Презентация рассказывает о способах расшифрования трафика HTTPS в корпоративной сети

1. Смотрим в HTTPS трафик
Использование Palo Alto Networks
Next Generation Firewalls
Денис Батранков
denis@paloaltonetworks.com
2014 год

2. О чем пойдет речь
 SSL и его использование
 Режимы расшифрования SSL
 Примеры использования расшифрования SSL
 Вопросы и ответы

3. SSL используют все чаще! SSL traffic can be a blind spot to security products.
! AVR report shows increase of SSL usage
2014, Palo Alto Networks. Confidential and Proprietary.
Apps Using SSL SSL Traffic Volume

4. Две стороны одного протокола SSL
SSL для защиты данных или чтобы скрыть вредоносную активность?
TDL-4
Poison IVY
Rustock
APT1Ramnit
Citadel
Aurora
BlackPOS

5. Варианты расшифрования SSL
 Есть 2 типа SSL расшифрования требуемые в сети
 Исходящий SSL (SSL Forward Proxy)
 Входящий SSL на собственный сервер
! Used for outbound decryption of client connections.
! Intercepts and terminates sessions identified as SSL.
! Establishes its own sessions with destination.
! Inspects and passes cleartext traffic between sessions.
3 | ©2014, Palo Alto Networks. Confidential and Proprietary.
Inbound inspection
! Used to decrypt SSL/TLS sessions to distinct servers.
! Decrypts a copy of the encrypted session without termination.
! Uses a copy of the servers private key for decryption of the pre-master secret.

6. Исходящий SSL требует перехвата сессии
Установить SSL
соединение
Session Key 1
Клиент думает, что проверяет сертификат от сервера, а на самом деле от NGFW
Сервер
отправляет свой
сертификат на
NGFW
NGFW создает
сертификат и
отправляет
пользователю
Session Key 2
Внутренний
пользователь
Внешний
сервер

7. Входящий SSL не требует перехвата
Сессия между сервером и пользователем остается неизменной,
однако NGFW видит сессионный ключ и расшифровывает трафик
Создать SSL
подключение
Клиент проверяет сертификат сервера
Сервер посылает
свой сертификат
NGFW уже содержит
сертификат сервера
Session Key
Внешний
пользователь
Внутренний
сервер

8. SSL и URL фильтрация
 URL категории без расшифрования
 IP адрес сервера
 Common Name and SubjectAlternativeName in a Server
Certificate
 SNI (Server Name Indicator) in TLS Handshake Extension
 URL фильтрация после расшифрования
 URL база с категориями (60+ Cayegories, millions of URLs)
 Собственные URL ссылки и категории
 До 200K собственных URL ссылок в PA-7050

9. Расшифрование по URL категории
 URL категории тоже могут использоваться как и
адреса
 If the Subject field of server Certificate contains host URL
Policies > Decryption

10. Расшифрование на зеркальный порт
 После расшифрования мы отдаем расшифрованный трафик на
зеркальный порт
Decrypt mirror output
! Cleartext data is copied to decrypt mirror interface .
! TCP Handshake and TCP checksums are artificially recreated.
12 | ©2014, Palo Alto Networks. Confidential and Proprietary.

11. Примеры использования расшифрования
 Защита от утечек
 Monitor receives cleartext traffic in promiscuous mode and and
analysis traffic for policy voaltion
 Сбор данных для доказательства
 Record all received cleartext traffic to record raw data of network
security incident.

12. Пример использования SSL расшифрования у
провайдера:
URL фильтрация внутри SSL
 Требования:
 Провайдер страны обязан блокировать URL по требованию
 Провайдеры используют DPI решения, чтобы контролировать HTTP
 Большинство контента зашифровано и идет по SSL
 Им нужно решение по расшифрованию SSL на высоких скоростях и
блокировке нежелательных URL
 Palo Alto Networks решение по расшифрованию SSL трафика

13. High Level Design
PA-7050PA-7050 Site-1 Site-2
Site 1
Adana
Izmir Site N
SSL Decryption
@Site-2
SSL Decryption
@Site-1
Провадер направляет SSL трафик конкретного портала (например twitter,
youtube, etc…) к устройствам PA используя PBR

14. PA устройства выполняют расшифрование
PA-7050
Ankara
Non-Filtered SSL Traffic
SrcIP: ClientIP, DstIP:ClientIP
Filtered SSL Traffic
SrcIP:PA-7050 : DstIP:SrvIP
Internet
Srv IP
• PA-7050 расшифровывает трафик конкретного пользователя используя SSL Forward Proxy Policy
• Список блокировки URL проверяет разрешен ли данный URL
• PA-7050 может использовать NAT, чтобы гарантировать стабильность сесии

15. Пример политики
• Decryption Policy используется для расшифрования SSL трафика

16. Пример как конкретный Hashtag фильтруется в Twitter

17. PA можно заблокировать альтернативные способы
доступа
• Провайдер может использовать и другие функции NGFW в будущем…
• Пользователи будут использовать техники обхода блокировок
• Palo Alto Networks NGFW позволяет идентифицировать эти техники и
заблокировать (напримерTOR, Ultrasurf, etc…)

18. Дополнительные возможности:
Network Visibility And Reporting
 Palo Alto Networks NGFW позволяет понять что происходит в сети
утилитами:
 ACC – Application Control Center
 Network Monitor
 Change Monitor
 Threat Monitor
 Threat Map
 User Activity Report
 Predefined Reports
 Custom Reports
 Log and Report Export
 3rd Party Integrations with XML/API and SYSLOG
 WebSDK Tool
 SIEM Vendors

19. Скриншот с панели ACC

20. The High Perfromance NGFW PA-7050
 9U Chassis, 8 slots
 Hot swap cards
 2+2 redundant power (AC or DC)
 Redundant cooling
 6 x Network Processing Cards
 2 x 32 core DP CPU’s
 4 x 10Gig SFP+, 8 x SFP, 12 x 10/100/1000
 1 x Switch / Management Card
 High speed switch fabric
 High performance management CPU
 First Packet Processor (FPP)
 Dedicated 2x1Gbps, 2x40Gbps for HA
 1 x Log Processing Card
 High speed x86+MIPS processors
 4 x 1TB HDD for 2TB RAID

21. PA-7050: Scaling NGFW Performance to 120 Gbps
• 400+ processors
• 1.2 Tb backplane
• Dedicated first packet processing and logging
• 120 Gbps firewall throughput
• 60 Gbps full threat prevention throughput
• 24 Million concurrent sessions
• 720KCPS

22. Scaling With External Switches
Aggregated Customer Traffic
Internet Links
6x10 Gbe Aggregated Links
FW Chassis: PA-7050
10x10 Gbe Aggregated Links
Switch: Arista 7050S-32
18x10 Gbe per SW to connect to PA-7050 devices
10x10 Gbe per SW to connect to Customer Networks