iWAN: предсказуемая доставка бизнес-приложений на любой топологии корпоративн...
Смотрим в HTTPS
1. Смотрим в HTTPS трафик
Использование Palo Alto Networks
Next Generation Firewalls
Денис Батранков
denis@paloaltonetworks.com
2014 год
2. О чем пойдет речь
SSL и его использование
Режимы расшифрования SSL
Примеры использования расшифрования SSL
Вопросы и ответы
3. SSL используют все чаще! SSL traffic can be a blind spot to security products.
! AVR report shows increase of SSL usage
2014, Palo Alto Networks. Confidential and Proprietary.
Apps Using SSL SSL Traffic Volume
4. Две стороны одного протокола SSL
SSL для защиты данных или чтобы скрыть вредоносную активность?
TDL-4
Poison IVY
Rustock
APT1Ramnit
Citadel
Aurora
BlackPOS
6. Исходящий SSL требует перехвата сессии
Установить SSL
соединение
Session Key 1
Клиент думает, что проверяет сертификат от сервера, а на самом деле от NGFW
Сервер
отправляет свой
сертификат на
NGFW
NGFW создает
сертификат и
отправляет
пользователю
Session Key 2
Внутренний
пользователь
Внешний
сервер
7. Входящий SSL не требует перехвата
Сессия между сервером и пользователем остается неизменной,
однако NGFW видит сессионный ключ и расшифровывает трафик
Создать SSL
подключение
Клиент проверяет сертификат сервера
Сервер посылает
свой сертификат
NGFW уже содержит
сертификат сервера
Session Key
Внешний
пользователь
Внутренний
сервер
8. SSL и URL фильтрация
URL категории без расшифрования
IP адрес сервера
Common Name and SubjectAlternativeName in a Server
Certificate
SNI (Server Name Indicator) in TLS Handshake Extension
URL фильтрация после расшифрования
URL база с категориями (60+ Cayegories, millions of URLs)
Собственные URL ссылки и категории
До 200K собственных URL ссылок в PA-7050
9. Расшифрование по URL категории
URL категории тоже могут использоваться как и
адреса
If the Subject field of server Certificate contains host URL
Policies > Decryption
11. Примеры использования расшифрования
Защита от утечек
Monitor receives cleartext traffic in promiscuous mode and and
analysis traffic for policy voaltion
Сбор данных для доказательства
Record all received cleartext traffic to record raw data of network
security incident.
12. Пример использования SSL расшифрования у
провайдера:
URL фильтрация внутри SSL
Требования:
Провайдер страны обязан блокировать URL по требованию
Провайдеры используют DPI решения, чтобы контролировать HTTP
Большинство контента зашифровано и идет по SSL
Им нужно решение по расшифрованию SSL на высоких скоростях и
блокировке нежелательных URL
Palo Alto Networks решение по расшифрованию SSL трафика
13. High Level Design
PA-7050PA-7050 Site-1 Site-2
Site 1
Adana
Izmir Site N
SSL Decryption
@Site-2
SSL Decryption
@Site-1
Провадер направляет SSL трафик конкретного портала (например twitter,
youtube, etc…) к устройствам PA используя PBR
14. PA устройства выполняют расшифрование
PA-7050
Ankara
Non-Filtered SSL Traffic
SrcIP: ClientIP, DstIP:ClientIP
Filtered SSL Traffic
SrcIP:PA-7050 : DstIP:SrvIP
Internet
Srv IP
• PA-7050 расшифровывает трафик конкретного пользователя используя SSL Forward Proxy Policy
• Список блокировки URL проверяет разрешен ли данный URL
• PA-7050 может использовать NAT, чтобы гарантировать стабильность сесии
17. PA можно заблокировать альтернативные способы
доступа
• Провайдер может использовать и другие функции NGFW в будущем…
• Пользователи будут использовать техники обхода блокировок
• Palo Alto Networks NGFW позволяет идентифицировать эти техники и
заблокировать (напримерTOR, Ultrasurf, etc…)
18. Дополнительные возможности:
Network Visibility And Reporting
Palo Alto Networks NGFW позволяет понять что происходит в сети
утилитами:
ACC – Application Control Center
Network Monitor
Change Monitor
Threat Monitor
Threat Map
User Activity Report
Predefined Reports
Custom Reports
Log and Report Export
3rd Party Integrations with XML/API and SYSLOG
WebSDK Tool
SIEM Vendors
20. The High Perfromance NGFW PA-7050
9U Chassis, 8 slots
Hot swap cards
2+2 redundant power (AC or DC)
Redundant cooling
6 x Network Processing Cards
2 x 32 core DP CPU’s
4 x 10Gig SFP+, 8 x SFP, 12 x 10/100/1000
1 x Switch / Management Card
High speed switch fabric
High performance management CPU
First Packet Processor (FPP)
Dedicated 2x1Gbps, 2x40Gbps for HA
1 x Log Processing Card
High speed x86+MIPS processors
4 x 1TB HDD for 2TB RAID
21. PA-7050: Scaling NGFW Performance to 120 Gbps
• 400+ processors
• 1.2 Tb backplane
• Dedicated first packet processing and logging
• 120 Gbps firewall throughput
• 60 Gbps full threat prevention throughput
• 24 Million concurrent sessions
• 720KCPS
22. Scaling With External Switches
Aggregated Customer Traffic
Internet Links
6x10 Gbe Aggregated Links
FW Chassis: PA-7050
10x10 Gbe Aggregated Links
Switch: Arista 7050S-32
18x10 Gbe per SW to connect to PA-7050 devices
10x10 Gbe per SW to connect to Customer Networks
Editor's Notes
SSL or HTTPs specifically, was always intended to be used for security. There are many applications that use SSL as a means of security.
But attackers are smart.
<click>
Here are some of the applications as well as the threats that we see on the network that use SSL as a means of hiding. Tor – ultrasurf – neither belong on your network….
APT 1, the attack found by mandiant, BlackPOS the recent attack on the US retailer target, RamNIT – a 2012 bot that has resurfaced in 2014 – all use SSL as a means of both privacy and hiding in plain sight.
<click>
The two faces of SSL present us with a challenge – how do you know?