Blog

Blue Coat SSL Visibility Appliance – kako dodatno izkoristiti UTM firewall?

Kot smo že pisali, Blue Coat SSL Visibility Appliance omogoča dekripcijo prometa na enem mestu in mrežni feed različnim sistemom znotraj omrežja, naprimer drugim varnostnim rešitvam, kot so  IPS/IDS, NGF, UTM, next gen. IPS (Advanced Persistent Threat), forenzične rešitve, mrežni DLP,…

Motivacija za implementacijo takšne rešitve je pravzaprav vse večje število groženj, ki se skrivajo znotraj SSL prometa, ki je prav tako v porastu, hkrati pa rasteju tudi zahteve za hardware, katere pa obstoječe NGF/UTM rešitve ne morejo zadovoljiti brez drage nadgradnje.

Primer integracije s Fortigate UTM firewall-om

V nadaljevanju si oglejte primer implementacije Blue Coat SSL VA na UTM firewall, v tem primeru na Fortinet Fortigate (FortiWiFi) 90D napravo.

Na SSLVA napravi kreiramo Resigning certifikat, ki bo koristil za dekripcije SSL sej:

sslresigner

Certifikat je potrebno vnesti v klijente (spletne brskalnike), da se ob odpiranju strani ne bi pojavljala “untrusted” opozorila:

sslwarning

Alternativno bi lahko kreirali CSR (certificate signing request) ter ga poslati na organizacijskega PKI izdavatelja (authority), ki bo vrnil subordinate certificate authority. V takšnem primeru bo root CA že prisoten v brskalnikih znotraj organizacije in ni več potrebe za vnosom certifikata, ker brskalniki že “verjamejo” vsem podcertifikatom znotraj tega PKI.

Definiranje segmenta

SSLVA ponuja možnost združevanja pasivnih (npr. IDS) ali aktivnih (npr. firewall) naprav skozi segmente oziroma set mrežnih portov na napravi. Tu smo konfigurirali en aktivni segment:

sslva_segment

Kot je razvidno iz slike, sta 2 porta uporabljena kot mrežni bridge (inline in failopen/failover), dodatna dva pa sta za povezavo na Fortigate napravo.

Ruleset

Vsakemu segmentu se pridružuje Ruleset, ki je skupek pravil s katerimi definiramo politiko dekrepcije prometa. SSLVA omoguča maksimalno fleksibilnost SSL dekripcije, ki jo omogoča vgrajena integracija z Blue Coat Web Filter dinamično bazo, ki je ena izmed najkvalitetnejših na trgu glede natančnosti in obsega spletnih strani. V tem primeru smo kreirali naslednji Ruleset:

sslva_ruleset

S temi pravili smo:

  1. Izvzeli (Cut Through) določene klijente glede na IP naslov (npr. strežniki, ki uporabljajo določene aplikacije, ki ne tolerirajo SSL inspekcijo)
  2. Izvzeli določeno vsebino glede na Blue Coat Web Filtering bazo (v tem primeru spletne strani finančnih institucij ). Tu ne navajamo spletnih strani ampak se zanašamo na Blue Coat kategorizacijske storitve, seznam pa smo imenovali “občutljiva vsebina”.
  3. Zagotovili dekripcijo vsega ostalega prometa.

 

Ob tem:

  • TCP porti nas pri tem ne zanimajo, ker SSLVA dela avtomatsko detekcijo SSL prometa neglede na port.
  • Vsebino, ki je izvzeta iz SSL inspekcije, smo definirali preko seznama kategorij, ki zajemajo vse bančne storitve:

sslva_category

Po shranjevanju politike preostane testiranje.

Na sliki je prikazan promet pred implementacijo:

ssl_before

In po:

ssl_after

Ob dostopu na SSL stran vidimo, da je podpisana z resigning certifikatom kreiranim na SSLVA:

ssl_certwarning

Opombe:

  • Aktivna firewall naprava mora delati v transparentnem (L2 segment) načinu. Rešitev bi morala podpirati hkratno delovanje dveh načinov delovanja (routed/NAT in transparentni način).
  • Aktivni firewall na transparentnem segmentu ne sme spreminjati L3 in L4 parameter prometa (IP naslov in porti).
  • Firefox in Chrome brskalniki (kmalu verjetno tudi drugi) vse bolj pogosto uporabljajo certificate pinning za popularne spletne storitve (Google, Facebook, itd.). Certificate pinning onemogoča SSL inspekcijo prometa, ker brskalnik vnaprej pričakuje določen certifikat za spletno storitev, ki pa ni SSLVA resigning certifikat. Obstajajo načini, kako prilagoditi brskalnik, ki pa zahteva tudi dodatno konfiguracijo na klijentih ampak administratorji najpogosteje definirajo seznam izjem za takšne storitve.

Iz tega razloga, kot kompromis med administrativnim naporom in varnostjo predlagamo strategijo SSL inspekcije, ki je osredotočena na inspekcijo manj varnih/popularnih strani.

Priporočeni seznam pravil za dekripcijo prometa potem izgleda tako:

  1. SSL inspekcijo vsebine, ki ji ne zaupamo, definiramo glede na kategorije Blue Coat Web Filter baze.
  2. Izključena dekripcija (Cut through) za ves ostali promet.

ssl_content_untrusted

Na koncu izgleda detekcija prometa na Fortigate tako:

ssl_fortigate_logs

Preizkusili smo dostop s testno Eicar datoteko, da bi opazovali detekcijo virusa. Pred dekripcijo je Fortigate spregledal virus, ker se je skrival znotraj SSL vsebine, po dekripciji pa je Fortigate normalno zaznal virus.

Blue Coat SSL Visibility Appliance omogoča boljši izkoristek in zaščito investicije v obstoječe firewall rešitve (Next Generation Firewall ali UTM) glede na to, da zaradi porasta SSL prometa, niso te rešitve same sposobne ustrezno dogovoriti na nove varnostne izzive.

Share on LinkedInShare on FacebookShare on Google+Tweet about this on Twitter
Potrebujete ponudbo ali pomoč pri konfiguraciji rešitve? Iščete partnerja za implementacijo?
Kontaktirajte nas!