Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Espelhamento de descriptografia SSL

O recurso de espelhamento de descriptografia SSL permite monitorar o tráfego de aplicativos descriptografado de SSL entrando e saindo do dispositivo da Série SRX. Para obter mais informações sobre espelhamento de descriptografia SSL, leia este tópico.

Entender a funcionalidade de espelhamento de descriptografia SSL

Começando no Junos OS Release 18.4R1, a funcionalidade de espelhamento de descriptografia SSL para proxy de encaminhamento SSL e para proxy reverso SSL é introduzida.

O recurso de espelhamento de descriptografia SSL permite monitorar o tráfego de aplicativos descriptografado de SSL entrando e saindo do dispositivo da Série SRX. Quando você habilita esse recurso, o dispositivo da Série SRX usa uma interface Ethernet — a interface de espelhamento de descriptografia SSL configurada — para encaminhar uma cópia do tráfego SSL descriptografado para uma ferramenta de coleta de tráfego confiável ou um analisador de rede para inspeção e análise. Normalmente, você conecta este dispositivo de monitoramento externo à interface de espelhamento de descriptografia SSL por meio de um dispositivo de comutação. A porta de coletor de tráfego espelho externo é a porta (ou interface) que recebe a cópia do tráfego descriptografado da interface de espelhamento de descriptografia SSL no dispositivo da Série SRX.

Para usar o recurso de espelhamento de descriptografia SSL, você define um perfil de proxy SSL e o aplica à política de segurança. A regra da política de segurança permite definir o tráfego que deseja que o dispositivo descriptografe. Quando você anexa o perfil de proxy SSL à regra da política de segurança, o tráfego que corresponde à regra da política de segurança é descriptografado. A interface de espelhamento de descriptografia SSL oferece uma cópia do tráfego de HTTPS e STARTTLS (POP3S/SMTPS/IMAPS) descriptografado para um dispositivo externo confiável ou ferramenta de coleta de tráfego para inspeção e análise.

Os dados integrados de 5 tuple do pacote IP descriptografado incluem os mesmos valores a seguir dos pacotes de IP criptografados:

  • Endereço IP de origem

  • Endereço IP de destino

  • Número da porta de origem

  • Número da porta de destino

  • Número do protocolo

Reter os mesmos dados de 5 tuple sem reconfiguração garante que o tráfego descriptografado seja salvo no formato de captura de pacotes (Wireshark) e você pode repetir os dados mais tarde.

Apenas números de sequência de TCP e números ACK são construídos com base na carga descriptografada real encaminhada na porta de espelhamento de descriptografia SSL. Se o tamanho do pacote descriptografado exceder o tamanho máximo da unidade de transmissão (MTU) da porta de espelhamento de descriptografia SSL, a carga descriptografada será dividida em vários segmentos de TCP com base nos requisitos de tamanho do MTU.

Espelhamento de descriptografia SSL antes ou depois da aplicação da política

Por padrão, o dispositivo da Série SRX encaminha a carga descriptografada de SSL para a porta espelho antes que o Junos OS aplique serviços de segurança de Camada 7, incluindo IDP, Juniper SKY ATP e UTM. Essa opção permite que você reproduza eventos e analise o tráfego que gera uma ameaça ou desencadeia uma ação de queda.

Você também pode configurar o espelhamento do tráfego descriptografado após a aplicação da política de segurança. Com essa opção, somente o tráfego encaminhado por meio da política de segurança é espelhado. No entanto, se a carga descriptografada for modificada enquanto aplica a política de segurança, a carga descriptografada modificada é encaminhada na porta espelho. Da mesma forma, se o tráfego descriptografado for descartado por causa da aplicação de políticas (por exemplo, quando uma ameaça é detectada no tráfego descriptografado), esse tráfego descriptografado em particular não é encaminhado na porta espelho.

Suporte para espelhamento de descriptografia SSL

  • Suporte para proxy de encaminhamento SSL e proxy reverso SSL.

  • Suporte para tráfego IPv4 e IPv6.

  • O tráfego descriptografado SSL disponível na porta espelho está em formato cleartext. Todos os pacotes cifrados que são suportados pela funcionalidade de espelhamento de descriptografia SSL de suporte a proxy SSL. Para a lista de suítes cifradas suportadas, consulte a visão geral do proxy SSL.

Benefícios do espelhamento de descriptografia SSL

  • Permite a captura abrangente de dados para auditoria, investigações forenses e finalidades históricas.

