Sorun: Şifreli Trafik Görünmez
Günümüzde internet trafiğinin %90'ından fazlası HTTPS üzerinden iletiliyor. Bu şifreleme kullanıcı gizliliği için mükemmeldir; ancak firewall ve güvenlik cihazları için ciddi bir kör nokta oluşturur. Şifreli kanal içinde gelen zararlı yazılım, veri sızıntısı veya komuta-kontrol trafiği, SSL inspection olmadan tespit edilemez.
SSL Deep Inspection Nedir?
SSL Deep Inspection (tam adıyla SSL/TLS Deep Packet Inspection), FortiGate'in şifreli HTTPS trafiğini "ortada adam" (man-in-the-middle) tekniğiyle şifresini çözdüğü, incelediği ve yeniden şifreleyerek hedefe ilettiği süreçtir.
Bu süreç şu şekilde işler:
- İstemci HTTPS isteği gönderir
- FortiGate bağlantıyı keserek sunucuyla kendi adına yeni bir TLS oturumu kurar
- Sunucudan gelen şifreli yanıtı çözer ve içeriği IPS, antivirüs, web filtre gibi UTM motorlarına gönderir
- İçerik temizse yeniden şifreler ve istemciye iletir — istemci bağlantının kesildiğinden haberdar olmaz
SSL Certificate Inspection vs Deep Inspection Farkı
| Özellik | Certificate Inspection | Deep Inspection |
|---|---|---|
| Trafik şifresi çözülür mü? | Hayır | Evet |
| İçerik taraması | Hayır | Evet (IPS, AV, Web Filter) |
| Sertifika kontrolü | Evet | Evet |
| CPU yükü | Düşük | Yüksek |
| Sertifika uyarısı | Yok | CA sertifikası dağıtılmazsa var |
CA Sertifikası: Neden Kritik?
Deep Inspection'da FortiGate, orijinal sunucu sertifikasını kendi CA sertifikasıyla imzalanmış bir sertifikayla değiştirir. İstemciler bu sertifikaya güvenmezse tarayıcıda güvenlik uyarısı alırlar.
Çözüm: FortiGate'in CA sertifikasını tüm istemci cihazlara dağıtın:
- Domain ortamında: Group Policy (GPO) ile tüm bilgisayarlara otomatik push
- Mac cihazlarda: MDM (Mobile Device Management) ile dağıtım
- Mobil cihazlarda: Kurumsal MDM profili ile yükleme
CA Sertifikasını FortiGate'den İndirme
# GUI: System → Certificates → Local Certificates
# "Fortinet_CA_SSL" sertifikasını export edin
# veya CLI:
execute vpn certificate local export tftp Fortinet_CA_SSL 192.168.1.100SSL Inspection Profili Yapılandırması
- Security Profiles → SSL/SSH Inspection'a gidin
- Create New veya mevcut "deep-inspection" profilini düzenleyin
- SSL Inspection Method: "Full SSL Inspection" seçin
- CA Certificate: Fortinet_CA_SSL seçin
- Profili firewall politikasına ekleyin
SSL Inspection İstisnalar (Exemptions)
Bazı uygulamalar ve web siteleri SSL inspection ile uyumsuz olabilir veya gizlilik nedeniyle muaf tutulmalıdır:
- Bankacılık siteleri: Sertifika pinning kullandıkları için inspection ile çakışabilir
- Windows Update: Microsoft altyapısı genellikle muaf tutulur
- HRMS/ERP sistemleri: Özel sertifika kullanan iç sistemler
- Video konferans: Zoom, Teams gibi uygulamalar için özel exemption gerekebilir
config firewall ssl-ssh-profile
edit "deep-inspection"
config ssl-exempt
edit 1
set type address
set address "Banking-Sites"
next
end
next
endPerformans Etkisi
SSL Deep Inspection CPU yoğun bir işlemdir. Dikkat edilmesi gerekenler:
- NP7 veya NP6 işlemcili modellerde donanım hızlandırma desteği sınırlıdır — CPU'ya yük biner
- Çok sayıda eş zamanlı HTTPS bağlantısı olan ortamlarda throughput düşebilir
- Cihaz boyutlandırmasında SSL inspection throughput değerini (datasheet'teki NGFW throughput değil) referans alın
Hangi Trafik İncelenmeli?
Tüm HTTPS trafiğini inspect etmek her zaman gerekli veya pratik değildir. Önerilen yaklaşım:
- ✅ Genel internet çıkışı trafiği — mutlaka inspect edin
- ✅ İndirilen dosyalar — antivirüs için kritik
- ⚠️ Bankacılık ve finans siteleri — muaf tutun veya certificate inspection kullanın
- ❌ İç ağ HTTPS trafiği — genellikle inspect etmeye gerek yok
Sonuç
SSL Deep Inspection, modern siber güvenliğin vazgeçilmez bir bileşenidir. Şifreli trafik içinde gizlenen tehditleri tespit etmeden IPS, antivirüs ve web filtresi tam anlamıyla işlev göremez. Doğru yapılandırılmış CA sertifika dağıtımı ve istisnalar ile kullanıcı deneyimini bozmadan maksimum güvenlik sağlanabilir. Lider Network olarak SSL Inspection yapılandırması, CA sertifika dağıtımı ve UTM politika optimizasyonunda NSE sertifikalı mühendislerimizle destek sağlıyoruz.