Hogyan hozzuk ki a legtöbbet a Sophos XG tűzfalaiból – 1. rész

Xstream architecture, DPI engine, and TLS inspection

A Sophos XG tűzfalak új, v18 MR1-es szoftverfrissítése a napokban globálisan is megérkezik az összes, az támogató eszközre, így itt az idő, hogy átvegyük, milyen új teljesítménybeli, védelembeli, illetve transzparenciát érintő változások várhatóak. A frissítés egyszerű, pár kattintással megoldható, így mindenkit bátorítunk ennek elvégzésére. Ha esetleg a tűzfal a v18-as verziószám alatt van, mindenképpen érdemes megejteni a frissítést.

Mivel eme a szoftververzió sok újítást hozott, így a következő hetekben beszámolunk ezek előnyeiről, új lehetőségeiről és hasznosságáról. Ezen posztok után az olvasó képes lesz kiaknázni az új Xstream architektúra előnyeit, mint például a nulladik napi fenyegetések elleni védelmet, avagy a megújult Sophos központi menedzsment és reporting eszközt.

Az Xstream architektúra

A v18-as firmware egyik legfontosabb újítása a fent említett architektúra, mely továbbfejlesztett hálózati mélyanalízissel (Streaming DPI engine) és TLS 1.3 protokoll alatti elemzési képességekkel rendelkezik.

Miben különbözik ez a régebbi, web proxy alapú forgalomelemzéstől?

Az új elemzőmotort elsősorban a hálózati kapcsolatok kezelésére, illetve teljesítményre optimalizálták. Ez az optimalizáció elsősorban annak köszönhető, hogy egy motorral képes vizsgálni a hálózaton belüli és kívüli forgalmat, illetve ez az egy motor biztosítja a többrétegű biztonságot, melynek részei például:

  • Fájl és webalapú malware vizsgálat
  • IPS funkciók, illetve a hálózati sérülékenységek kihasználásának monitorozása
  • Alkalmazások azonosítása és kontrollja

A fájlok on-the-fly, letöltés közbeni vizsgálatával képes ellenőrzés közben a vizsgált fájlok nagy részét eljuttatni a felhasználóknak, egyedül azok végét visszatartva. Így a vizsgálat fölgyorsul, mivel utána már nem kell a komplett állományt célbajuttatni, csak annak egy kis darabját. Ennek a módszernek köszönhetően a hálózati forgalom vizsgálata akár két-háromszorosára is gyorsulhat.

A régi forgalomellenőrző rendszerben a vizsgálat minden pontját más motor végezte, így az adatnak különböző, egymástól független vizsgálatokon kellett átesnie (pl.: Web Proxy, IPS, App control).

Így a Web Proxy a hálózati forgalom szkennelése helyett brókerként felügyelte a kliens és a külső webszerver közötti forgalmat. Ez előnyös akkor, ha a hálózati csomagok fejlécét kell átírni (pl.: SafeSearch, Youtube, Google korlátozásokhoz), melyeket egyedül így lehet kivitelezni, viszont minden egyéb esetben jelentős plusz terheléssel jár, mivel az eszköznek sokkal több egyidejű kapcsolatot kell fönntartania.

Hogyan lehet kihasználni az Xstream motor új szolgáltatásait?

Az új verzióra frissítés után az összes tűzfalszabály automatikusan átáll a legacy web proxy módba, hogy biztosítsa a maximális kompatibilitást. Amennyiben nincs szükség azon eszközökre, melyek mindenképpen igénylik a hagyományos, bróker-jellegű proxyszolgáltatást, akkor érdemes lehet ezen szabályokat átállítani az új forgalomelemzés használatára. Ehhez összesen egy beállítást kell módosítani:

Ez a beállítás bekapcsolt állapotban a legacy web proxyt használja, kikapcsolva viszont az Xstreamet.

Amennyiben a tűzfalszabályok nagy része átállítható az Xstream DPI motor használatára, jelentős sebességnövekedést lehet elkönyvelni.

Az új TLS (Transport Layer Security) alapú forgalomvizsgáló eszköz bekapcsolása és beállítása hasonlóan egyszerű, szintén egy kattintással élesíthető és utána használható a tűzfalszabályokban, mint ahogy az alábbi ábrán is megtekinthető:

Ahogy általában a titkosított forgalmat vizsgáló eszközöknél, itt is szükséges az eszköz CA tanúsítványának kirakása a hálózaton található végpontokra, melyek forgalmát ellenőrizni kell. Ehhez a legegyszerűbb a tanúsítványt az Active Directory segítségével teríteni.

A TLS-szabályok definiálják, hogy a forgalom mely elemeit dekriptálja az eszköz, az ehhez tartozó profil pedig meghatározza, az adott adatfolyam visszafejtését, különös tekintettel a titkosítás típusára és a protokollra. Ezen szabályok ugyanúgy működnek, mint a tűzfalszabályok és felülről lefelé hajtja őket végre a tűzfal.

A TLS alapú, titkosított forgalom elemzését érdemes hullámokban elkezdeni, az infrastruktúra egy kisebb szegletén, ahol nem okoz kiesést az egész szervezet számára egy oldal esetleges inkompatibilitása. Ezután a pilot után, elég tapasztalattal neki lehet kezdeni, hogy a szervezet összes eszközén be legyen vezetve a forgalomanalízis. Fontos szem előtt tartani, hogy nem minden alkalmazás, szerver és weboldal támogatja a forgalom ilyetén bontását, így érdemes nézni az eszköz Control Centerét, illetve a különféle beépített eszközöket a hibajavításhoz, hogy a problémás oldalakat és szervizeket ki lehessen vonni az ellenőrzés hatálya alól.

Amint sikerült kialakítani a forgalomanalízist a szervezeten belül, érdemes egyre több és több eszközt, szolgáltatást hatálya alá vonni, viszont érdemes figyelembe venni, hogy a jelen kor internetes forgalmának nagyjából nyolcvan százaléka titkosítottan zajlik, így eme inspekció kívánja a hardvert is.

Ennek köszönhetően, ha a jelenlegi XG eszköz idősödik és eddig is magas volt a kihasználtsága, érdemes elgondolkodni cseréjén újabb, vagy magasabb teljesítményű modellre, ugyanis a titkosított forgalom ellenőrzése az egyik leghatékonyabb védelem a legújabb fenyegetések, illetve ransomware-ek ellen, mivel nem csak a legit internetes forgalom használ egyre nagyobb arányban TLS titkosítást, hanem rosszindulatú aktorok is.

September 1st, 2020

Top