Blog

Vidljivost in upravljanje SSL-prometa z F5-rešitvami, 1. del

SSL je komplet kriptografskih protokolov, ki ščiti podatke v prenosu. Če je bil SSL pred približno 10 leti rezerviran skoraj izključno za finančne institucije in razne strani za vnos podatkov za prijavo, je jasno, da SSL/TLS postaja standard v IP-komunikaciji in da se vedno bolj uporablja. Naslednik SSL-ja je TLS, danes pa se različne različice teh protokolov uporabljajo med uporabo spletnih brskalnikov, e-pošte, pošiljanja kratkih sporočil (Facebook, WhatsApp, Viber), VOIP-klicev in podobnega.

Ocene kažejo, da je trenutno 40 do 50 % spletnega prometa kriptiranega, nekatere ocene pa predvidevajo, da se bo ta številka do leta 2019 dvignila na 75%.

Zakaj se količina kriptiranega prometa povečuje? Razlogi so zagotovo tudi naslednji:

  • želja po zasebnosti,
  • povečanje uporabe družbenih omrežij,
  • pospešeni prehod spletnih strani na HTTPS-komunikacije, ki ga spodbujajo najnovejše spremembe pri obnašanju brskalnikov,
  • usklajenost z regulativami,
  • dostopnost,
  • uporaba spletnih aplikacij,
  • uvedba novih standardov – HTTP/2, TL 1.3.

HTTPS je protokol, ki je nastal s kombinacijo protokolov HTTP in SSL/TLS. Omogoča potrditev avtentičnosti obiskane spletne strani, zaščito zasebnosti in ohranitev integritete podatkov, ki se izmenjujejo. V naslednjih letih se pričakuje, da bo večina spletnih strani uporabljala protokol HTTPS; po statistikah Googlovega spletnega brskalnika Chrome se trenutno več kot 50 % strani prikazuje prek protokola HTTPS in na takšnih varnih straneh uporabniki preživijo 2/3 celotnega časa brskanja.

 

Čeprav SSL zagotavlja zasebnost podatkov in varno komunikacijo, v spletno okolje prinaša tudi nove izzive, saj otežuje ali onemogoča preverjanje kriptiranega prometa. Zaradi navedenega kriptirana komunikacija prehaja skozi omrežje brez vsakršnega preverjanja in na ta način postane, z varnostnega vidika, šibka točka. To predstavlja veliko tveganje za posel, saj lahko zlonamerni uporabniki brez težav zlonamerno programsko opreme prenesejo v omrežje znotraj kriptiranega prometa. Raziskave kažejo, da se med 50 in 75 % napadov danes zgodi znotraj kriptiranega prometa. Vpogled v kriptirani promet, ki prehaja skozi omrežje, danes postaja poslovna potreba.

Glede na to, da obdelava kriptiranega prometa zelo vpliva na delovanje samih naprav, tudi v primeru podpore za izvorno dekripcijo, v primeru uporabe novih 2048-bitnih certifikatov pa predstavlja še večji izziv, je treba pozornost nameniti tudi izbiri ustrezne rešitve

F5 SSL Everywhere

Arhitektura F5 SSL Everywhere je zasnovana na custom-built SSL stacku, ki je del vsake F5 LTM-implementacije. Čeprav uporabniki lahko izbirajo med dvema SSL stackoma; COMPACT stackom, ki je zasnovan na OpenSSL libraryju, in NATIVE stackom, ki je del sistema F5 TMM (Traffic Management Microkernel), F5 priporoča izbiro NATIVE stacka, ki je optimiziran SSL stack in ponuja možnost izkoristka pospešitve strojne opreme za večino SSL-algoritmov.

Uporabniki se vsak dan srečujejo z različnimi situacijami, kjer lahko izkoriščajo napredne možnosti obdelave SSL-prometa z uporabo F5-tehnologije. F5-naprave, kot strateška kontrolna točka v omrežju, zagotavljajo edinstven vpogled v kriptirani promet. To, zaradi česar se F5 razlikuje od drugih dobaviteljev, je mogoče opisati v nekaj ključnih točkah:

  • prilagodljiv način implementacije, ki ponuja enostavno integracijo tudi v najkompleksnejše omrežno aplikativne okolice, in centralizacijo dekripcije in enkripcije SSL/TLS;
  • preprosta integracija najnovejših kriptografskih tehnologij brez potrebe po zahtevnih in dragih nadgradnjah arhitekture;
  • vodilni dobavitelj na področju dekripcije in enkripcije, ki ponuja možnost offloada dekripcijskih funkcij z zalednih strežnikov, da bi ti počeli prav to, kar bi naj – dostavljali aplikacije končnim uporabnikom;
  • Dynamic service chaining omogoča primerjavo URL-jev in prometa glede na le-te z nameščenimi varnostnimi politikami, ki definirajo, ali kriptirani promet sme neovirano potovati naprej skozi omrežje ali pa je treba izvesti dekripcijo prometa in ga poslati v nadaljnjo analizo;
  • podpora za napredne kriptografske algoritme;
  • Two-way dekripcija in enkripcija SSL/TLS z uporabo HTTP/2 in najnovejših različic SSL/TLS protokola ter implementacija PFS-funkcionalnosti.

