Upload
ngoduong
View
224
Download
0
Embed Size (px)
Citation preview
Networld Corporation 2016 2Networld Corporation 2016 2
社内LAN
インターネットへのSSL通信を可視化してますか?
UserノートPC
デスクトップPC
情報漏えい セキュリティデバイス
SSL/TLS トラフィック SSL/TLS トラフィック
課題
HTTPSはトラフィックを
復号化しない限りIPSやアンチウィルスで検疫できない
FWやIPSによる復号化はパフォーマンスの大幅な低下を招く
SSLのスループットを確保しようとするとハイエンドの高価なセキュリティ機器が
必要
Google, Facebook, Twitterなどのサービスが常時SSLを導入
SSLを悪用した攻撃が増加
SSL通信はデータの中身が暗号化されていて外部からデータの盗聴ができない 攻撃者はSSL通信を逆手にとり、攻撃を仕込んでくる
Gartnerは、『2017年にはネットワーク攻撃の50%がSSL化される』と予測
Internet
情報漏えい
Networld Corporation 2016 3Networld Corporation 2016 3
社内LAN
Internet
BIG-IPの高速SSL処理を利用
User ノートPC
デスクトップPC
SSL/TLS トラフィック SSL/TLS トラフィック
解決アプローチ
アプリケーションレベルでのフィルタリングとアクセス制
御か有効になる
BIG-IPLTM+SSL Forward Proxy
復号化
クリアテキスト
IPS/IDS URLフィルタ Application Control
代理著名再暗号化
FW AV Check
BIG-IPでHTTPSを可視化
専用アプライアンスによる最適化されたSSL暗号複合化処理で高速処理
Networld Corporation 2016 4Networld Corporation 2016 4
BIG-IPを利用するコストメリット
現状のセキュリティ要件 同一ブランドでリプレイスした場合
BIG-IP追加導入した場合
約1,670万(上位機種2台の定価)
約770万(BIG-IP 2000s 2台の定価)(SSL Forward Proxy ライセンス含む)
メリット
スループット 1Gbps
UTM機器 2台(HA構成)
アプリケーション制御/IPS実装
SSLトラフィックは検疫対象外
HTTPのみ検疫
約53%減
IPS/IDSFWSSL Decode
Security Device
BIG-IP + SSL Forward Proxy
Security Device
Application Control
IPS/IDSFWSSL Decode Application Control
SSLInspection
既存 機器 既存 機器
BIG-IP + SSL Forward Proxy
AV Check
AV CheckSSLInspection
Networld Corporation 2016 5Networld Corporation 2016 5
Q&A
❏ 特定サイトだけSSL復号化(SSL可視化)させないことはできますか?
特定ドメインのみSSL復号化させずに通過させることが可能です。
❏ 構成例(パターン)を教えてください。
サンドイッチ構成
ブリート構成
※次頁の構成を確認ください。
❏ クライアント証明書を利用しているサイトはSSL Inspection可能ですか?
クライアント証明書を利用しているサイトはSSL Inspectionできません。
❏ HTTPS以外のSSLを使用した通信も可視化可能ですか?
可能です。
※TCPオプションを透過可能なセキュリティデバイスにより実現可能です。
HTTPS以外のSSL通信を可視化する場合、TCPオプションのヘッダーにフラグを埋め込んで、
再暗号化する/しないの判断をしますのでTCPオプションを透過可能な機器が前提となります。
❏ 導入において注意する点はありますか?
