Blog

Vidljivost i upravljanje odlaznim SSL prometom uz F5 rješenja, 2. dio

F5 nudi kompletno rješenje za upravljanje TLS/SSL kriptiranim prometom (tzv. Encrypted Traffic Management – ETM), kako prometom prema javno izloženim web servisima (inbound), tako i odlaznim prometom (outbound) kojeg generiraju interni korisnici u mreži organizacije.

Najveći rizik predstavljaju upravo interni korisnici, i to poglavito u trenutku kad reagiraju na neprovjereni e-mail ili pristupaju internetu. Ciljani phishing napad može dovesti do toga da korisnik nesvjesno omogući ulaz malware-u u mrežu kroz SSL konekciju. Postoje brojna rješenja koja su sposobna detektirati malware, međutim nisu dovoljno efikasna kad je u pitanju transparentna dekripcija SSL konekcija ili skaliranje sustava.

Dodatan problem predstavlja sigurnosna arhitektura koja u većini okruženja započinje s firewall-om, ali uključuje i niz drugih rješenja za provjeru sadržaja koji ulazi u organizaciju. Kako bi se riješili pojedini sigurnosni izazovi, sigurnosni administratori moraju povezati različita rješenja u jedinstveni lanac. Tipična arhitektura tako može uključivati komponente kao sto su Data Loss Prevention skeneri, Web Application firewall-i, IPS uređaji, anti-malware uređaji, itd.

Uvid u outbound SSL promet

Međutim, kao što je već navedeno, problem je što većina ovih uređaja nema uvid u kriptirani promet. Čak i ako neki od uređaja imaju SSL intercept mogućnosti, problem predstavlja drastičan rast kriptiranog prometa na webu kao i povećanje kompleksnosti kripto algoritama, što se prevodi u brzo iscrpljivanje hardverskih kapaciteta navedenih rješenja.

Kako izgleda F5 rješenje ovog problema?

Ovaj način implementacije često se naziva SSL Intercept ili SSL Air-Gap te se koristi upravo kako bi se gore navedenim uređajima osigurao uvid u SSL promet. Rješenje se obično sastoji od više F5 uređaja gdje se svaki nalazi na svom dijelu lanca. F5 uređaj koji je najbliži korisnicima dekriptira outbound promet te šalje dekriptirani promet na sljedeći uređaj u lancu. Nakon obavljene analize kroz cijeli lanac, promet se šalje na sljedeći F5 uređaj koji ponovno kriptira promet na izlazu iz data centra prema internetu. Isto tako, moguće je iskoristiti samo jedan F5 uređaj za istu funkcionalnost.

Kako osigurati uvid u outbound SSL promet korištenjem F5 tehnologije?

F5 produkti bazirani su na full-proxy arhitekturi što im omogućava kreiranje dekriptirane, clear-text zone između klijenta i web servera/Interneta, a čime se omogućava analiza i uvid u SSL/TLS promet. Korištenjem F5 tehnologije uvid u outboubd SSL promet moguće je postići na dva načina:

  • F5 Herculon SSL Orchestrator
  • F5 LTM + SSL Forward Proxy licenca

Oba rješenja pružaju iste funkcionalnosti, uz razliku da je Herculon posebna F5 platforma, dok u drugom slučaju uz LTM produkt, potrebno je imati i SSL Forward Proxy licencu te iskoristiti iApp predložak kako bi se dobile funkcionalnosti kao u prvoj opciji. Ovdje je potrebno istaknuti da je drugu opciju potrebno ostvariti na BIG-IP iSeries platformama uz to da verzija softvera mora biti minimalno TMOS v12.1.

