Günümüzde ağ trafiğinin büyük bölümü şifrelenmiş durumda. Bu durum güvenlik açısından avantaj sağlarken, tehdit aktörlerinin kötü amaçlı içerikleri şifreli tünellerde gizlemesini de kolaylaştırıyor. Tam bu noktada Derinlemesine Paket Analizi (Deep Packet Inspection – DPI) ve Fortinet SSL Inspection teknolojileri devreye girerek, şifreli trafiğin kontrol altına alınmasını sağlıyor.
Bu makalede DPI’nin ne olduğunu, FortiGate cihazlarında SSL Inspection’ın nasıl çalıştığını, hangi modların kullanıldığını ve doğru yapılandırma için izlenmesi gereken adımları detaylı şekilde ele alıyoruz.
DPI (Deep Packet Inspection) Nedir?
- Şifrelenmemiş veya çözülmüş trafikte kötü amaçlı içerik tespiti
- Uygulama ve protokol tanıma (YouTube, WhatsApp, Netflix vb.)
- IPS / Antivirüs / DLP politikalarının uygulanması
- Veri sızıntısı engelleme
- Trafik sınıflandırma ve önceliklendirme
Fortinet SSL Inspection Nedir ve Neden Gereklidir?
- Zararlı yazılımların HTTPS içinde gizlenmesini engeller
- Web filtreleme, IPS, antivirus gibi profillerin tam kapasite çalışmasını sağlar
- Uygulama davranışlarını ayrıntılı şekilde izleme imkânı verir
- Kurumsal denetim, KVKK ve uyumluluk gereksinimlerini destekler
FortiGate Üzerinde SSL Inspection Modları
DPI, ağdan geçen veri paketlerini yalnızca başlık seviyesinde değil, içerik (payload) seviyesinde inceleyen gelişmiş bir trafik analiz yöntemidir. Klasik güvenlik duvarları paketlerin sadece kaynak–hedef adreslerini ve portlarını kontrol ederken, DPI çok daha derin bir analiz yaparak uygulama seviyesine kadar erişebilir.
DPI ile yapılabilenler:
Ancak modern internet trafiğinin %90’dan fazlası HTTPS kullandığı için, DPI’nin tam kapasitesini kullanabilmek adına şifreli trafiğin açılması gerekir. Bu işleme SSL/TLS Inspection denir.
FortiGate, şifreli HTTPS, SMTPS, IMAPS gibi trafiği
güvenli bir şekilde açıp inceleyerek kötü amaçlı içerikleri tespit etme
yeteneğine sahiptir. Bu özellik kurumların ağ güvenliğini artırmak için kritik
öneme sahiptir.
Neden SSL Inspection kullanılmalı?
Fortinet, farklı ağ ihtiyaçlarına uygun olarak iki temel SSL inceleme modu sunar:
FortiGate SSL Inspection Yapılandırması (Genel Adımlar)
Fortinet, farklı ağ ihtiyaçlarına uygun olarak iki temel SSL inceleme modu sunar:
Certificate Inspection (Sertifika İnceleme)
Deep Inspection (Tam SSL Şifre Çözme)
Bu modda FortiGate, istemci ile sunucu arasına girerek şifreli trafiği açar, inceler ve yeniden şifreler. Bu işlem “man-in-the-middle” tekniği ile yapılır.
- Tüm güvenlik profilleri (IPS, AV, DLP, Web Filter) tam kapasite çalışır
- HTTPS içinde gizlenen tehditler tespit edilir
- Detaylı
loglama ve raporlama sağlanır
- İstemci cihazlara FortiGate CA sertifikası yüklenmelidir
- Bankacılık veya pinned certificate kullanılan servisler için istisna oluşturulmalıdır
- Performans yükü daha fazladır
Bu modda FortiGate, istemci ile sunucu arasına girerek şifreli trafiği açar, inceler ve yeniden şifreler. Bu işlem “man-in-the-middle” tekniği ile yapılır.
Avantajları
Dikkat edilmesi gerekenler
Avantajları
Derinlemesine Paket Analizi (DPI) ve Fortinet SSL Inspection Ayarları