Blog

Vidljivost i upravljanje SSL prometom uz F5 rješenja, 1. dio

SSL je set kriptografskih protokola koji štiti podatke u prijenosu. Iako je prije desetak godina SSL bio rezerviran gotovo isključivo za financijske institucije i razne stranice za unos login podataka, vidljivo je da SSL/TLS postaje standard u IP komunikaciji te da se sve više koristi. Nasljednik SSL-a je TLS te se danas različite verzije tih protokola primjenjuju tijekom korištenja internet preglednika, emaila, slanja instant poruka (Facebook, WhatsApp, Viber), VOIP poziva i slično.

Procjene pokazuju da je trenutno 40-50% web prometa kriptirano, a neke procjene predviđaju da će se do 2019. godine ta brojka popeti na 75%.

Zašto vidimo porast u količini kriptiranog prometa? Neki od razloga zasigurno su:

  • Želja za privatnošću,
  • Rast korištenja društvenih mreža,
  • Ubrzani prelazak internet stranica na HTTPS komunikacije, potaknut najnovijim promjenama u ponašanju browsera
  • Usklađenost s regulativama,
  • Dostupnost,
  • Korištenje web-based aplikacija,
  • Uvođenje novih standarda – HTTP/2, TL 1.3.

HTTPS je protokol nastao kombinacijom HTTP i SSL/TLS protokola. Omogućava potvrdu autentičnosti posjećene web stranice, zaštitu privatnosti te očuvanje integriteta podataka koji se razmjenjuju. U narednim godinama očekuje se kako će većina web stranica koristiti HTTPS protokol, prema statistikama Googleovog Chrome web preglednika trenutno se preko 50% stranica prikazuje preko HTTPS protokola i na takvim, sigurnim stranicama korisnici provode 2/3 vremena ukupnog surfanja.

 

Iako SSL pruža privatnost podataka i sigurnu komunikaciju, isto tako uvodi nove izazove u mrežno okruženje jer otežava ili onemogućava provjeru kriptiranog prometa. Zbog navedenog, kriptirana komunikacija prolazi kroz mrežu bez ikakve provjere i na taj način postaje, sa sigurnosnog aspekta, slaba točka. Ovo predstavlja veliki rizik za posao jer maliciozni korisnici mogu bez problema maliciozni softver unijeti u mrežu unutar kriptiranog prometa. Istraživanja pokazuju da se između 50% i 75% napada danas krije unutar kriptiranog prometa. Uvid u kriptirani promet koji prolazi kroz mrežu danas postaje poslovna potreba.

S obzirom da obrada kriptiranog prometa ima veliki utjecaj na performanse samih uređaja, čak i u slučaju podrške za nativnu dekrpiciju, a u slučaju korištenja novih 2048-bitnih certifikata predstavlja još veći izazov, treba voditi računa o odabiru odgovarajućeg rješenja.

F5 SSL Everywhere

F5 SSL Everywhere arhitektura temeljena je na custom-built SSL stacku koji je dio svake F5 LTM implementacije. Iako korisnici imaju mogućnost odabira između dva SSL stacka; COMPACT koji je temeljen na OpenSSL library-ju te NATIVE stack koji je dio F5 TMM (Traffic Management Microkernel) sustava , F5 preporučava odabir NATIVE stacka koji je optimiziran SSL stack koji pruža mogućnost iskorištavanja hardverskog ubrzanja za većinu SSL algoritama.

Korisnici se svakodnevno susreću s različitim situacijama gdje je moguće iskoristiti napredne mogućnosti procesiranja SSL prometa korištenjem F5 tehnologije. F5 uređaji, kao strateška točka kontrole u mreži, pruža jedinstven uvid u kriptirani promet. Ono što F5 razlikuje od ostalih vendora može se jednostavno svesti na nekoliko ključnih točaka:

  • Fleksibilan način implementacije koji pruža jednostavnu integraciju čak i u najkompleksnija mrežno aplikativna okruženja te centralizaciju SSL/TLS dekrpicije i enkripcije,
  • Jednostavna integracija najnovijih kriptografskih tehnologija bez potrebe za zahtjevnim i skupim nadogradnjama arhitekture,
  • Vodeći vendor na području dekripcije i enkripcije koju pruža mogućnost offload-a dekripcijskih funkcija s pozadinskih servera kako bi oni radili upravo ono sto im je i uloga – isporuka aplikacija krajnjim korisnicima,
  • Dynamic service chaining omogućava usporedbu URL-ova i prometa prema istima s postavljenim sigurnosnim politikama koje definiraju da li kriptirani promet smije nesmetano dalje proći kroz mrežu ili je potrebno odraditi dekripciju prometa te ga poslati na daljnju analizu,
  • Podrška za napredne kriptografske algoritme,
  • Two-way SSL/TLS dekripcija i enkripcija uz korištenje HTTP/2 i najnovijih SSL/TLS verzija protokola plus implementacija PFS funkcionalnosti.

