Hogyan hozzuk ki a legtöbbet a Sophos XG tűzfalaiból – 2. rész

Xstream TLS Inspection, a modern, titkosított internetes kommunikáció vizsgálatához

A hálózati forgalom titkosítottsága napról-napra növekszik. Tavaly a Google felmérése szerint Windows alatt a weboldalak 87 százaléka, míg Macintoshon 93 százaléka töltődött be TLS titkosított protokollon, így nem vagyunk messze attól, hogy lassan a komplett internetes kommunikációs titkosítva legyen.

A sorozat ezen, második darabjában a v18-as XG tűzfal firmware TLS (1.3) inspekciós részének beállításaival fogunk foglalkozni.

Xstream TLS vizsgálat

A legutóbbi posztban végigvettük az új firmware legfontosabb újításait, illetve az Xstream DPI motor szolgáltatásait, most viszont érdemes belemerülnünk ezek beállításaiba, a hatékony védelem elérése érdekében.

xg firewall

Mivel lassan az összes, tűzfalon keresztülmenő forgalom titkosított, ezért napjainkban egyre nagyobb hangsúlyt kap annak vizsgálata, mely hagyományos eszközökkel nem kivitelezhető. Ennek köszönhetően viszont az infrastruktúra védelmi szintje jelentősen lecsökken, hiszen ebben a titkosított forgalomban nem csak legit adatok utazhatnak, hanem akár C2 kommunikáció, vagy éppen lopott adatok is. Ezt az adatfolyamot képes vizsgálni a Xstream DPI (Deep Packet Inspection) motor.

Hogyan működik?

A titkosított forgalom eljut a DPI motorhoz, mely továbbítja a TLS forgalom vizsgálatát végző modulhoz. A modul kibontja a titkosítást, ezzel lehetővé teszi a forgalom vizsgálatát. Miután elvégezte feladatát, újra enkriptálja az adatfolyamot, majd eljuttatja a céljához. Ebből általában sem a kliens, sem a szerver nem vesz észre semmit egy megfelelően beállított környezetben.

További információk a TLS-alapú forgalom vizsgálatáról:

    •     TLS inspection white paper
    •     HTTPS decrypt FAQ

Az Xstream TLS vizsgáló motor a következő előnyökkel rendelkezik más termékekhez képest:

  • Nagy teljesítmény és magas kapcsolatkezelési kapacitás
  • Eddig sosem tapasztalt betekintés a titkosított, hálózati adatfolyamokba, illetve az ennek kapcsán előforduló hibákba
  • Könnyen kezelhető segédeszközök a hiba -és kivételkezeléshez
  • Képes natívan kezelni a TLS 1.3-mat
  • Képes kezelni az összes modern titkosítási metódust, illetve validálni ezek tanúsítványait
  • Portra és alkalmazásra való tekintet nélkül képes elemezni az összes forgalmat

A Flexibilis tűzfalszabály-kialakításnak köszönhetően könnyen egyensúlyba lehet hozni a teljesítmény – védelem – privacy háromszöget

Hogyan érdemes elkezdeni kiaknázni a TLS Inspection előnyeit?

Mint ahogy az előző posztban is említettük, a TLS inspection motor kihasználása az XG Firewall 18-as verziójában gyerekjáték. Első körben egy darab checkbox bepipálásával már aktiválni is lehet és onnantól fogva már csak szabályokat kell létrehozni hozzá a megjelenő SSL/TLS Inspection Rules tabon:

Az SSL/TLS szabályok létrehozása kapcsán érdemes megnézni az alábbi rövid, mindössze öt perces videót:

Ezen szabályok részletes leírásához pedig érdemes átböngészni az alább látható, angol nyelvű, online dokumentációt:

  •     SSL/TLS inspection rules
  •     Decryption profiles
  •     SSL/TLS inspection settings
  •     Deploying the SSL CA certificate

A forgalom vizsgálatát ajánlott először kicsiben, egy pilot projekttel elkezdeni a hálózat egy olyan részén, mely nem érzékeny az esetleges 1-2 perces kiesésekre. Ez lehetővé teszi a tapasztalatgyűjtést arról, hogy mely weboldalak, illetve alkalmazások nem képesek együttműködni a forgalombontással, így a későbbiekben már egy rendesen tesztelt rendszert lehet implementálni a teljes környezetre.

Mivel nem minden alkalmazás és weboldal kompatibilis a TLS inspectionnel, így a pilot közben érdemes figyelni a tűzfal Control Centerét, mely folyamatos információkkal látja el kezelőjét az esetlegesen előforduló hibákról és beépített segédletei segítségével könnyű kizárni a vizsgálatból a problémás oldalakat és szervizeket. Ezen segédletek beépítve tartalmazzák azon megbízható domaineket, melyek megbízhatóak és vizsgálatuk problémákat okozhat, mint például az iCloud, bizonyos Microsoft szolgáltatások és egyebek. Ezeket direktben testre lehet szabni a Control Centerben található widgeten is, illetve direktben az Exclusion szabályokban.

A Control Centerben található widget gyors betekintést nyújt a titkosított forgalomba és az ezzel kapcsolatos esetleges problémákba:

Kattintással meg lehet állapítani a problémák forrását, illetve el lehet hárítani őket:

Amennyiben a pilot projekt sikeresen zárult, és sikerült megfelelően a környezethez állítani a DPI motort, illetve a TLS inspectiont, érdemes elkezdeni ezeket szélesebb körben is használni. Ehhez szükség lesz az eszköz CA tanúsítványának eljuttatására a többi végpontra is melyhez a legegyszerűbb eszköz a Microsoft Active Directory Group Policy Management erre használatos wizardja.

A TLS inspection kiterjesztése során nem szabad elfeledkezni arról, hogy a titkosítás bontása és a visszatitkosítás hardverigényes folyamat. Pont ezért érdemes folyamatosan monitorozni a tűzfal hardveres leterheltségét, hogy ne az legyen a szűk keresztmetszet. Habár az új Xstream architektúra jelentős sebességnövekedést hozott a forgalomvizsgálatban, ennek kiterjesztése az architektúra egészére jelentősen lassíthatja a rendszert, főleg, ha a hardvert előzőleg annak fényében vásárolták, hogy nem kell ilyen feladatot végeznie.

Amennyiben a tűzfal a vizsgálat bekapcsolása után jelentős kihasználtsággal dolgozik (80-90% környéke), érdemes lehet elgondolkozni annak egy újabb, erősebb modellre cserélésén, mivel a vizsgálat kikapcsolása a biztonság jelentős csökkenésével jár.

September 23rd, 2020

Top