Blog

Blue Coat SSL Visibility Appliance – kako dodatno iskoristiti UTM firewall?

Kao što smo već pisali, Blue Coat SSL Visibility Appliance omogućava dekripciju prometa na jednom mjestu i mrežni feed različitim potrošačima u mreži (tzv. Decrypt once – Feed Many) tj. sigurnosnim rješenjima poput IPS/IDS, NGF, UTM, next gen. IPS (Advanced Persistent Threat), forenzička rješenja, mrežni DLP, itd.

Motivacija za implementaciju ovakvog rješenja je zapravo sve više malware-a koji se skriva u SSL prometu čiji udio rapidno raste u svim organizacijama, a što paralelno nameće sve veće hardverske zahtjeve koje postojeća NGF/UTM rješenja ne mogu ispuniti bez skupe nadogradnje hardvera (kutija).

Primjer integracije sa Fortigate UTM firewall-om

Evo u nastavku primjer implementacije Blue Coat SSL VA na UTM firewallu, u ovom slučaju Fortinet Fortigate (FortiWiFi) 90D uređaju.

Na SSLVA uređaju kreiramo tzv. Resigning certifikat koji će se koristiti kod dekripcije SSL sesija:

sslresigner

Ovaj certifikat mora biti importiran u klijente (web browsere) kako bi isti vjerovali certifikatu odnosno ne bi bilo “untrusted” upozorenja kod otvaranja stranica, npr:

sslwarning

Alternativno, mogli smo kreirati i CSR (certificate signing request) te ga poslati na organizacijskog PKI izdavača (authority) koji će vratiti subordinate certificate authority. U takvom slučaju, root CA je već prisutan u browserima unutar organizacije, pa nema potrebe za importom ovog novog certifikata jer browser implicitno “vjeruje” svim podcertifikatima u istom PKI-u. Ovo je i najčešći slučaj u većim organizacijama.

Definiranje segmenta

SSLVA podržava mogućnost spajanja pasivnih (npr. IDS) ili aktivnih (npr. firewall) uređaja kroz tzv. segmente odnosno set mrežnih portova na uređaju. Ovdje smo konfigurirali jedan aktivni segment:

sslva_segment

Kao što prikazuje slika, dva su porta korištena kao mrežni bridge (inline uz failopen/failover), a dodatna dva koriste se za spajanje na Fortigate uređaj.

Ruleset

Svakom segmentu pridružuje se tzv. Ruleset tj. skup pravila kojim definiramo politiku dekripcije prometa. SSLVA omogućava maksimalnu fleksibilnost u SSL dekripciji, a što je moguće zahvaljujući ugrađenoj integraciji sa Blue Coat Web filter dinamičkom bazom, koja je jedna od najkvalitetnijih na tržištu po pitanju preciznosti i obuhvata web stranica (pa i “naših” regionalnih). U ovom primjeru kreirali smo sljedeći ruleset:

sslva_ruleset

Navedenim pravilima smo:

  1. Izuzeli (Cut Through akcija) određene klijente po IP adresi (npr. tipično serveri koji koriste posebne aplikacije koje ne toleriraju SSL inspekciju)
  2. Izuzeli određeni sadržaj prema Blue Coat web filtering bazi (u ovom primjeru stranice financijskih institucija). Ovdje ne navodimo eksplicitno te stranice, već se oslanjamo na Blue Coat-ov kategorizacijski servis, a listu smo nazvali “Osjetljivi sadržaj”.
  3. I na kraju osigurali dekripciju svog ostalog prometa.

Pri tom:

  • TCP portovi nas u ovoj priči ne interesiraju jer SSLVA radi automatsku detekciju SSL prometa neovisno o portu.
  • Sadržaj koji izuzimamo od SSL inspekcije definirali smo kroz listu kategorija koje obuhvaćaju sve bankovne servise:

sslva_category

Nakon spremljene politike, ostaje testiranje.

Prije toga, evo toka prometa prije i poslije:

ssl_before

Poslije:

ssl_after

Pristupom SSL stranici vidimo da je ista potpisana resigning certifikatom kreiranim upravo na SSLVA:

ssl_certwarning

Napomene:

  • Aktivni firewall uređaj mora raditi u transparentnom (L2 segment) načinu rada. Idealno, rješenje bi moralo podržavati istovremeno dva načina rada (routed/NAT i transparentni mod), obzirom da je firewall podrazumijevano već instaliran u routed modu;
  • Aktivni firewall na transparentnom segmentu također ne smije raditi izmjene L3 i L4 parametara prometa (IP adresa i portova);
  • Firefox i Chrome browseri (u budućnosti vjerovatno i drugi) sve više počinju koristiti tzv. certificate pinning za popularne web servise (Google, Facebook, itd.). Certificate pinning zapravo onemogućava SSL inspekciju prometa jer browser unaprijed očekuje određeni certifikat za web servis, što nije SSLVA resigning certifikat. Postoje načini kako prilagoditi Firefox browser, što zahtijeva određenu rekonfiguraciju na klijentima, ali administratori će najčešće definirati listu iznimaka od dekripcije za takve servise.

Iz tog razloga, kao kompromis između administratorskog napora i sigurnosti predlažemo strategiju SSL inspekcije koja je fokusirana na inspekciju manje sigurnih/popularnih stranica (umjesto gore opisanog pristupa koji definira sadržaj koji se neće dekriptirati). Preporučeni redosljed pravila za dekripciju prometa tada izgleda ovako:

  1. SSL inspekcija nepouzdanog sadržaja, kako je definiran kategorijama niže iz Blue Coat web filter baze.
  2. Isključena dekripcija (Cut through) za sav ostali promet.

ssl_content_untrusted

Na kraju, evo kako izgleda detekcija prometa u Fortigate logovima (klik za povećati):

ssl_fortigate_logs

Pristupili smo stranici sa testnim Eicar file-om kako bi okinuli detekciju virusa. Prije dekripcije, Fortigate propušta virus, jer se isti “skriva” u SSL sadržaju. Nakon dekripcije, Fortigate uredno detektira virus jer je isti sada dostupan na HTTP transportu.

Blue Coat SSL Visibility Appliance omogućava bolju iskoristivost i zaštitu investicije u postojeće firewall rješenje (Next Generation Firewall ili UTM) obzirom da ovo ne može adekvatno odgovoriti na izazove sigurnosti koje predstavlja rastući SSL promet u organizaciji.

Share on LinkedInShare on FacebookShare on Google+Tweet about this on Twitter