社内LAN
インターネットへのSSL通信を可視化してますか?
User ノートPC デスクトップPC 情報漏えいセキュリティ
デバイス
SSL/TLS トラフィック SSL/TLS トラフィック課題
HTTPSはトラフィックを
復号化しない限り
IPSやアンチウィルスで検疫できない
FWやIPSによる復号化は
パフォーマンスの
大幅な低下を招く
SSLのスループットを確保しようとすると
ハイエンドの高価なセキュリティ機器が
必要
Google, Facebook, Twitterなどのサービスが常時SSLを導入
SSLを悪用した攻撃が増加 SSL通信はデータの中身が暗号化されて いて外部からデータの盗聴ができない 攻撃者はSSL通信を逆手にとり、攻撃を仕込んでくる
Gartnerは、『2017年にはネットワーク攻撃
の50%がSSL化される』と予測
Internet 情報漏えい社内LAN Internet
BIG-IPの高速SSL処理を利用
User ノートPC デスクトップPC SSL/TLS トラフィック SSL/TLS トラフィック解決アプローチ
アプリケーションレベルでの
フィルタリングとアクセス制
御か有効になる
BIG-IP
LTM+SSL Forward Proxy
復号化
クリアテキストIPS/IDS URLフィルタ Application Control
代理著名
再暗号化
FW AV CheckBIG-IPでHTTPSを可視化
専用アプライアンスによる最適化された
SSL暗号複合化処理で高速処理
BIG-IPを利用するコストメリット
現状のセキュリティ要件
同一ブランドでリプレイスした場合
BIG-IP追加導入した場合
約1,670万
(上位機種2台の定価)
約770万
(BIG-IP 2000s 2台の定価)
メリット
スループット 1Gbps
UTM機器 2台(HA構成)
アプリケーション制御/IPS実装
SSLトラフィックは検疫対象外
HTTPのみ検疫
約
53%減
IPS/IDS FW SSL DecodeSecurity Device
Security Device
Application Control IPS/IDS FW SSL Decode Application Control
SSL
Inspection
既存 機器
既存 機器
AV Check AV CheckSSL
Inspection
Q
&
A
❏
特定サイトだけSSL復号化(SSL可視化)させないことはできますか?
特定ドメインのみSSL復号化させずに通過させることが可能です。
❏
構成例(パターン)を教えてください。
サンドイッチ構成
ブリート構成
※次頁の構成を確認ください。
❏
クライアント証明書を利用しているサイトはSSL Inspection可能ですか?
クライアント証明書を利用しているサイトはSSL Inspectionできません。
❏
HTTPS以外のSSLを使用した通信も可視化可能ですか?
可能です。
※TCPオプションを透過可能なセキュリティデバイスにより実現可能です。
HTTPS以外のSSL通信を可視化する場合、TCPオプションのヘッダーにフラグを埋め込んで、
再暗号化する/しないの判断をしますのでTCPオプションを透過可能な機器が前提となります。
❏
導入において注意する点はありますか?
クライアント端末へCA証明書をインポート必要がありますので、配布方法を検討する必要があります。
アウトバウンドSSL Inspection 構成
サンドイッチ構成
ブリート構成(ICAP連携)
ブリート構成 (レシーブ オンリー サービスとの連携) InternetBIG-IP
LTM + SSL Forward Proxyセキュリティ機器
BIG-IP
LTM
Router
ブリート構成 (L3サービスとの連携) (L2サービスとの連携)ブリート構成 Internet BIG-IP LTM + SSL Forward Proxy BIG-IP LTM + SSL Forward ProxyRouter
Internet BIG-IP LTM + SSL Forward Proxy BIG-IP LTM + SSL Forward ProxyRouter
同
一
筐
体
同
一
筐
体
Internet クライアント BIG-IP LTM + SSL Forward ProxyRouter
Internet BIG-IP LTM + SSL Forward ProxyRouter
ICAP連携 L3 セキュリティ 機器 L2 セキュリティ 機器 セキュリティ 機器 Recieve Only セキュリティ 機器 複製セキュリティデバイス毎のSSL可視化対応機能
セキュリティ機能
FortiGate
Application Control✔
URLフィルタリング✔
IPS✔
アンチスパム✔
アンチウィルス✔
DLP(情報漏洩防止)✔
ボットネット検知✔
未知のマルウェア検知 (FortiSandbox)を追加✔
セキュリティ機能
FireEye
HTTPに特化した未知の攻撃/未知のマルウェア検知 (独自開発の仮想解析)✔
標的型メール攻撃(添付ファイル/URL)✔
セキュリティ機能
Paloalto
Application Control✔
URLフィルタリング✔
IPS✔
アンチスパム✔
アンチウィルス✔
ファイルブロッキング✔
ボットネット検知✔
WildFire(未知のマルウェア検知)✔
BIG-IP
LTM+SSL Forward Proxy
【テスト環境】ブリート構成
(
L3
サービスとの連携)
クライアント .20 .254 1.1 1.2 1.3 1.4 10.15.102.0/24 .254 .1 .1 .254FortiGate
port1 port2 10.15.0.0/22 .1.7 .1.254VS
●ポイント ⁃ Internal VS[0.0.0.0/0 :any]で待受け、SSL 通信の場合は復号化しTCP Option 挿入 ⁃ PoolメンバーにFortiGate[192.168.1.254:0] を登録⁃ Enable On Virtual Serverに[Internal]を登録
VS
●ポイント
⁃ FortiGateからのトラフィックを「0.0.0.0/0:any」 VSで受信 ⁃ TCP Option ありの場合は再暗号化 ⁃ PoolメンバーにGate Way[10.15.1.254]を登録EICARテストファイルをダウンロードした場合の
ブロック画面
VLAN: Internal VLAN:External有効にしたUTM機能
・アンチウィルス
・アプリケーションコントロール
・Webフィルター
192.168.2.0/24 VLAN: FG-ext 192.168.1.0/24 VLAN:FG-int ※ EICARテストファイル :EICAR が開発したアンチ ウイルス (AV) ソフトウェアの応答をテストするため のファイル。BIG-IP
LTM+SSL Forward Proxy
192.168.1.0%10/24【テスト環境】ブリート構成
(
L2
サービスとの連携)
クライアント .20 .254 1.1 1.2 1.3 1.4 10.15.102.0/24FortiGate
port1 port2 10.15.0.0/22 .1.7 .1.254VS
●ポイント - Internal VS[0.0.0.0/0 :any]で待受け、SSL 通信の場合は復号化しTCP Option 挿入 ⁃ PoolメンバーにBIG-IPのRouteDomainのSelf-IP [192.168.1.254%10:0]を登録⁃ Enable On Virtual Serverに[Internal]を登録
VS
●ポイント
⁃ RouteDomainを使用 ⁃ FortiGateからのトラフィックを 「0.0.0.0%10/0:any」VSで受信⁃ TCP Option ありの場合は再暗号化
⁃ PoolメンバーにGate Way[10.15.1.254]を登録
⁃ Enable On Virtual Serverに[FG-ext]を登録
VLAN: Internal VLAN:External
