Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Inspeção de SSL IDP

Secure Sockets Layer (SSL), também chamado de Segurança de camada de transporte (TLS), é um pacote de protocolo para segurança web que oferece autenticação, confidencialidade e integridade da mensagem. A autenticação protege contra transmissões fraudulentas, permitindo que um navegador da Web valide a identidade de um webserver. Os mecanismos de confidencialidade garantem que as comunicações sejam privadas. A SSL impõe confidencialidade criptografando dados para evitar que usuários não autorizados façam espionagem em comunicações eletrônicas. Por fim, a integridade da mensagem garante que o conteúdo de uma comunicação não tenha sido adulterado.

Para obter mais informações, veja os seguintes tópicos:

Visão geral do IDP SSL

Cada sessão de SSL começa com um aperto de mão durante o qual o cliente e o servidor concordam com a chave de segurança específica e os algoritmos de criptografia a serem usados para essa sessão. Neste momento, o cliente também autentica o servidor. Opcionalmente, o servidor pode autenticar o cliente. Assim que o aperto de mão estiver concluído, a transferência de dados criptografados pode começar.

A Juniper Networks oferece inspeção SSL de detecção e prevenção de intrusões (IDP) que usa o pacote de protocolo SSL que consiste em diferentes versões SSL, cifras e métodos de troca chave. Combinado com o recurso de identificação de aplicativos, o recurso de inspeção SSL permite que os firewalls da Série SRX inspecionem o tráfego HTTP criptografado em SSL em qualquer porta. Os seguintes protocolos SSL são suportados:

  • SSLv2

  • SSLv3

  • TLS

Cifras IDP SSL com suporte

Uma cifra SSL compreende cifra de criptografia, método de autenticação e compressão. O Junos OS oferece suporte a todas as cifras apoiadas pelo OPENSSL que não envolvem o uso de chaves privadas temporárias. Para autenticação, os métodos de autenticação NULL, MD5 e SHA-1 são suportados.

Nota:

As cifras de compressão e SSLv2 não são suportadas. Atualmente, a maioria dos servidores SSL atualiza automaticamente para uma cifra TLS quando uma cifra SSLv2 é recebida em uma mensagem de "olá" do cliente. Verifique seu navegador para ver a força das cifras e quais são compatíveis com o seu navegador. (Se a cifra não estiver na lista de cifras suportadas, a sessão será ignorada para inspeção profunda de pacotes.)

A Tabela 1 mostra os algoritmos de criptografia suportados pelos firewalls da Série SRX.

Tabela 1: Algoritmos de criptografia suportados
Material de chave de tipo exportável cipher expandiu o material chave chave tamanho IV

NULL

Não

Fluxo

0

0

0

N/A

DES-CBC-SHA

Não

Bloco

8

8

56

8

DES-CBC3-SHA

Não

Bloco

24

24

168

8

AES128-SHA

Não

Bloco

16

16

128

16

AES256-SHA

Não

Bloco

32

32

256

16

Para obter mais informações sobre algoritmos de criptografia, consulte a visão geral /documentation/us/en/software/junos/vpn-ipsec/topics/topic-map/security-ipsec-vpn-overview.html de VPN IPsec. A Tabela 2 mostra as cifras SSL suportadas.

Tabela 2: Cifras SSL com suporte
Valor do Cipher Suites

TLS_RSA_WITH_NULL_MD5

TLS_RSA_WITH_NULL_SHA

TLS_RSA_WITH_DES_CBC_SHA

TLS_RSA_WITH_3DES_EDE_CBC_SHA

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_256_CBC_SHA

0x0001

0x0002

0x0009

0x000A

0x002F

0x0035

Nota:

As cifras RC4 e IDEA não são suportadas devido à licença e à disponibilidade da biblioteca OPENSSL.

Entendendo a troca de chave da Internet IDP

O Internet Key Exchange (IKE) estabelece um segredo de pré-mestre usado para gerar chaves simétricas para criptografia e autenticação de dados em massa. A seção F.1.1 da RFC 2246 define a autenticação da segurança da camada de transporte (TLS) e os principais métodos de troca. Os três principais métodos de troca são:

  • RSA — Rivest-Shamir-Adleman (RSA) é um algoritmo de troca chave que rege a maneira como os participantes criam chaves simétricas ou um segredo que é usado durante uma sessão de SSL. O algoritmo de troca de chave RSA é o método mais usado.

  • DSA — Algoritmo de assinatura digital (DSA) adiciona uma opção de autenticação adicional às propostas da Fase 1 do IKE. O DSA pode ser configurado e se comportar de forma análoga à RSA, exigindo que o usuário importe ou crie certificados DSA e configure uma proposta de IKE para usar o DSA. Os certificados digitais são usados para assinaturas RSA, assinaturas DSA e o método de autenticação baseado em criptografia de chave pública RSA no protocolo IKE.

  • Diffie-Hellman — Diffie-Hellman (DH) é um método de troca chave que permite que os participantes produzam um valor secreto compartilhado. A força da técnica é que ela permite que os participantes criem o valor secreto em um meio inseguro sem passar o valor secreto pelo fio.

