...

SSL通信の可視化(1.83 MB)PDF

by user

on
Category: Documents
31

views

Report

Comments

Transcript

SSL通信の可視化(1.83 MB)PDF
アウトバウンドSSL通信の可視化
2016年7月27日
株式会社ネットワールド
インターネットへのSSL通信を可視化してますか?
課題
社内LAN
Internet
SSL/TLS トラフィック
情報漏えい
SSL/TLS トラフィック
セキュリティ
デバイス
情報漏えい
User
ノートPC
デスクトップPC
Google, Facebook, Twitterなどのサービスが常時SSLを導入
HTTPSはトラフィックを
復号化しない限り
IPSやアンチウィルスで検疫できない
SSLを悪用した攻撃が増加
SSL通信はデータの中身が暗号化されて
いて外部からデータの盗聴ができない
Networld Corporation 2016
FWやIPSによる復号化は
パフォーマンスの
大幅な低下を招く
SSLのスループットを確保しようとすると
ハイエンドの高価なセキュリティ機器が
必要
Gartnerは、『2017年にはネットワーク攻撃
の50%がSSL化される』と予測
攻撃者はSSL通信を逆手にとり、攻撃を仕込んでくる
2
BIG-IPの高速SSL処理を利用
解決アプローチ
BIG-IPでHTTPSを可視化
アプリケーションレベルでの
フィルタリングとアクセス制
御か有効になる
FW
IPS/IDS
URLフィルタ Application
Control
AV Check
専用アプライアンスによる最適化された
SSL暗号複合化処理で高速処理
クリアテキスト
社内LAN
Internet
SSL/TLS トラフィック
再暗号化 代理著名
SSL/TLS トラフィック
復号化
User
BIG-IP
LTM+SSL Forward Proxy
Networld Corporation 2016
ノートPC
デスクトップPC
3
BIG-IPを利用するコストメリット
メリット
現状のセキュリティ要件
同一ブランドでリプレイスした場合
UTM機器 2台(HA構成)
スループット 1Gbps
SSL
Inspection
アプリケーション制御/IPS実装
SSL Decode
FW
Security Device
IPS/IDS
Application
Control
AV Check
1,670万
約
Security Device
(上位機種2台の定価)
SSLトラフィックは検疫対象外
HTTPのみ検疫
53%減
BIG-IP追加導入した場合
SSL
Inspection
SSL Decode
FW
既存 機器
IPS/IDS
Application
Control
約
AV Check
既存 機器
約
770万
(BIG-IP 2000s 2台の定価)
(SSL Forward Proxy ライセンス含む)
BIG-IP + SSL Forward Proxy
Networld Corporation 2016
BIG-IP + SSL Forward Proxy
4
Q&A
❏ 特定サイトだけSSL復号化(SSL可視化)させないことはできますか?
 特定ドメインのみSSL復号化させずに通過させることが可能です。
❏ 構成例(パターン)を教えてください。
 サンドイッチ構成