クライアント端末へCA証明書をインポート必要がありますので、配布方法を検討する必要があります。
※Windows Group Policyで配布する等
Networld Corporation 2016 6Networld Corporation 2016 6
アウトバウンドSSL Inspection 構成サンドイッチ構成
ブリート構成(ICAP連携)
ブリート構成(レシーブ オンリー サービスとの連携)
Internet
クライアント
BIG-IPLTM + SSL Forward Proxy
セキュリティ機器
BIG-IPLTM
Router
ブリート構成(L3サービスとの連携)
ブリート構成(L2サービスとの連携)
Internet
クライアント
BIG-IPLTM + SSL Forward
Proxy
BIG-IPLTM + SSL Forward
Proxy
Router
Internet
クライアント
BIG-IPLTM + SSL Forward
Proxy
BIG-IPLTM + SSL Forward
Proxy
Router
同一筐体
同一筐体
Internet
クライアント
BIG-IPLTM + SSL Forward
Proxy
Router
Internet
クライアント
BIG-IPLTM + SSL Forward
Proxy
Router
ICAP連携
L3セキュリティ
機器
L2セキュリティ
機器
セキュリティ機器
Recieve Onlyセキュリティ
機器
複製
Networld Corporation 2016 7Networld Corporation 2016 7
セキュリティデバイス毎のSSL可視化対応機能
セキュリティ機能 FortiGate
Application Control ✔URLフィルタリング ✔IPS ✔アンチスパム ✔アンチウィルス ✔DLP(情報漏洩防止) ✔ボットネット検知 ✔未知のマルウェア検知(FortiSandbox)を追加 ✔
セキュリティ機能 FireEye
HTTPに特化した未知の攻撃/未知のマルウェア検知(独自開発の仮想解析) ✔標的型メール攻撃(添付ファイル/URL) ✔
セキュリティ機能 Paloalto
Application Control ✔URLフィルタリング ✔IPS ✔アンチスパム ✔アンチウィルス ✔ファイルブロッキング ✔ボットネット検知 ✔WildFire(未知のマルウェア検知) ✔
Networld Corporation 2016 8Networld Corporation 2016 8
Internet
BIG-IPLTM+SSL Forward Proxy
【テスト環境】ブリート構成(L3サービスとの連携)
クライアント
.20.2541.1
1.21.3
1.4 10.15.102.0/24
.254
.1
.1
.254
FortiGate
port1port2
10.15.0.0/22.1.7.1.254
VS
●ポイント⁃ Internal VS[0.0.0.0/0 :any]で待受け、SSL
通信の場合は復号化しTCP Option 挿入⁃ PoolメンバーにFortiGate[192.168.1.254:0]
を登録⁃ Enable On Virtual Serverに[Internal]を登録VS
●ポイント⁃ FortiGateからのトラフィックを「0.0.0.0/0:any」
VSで受信⁃ TCP Option ありの場合は再暗号化⁃ PoolメンバーにGate Way[10.15.1.254]を登録
EICARテストファイルをダウンロードした場合のブロック画面
VLAN: InternalVLAN:External
有効にしたUTM機能・アンチウィルス・アプリケーションコントロール・Webフィルター
192.168.2.0/24
VLAN: FG-ext
192.168.1.0/24
VLAN:FG-int
※ EICARテストファイル :EICAR が開発したアンチウイルス (AV) ソフトウェアの応答をテストするためのファイル。
Networld Corporation 2016 9Networld Corporation 2016 9
Internet
BIG-IPLTM+SSL Forward Proxy
192.168.1.0%10/24
【テスト環境】ブリート構成(L2サービスとの連携)
クライアント
.20.2541.1
1.21.3
1.4 10.15.102.0/24
FortiGate
port1port2
10.15.0.0/22.1.7.1.254
VS
●ポイント- Internal VS[0.0.0.0/0 :any]で待受け、SSL
通信の場合は復号化しTCP Option 挿入⁃ PoolメンバーにBIG-IPのRouteDomainのSelf-
IP [192.168.1.254%10:0]を登録⁃ Enable On Virtual Serverに[Internal]を登録
VS
●ポイント⁃ RouteDomainを使用⁃ FortiGateからのトラフィックを
「0.0.0.0%10/0:any」VSで受信
⁃ TCP Option ありの場合は再暗号化⁃ PoolメンバーにGate Way[10.15.1.254]を登録⁃ Enable On Virtual Serverに[FG-ext]を登録
VLAN: InternalVLAN:External
有効にしたUTM機能・アンチウィルス・アプリケーションコントロール・Webフィルター
VLAN: FG-ext(Route Domain 10)
192.168.1.0/24
VLAN:FG-int
192.168.1.254%10 192.168.1.1
EICARテストファイルをダウンロードした場合のブロック画面
※ EICARテストファイル :EICAR が開発したアンチウイルス (AV) ソフトウェアの応答をテストするためのファイル。
お問い合わせ先:[email protected]
SSL可視化に関するご相談・ご質問などございましたらご連絡お待ちしております。