アウトバウンドssl通信の可視化 - networld...big-ipを利用するコストメリット...
TRANSCRIPT
-
アウトバウンドSSL通信の可視化
株式会社ネットワールド 2016年7月27日
-
Networld Corporation 2016 2 Networld Corporation 2016 2
社内LAN
インターネットへのSSL通信を可視化してますか?
User ノートPC
デスクトップPC
情報漏えい セキュリティ デバイス
SSL/TLS トラフィック SSL/TLS トラフィック
課題
HTTPSはトラフィックを
復号化しない限り IPSやアンチウィルスで検疫できない
FWやIPSによる復号化は パフォーマンスの 大幅な低下を招く
SSLのスループットを確保しようとすると ハイエンドの高価なセキュリティ機器が
必要
Google, Facebook, Twitterなどのサービスが常時SSLを導入
SSLを悪用した攻撃が増加
SSL通信はデータの中身が暗号化されていて外部からデータの盗聴ができない 攻撃者はSSL通信を逆手にとり、攻撃を仕込んでくる
Gartnerは、『2017年にはネットワーク攻撃の50%がSSL化される』と予測
Internet
情報漏えい
-
Networld Corporation 2016 3 Networld Corporation 2016 3
社内LAN
Internet
BIG-IPの高速SSL処理を利用
User ノートPC
デスクトップPC
SSL/TLS トラフィック SSL/TLS トラフィック
解決アプローチ
アプリケーションレベルでの フィルタリングとアクセス制
御か有効になる
BIG-IP LTM+SSL Forward Proxy
復号化
クリアテキスト
IPS/IDS URLフィルタ Application Control
代理著名 再暗号化
FW AV Check
BIG-IPでHTTPSを可視化
専用アプライアンスによる最適化されたSSL暗号複合化処理で高速処理
-
Networld Corporation 2016 4 Networld Corporation 2016 4
BIG-IPを利用するコストメリット
現状のセキュリティ要件 同一ブランドでリプレイスした場合
BIG-IP追加導入した場合
約1,670万 (上位機種2台の定価)
約770万 (BIG-IP 2000s 2台の定価) (SSL Forward Proxy ライセンス含む)
メリット
スループット 1Gbps
UTM機器 2台(HA構成)
アプリケーション制御/IPS実装
SSLトラフィックは検疫対象外
HTTPのみ検疫
約53%減
IPS/IDS FW SSL Decode
Security Device
BIG-IP + SSL Forward Proxy
Security Device
Application Control
IPS/IDS FW SSL Decode Application Control
SSL Inspection
既存 機器 既存 機器
BIG-IP + SSL Forward Proxy
AV Check
AV Check SSL Inspection
-
Networld Corporation 2016 5 Networld Corporation 2016 5
Q&A
❏ 特定サイトだけSSL復号化(SSL可視化)させないことはできますか?
特定ドメインのみSSL復号化させずに通過させることが可能です。
❏ 構成例(パターン)を教えてください。
サンドイッチ構成
ブリート構成
※次頁の構成を確認ください。
❏ クライアント証明書を利用しているサイトはSSL Inspection可能ですか?
クライアント証明書を利用しているサイトはSSL Inspectionできません。
❏ HTTPS以外のSSLを使用した通信も可視化可能ですか?
可能です。
※TCPオプションを透過可能なセキュリティデバイスにより実現可能です。
HTTPS以外のSSL通信を可視化する場合、TCPオプションのヘッダーにフラグを埋め込んで、
再暗号化する/しないの判断をしますのでTCPオプションを透過可能な機器が前提となります。
❏ 導入において注意する点はありますか?