  • Fornece prevenção contra vazamentos de dados.

  • Permite processamento adicional de segurança feito por dispositivos de terceiros para IDP, UTM e assim por diante.

  • Fornece insights sobre as ameaças envolvidas.

Limitações

  • O espelhamento de descriptografia SSL não pode ser configurado na interface do túnel ST0.

Suporte para espelhamento de descriptografia SSL em cluster de chassi

Começando no Junos OS Release 18.4R1-S2 e Junos OS Release 19.2R1, o recurso de espelhamento de descriptografia SSL é suportado em interface Ethernet (reth) redundante em dispositivos da Série SRX que operam em um cluster de chassi.

Configuração do espelhamento de descriptografia SSL

Este exemplo mostra como habilitar o espelhamento do tráfego descriptografado de SSL em um dispositivo da Série SRX.

Configuração

Procedimento passo a passo

Use as etapas a seguir para configurar o espelhamento de descriptografia SSL.

  1. Defina a interface de espelhamento de descriptografia SSL com a unidade lógica número 0.

  2. Especifique a interface de espelhamento de descriptografia SSL no perfil de proxy SSL.

    O Ge-0/0/2.0 está configurado como uma interface de espelhamento de descriptografia SSL designada.

  3. Especifique o endereço MAC da porta de coletor de tráfego de espelho externo.

  4. Crie uma política de segurança especificando os critérios de correspondência para o tráfego.

  5. Anexe o perfil de proxy SSL à regra da política de segurança.

    Essa configuração permite que a porta de coletor de tráfego de espelho externo (ou interface) receba a cópia do tráfego descriptografado da interface de espelhamento de descriptografia SSL no dispositivo da Série SRX.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no e show security policies from-zone trust to-zone untrust policy comandosshow services ssl proxy profile. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se terminar de configurar o dispositivo, entre no commit modo de configuração.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Qualquer dispositivo da Série SRX com Junos OS Versão 18.4R1 ou posterior. Este exemplo de configuração é testado para o Junos OS Release 18.4R1.

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.

Antes de começar:

  • Configure o proxy SSL. Veja a visão geral do proxy SSL.

  • A interface de espelhamento de descriptografia SSL que você configura não precisa fazer parte de nenhuma zona de segurança.

  • Garanta que a interface de espelhamento de descriptografia SSL e as interfaces reais de processamento de tráfego SSL do servidor cliente fazem parte da mesma instância de roteamento.

  • Garanta que a interface de espelhamento de descriptografia SSL no dispositivo da Série SRX e na porta de coletor de tráfego de espelho externo deve fazer parte do mesmo domínio de broadcast.

Nota:

Você não precisa configurar uma política de segurança separada para permitir o tráfego do dispositivo da Série SRX até a interface de espelhamento de descriptografia SSL..

Visão geral

Neste exemplo, configure um perfil de proxy de encaminhamento SSL especificando o nome da interface de espelhamento de descriptografia SSL e o endereço MAC da porta de coletor de tráfego de espelho externo. Em seguida, crie uma política de segurança e invoque o proxy SSL como serviço de aplicativo no tráfego permitido. O tráfego que corresponde à regra da política de segurança é descriptografado. Uma cópia da carga SSL descriptografada é então encapsulada em um pacote IP e encaminhada para a porta de coletor de tráfego de espelho externo através da interface de espelhamento de descriptografia SSL.

A Figura 1 ilustra a topologia usada neste exemplo.

Figura 1: espelhamento SSL Decryption Mirroring de descriptografia SSL

A Tabela 1 fornece os detalhes dos parâmetros usados neste exemplo.

Tabela 1: Parâmetros usados no exemplo de espelhamento de descriptografia de SSL

Parâmetro

Nome

Interface de espelhamento de descriptografia SSL em dispositivo da Série SRX

ge-0/0/2,0

Endereço MAC da porta de coletor de tráfego de espelho externo

00:50:56:a6:5f:1f

Perfil de proxy SSL

perfil 1

Política de segurança

política 1

Verificação

Verificar a configuração do proxy SSL

Propósito

Confirme que a configuração está funcionando corretamente exibindo as estatísticas de proxy SSL.

Ação

A partir do modo operacional, entre no show services ssl proxy statistics comando.

Tabela de histórico de lançamento
Lançamento
Descrição
18.4R1
Começando no Junos OS Release 18.4R1, a funcionalidade de espelhamento de descriptografia SSL para proxy de encaminhamento SSL e para proxy reverso SSL é introduzida