Uvid u inbound SSL promet (publishing javnog web servisa): fleksibilnost implementacije

Dugo vremena jedina uloga ADC uređaja sa SSL aspekta bila je praćenje prometa u inbound smjeru te se ADC uređaj koristio zbog funkcije dekripcije SSL prometa. Ponovna enkripcija prometa u smjeru prema serverima bila je standard gotovo jedino za financijske organizacije. Danas inbound scenariji uključuju napredne funkcije kao sto je import PKCS12 ključeva, brza implementacija novih kriptografskih algoritama, prilagodba novih kriptografskih algoritama.

Još uvijek najčešća primjena SSL/TLS protokola je za osiguravanje pristupa korisnika s internet aplikacijama koje se nalaze u data centru. Organizacije koriste ADC uređaje kako bi se odradio “SSL bridging” što zapravo znači da će ADC uređaj, u ovom slučaju F5 LTM uređaj, odraditi dekripciju dolaznog prometa, poduzeti akcije u skladu s konfiguracijom, te nakon toga ponovno kriptirati promet te poslati prema odredišnom serveru koji se nalazi u data centru. Dekriptiranje prometa na ADC uređaju omogućava poduzimanje različitih akcija nad tim prometom; od različitih dodatnih optimizacija i manipulacije prometom, ali i omogućava inspekciju prometa na L7 te zaštitu od različitih napada koje napadači pokušavaju unijeti u mrežu unutar kriptiranog prometa. Isto tako, bitno je napomenuti da ovime osiguravamo i usklađenost s različitim regulativama, kao što je naprimjer PCI-DSS, pogotovo u financijskom sektoru.

Određeni broj F5 korisnika F5 uređaje koriste za isporuku aplikacija koje koriste SSL, ali na način da imaju potrebu jedino za usmjeravanjem prometa i raspodjelom opterećenja na L4. U tom slučaju milijuni konekcija prolaze kroz F5 uređaje, međutim F5 uređaji ne terminiraju niti provjeravaju te konekcije. Ali i dalje, pružaju određeni nivo kontrole SSL toka podataka. Ovaj način implementacije ne pruža mogućnost provjere prometa na L7, ali omogućava iskorištavanje različitih opcija optimizacije na TCP razini. Ovaj način implementacije naziva se SSL pass-through.

Upravljanje privatnim ključevima

Privatni SSL ključevi jedni su od najvrjednijih stvari koje organizacija posjeduje. Napadač koji uspije doći do privatnog ključa svoje mete vrlo lako može kreirati gotovu identičnu aplikaciju te kreirati savršeni phishing portal. Zbog navedenog, organizacije vrlo ozbiljno pristupaju čuvanju svojih privatnih ključeva. Mnoge sigurnosne arhitekture su osmišljene kako bi se SSL privatni ključevi čuvali duboko u data centru, daleko od perimetra mreže. F5 uređaji procesiraju većinu SSL prometa u data centrima te se vrlo često na njima nalaze deseci privatnih ključeva.

U financijskim organizacijama vrlo često se traži integracija F5 sustava s postojećim HSM sustavima. F5 produkti omogućavaju integraciju s eksternim HSM uređajima još od 2000. godine. HSM uređaji razvijeni su specifično za okruženja koja zahtijevaju visoku razinu sigurnosti gdje privatni ključevi nikako ne smiju biti kompromitirani. Visoke performanse ovakvih uređaja uvijek su bile u drugom planu. Kako se većina poslovanja s vremenom počela seliti u Internet okruženje, potražnja za ovim uređajima postala je sve veća. U trenutku kad se dekripcija SSL prometa kao funkcionalnost preselila na ADC uređaje, organizacije su vidjele veliku financijsku uštedu budući da HSM uređaji imaju izrazito visoku cijenu. Isto tako, danas su HSM uređaji postali zapravo mrežni uređaji te administratori dobivaju centralno mjesto na kojem mogu upravljati svojim privatnim ključevima a organizacije imaju mogućnost nabavke manjeg broja HSM uređaja.

 

F5 Networks je vendor koji ide u korak sa svim najnovijim trendovima u IT svijetu, a ujedno ih i diktira. Tako, danas, u trenutku kad se sve više priča o outbound SSL vidljivosti te se fokus tržišta sve više okreće prema tehnologijama i vendorima koji im upravo to mogu osigurati, F5 prati i taj trend te svojim korisnicima nudi načine kako osigurati outbound SSL vidljivost.

Posjetite nas opet uskoro i saznajte više o rješenjima koje F5 pruža u segmentu outbound SSL vidljivosti!

Share on LinkedInShare on FacebookShare on Google+Tweet about this on Twitter