGate SSL Inspection канала T9K - Ta Nine Kha
HTTPS လက်ထက်မှာတော့ secure ပိုပြီးဖြစ်လာပါတယ်။ ဖြတ်သွားသမျှ traffic တွေကို encryption algorithms ကိုသုံးပြီး password, data, credit number စတာတွေကို encryption လုပ်ပေးပါတယ်။ https://google.com စသည်ဖြင့်ပေါ့။ အဲ့တော့ HTTPS ကိုသုံးပြီး Data တွေကို encrypt ရအောင် integrity ရအောင် SSL/TLS protocol တွေကိုသုံးပါတယ်။ SSL ဆိုတာ Public key, Private key တွေသုံးပြီး data transmission ကိုလုံခြုံအောင်လုပ်ပေးပါတယ်။ ဥပမာပြောရရင် - ခင်ဗျားက ဘိန်းအရောင်းအ၀ယ်လုပ်တယ်ပဲထားပါဆို့။ အဲ့တော့ခင်ဗျားဆီ ဘိန်းလာ၀ယ်ရင် ဘိန်းလိုချင်လို့ပါဆိုပြီး ပြောပြီး၀ယ်လို့ရလို့ကတော့သေချာတယ် ရဲကလည်း၀ယ်သူယောင်ဆောင်ပြီး လာ၀ယ်နိုင်ပါတယ်။ အဲ့တော့ခင်ဗျားက ခင်ဗျားရဲ့ regular customer တွေကို လျှို့၀ှက်ကုတ်တစ်ခုပြောထားမယ်။ ဘိန်းလိုချင်ရင် အဖြူရောင်လေးလားလို့မေးရင် အဖြူရောင်လေးလို့ပြန်ဖြေရမယ်။ ဒါဆိုသေချာတယ် ခင်ဗျားဆီက ဘိန်းကိုလိုချင်ရင် အဖြူရောင်လေးလား အဖြူရောင်လေး ဆိုတာကိုသိမှာ ၀ယ်လို့ရမယ်။ အဖြူရောင်လေးလားဆိုတာ Public key ဖြစ်ပြီး ဘိန်းလိုချင်တာလားကို encryption လုပ်ထားတာဖြစ်ပါတယ်။ အဖြူရောင်လေး ဆိုရင် ဘိန်းလိုချင်ပါတယ်ပေါ့။ အဲ့တော့ ခင်ဗျားက google.com လို့ခေါ်လိုက်တာနဲ့ google server နဲ့ TCP/IP 3 ways handshake ကိုလုပ်မယ် ပြီးရင် ခင်ဗျားက server ဘက်ကနေ public key တစ်ခုပို့မယ်ပေါ့ဗျာ...public key ကဘာလဲဆိုတော့ SSL certificate ပို့မယ်။ certificate ဆိုတာတရား၀င်အထောက်အထားမလား အဲ့တော့ google က သူသည် google အစစ်အမှန်ဖြစ်ကြောင်း public SSL certificate ပို့မယ် အဲ့မှာ Client ဘက်က private key ကို generate လုပ်ပြီး server ဘက်ကိုပြန်ပို့မယ်။ ပြီးတော့သူတို့ ကြားမှာ ssl/tls tunnel တစ်ခုတည်ဆောက်ပြီး data တွေကို encrypt လုပ်ပြီးသွားပါတယ်။ အဲ့တော့ ဘိန်းဖြူလိုချင်ရင် အဖြူရောင်လေးလားလို့မေးတာ public key ရောင်းတယ့်ကောင်ဘက် အဖြူရောင်လေး လို့ပြန်ဖြေတာ private key အဲ့တော့ ရဲကလာ၀ယ်မယ် ရောင်းတယ့်ကောင်က အဖြူရောင်လေးလားလို့မေးရင် ရဲဘက်က အမှုန့်လို့ပြန်ဖြေရင်သေချာတယ် မရောင်းသင့်တော့ဘူး။ အဖြူရောင်လေးလားလို့မေးတာက ဘိန်းရောင်းတယ့်ကောင်ပါဆိုပြီး certificate ရော encryption ရောတစ်ခါတည်း public အနေနဲ့မေးတာဖြစ်ပြီး ၀ယ်သူဘက်က အဖြူရောင်လေးလို့ private key ပို့နိုင်မှ ဖြေနိုင်မှ ဘိန်းရပြီး အဆက်အသွယ်လုံခြုံပါမယ်။
