Create a Post
cancel
Showing results for 
Search instead for 
Did you mean: 
George_Liu
Contributor

HTTPS Inspection - ettoday

Symption:

1. HTTPS Inspection enable.

2. The page cannot display.

Solution:

1. Install Jumbo hotfix > 221

2. Turn on function

  • To prefer / propose ECDSA cipher suites:
    • [Expert@HostName]# ckp_regedit -a SOFTWARE//CheckPoint//FW1 CPTLS_ACCEPT_ECDSA 1
    • [Expert@HostName]# ckp_regedit -a SOFTWARE//CheckPoint//FW1 CPTLS_PROPOSE_ECDSA 1
  • To prefer / propose ECDHE cipher suites
    • [Expert@HostName]# ckp_regedit -a SOFTWARE//CheckPoint//FW1 CPTLS_ACCEPT_ECDHE 1
    • [Expert@HostName]# ckp_regedit -a SOFTWARE//CheckPoint//FW1 CPTLS_PROPOSE_ECDHE 1
  • Enable the support for P384 curve on Security Gateway / each cluster member:

    [Expert@HostName:0]# ckp_regedit -a SOFTWARE//CheckPoint//FW1 CPTLS_EC_P384 1

3. cpstop; cpstart on Gateway / Cluster.

Reference:

Specific HTTPS sites that use ECDHE ciphers are not accessible when HTTPS Inspection is enabled
Solution IDsk110883

Some HTTPS sites do not load when HTTPS Inspection is enabled, if TLS 1.2 with ECDHE cipher is used
Solution IDsk112954
10 Replies
Neville_Kuo
Advisor

請小心, ECDHE很吃CPU,這也是一般專做加解密器最喜歡打NGFW的一點,即使是它們來做,一樣也要吃不少CPU負載喔。

RickLin
Advisor
Advisor

呼應這篇分享的主題,順便分享我的經驗

去年我就幫客戶做過這個設定

因為他們有開https inspection 功能

某天客戶打電話給我說無法存取 https://unity3d.com 這個網站

我照著KB先在公司環境先做一遍,驗證可以生效

再花時間幫客戶環境做(因為是Gateway 做,需要選擇可以重啟服務或重開的時間點做)

結果出乎意料的是,不幹活!

 

查了老半天,以為是設定有誤,又做了幾次,結果都還是一樣。

 

結果最後無奈走上開SR一途,不過這次要幫TAC說一下話,開SR的好處

因為TAC很快就解決我的問題,看來之前TAC也有幫其他客戶處理類似的經驗,才能這麼快抓到問題

 

TAC協助導引我去開GuiDBEdit

GuiDBEdit > Other > ssl_inspection > general_confs_obj > ssl_max_ver was set to TLS 1.1.

Switched it to TLS 1.2 and Pushed Policy

 

以上分享

希望各位之後遇到一樣狀況,可以先來這邊看看

分享我以前走過的路,讓各位不用重新再走過一次..

George_Liu
Contributor

我們身處貧困區,常常攪和在泥沼裡,客戶要馬兒好,也要馬兒不吃草,重點是 ettoday 不能看,上班不能享受,這就不叫工作。(說的人是 MIS 主管兼特助)

George_Liu
Contributor

我們落後者,只能看到領先者的背影,神人 Rick.

好多年前,我們還不知道在那裡打滾吃土。

Danny_Yang
Ambassador
Ambassador

中部G大神這樣子虧南部R大神對嗎?

北部N大神要不要出來講一下你做https inspection的經驗談? 不是英文字加數字的那一家喔?

0 Kudos
Danny_Yang
Ambassador
Ambassador

Rick說得沒錯,如果能有相對正確的目的以及期望,活用TAC的幫助其實可以節省時間,事半功倍!

0 Kudos
Neville_Kuo
Advisor

我自己是覺得沒事不要找自己麻煩會比較好,可以的話請客戶先用Categorize https sites試試看,就沒有灑憑證的問題,效果還不錯,只是有些企業彼此之間Intranet的站台要手動開白名單。

如果怕https inspection有誤判行為,可以用以下參數測試:

Enhanced HTTPS Inspection Bypass

1.  In the $FWDIR/boot/modules/fwkern.conf file on the gateway, add:

enhanced_ssl_inspection=1
2.  Reboot.

Enhanced HTTPS Inspection Bypass lets the gateway bypass traffic to servers that require client certificate authentication and bypass non-browser applications.

特別像SSL pinning一類的東西應該可以解掉。

HTTPS inspection開下去會多很多Troubleshooting的功,何況我們都在客戶端POC時吃過虧,實在是不建議。

Neville_Kuo
Advisor

我才不是什麼大神

Danny_Yang
Ambassador
Ambassador

那我可以尊稱你為北瀚洋嗎?

0 Kudos
RickLin
Advisor
Advisor

我也不是大神

通常大神都不太發言的,隱形的..

Upcoming Events

    CheckMates Events