F5 Herculon SSL Orchestrator

F5 SSL Orchestrator omogućava dekripciju i enkripciju prometa s visokim performansama čime se osigurava analiza prometa kako bi se otkrile i uklonile potencijalne prijetnje. Koristeći F5 URL filtering bazu i F5 mogućnosti u segmentu SSL komunikacije, SSL Orchestrator osigurava da odabrani promet može biti dekriptiran, analiziran od strane third-party uređaja te nakon toga ponovno kriptiran čime se dobiva napredni uvid u sve potencijalne prijetnje koje ulaze u mrežu.

F5 Herculon SSL Orchestrator nudi mogućnost dinamičkog ulančavanja različitih servisa što omogućava jednostavnu i inteligentnu orkestraciju prometa i upravljanja politikama pristupa. Promet dekriptiran na F5 uređajima u clear-textu dolazi do različitih sigurnosnih rješenja koja mogu detektirati napredne prijetnje i maliciozne programe, ransomware na samom ulazu u sustav kao i tijekom C&C faze. Informacije o provjeri prometa biti će poslane na F5 Herculon SSL Orchestrator kako bi se primijenila određena pravila pristupa i prevencija sakrivenih prijetnji. F5 SSL Orchestrator podržava integraciju s različitim sustavima kao što su IDS/IPS, anti-virus/malware sustavi, DLP, Next-Gen Firewalli. Također, moguće je iskoristiti različite metode implementacije poput TAP, ICAP, L2, L3 povezivanja. Sve ovo navedeno stvara jedan izrazito fleksibilan sustav, a ujedno štiti i investicije uložene u postojeća rješenja.

F5 Herculon SSL Orchestrator uspostavlja dvije odvojene SSL konekcije: jednu prema klijentu, a drugu prema web serveru. U trenutku kad klijent inicira HTTPS konekciju prema web serveru, F5 Herculon SSL Orchestrator presreće tu konekciju te je dekriptira. Dekriptirani promet šalje se nakon toga na sljedeći sigurnosni uređaj u lancu na daljnju analizu, nakon čega se ponovno kriptira i šalje dalje prema web serveru. Odgovor koji web server šalje prema klijentu se također presreće, provjerava i nakon toga šalje dalje prema klijentu.

F5 Herculon SSL Orchestrator pruža omogućava primjenu različitih lanaca sigurnosnih uređaja na temelju konteksta koji može biti bilo što od sljedećeg:

  • Izvorišna IP adresa/mreža ili odredišna IP adresa/mreža
  • informacije o IP geolokaciji
  • URL filtering kategorija na temelju imena i tipa servisa
  • odredišni port/protokol.

Naravno da zbog određenih regulativa te zaštite privatnosti organizacije ne smiju raditi analizu sveukupnog SSL prometa koji korisnici generiraju, pogotovo kad su u pitanju različiti online bankarski servisi. F5 nudi nekoliko načina kako da se definira lista web aplikacija čiji se SSL promet ne smije dekriptirati:

  • Korištenje F5 URL kategorizacije
  • Ručno definiranje web aplikacija čiji se promet ne smije dekriptirati i slati na dodatnu analizu

F5 produkti koje je moguće ovdje iskoristiti su Herculon i10800, i5800 i i2800 SSL Orchestrator uređaji. Moguće je iskoristiti i ostale F5 uređaje s odgovarajućim LTM i SSL Forward Proxy licencama uz uvjet da moraju imati instaliran minimalno TMOS v13 softver.

SSL Orchestrator pruža centralnu točku dekripcije SSL prometa te omogućava uvid u SSL promet korištenjem više različitih sigurnosnih uređaja. Na ovaj način dobiva se jedan visoko efikasni i konsolidirani sustav više uređaja koji rade zajedno na skalabilan način. SSL Orchestrator povećava operativnu učinkovitost već postojećih sigurnosnih uređaja te podiže ukupnu razinu sigurnosti organizacije, aplikacija i korisnika na zavidnu razinu.

Za više informacija, savjet ili demo, slobodno nam se obratite! 

 

Share on LinkedInShare on FacebookShare on Google+Tweet about this on Twitter