ブリート構成
※次頁の構成を確認ください。
❏ クライアント証明書を利用しているサイトはSSL Inspection可能ですか?
 クライアント証明書を利用しているサイトはSSL Inspectionできません。
❏ HTTPS以外のSSLを使用した通信も可視化可能ですか?
 可能です。
※TCPオプションを透過可能なセキュリティデバイスにより実現可能です。
HTTPS以外のSSL通信を可視化する場合、TCPオプションのヘッダーにフラグを埋め込んで、
再暗号化する/しないの判断をしますのでTCPオプションを透過可能な機器が前提となります。
❏ 導入において注意する点はありますか?
 クライアント端末へCA証明書をインポート必要がありますので、配布方法を検討する必要があります。
※Windows Group Policyで配布する等
Networld Corporation 2016
5
アウトバウンドSSL Inspection 構成
サンドイッチ構成
ブリート構成
(L3サービスとの連携)
ブリート構成
(L2サービスとの連携)
ブリート構成
(レシーブ オンリー サービスとの連携)
Router
Internet
Internet
Internet
Router
Router
Router
Internet
BIG-IP
Recieve Only
セキュリティ
機器
LTM + SSL Forward
Proxy
複製
BIG-IP
LTM
BIG-IP
BIG-IP
LTM + SSL Forward
Proxy
LTM + SSL Forward
Proxy
クライアント
ブリート構成(ICAP連携)
セキュリティ機器
BIG-IP
LTM + SSL Forward Proxy
同
一
筐
体
L3
セキュリティ
機器
同
一
筐
体
L2
Router
セキュリティ
機器
Internet
BIG-IP
BIG-IP
BIG-IP
LTM + SSL Forward
Proxy
LTM + SSL Forward
Proxy
LTM + SSL Forward
Proxy
セキュリティ
機器
ICAP連携
クライアント
Networld Corporation 2016
クライアント
クライアント
クライアント
6
【テスト環境】ブリート構成(L3サービスとの連携)
EICARテストファイルをダウンロードした場合の
ブロック画面
有効にしたUTM機能
・アンチウィルス
・アプリケーションコントロール
・Webフィルター
FortiGate
.1
port2
port1
192.168.2.0/24
VLAN: FG-ext
●ポイント
⁃ FortiGateからのトラフィックを「0.0.0.0/0:any」
VSで受信
⁃ TCP Option ありの場合は再暗号化
⁃ PoolメンバーにGate Way[10.15.1.254]を登録
.1.254
Internet
Networld Corporation 2016
10.15.0.0/22
VLAN:External
.254
192.168.1.0/24
VLAN:FG-int
.254
.1.7
●ポイント
⁃ Internal VS[0.0.0.0/0 :any]で待受け、SSL
通信の場合は復号化しTCP Option 挿入
⁃ PoolメンバーにFortiGate[192.168.1.254:0]
を登録
⁃ Enable On Virtual Serverに[Internal]を登録
.1
1.3
1.2
VS
1.4
BIG-IP
LTM+SSL Forward Proxy
※ EICARテストファイル :EICAR が開発したアンチ
ウイルス (AV) ソフトウェアの応答をテストするため
のファイル。
VS
1.1
.254
10.15.102.0/24
VLAN: Internal
.20
クライアント
7
【テスト環境】ブリート構成(L2サービスとの連携)
EICARテストファイルをダウンロードした場合の
ブロック画面
有効にしたUTM機能
・アンチウィルス
・アプリケーションコントロール
・Webフィルター
FortiGate
port2
port1
192.168.1.0%10/24
VLAN: FG-ext
(Route Domain 10)
●ポイント
⁃ RouteDomainを使用
⁃ FortiGateからのトラフィックを
「0.0.0.0%10/0:any」VSで受信
192.168.1.254%10
⁃ TCP Option ありの場合は再暗号化
⁃ PoolメンバーにGate Way[10.15.1.254]を登録
⁃ Enable On Virtual Serverに[FG-ext]を登録
.1.254
Internet
Networld Corporation 2016
10.15.0.0/22
VLAN:External
.1.7
1.3
192.168.1.0/24
VLAN:FG-int
●ポイント
- Internal VS[0.0.0.0/0 :any]で待受け、SSL
通信の場合は復号化しTCP Option 挿入
⁃ PoolメンバーにBIG-IPのRouteDomainのSelfIP [192.168.1.254%10:0]を登録
⁃ Enable On Virtual Serverに[Internal]を登録
192.168.1.1
1.2
VS
1.4
BIG-IP
LTM+SSL Forward Proxy
※ EICARテストファイル :EICAR が開発したアンチ
ウイルス (AV) ソフトウェアの応答をテストするため
のファイル。
VS
1.1
.254
10.15.102.0/24
VLAN: Internal
.20
クライアント
8
SSL可視化に関するご相談・ご質問などございました
らご連絡お待ちしております。
お問い合わせ先:[email protected]
Fly UP