アウトバウンド SSL 通信の可視化 株式会社ネットワールド
インターネットへの SSL 通信を可視化してますか? 課題 社内 LAN SSL/TLS トラフィック SSL/TLS トラフィック 情報漏えい セキュリティデバイス 情報漏えい User ノート PC デスクトップ PC Google, Facebook, Twitter などのサービスが常時 SSL を導入 HTTPS はトラフィックを復号化しない限り IPS やアンチウィルスで検疫できない SSL のスループットを確保しようとするとハイエンドの高価なセキュリティ機器が必要 SSL を悪用した攻撃が増加 SSL 通信はデータの中身が暗号化されていて外部からデータの盗聴ができない FW や IPS による復号化はパフォーマンスの大幅な低下を招く Gartner は 2017 年にはネットワーク攻撃の 50% が SSL 化される と予測 攻撃者は SSL 通信を逆手にとり 攻撃を仕込んでくる Networld Corporation 2016 2
の高速 SSL 処理を利用 解決アプローチ で HTTPS を可視化 アプリケーションレベルでのフィルタリングとアクセス制御か有効になる FW IPS/IDS URLフィルタ Application Control AV Check 専用アプライアンスによる最適化された SSL 暗号複合化処理で高速処理 クリアテキスト 社内 LAN SSL/TLS トラフィック 再暗号化 代理著名 復号化 SSL/TLS トラフィック User ノート PC LTM+SSL Forward デスクトップ PC Networld Corporation 2016 3
を利用するコストメリット メリット 現状のセキュリティ要件 UTM 機器 2 台 (HA 構成 ) スループット 1Gbps アプリケーション制御 /IPS 実装 SSLトラフィックは検疫対象外 HTTPのみ検疫 SSL Inspection 同一ブランドでリプレイスした場合 SSL Decode FW Security Device IPS/IDS 追加導入した場合 Application Control Security Device AV Check 約 1,670 万 ( 上位機種 2 台の定価 ) 約 53% 減 SSL Inspection SSL Decode 既存機器 + SSL Forward 約 770 万 ( 2000s 2 台の定価 ) (SSL Forward ライセンス含む ) Networld Corporation 2016 4 FW IPS/IDS Application Control 既存機器 AV Check + SSL Forward
Q&A 特定サイトだけ SSL 復号化 (SSL 可視化 ) させないことはできますか? 特定ドメインのみ SSL 復号化させずに通過させることが可能です 構成例 ( パターン ) を教えてください サンドイッチ構成 ブリート構成 次頁の構成を確認ください 証明書を利用しているサイトは SSL Inspection 可能ですか? 証明書を利用しているサイトは SSL Inspection できません HTTPS 以外のSSLを使用した通信も可視化可能ですか? 可能です TCPオプションを透過可能なセキュリティデバイスにより実現可能です HTTPS 以外のSSL 通信を可視化する場合 TCPオプションのヘッダーにフラグを埋め込んで 再暗号化する / しないの判断をしますのでTCPオプションを透過可能な機器が前提となります 導入において注意する点はありますか? 端末へ CA 証明書をインポート必要がありますので 配布方法を検討する必要があります Windows Group Policy で配布する等 Networld Corporation 2016 5
アウトバウンド SSL Inspection 構成 サンドイッチ構成 ブリート構成 (L3 サービスとの連携 ) ブリート構成 (L2 サービスとの連携 ) ブリート構成 ( レシーブオンリーサービスとの連携 ) Router Router Router Router Recieve Only セキュリティ機器 複製 LTM ブリート構成 (ICAP 連携 ) セキュリティ機器 同一筐体 L3 セキュリティ機器 同一筐体 L2 セキュリティ機器 Router ICAP 連携 セキュリティ機器 Networld Corporation 2016 6
セキュリティデバイス毎の SSL 可視化対応機能 セキュリティ機能 FortiGate セキュリティ機能 Paloalto Application Control Application Control URL フィルタリング URL フィルタリング IPS IPS アンチスパム アンチスパム アンチウィルス アンチウィルス DLP( 情報漏洩防止 ) ファイルブロッキング ボットネット検知 ボットネット検知 未知のマルウェア検知 (FortiSandbox) を追加 WildFire( 未知のマルウェア検知 ) セキュリティ機能 FireEye HTTPに特化した未知の攻撃 / 未知のマルウェア検知 ( 独自開発の仮想解析 ) 標的型メール攻撃 ( 添付ファイル /URL) Networld Corporation 2016 7
テスト環境 ブリート構成 (L3 サービスとの連携 ) 有効にした UTM 機能 アンチウィルス アプリケーションコントロール Web フィルター EICAR テストファイルをダウンロードした場合のブロック画面.1 port2 FortiGate port1.254 192.168.2.0/24 VLAN: FG-ext 192.168.1.0/24 VLAN:FG-int EICAR テストファイル :EICAR が開発したアンチウイルス (AV) ソフトウェアの応答をテストするためのファイル ポイント FortiGate からのトラフィックを 0.0.0.0/0:any VS で受信 TCP Option ありの場合は再暗号化 Pool メンバーに Gate Way[10.15.1.254] を登録.254 1.3 VS 1.2.1 ポイント Internal VS[0.0.0.0/0 :any] で待受け SSL 通信の場合は復号化し TCP Option 挿入 Pool メンバーに FortiGate[192.168.1.254:0] を登録 Enable On Virtual Server に [Internal] を登録.1.254 10.15.0.0/22 VLAN:External.1.7 1.4 LTM+SSL Forward VS 1.1.254 10.15.102.0/24 VLAN: Internal.20 Networld Corporation 2016 8
テスト環境 ブリート構成 (L2 サービスとの連携 ) 有効にした UTM 機能 アンチウィルス アプリケーションコントロール Web フィルター EICAR テストファイルをダウンロードした場合のブロック画面 FortiGate port2 port1 ポイント RouteDomain を使用 FortiGate からのトラフィックを 0.0.0.0%10/0:any VS で受信 TCP Option ありの場合は再暗号化 Pool メンバーに Gate Way[10.15.1.254] を登録 Enable On Virtual Server に [FG-ext] を登録 1.3 VS 192.168.1.0%10/24 VLAN: FG-ext (Route Domain 10) 192.168.1.0/24 VLAN:FG-int 192.168.1.254%10 192.168.1.1 1.2 EICAR テストファイル :EICAR が開発したアンチウイルス (AV) ソフトウェアの応答をテストするためのファイル ポイント - Internal VS[0.0.0.0/0 :any] で待受け SSL 通信の場合は復号化し TCP Option 挿入 Pool メンバーに の RouteDomain の Self- IP [192.168.1.254%10:0] を登録 Enable On Virtual Server に [Internal] を登録.1.254 10.15.0.0/22 VLAN:External.1.7 1.4 LTM+SSL Forward VS 1.1.254 10.15.102.0/24 VLAN: Internal.20 Networld Corporation 2016 9
SSL 可視化に関するご相談 ご質問などございました らご連絡お待ちしております お問い合わせ先 :f5-info@networld.co.jp