အဲ့တော့စဥ်းစားကြည့် Firewall ကိုလည်း encryption traffic တွေကဖြတ်သန်းသွားတာပါပဲ။ network ထဲက user တစ်ယောက်က google.com လို့ access လှမ်းလုပ်တယ်ပဲဆိုပါစို့။ အဲ့ Traffic က google server ဆီသွားပြီး ခုနကပြောသလို့ အဲ့ Traffic ကလည်း encryption လုပ်ပြီးသွားမှပါပဲ။ အခုခေတ်ကတော့ဘယ် Traffic မဆို encryption လုပ်ပြီးသွားကြတာပါပဲ။ အဲ့တော့ Firewall က အဲ့ traffic ကိုစစ်ဖို့ဆိုရင် encryption လုပ်ထားတာကို ဖြည်မှရပါမယ် ပြောချင်တာက decryption ပြန်လုပ်ပေးရမယ်ဆိုလိုတာပါ။ အဲ့တော့ အဲ့ Traffic ကို decryption လုပ်ဖို့ဆို Firewall မှာလည်း SSL Certificate public key လိုပါတယ်။ အဲ့တော့ပြန်ပြောရမယ်ဆိုရင် Traffic တစ်ခုထဲမှာ Packet တစ်ခုထဲမှာ Virus ပါမပါ စတာတွေကိုစစ်နိုင်ဖို့ encrypt လုပ်ထားတာကို Decrypt လုပ်ဖို့လိုပါတယ်။ အဲ့လိုလုပ်ဖို့ SSL public Certificate key ရှိမှဖြစ်မှာပါ။ Firewall တိုင်း Palo Alto ပဲဖြစ်ဖြစ် Fortigate ပဲဖြစ်ဖြစ် HTTPS နဲ့သွားနေတယ့် Traffic တွေကို Filter လုပ်ဖို့ SSL/TLS Decryption profile တစ်ခုလိုကိုလိုပါတယ်။ Encryption လုပ်ထားတယ့် Traffic က မစစ်နိုင်လို့ Decryption ပြန်လုပ်ပေးရတာဖြစ်ပြီး အဲ့လိုလုပ်နိုင်ဖို့ကလည်း certificate တစ်ခုလည်းလိုပါတယ်။ Firewall ကနေ public certificate တစ်ခုထုတ်ပေးမယ်။ ပြီးတော့ Certificate ကို Client ပေါ်မှာ install ပြန်လုပ်ပြီး generate ပြန်လုပ်ပါမယ်။ ဒါမှသာ traffic တိုင်းကို decrypt လုပ်နိုင်မှာပါ။ ပြောချင်တာက Firewall က အေး ငါကတော့ တာ၀န်ရှိသူဖြစ်ပြီး မင်းတို့ဖြတ်သန်းသွားလာမှုကို စစ်ဆေးရမယ်ဆိုပြီး သူ့ ရဲ့ ၀န်ထမ်းကတ် ကိုထုတ်ပြတာနဲ့တူပါတယ်။ Encryption လုပ်ထားတယ့် Data ကိုနားမလည်လို့ decrypt ပြန်လုပ်ရတာပါ။ Firewall တိုင်း SSL/TLS Decryption Profile ကိုလိုပါတယ်။ Certificate တစ်ခုထုတ်ပြီး လုပ်ဆောင်ရမှာပါ။ Valid Time တွေကို သတိပြုပြီး CA Server မှာ Generate ထုတ်လည်းအဆင်ပြေပါတယ်။ Video လေးနဲ့ page မှာရှင်းပြပါ့မယ်။
Видео CA install & FortiGate SSL Inspection канала T9K - Ta Nine Kha
Комментарии отсутствуют
Информация о видео
15 июля 2024 г. 19:57:49
00:46:21
Другие видео канала
J9 Initial Command, GUI, and Factory Default
FortiGate DDos Policy
F5 lb chapter-1
J6 Filter output and Active vs Candidate
F5 Load Balancer- Chapter 4: What is Load Balancing Method
J1 Junos Archi
J3 CLI Functionality
Fortigate Anti Virus Profile and EML with Hash test
Fortigate Web Filter and File Filter Profile
J5 CLI Help
Fortigate DNS Filter
Radius with MikroTik
Radius With TP Link
F5 Load Balancer Chapter 2 - Big-IP System & Resource Provisioning
J2 Password Recover
J4 CLI Modes & Navigation
VLANs on Cisco & MikroTik (Creating VLANs & Inter Vlans Routing)
F5 Load Balancer- Chapter 3: How to Configure Node, Pool, Virtual Server
J10 Acc, Class of Juniper
J8 Hierarchy, Navigation of Command and Commit Command
