Устройства Sourcefire SSL расшифровывают трафик SSL
на скорости до 3,5 Гбит/с и позволяют эффективно
выполнять проверку SSL-трафика. Устройства SSL
функционируют в сети прозрачно и поддерживают как
пассивные, так и промежуточные сетевые конфигурации.
Они обеспечивают проверку зашифрованного трафика
с помощью различных функций безопасности (таких как
обнаружение угроз, контроль доступа, предотвращение
потери данных, экспертиза и т. д.) с уровнем
масштабирования, необходимым для поддержания
стандартной производительности систем обнаружения.
Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Устройства Sourcefire SSL
1. Sourcefire
Company
Компания Sourcefire теперь входит
в состав корпорации Cisco
Устройства
Sourcefire SSL
ПОВЫШЕНИЕ УРОВНЯ БЕЗОПАСНОСТИ
С ПОМОЩЬЮ ПРОВЕРКИ SSL-ТРАФИКА
Согласно результатам опросов
25—35 % объема корпоративного
трафика зашифровано
с использованием протокола SSL,
а в некоторых отраслях этот
показатель достигает 70 %.
Зашифрованный по протоколу SSL
трафик является излюбленной
мишенью для киберпреступников,
которые используют следующие
методы атаки:
■ атаки, нацеленные на входящий
трафик;
■ спам;
■ шпионское и вредоносное ПО;
■ вирусы и черви;
■ фишинг;
■ хищение личных данных;
■ утечка информации.
Устройства Sourcefire SSL расшифровывают трафик SSL
на скорости до 3,5 Гбит/с и позволяют эффективно
выполнять проверку SSL-трафика. Устройства SSL
функционируют в сети прозрачно и поддерживают как
пассивные, так и промежуточные сетевые конфигурации.
Они обеспечивают проверку зашифрованного трафика
с помощью различных функций безопасности (таких как
обнаружение угроз, контроль доступа, предотвращение
потери данных, экспертиза и т. д.) с уровнем
масштабирования, необходимым для поддержания
стандартной производительности систем обнаружения.
Трафик, зашифрованный по протоколу
SSL — излюбленная мишень для
киберпреступников
Значительный рост объемов трафика, зашифрованного
по протоколу SSL, происходит в связи с широким
использованием распределенных вычислений, средств
электронной коммерции, приложений Web 2.0,
электронной почты и сетей VPN в корпоративных средах.
Согласно результатам опросов 25—35 % объема
корпоративного трафика зашифровано с использованием
протокола SSL, а в некоторых отраслях этот показатель
достигает 70 %. При отсутствии надлежащего управления
SSL может оставлять бреши в корпоративной архитектуре
безопасности. Существующие подходы к управлению
SSL-трафиком варьируются от пропускания всего, чего
только можно и нельзя, и до блокирования всего, чего
угодно. В некоторых случаях компании развертывают
системы предотвращения вторжений (IPS) на основе
хостов или устанавливают прокси-решения SSL, которые
могут эффективно проверять SSL, но у них есть узкие
места, и они могут ухудшать производительность сети.
2. Sourcefire
Company
Компания Sourcefire теперь входит
в состав корпорации Cisco
Устройства Sourcefire SSL
Расшифрование трафика на скорости до 3,5 Гбит/с
Устройства Sourcefire SSL расшифровывают SSL-трафик и передают его
на существующие устройства безопасности и сетевые устройства по специальным
интерфейсам Ethernet. Благодаря этому системы IPS могут выявлять риски, обычно
скрытые SSL-протоколом, такие как нарушения нормативных требований, вирусы,
вредоносные программы, потеря данных и попытки вторжения. После выполнения
проверки трафика SSL и его одобрения устройство SSL отправляет зашифрованный
по протоколу SSL трафик обратно в сеть, с минимальной задержкой и без изменения
пакетов SSL. В отличие от локальных решений для расшифрования SSL, которые
используют общие аппаратные ресурсы для расшифрования SSL и проверки
IPS, архитектура Sourcefire обеспечивает запуск процессов SSL и IPS на отдельных
системах и снимает требования к расшифровыванию и зашифровыванию с системы
IPS. В результате повышается производительность и масштабируемость системы
IPS.
Функции безопасности
■ Шифрование: TLS 1.0, TLS 1.1, SSL3,
частично SSL2
■ Прокси-режим: прозрачный
■ Алгоритмы генерации открытых ключей:
RSA, DSA, DH
■ Алгоритмы генерации симметричных
ключей: AES, 3DES, DES, RC4
■ Алгоритмы хэширования: MD5, SHA-1
■ Ключи RSA: 512, 1024, 2048, 4096,
8172 бит
Прозрачное функционирование в сети
Устройство Sourcefire SSL можно развернуть как
прозрачный прокси для обнаружения сеансов SSL на всех
портах, а не только на традиционном порте 443. Его
запуск можно осуществлять с использованием способа
bump-in-the-wire (BITW), при этом не требуется
конфигурирование сети, изменения IP-адресации,
изменение топологии или модификация для IP-клиента
и конфигураций веб-браузера. Прозрачные
прокси-серверы SSL могут видеть весь сетевой трафик,
а не только зашифрованный по протоколу SSL,
и передавать потоки, не защищенные SSL, в сквозном
режиме. По сравнению с прозрачными, традиционные
прокси-серверы SSL требуют настройки IP-адреса
и изменения топологии сети для выполнения проверки
трафика. Такие SSL-прокси подвержены всем видам атак,
как и любые другие элементы хоста или сети. Кроме того,
такие прокси предполагают, что весь SSL-трафик
направляется на порт 443, и игнорируют SSL-трафик
на других портах.
