Расшифрование трафика является одной из самых главных частей в имплементации фаервола. По умолчанию, фаервол не может понять что находится внутри зашиврованного пакета (HTTPS, SSL/TLS). Для этого нужно настроить Decryption policy и сертификаты на фаерволе.
У Palo Alto Networks существует 3 вида расшифрования. Какой метод использовать мы выбираем в зависимости от трафика и наших нужд:
- SSL Forward Proxy - Используется для расшифровки исходящего SSL/TLS трафика
- SSL Inbound Inspection – Используется для расшифрования входящего SSL/TLS трафика (Например, запросы из вне на ваш Веб-сервер)
- SSH Proxy – Используется для расшифрования SSH сессий
Расшифрование трафика позволяет распознавать и предотвращать проникновения в сеть вредоносных программ, скрытых под шифрованным трафиком. Например, злоумышленник взламывает веб-сайт, использующий SSL-шифрование. Сотрудники посещают этот сайт и неосознанно загружают эксплойт или вредоносное ПО. Затем вредоносное ПО использует зараженную конечную точку сотрудника для перемещения по сети и компрометации других систем.
- Предотвратите перемещение конфиденциальной информации за пределы сети.
- Убедитесь, что в защищенной сети работают соответствующие приложения.
- Выборочное дешифрование трафика; например, создайте политику и профиль дешифрования, чтобы исключить из дешифрования трафик финансовых или медицинских сайтов.
Дешифрование на межсетевом экране Palo Alto Networks основано на политике и позволяет расшифровывать, проверять и контролировать входящие и исходящие SSL- и SSH-соединения. Политика дешифрования позволяет указать трафик для дешифрования по назначению, источнику, сервису или категории URL, а также блокировать, ограничивать или пересылать указанный трафик в соответствии с настройками безопасности в соответствующем профиле дешифрования. Профиль Decryption управляет протоколами SSL, проверкой сертификатов и проверкой отказов, чтобы предотвратить доступ в сеть трафика, использующего слабые алгоритмы или неподдерживаемые режимы. Брандмауэр использует сертификаты и ключи для расшифровки трафика в открытый текст, а затем применяет App-ID и настройки безопасности к открытому трафику, включая профили Decryption, Antivirus, Vulnerability, Anti-Spyware, URL Filtering, WildFire и File-Blocking. После расшифровки и проверки трафика брандмауэр повторно шифрует открытый трафик при выходе из брандмауэра для обеспечения конфиденциальности и безопасности.
Для расшифровки SSL (как при SSL Forward Proxy, так и при SSL Inbound Inspection) требуются сертификаты, чтобы установить брандмауэр в качестве доверенной третьей стороны, а также для установления доверия между клиентом и сервером для защиты соединения SSL/TLS. Вы также можете использовать сертификаты при исключении серверов из расшифровки SSL по техническим причинам (сайт не поддается расшифровке по таким причинам, как certificate pinning, unsupported ciphers, или mutual authentication). Для расшифровки SSH сертификаты не требуются.
Примечание: Для планирования, внедрения и поддержки развертывания системы дешифрования используйте контрольный список Best Practice дешифрования.
Вы можете интегрировать Hardware Security Module (HSM) с брандмауэром, чтобы обеспечить повышенную безопасность закрытых ключей, используемых в SSL forward proxy и SSL inbound inspection decryption. Подробнее о хранении и генерации ключей с помощью HSM и интеграции HSM с брандмауэром см. в разделе Защита ключей с помощью Hardware Security Module.
Вы также можете использовать зеркалирование расшифровки для передачи расшифрованного трафика в виде открытого текста стороннему решению для дополнительного анализа и архивирования.
Важно: При включении зеркалирования с расшифровкой следует учитывать местные законы и правила, касающиеся того, какой трафик можно зеркалировать, где и как его можно хранить, поскольку весь зеркалируемый трафик, включая конфиденциальную информацию, передается в открытом виде.
Comments
0 comments
Please sign in to leave a comment.