Comments
Description
Transcript
SSL通信の可視化(1.83 MB)PDF
アウトバウンドSSL通信の可視化 2016年7月27日 株式会社ネットワールド インターネットへのSSL通信を可視化してますか? 課題 社内LAN Internet SSL/TLS トラフィック 情報漏えい SSL/TLS トラフィック セキュリティ デバイス 情報漏えい User ノートPC デスクトップPC Google, Facebook, Twitterなどのサービスが常時SSLを導入 HTTPSはトラフィックを 復号化しない限り IPSやアンチウィルスで検疫できない SSLを悪用した攻撃が増加 SSL通信はデータの中身が暗号化されて いて外部からデータの盗聴ができない Networld Corporation 2016 FWやIPSによる復号化は パフォーマンスの 大幅な低下を招く SSLのスループットを確保しようとすると ハイエンドの高価なセキュリティ機器が 必要 Gartnerは、『2017年にはネットワーク攻撃 の50%がSSL化される』と予測 攻撃者はSSL通信を逆手にとり、攻撃を仕込んでくる 2 BIG-IPの高速SSL処理を利用 解決アプローチ BIG-IPでHTTPSを可視化 アプリケーションレベルでの フィルタリングとアクセス制 御か有効になる FW IPS/IDS URLフィルタ Application Control AV Check 専用アプライアンスによる最適化された SSL暗号複合化処理で高速処理 クリアテキスト 社内LAN Internet SSL/TLS トラフィック 再暗号化 代理著名 SSL/TLS トラフィック 復号化 User BIG-IP LTM+SSL Forward Proxy Networld Corporation 2016 ノートPC デスクトップPC 3 BIG-IPを利用するコストメリット メリット 現状のセキュリティ要件 同一ブランドでリプレイスした場合 UTM機器 2台(HA構成) スループット 1Gbps SSL Inspection アプリケーション制御/IPS実装 SSL Decode FW Security Device IPS/IDS Application Control AV Check 1,670万 約 Security Device (上位機種2台の定価) SSLトラフィックは検疫対象外 HTTPのみ検疫 53%減 BIG-IP追加導入した場合 SSL Inspection SSL Decode FW 既存 機器 IPS/IDS Application Control 約 AV Check 既存 機器 約 770万 (BIG-IP 2000s 2台の定価) (SSL Forward Proxy ライセンス含む) BIG-IP + SSL Forward Proxy Networld Corporation 2016 BIG-IP + SSL Forward Proxy 4 Q&A ❏ 特定サイトだけSSL復号化(SSL可視化)させないことはできますか? 特定ドメインのみSSL復号化させずに通過させることが可能です。 ❏ 構成例(パターン)を教えてください。 サンドイッチ構成 ブリート構成 ※次頁の構成を確認ください。 ❏ クライアント証明書を利用しているサイトはSSL Inspection可能ですか? クライアント証明書を利用しているサイトはSSL Inspectionできません。 ❏ HTTPS以外のSSLを使用した通信も可視化可能ですか? 可能です。 ※TCPオプションを透過可能なセキュリティデバイスにより実現可能です。 HTTPS以外のSSL通信を可視化する場合、TCPオプションのヘッダーにフラグを埋め込んで、 再暗号化する/しないの判断をしますのでTCPオプションを透過可能な機器が前提となります。 ❏ 導入において注意する点はありますか? クライアント端末へCA証明書をインポート必要がありますので、配布方法を検討する必要があります。 ※Windows Group Policyで配布する等 Networld Corporation 2016 5 アウトバウンドSSL Inspection 構成 サンドイッチ構成 ブリート構成 (L3サービスとの連携) ブリート構成 (L2サービスとの連携) ブリート構成 (レシーブ オンリー サービスとの連携) Router Internet Internet Internet Router Router Router Internet BIG-IP Recieve Only セキュリティ 機器 LTM + SSL Forward Proxy 複製 BIG-IP LTM BIG-IP BIG-IP LTM + SSL Forward Proxy LTM + SSL Forward Proxy クライアント ブリート構成(ICAP連携) セキュリティ機器 BIG-IP LTM + SSL Forward Proxy 同 一 筐 体 L3 セキュリティ 機器 同 一 筐 体 L2 Router セキュリティ 機器 Internet BIG-IP BIG-IP BIG-IP LTM + SSL Forward Proxy LTM + SSL Forward Proxy LTM + SSL Forward Proxy セキュリティ 機器 ICAP連携 クライアント Networld Corporation 2016 クライアント クライアント クライアント 6 【テスト環境】ブリート構成(L3サービスとの連携) EICARテストファイルをダウンロードした場合の ブロック画面 有効にしたUTM機能 ・アンチウィルス ・アプリケーションコントロール ・Webフィルター FortiGate .1 port2 port1 192.168.2.0/24 VLAN: FG-ext ●ポイント ⁃ FortiGateからのトラフィックを「0.0.0.0/0:any」 VSで受信 ⁃ TCP Option ありの場合は再暗号化 ⁃ PoolメンバーにGate Way[10.15.1.254]を登録 .1.254 Internet Networld Corporation 2016 10.15.0.0/22 VLAN:External .254 192.168.1.0/24 VLAN:FG-int .254 .1.7 ●ポイント ⁃ Internal VS[0.0.0.0/0 :any]で待受け、SSL 通信の場合は復号化しTCP Option 挿入 ⁃ PoolメンバーにFortiGate[192.168.1.254:0] を登録 ⁃ Enable On Virtual Serverに[Internal]を登録 .1 1.3 1.2 VS 1.4 BIG-IP LTM+SSL Forward Proxy ※ EICARテストファイル :EICAR が開発したアンチ ウイルス (AV) ソフトウェアの応答をテストするため のファイル。 VS 1.1 .254 10.15.102.0/24 VLAN: Internal .20 クライアント 7 【テスト環境】ブリート構成(L2サービスとの連携) EICARテストファイルをダウンロードした場合の ブロック画面 有効にしたUTM機能 ・アンチウィルス ・アプリケーションコントロール ・Webフィルター FortiGate port2 port1 192.168.1.0%10/24 VLAN: FG-ext (Route Domain 10) ●ポイント ⁃ RouteDomainを使用 ⁃ FortiGateからのトラフィックを 「0.0.0.0%10/0:any」VSで受信 192.168.1.254%10 ⁃ TCP Option ありの場合は再暗号化 ⁃ PoolメンバーにGate Way[10.15.1.254]を登録 ⁃ Enable On Virtual Serverに[FG-ext]を登録 .1.254 Internet Networld Corporation 2016 10.15.0.0/22 VLAN:External .1.7 1.3 192.168.1.0/24 VLAN:FG-int ●ポイント - Internal VS[0.0.0.0/0 :any]で待受け、SSL 通信の場合は復号化しTCP Option 挿入 ⁃ PoolメンバーにBIG-IPのRouteDomainのSelfIP [192.168.1.254%10:0]を登録 ⁃ Enable On Virtual Serverに[Internal]を登録 192.168.1.1 1.2 VS 1.4 BIG-IP LTM+SSL Forward Proxy ※ EICARテストファイル :EICAR が開発したアンチ ウイルス (AV) ソフトウェアの応答をテストするため のファイル。 VS 1.1 .254 10.15.102.0/24 VLAN: Internal .20 クライアント 8 SSL可視化に関するご相談・ご質問などございました らご連絡お待ちしております。 お問い合わせ先:[email protected]