Поддержка пассивных и промежуточных конфигураций
Устройства SSL поддерживают как пассивные, так и промежуточные конфигурации,
при которых устройство передает трафик в систему Sourcefire IPS, которая также
работает в пассивном режиме. Пассивное развертывание наиболее полезно для
обеспечения полного контроля над сетевым трафиком и получения представления
о том, какие уязвимости могут использоваться злоумышленниками. Устройства SSL
можно развернуть также в промежуточном режиме bump-in-the-wire. Они могут
работать с системой IPS, которая запускается либо в пассивном, либо
в промежуточном режиме. Когда и устройство SSL, и система IPS развернуты
в промежуточном режиме, они могут блокировать вредоносный трафик.
3. Sourcefire
Company
Компания Sourcefire теперь входит
в состав корпорации Cisco
Устройства SSL также используются для проверки SSL-трафика в конфигурациях как
входящего, так и исходящего трафика. При проверке входящего SSL-трафика
устройство проверяет трафик, направляемый на корпоративные веб-серверы,
на которых размещены приложения SSL. При проверке исходящего SSL-трафика
устройство проверяет SSL-трафик, направленный за пределы компании, например
трафик Google Gmail.
Устройства Sourcefire SSL обладают различными вариантами настройки, которые
включают программируемую возможность пропускания трафика.
Рис.1 Пассивные конфигурации
Рис 2. Промежуточная конфигурация IPS
Уникальные возможности
Уникальные возможности устройств Sourcefire SSL помогают устранить риски, связанные
с отсутствием контроля над SSL-трафиком, а также поддерживают производительность
устройств безопасности и сетевых устройств на высоком уровне.
Масштабируемая обработка на основе потоков: устройство Sourcefire SSL
поддерживает анализ более 5 000 000 одновременных потоков на скорости
до 3,5 Гбит/с.
Высокая скорость подключения и большое число потоков: устройство
Sourcefire SSL поддерживает более 300 000 одновременных SSL-сеансов.
Скорость установления и завершения 9 500 SSL-сеансов в секунду в 10 раз
выше по сравнению с использованием стандартных решений.
4. Sourcefire
Company
Компания Sourcefire теперь входит
в состав корпорации Cisco
Производительность сети на уровне скорости канала
»
Потоки, не защищенные по протоколу SSL, можно отправлять на смежное
устройство или в сквозном режиме менее чем за 40 микросекунд, что снижает
задержку для таких приложений, как VoIP.
»
Поддерживает проксирование SSL-трафика со скоростью до 3,5 Гбит/с для
различных версий SSL и алгоритмов шифрования.
Прозрачность сети: устройства Sourcefire SSL можно развернуть прозрачно
как на системах, так и на промежуточных сетевых элементах, при этом
не требуется конфигурирование сети, IP-адресация, изменение топологии или
модификация для клиентского IP и конфигураций веб-браузера.
Защита приложений: перехваченный открытый текст передается
на устройства безопасности как поток TCP с заголовками пакетов, так, как они
были получены. Благодаря этому такие приложения и устройства, как
системы обнаружения вторжений (IDS), системы предотвращения вторжений
(IPS), системы унифицированного управления угрозами (UTM) и средства
предотвращения потери данных (DLP), могут обеспечить преимущества для
трафика, зашифрованного по протоколу SSL.
Гибкость: поддержка устройств для перехвата и записи, таких как системы
IDS, а также устройств фильтрации, таких как встроенные межсетевые экраны
и системы IPS.
»
Промежуточный и пассивный режимы работы
»
Проверка входящего и исходящего SSL-трафика
Конфигурация политик: управление политиками на уровне отдельных
модулей обеспечивает возможность сквозной передачи потоков,
не защищенных по протоколу SSL, через классификацию на 7-ом уровне
и контроля над тем, как выполняется проверка, пропускание или
блокирование SSL-потоков.
Идентификация SSL-сеанса: журнал сеанса содержит сведения обо всех
SSL-потоках, независимо от того, проверяются они или нет, что позволяет
выявлять подозрительные тенденции или шаблоны использования SSL.
Высокая доступность: встроенные аппаратные средства пропускания
трафика, фильтры обхода трафика, настраиваемые средства мониторинга
состояния каналов и зеркалирования обеспечивают высокий уровень
доступности и безопасности сети.
Управление на основе веб-интерфейса: настройка и управление
устройствами Sourcefire SSL может осуществляться посредством
графического веб-интерфейса, защищенного по протоколу SSL, что делает
процесс администрирования более удобным и простым.
Уведомления по электронной почте: журналы можно настроить так, чтобы
генерировать уведомления, которые можно было бы направлять
по электронной почте немедленно или с определенными интервалами
сетевым администраторам.