Blog

Vidljivost in upravljanje odhodnega SSL prometa z F5 rešitvami, 2. del

F5 nudi celovito rešitev za upravljanje TLS/SSL kriptiranega prometa (ti. Encrypted Traffic Management – ETM) in prometa v smeri javno izpostavljenih spletnih storitev (inbound) ter odhodnega prometa (outbound) katerega generirajo interni uporabniki v omrežju organizacije.

Največje tveganje predstavljajo prav interni uporabniki in najpogosteje prav v trenutku ko reagirajo na nepreverjeni e-mail ali ob dostopu na splet. Ciljani phishing napad lahko privede do tega, da uporabnik omogoči vstop malware-a v omrežje skozi SSL povezavo. Obstajajo številne rešitve, ki so sposobne odkriti malware, niso pa dovolj učinkovite ko gre za transparentno dekripcijo SSL ali skaliranje sistema.

Dodatno težavo predstavlja varnostna arhitektura, ki se v večini okolij začne s firewall-om, vključuje pa tudi niz drugih rešitev za preverjanje vhodnega prometa in vsebin. Za reševanje posameznih varnostnih izzivov morajo administratorji povezati različne rešitve v verigo. Tipična arhitektura tako lahko vsebuje komponente kot so Data Loss Prevention skenerji, Web Application firewall-i, IPS naprave, anti-malware naprave, itd…

Vpogled v outbound SSL promet

Medtem ko, kot že navedeno, večina teh naprav nima vpogleda v kriptiran promet, tudi, če ima katera naprava SSL intercept zmožnosti, je težava drastična rast kriptiranega prometa na spletu in povečana kompleksnost kripto algoritmov, kar privede do hitre izčrpanosti kapacitet navedenih rešitev.

Kako izgleda F5 rešitev za to težavo?

Takšen način implementacije pogosto imenujejo SSL Intercept ali SSL Air-Gap ter se uporablja prav za zagotavljanje vpogleda v SSL promet zgoraj navedenim napravam. Rešitev je sestavljena iz več F5 naprav, vsaka pa se nahaja na svoji strani verige. F5 naprava, ki je najbližja uporabnikom dekriptira outbound promet ter ga pošilja na naslednjo napravo v verigi. Po analizi skozi celotno verigo gre promet na naslednjo F5 napravo, ki nato kriptira promet na izhodu iz podatkovnega centra proti spletu. Možno je tudi uporabiti samo eno F5 napravo za iste funkcije.

Kako zagotoviti vpogled v outbound SSL promet z uporabo F5 tehnologije?

F5 rešitve temeljijo na full-proxy arhitekturi kar jim omogoča kreiranje dekriptirane clear-text zone med klijenti in spletnimi strežniki/spletom, s tem pa se omogoči analiza in vpogled v SSL/TLS promet. Z uporabo F5 tehnologije je možno doseči vpogled v outboubd SSL promet na dva načina:

  • F5 Herculon SSL Orchestrator
  • F5 LTM + SSL Forward Proxy licenca

Obe rešitvi nudita enake funkcije, razlika je to, da je Herculon posebna F5 platforma, v drugem primeru pa je poleg LTM proizvoda potrebno imeti tudi SSL Forward Proxy licenco ter izkoristiti iApp predložek, da bi dobili enake funkcije kot jih nudi prva opcija. Potrebno je poudariti, da je drugo opcijo potrebno postaviti na BIG-IP iSeries platformah s tem, da mora biti programska verzija vsaj TMOS v12.1.

F5 Herculon SSL Orchestrator

F5 SSL Orchestrator omogoča dekripcijo in enkripcijo prometa z visokimi zmogljivostmi s čimer zagotavlja analizo prometa za odkrivanje in odpravljanje potencijalnih groženj. Z uporabo F5 URL filtering baze in F5 zmožnosti v segmentu SSL komunikacije, SSL Orchestrator zagotavlja, da je izbrani promet lahko dekriptiran, analiziran s strani third-party naprav ter nato ponovno enkriptiran ter tako ponudi napreden vpogled v vse potencijalne grožnje, ki prihajajo v omrežje.

F5 Herculon SSL Orchestrator nudi možnost dinamičnega veriženja različnih storitev kar omogoča enostavno in inteligentno orkestracijo prometa in upravljanje politik pristopa. Promet dekriptiran na F5 napravah v clear-text obliki pride do različnih varnostnih rešitev, ki lahko detektirajo napredne grožnje in zlonamerne programe, ransomware ob samem prihodu v sistem ali tekom C&C faze. Informacije o preverjanju prometa bodo poslane na F5 Herculon SSL Orchestrator, da se vzpostavijo določena pravila dostopa in prevencija skritih groženj. F5 SSL Orchestrator podpira integracijo z različnimi sistemi kako IDS/IPS, anti-virus/malware sistemi, DLP, Next-Gen Firewall-i. Prav tako je možno izkoristiti različne metode implementacije kot so TAP, ICAP, L2, L3 povezovanja. Vse navedeno ustvarja izrazito fleksibilen sistem, hrati pa ščiti tudi investicije v obstoječe rešitve.

F5 Herculon SSL Orchestrator vzpostavlja dve ločeni SSL konekciji: eno proti klijentu, drugo pa proti spletnemu strežniku. V trenutku ko klijent inicira HTTPS konekcijo proti spletnemu strežniku, F5 Herculon SSL Orchestrator prestreže povezavo ter jo dekriptira. Dekriptiran promet se pošlje na naslednjo varnostno rešitev v verigi v nadaljno analizo, nato se kriptira ter pošlje proti spletnemu strežniku. Odgovor, ki ga pošlje spletni strežnik, prav tako prestreže, preveri in nato pošlje do klijenta.

F5 Herculon SSL Orchestrator nudi možnost vzpostavljanja različnih verig varnostnih rešitev na temelju konteksta, ki je lahko karkoli od naslednjega:

  • Izvorni IP naslov/omrežje ali ciljni IP naslov/omrežje
  • informacije o IP geolokaciji
  • URL filtering kategorija na temelju imena ali tipa storitve
  • ciljni port/protokol.

Zaradi določenih regulativ in varovanja zasebnosti organizacije ne sme biti izvršena analiza celotnega SSL prometa, ki ga uporabniki generirajo, zlasti ko gre za različne online bančne storitve. F5 nudi nekoliko načinov za definicijo seznamov spletnih aplikacij katerih SSL promet ne sme biti dekriptiran:

  • Uporaba F5 URL kategorizacije
  • Ročno definiranje spletnih aplikacij katerih promet ne sme biti dekriptiran in dodatno analiziran

F5 rešitve, ki jih lahko uporabimo v ta namen so Herculon i10800, i5800 in i2800 SSL Orchestrator naprave. Možno je izkoristit tudi ostale F5 naprave z ustreznimi LTM in SSL Forward Proxy licencami ob pogoju, da imajo nameščen tudi minimalno TMOS v13 software.

SSL Orchestrator nudi centralno točko dekripcije SSL prometa ter omogoča vpogled v SSL promet z uporabo večjega števila različnih varnostnih rešitev. Na ta način dobite visoko učinkovit in konsolidiran sistem večjega števila naprav, ki delujejo skupaj na skalabilen način. SSL Orchestrator povečuje operatino učinkovitost obstoječih rešitev ter na višjo raven dviguje skupno varnost organizacije, aplikacij in uporabnikov.

Za več informacij, nasvet ali demo nas kontaktirajte!

Share on LinkedInShare on FacebookShare on Google+Tweet about this on Twitter