Поиск по сайту

Полезные статьи

28.09.2020

Механика работы SSL-инспекции


С увеличением объемов и важности передаваемых данных возрастают требования к обеспечению безопасности. Пропорционально развиваются подходы и методы для обхода средств защиты информации. Одной из таких возможностей является встраивание в пользовательские данные потенциально опасных для потребителя программ или приложений, которые могут оставаться незамеченными средствами защиты информации, так как она передается в зашифрованном виде. С осознанием проблемы возникла необходимость расшифровки и проверки трафика до того, как он будет передан конечному пользователю. Наличие функции SSL-инспекции необходимо в современном межсетевом экране. Рассмотрим принципы работы на примере устройств FortiGate.

Механика работы SSL-инспекции

SSL-инспекция реализуется по принципу атаки MiTM. Рассмотрим данный механизм подробнее:

1.    Клиент инициирует запрос для подключения к серверу. Запрос перехватывает FortiGate и открывается сессия с ним
2.    Перехватив запрос от клиента, FortiGate устанавливает соединение с сервером от себя
3.    Сервер отвечает на запрос и открывает защищенную сессию с FortiGate
4.    Трафик, предназначенный для клиента, принимается FortiGate и расшифровывается
5.    Расшифрованный трафик проверяется профилями средств защиты поддерживаемых FortiGate такие как:
a.    Web filter
b.    IPS
c.    Antivirus
d.    Application control и т.д.
6.    Прошедший проверку трафик снова шифруется и подписывается собственным сертификатом
7.    Трафик доставляется клиенту

Рассмотрим базовую настройку профиля для полной инспекции в FortiOS 6.X.

Рассмотрим базовую настройку профиля для полной инспекции в FortiOS 6.X. Для SSL-инспекции, применяемой к трафику, необходимо создать свой или использовать предустановленный профиль в Security Profiles > SSL/SSH Inspection. Для полной проверки трафика необходимо включить Multiple Clients Connecting to Multiple Servers, в Inspection method выбрать Full SSL Inspection.

Когда FortiGate заново шифрует содержимое, он использует сертификаты из своего хранилища Fortinet_CA_SSL для доверенных или Fortinet_CA_Untrusted для ресурсов, чей сертификат не валидный. Также в хранилище можно добавлять и использовать свои сертификаты.

SSL-инспекция

SSL-инспекция, кроме HTTPS, также работает с протоколами SMTPS, POP3S, IMAPS, FTPS. При необходимости есть возможность указать нестандартный порт используемый сервером или отметить Inspect all ports для проверки всех портов.

SMTPS, POP3S, IMAPS, FTPS

Определенные ресурсы, на которых нет необходимости проводить инспекцию, можно добавить в исключения профиля. Поддерживаются исключения следующих типов:

– IP адреса, диапазоны, подсети
– FQDN, wildcard-FQDN

Кроме того в исключения можно добавлять веб-категории, FortiGate категоризирует веб сайты с помощью информации из исследовательской базы FortiGuard.

ssl

SSL-инспекция — важный ресурсоемкий процесс, требующий серьезного подхода. Её наличие может повлиять на пропускную способность сети, а настройка и калибровка может занять примерно месяц. При внедрении стоит учитывать то, что некоторые ресурсы способны противостоять атакам MiTM. В связи с этим, до внедрения в боевой режим необходимо провести проверку функционирования на критичных сервисах.



Если у вас возникли вопросы, смело обращайтесь по телефону , почте или заполняйте форму. Специалисты отдела продаж и инженеры помогут с решением задач, касающихся продуктов Fortinet.