アウトバウンドssl通信の可視化 - networld...big-ipを利用するコストメリット...

アウトバウンドSSL通信の可視化

株式会社ネットワールド 2016年7月27日

Networld Corporation 2016 2 Networld Corporation 2016 2

社内LAN

インターネットへのSSL通信を可視化してますか？

User ノートPC

デスクトップPC

情報漏えいセキュリティデバイス

SSL/TLS トラフィック SSL/TLS トラフィック

課題

HTTPSはトラフィックを

復号化しない限り IPSやアンチウィルスで検疫できない

FWやIPSによる復号化はパフォーマンスの大幅な低下を招く

SSLのスループットを確保しようとするとハイエンドの高価なセキュリティ機器が

必要

Google, Facebook, Twitterなどのサービスが常時SSLを導入

SSLを悪用した攻撃が増加

SSL通信はデータの中身が暗号化されていて外部からデータの盗聴ができない攻撃者はSSL通信を逆手にとり、攻撃を仕込んでくる

Gartnerは、『2017年にはネットワーク攻撃の50％がSSL化される』と予測

Internet

情報漏えい


社内LAN

Internet

BIG-IPの高速SSL処理を利用

User ノートPC

デスクトップPC

SSL/TLS トラフィック SSL/TLS トラフィック

解決アプローチ

アプリケーションレベルでのフィルタリングとアクセス制

御か有効になる

BIG-IP LTM＋SSL Forward Proxy

復号化

クリアテキスト

IPS/IDS URLフィルタ Application Control

代理著名再暗号化

FW AV Check

BIG-IPでHTTPSを可視化

専用アプライアンスによる最適化されたSSL暗号複合化処理で高速処理


BIG-IPを利用するコストメリット

現状のセキュリティ要件同一ブランドでリプレイスした場合

BIG-IP追加導入した場合

約1,670万 (上位機種2台の定価)

約770万 (BIG-IP 2000s 2台の定価) （SSL Forward Proxy ライセンス含む）

メリット

スループット 1Gbps

UTM機器 2台(HA構成)

アプリケーション制御/IPS実装

SSLトラフィックは検疫対象外

HTTPのみ検疫

約53％減

IPS/IDS FW SSL Decode

Security Device

BIG-IP + SSL Forward Proxy

Security Device

Application Control

IPS/IDS FW SSL Decode Application Control

SSL Inspection

既存機器既存機器

BIG-IP + SSL Forward Proxy

AV Check

AV Check SSL Inspection


Q&A

❏ 特定サイトだけSSL復号化(SSL可視化)させないことはできますか？

特定ドメインのみSSL復号化させずに通過させることが可能です。

❏ 構成例(パターン)を教えてください。

サンドイッチ構成

ブリート構成

※次頁の構成を確認ください。

❏ クライアント証明書を利用しているサイトはSSL Inspection可能ですか？

クライアント証明書を利用しているサイトはSSL Inspectionできません。

❏ HTTPS以外のSSLを使用した通信も可視化可能ですか？

可能です。

※TCPオプションを透過可能なセキュリティデバイスにより実現可能です。

HTTPS以外のSSL通信を可視化する場合、TCPオプションのヘッダーにフラグを埋め込んで、

再暗号化する／しないの判断をしますのでTCPオプションを透過可能な機器が前提となります。

❏ 導入において注意する点はありますか？

クライアント端末へCA証明書をインポート必要がありますので、配布方法を検討する必要があります。

※Windows Group Policyで配布する等


アウトバウンドSSL Inspection 構成サンドイッチ構成

ブリート構成（ICAP連携）

ブリート構成 (レシーブオンリーサービスとの連携)

Internet

クライアント

BIG-IP LTM + SSL Forward Proxy

セキュリティ機器

BIG-IP LTM

Router

ブリート構成（L3サービスとの連携）

ブリート構成（L2サービスとの連携）

Internet

クライアント

BIG-IP LTM + SSL Forward

Proxy


Proxy

Router

Internet

クライアント


Proxy


Proxy

Router

同一筐体

同一筐体

Internet

クライアント


Proxy

Router

Internet

クライアント


Proxy

Router

ICAP連携

L3 セキュリティ

機器

L2 セキュリティ

機器

セキュリティ機器

Recieve Only セキュリティ

機器

複製


Internet


【テスト環境】ブリート構成（L3サービスとの連携）

クライアント

.20 .254 1.1

1.2 1.3

1.4 10.15.102.0/24

.254

.1

.1

.254

FortiGate

port1 port2

10.15.0.0/22 .1.7 .1.254

VS

●ポイント ⁃ Internal VS[0.0.0.0/0 :any]で待受け、SSL

通信の場合は復号化しTCP Option 挿入 ⁃ PoolメンバーにFortiGate[192.168.1.254:0]

を登録 ⁃ Enable On Virtual Serverに[Internal]を登録 VS

●ポイント ⁃ FortiGateからのトラフィックを「0.0.0.0/0:any」

VSで受信 ⁃ TCP Option ありの場合は再暗号化 ⁃ PoolメンバーにGate Way[10.15.1.254]を登録

EICARテストファイルをダウンロードした場合のブロック画面

VLAN: Internal VLAN:External

有効にしたUTM機能・アンチウィルス・アプリケーションコントロール・Webフィルター

192.168.2.0/24

VLAN: FG-ext

192.168.1.0/24

VLAN:FG-int

※ EICARテストファイル：EICAR が開発したアンチウイルス (AV) ソフトウェアの応答をテストするためのファイル。


Internet


192.168.1.0%10/24

【テスト環境】ブリート構成（L2サービスとの連携）

クライアント

.20 .254 1.1

1.2 1.3

1.4 10.15.102.0/24

FortiGate

port1 port2

10.15.0.0/22 .1.7 .1.254

VS

●ポイント - Internal VS[0.0.0.0/0 :any]で待受け、SSL

通信の場合は復号化しTCP Option 挿入 ⁃ PoolメンバーにBIG-IPのRouteDomainのSelf-

IP [192.168.1.254%10:0]を登録 ⁃ Enable On Virtual Serverに[Internal]を登録

VS

●ポイント ⁃ RouteDomainを使用 ⁃ FortiGateからのトラフィックを

「0.0.0.0%10/0:any」VSで受信

⁃ TCP Option ありの場合は再暗号化 ⁃ PoolメンバーにGate Way[10.15.1.254]を登録 ⁃ Enable On Virtual Serverに[FG-ext]を登録

VLAN: Internal VLAN:External

有効にしたUTM機能・アンチウィルス・アプリケーションコントロール・Webフィルター

VLAN: FG-ext (Route Domain 10)

192.168.1.0/24

VLAN:FG-int

192.168.1.254%10 192.168.1.1

EICARテストファイルをダウンロードした場合のブロック画面

※ EICARテストファイル：EICAR が開発したアンチウイルス (AV) ソフトウェアの応答をテストするためのファイル。

お問い合わせ先：[email protected]

SSL可視化に関するご相談・ご質問などございましたらご連絡お待ちしております。

アウトバウンドssl通信の可視化 - networld...big-ipを利用するコストメリット...

Documents