Vpogled v inbound SSL-promet (publishing javnega spletnega servisa): prilagodljivost implementacije

Dolgo je bila s SSL-vidika edina naloga ADC-naprav spremljanje prometa v inbound smeri, ADC-naprave pa so se dolgo uporabljale za dekripcijo SSL-prometa. Ponovna enkripcija prometa v smeri proti strežnikom je bila standard skoraj samo za finančne organizacije, danes pa inbound scenariji vključujejo napredne funkcije, kot so import PKCS12-ključev, hitra implementacija novih kriptografskih algoritmov, prilagajanje novih kriptografskih algoritmov.

Še vedno najpogostejša uporaba SSL/TLS-protokola je zagotavljanje dostopa uporabnikov s spletnimi aplikacijami, ki se nahajajo v podatkovnem središču. Organizacije uporabljajo ADC-naprave za izvajanje »SSL bridginga«, kar dejansko pomeni, da bo ADC-naprava, v tem primeru F5 LTM naprave, izvedla dekripcijo dohodnega prometa, izvedla ukrepe v skladu s konfiguracijo ter nato ponovno kriptirala promet ter ga poslala proti ciljnemu strežniku, ki se nahaja v podatkovnem središču. Dekriptiranje prometa na ADC-napravi omogoča izvajanje različnih dejanj s tem prometom; od različnih dodatnih optimizacij in manipulacije prometa do pregleda prometa na L7 ter zaščito pred različnimi napadi, ki jih napadalci poskušajo prenesti v omrežje znotraj kriptiranega prometa. Prav tako je treba omeniti, da s tem zagotavljamo tudi usklajenost z različnimi regulativami, kot je na primer PCI-DSS, posebej v finančnem sektorju.

 

Določeno število F5-uporabnikov uporablja F5-naprave za dostavo aplikacij, ki uporabljajo SSL, toda na način, da imajo potrebo samo po usmeritvi prometa in porazdelitvi obremenitve na L4. V tem primeru na milijone povezav prehaja skozi F5-naprave, te pa ne prekinejo ali preverijo teh povezav, še naprej pa zagotavljajo določeno raven kontrole SSL-pretoka podatkov. Ta način implementacije ne ponuja možnosti preverjanja prometa na L7, omogoča pa izkoriščanje različnih možnosti optimizacije na TCP-ravni. Ta način implementacije se imenuje SSL pass-through.

Upravljanje zasebnih ključev

Zasebni SSL-ključi so ena od najdragocenejših stvari, ki jih organizacija poseduje. Napadalec, ki se uspe dokopati do zasebnega ključa svoje tarče, lahko zelo preprosto ustvari skoraj identično aplikacijo in ustvari popoln phishing-portal. Zaradi navedenega organizacije zelo resno pristopajo k hrambi svojih zasebnih ključev. Številne varnostne arhitekture so zasnovane, da bi se SSL-zasebni ključi varovali globoko v podatkovnem središču, daleč od perimetra omrežja. F5-naprave obdelajo večino SSL-prometa v podatkovnih središčih in na njih se zelo pogosto nahaja več deset zasebnih ključev.

V finančnih organizacijah se zelo pogosto zahteva integracija F5-sistema z obstoječimi HSM-sistemi. F5-produkti omogočajo integracijo z zunanjimi HSM-napravami že od leta 2000. HSM-naprave so razvite posebej za okolja, ki zahtevajo visoko raven varnosti, kjer zasebni ključi nikakor ne smejo biti ogroženi. Visoka zmogljivost takšnih naprav je bila vedno na drugem mestu. Ker se je večina poslovanja sčasoma začela seliti v spletno okolje, je povpraševanje po teh napravah postajalo vse večje. V trenutku, ko se je dekripcija SSL-prometa kot funkcionalnost preselila na ADC-naprave, so organizacije opazile velik finančni prihranek, saj so HSM-naprave zelo drage. Prav tako so HSM-naprave danes postale dejansko omrežne naprave in administratorji dobivajo osrednje mesto, s katerega lahko upravljajo svoje zasebne ključe, medtem ko lahko organizacije nabavijo manjše število HSM-naprav.

F5 Networks je dobavitelj, ki spremlja vse najnovejše trende v IT-svetu in jih hkrati ustvarja. Tako danes, ko se vedno bolj govori o outbound SSL-vidljivosti in se pozornost trga vedno bolj usmerja k tehnologijam in dobaviteljem, ki jim lahko zagotovijo prav to, F5 spremlja tudi ta trend in svojim uporabnikom ponuja načine, kako zagotoviti outbound SSL-vidljivost.

Obiščite nas spet kmalu in preberite več o rešitvah, ki jih F5 ponuja v segmentu outbound SSL-vidljivosti.

Share on LinkedInShare on FacebookShare on Google+Tweet about this on Twitter