クライアント端末へCA証明書をインポート必要がありますので、配布方法を検討する必要があります。
※Windows Group Policyで配布する等
-
Networld Corporation 2016 6 Networld Corporation 2016 6
アウトバウンドSSL Inspection 構成 サンドイッチ構成
ブリート構成(ICAP連携)
ブリート構成 (レシーブ オンリー サービスとの連携)
Internet
クライアント
BIG-IP LTM + SSL Forward Proxy
セキュリティ機器
BIG-IP LTM
Router
ブリート構成 (L3サービスとの連携)
ブリート構成 (L2サービスとの連携)
Internet
クライアント
BIG-IP LTM + SSL Forward
Proxy
BIG-IP LTM + SSL Forward
Proxy
Router
Internet
クライアント
BIG-IP LTM + SSL Forward
Proxy
BIG-IP LTM + SSL Forward
Proxy
Router
同一筐体
同一筐体
Internet
クライアント
BIG-IP LTM + SSL Forward
Proxy
Router
Internet
クライアント
BIG-IP LTM + SSL Forward
Proxy
Router
ICAP連携
L3 セキュリティ
機器
L2 セキュリティ
機器
セキュリティ機器
Recieve Only セキュリティ
機器
複製
-
Networld Corporation 2016 7 Networld Corporation 2016 7
Internet
BIG-IP LTM+SSL Forward Proxy
【テスト環境】ブリート構成(L3サービスとの連携)
クライアント
.20 .254 1.1
1.2 1.3
1.4 10.15.102.0/24
.254
.1
.1
.254
FortiGate
port1 port2
10.15.0.0/22 .1.7 .1.254
VS
●ポイント ⁃ Internal VS[0.0.0.0/0 :any]で待受け、SSL
通信の場合は復号化しTCP Option 挿入 ⁃ PoolメンバーにFortiGate[192.168.1.254:0]
を登録 ⁃ Enable On Virtual Serverに[Internal]を登録 VS
●ポイント ⁃ FortiGateからのトラフィックを「0.0.0.0/0:any」
VSで受信 ⁃ TCP Option ありの場合は再暗号化 ⁃ PoolメンバーにGate Way[10.15.1.254]を登録
EICARテストファイルをダウンロードした場合の ブロック画面
VLAN: Internal VLAN:External
有効にしたUTM機能 ・アンチウィルス ・アプリケーションコントロール ・Webフィルター
192.168.2.0/24
VLAN: FG-ext
192.168.1.0/24
VLAN:FG-int
※ EICARテストファイル :EICAR が開発したアンチウイルス (AV) ソフトウェアの応答をテストするためのファイル。
-
Networld Corporation 2016 8 Networld Corporation 2016 8
Internet
BIG-IP LTM+SSL Forward Proxy
192.168.1.0%10/24
【テスト環境】ブリート構成(L2サービスとの連携)
クライアント
.20 .254 1.1
1.2 1.3
1.4 10.15.102.0/24
FortiGate
port1 port2
10.15.0.0/22 .1.7 .1.254
VS
●ポイント - Internal VS[0.0.0.0/0 :any]で待受け、SSL
通信の場合は復号化しTCP Option 挿入 ⁃ PoolメンバーにBIG-IPのRouteDomainのSelf-
IP [192.168.1.254%10:0]を登録 ⁃ Enable On Virtual Serverに[Internal]を登録
VS
●ポイント ⁃ RouteDomainを使用 ⁃ FortiGateからのトラフィックを
「0.0.0.0%10/0:any」VSで受信
⁃ TCP Option ありの場合は再暗号化 ⁃ PoolメンバーにGate Way[10.15.1.254]を登録 ⁃ Enable On Virtual Serverに[FG-ext]を登録
VLAN: Internal VLAN:External
有効にしたUTM機能 ・アンチウィルス ・アプリケーションコントロール ・Webフィルター
VLAN: FG-ext (Route Domain 10)
192.168.1.0/24
VLAN:FG-int
192.168.1.254%10 192.168.1.1
EICARテストファイルをダウンロードした場合の ブロック画面
※ EICARテストファイル :EICAR が開発したアンチウイルス (AV) ソフトウェアの応答をテストするためのファイル。
-
お問い合わせ先:[email protected]
SSL可視化に関するご相談・ご質問などございましたらご連絡お待ちしております。