Os principais métodos de troca podem usar uma chave de servidor fixa ou temporária. O IDP só pode recuperar o segredo do pré-mestre se uma chave de servidor fixo for usada. Para obter mais informações sobre o Internet Key Exchange, veja elementos básicos do PKI no Junos OS.

Nota:

O IDP da Juniper não descriptografa sessões de SSL que usam a troca de chaves da Diffie-Hellman.

Visão geral do tratamento de chave criptográfica do IDP

Com o recurso de descriptografia de Camada de Tomada Segura (SSL) de Detecção e Prevenção de Invasões (IDP), os firewalls da Série SRX carregam chaves privadas RSA configuradas para a memória e as usam para estabelecer chaves de sessão SSL para descriptografar dados. O IDP é necessário para descriptografar as chaves RSA e verificar a integridade antes de realizar operações normais de criptografia ou descriptografia usando as chaves.

O objetivo principal deste recurso é garantir que as chaves privadas RSA usadas pelo IDP não sejam armazenadas como texto simples ou em um formato facilmente entendêvel ou utilizável. As chaves são descriptografadas para realizar operações normais de criptografia ou descriptografia. Esse recurso também envolve verificações de detecção de erros durante a cópia das chaves de um local de memória para outro, bem como sobreposição de armazenamento intermediário com padrões nãozeros quando as chaves não são mais necessárias.

O set security idp sensor-configuration ssl-inspection key-protection comando de configuração CLI é usado para habilitar esse recurso.

Entendendo o gerenciamento de chaves do servidor IDP SSL e a configuração de políticas

O dispositivo pode oferecer suporte a até 1000 chaves privadas de servidor. Cada chave pode ter até 100 servidores que a usam. Essa capacidade é a mesma, independentemente do número de SPUs disponíveis no dispositivo, pois essencialmente cada SPU precisa ser capaz de acessar todas as chaves.

Vários servidores podem compartilhar a mesma chave privada; no entanto, um servidor pode ter apenas uma chave privada. A descriptografia SSL é desabilitada por padrão. As chaves simples e criptografadas são suportadas.

Nota:

O Junos OS não criptografa o arquivo de chaves SSL.

Nota:

Você pode definir o valor do parâmetro de tempo limite de cache de sessão SSL usando o set security idp sensor-configuration ssl-inspection session-id-cache-timeout comando. O valor padrão do parâmetro de tempo limite de cache é de 600 segundos.

Configuração de uma inspeção IDP SSL (procedimento CLI)

O decodificador SSL é habilitado por padrão. Se você precisar habilitá-lo manualmente via CLI, use o seguinte comando CLI.

Para configurar uma inspeção IDP SSL, use o seguinte procedimento CLI:

O sensor agora inspeciona o tráfego para o qual ele tem um par de chave/servidor.

Nota:

Máximo de sessões suportadas por SPU: o valor padrão é de 10.000 e o intervalo é de 1 a 100.000. O limite de sessão é por SPU, e é o mesmo, independentemente do número de SPUs no dispositivo.

Adicionar chaves IDP SSL e servidores associados

Quando você está instalando uma chave, você pode proteger a chave por senha e também associá-la a um servidor.

Para instalar uma chave PEM (Privacy-Enhanced Mail, Correio aprimorado para privacidade), use o seguinte comando CLI:

Nota:

Em um cluster da Série SRX de dois nós, a chave precisa ser copiada manualmente para o Nós 0 e o Nó 1 no mesmo local para que o comando de solicitação seja bem sucedido.

Você também pode associar a chave a um servidor posteriormente, usando o comando CLI do servidor adicionado. Um servidor pode ser associado a apenas uma chave. Para associar um servidor à chave instalada, use o seguinte comando CLI:

Nota:

O comprimento máximo do nome da chave é de 32 bytes, incluindo o final "\0".

Exclusão de chaves SSL IDP e servidores associados

  • Para excluir todas as chaves e servidores, use o seguinte comando CLI:

    Todas as chaves instaladas são excluídas junto com quaisquer servidores associados.

  • Para excluir uma chave específica e todos os servidores associados com essa chave, use o seguinte comando CLI:

    Elimina a chave especificada e todos os servidores associados a essa chave.

  • Para excluir um único servidor, use o seguinte comando CLI:

    Exclui o servidor especificado que está vinculado à chave especificada.

Exibição de chaves IDP SSL e servidores associados

  • Para exibir todas as chaves de servidor instaladas e o servidor associado, use o seguinte comando CLI:

    Exibe todas as chaves do servidor e endereços IP vinculados a essas chaves. O exemplo a seguir mostra a saída CLI quando o show security idp ssl-inspection key comando é usado:

  • Para exibir endereços IP vinculados a uma chave específica, use o seguinte comando CLI:

    O seguinte é um exemplo da saída CLI recebida quando o show security idp ssl-inspection key <key-name> comando é usado:

Exemplo: configuração do IDP quando o proxy SSL é habilitado

Este exemplo descreve como o IDP oferece suporte à funcionalidade de identificação de aplicativos (AppID) quando o proxy SSL é habilitado.

Requisitos

Antes de começar:

Visão geral

Este exemplo mostra como configurar o IDP em uma regra de política quando o proxy SSL é habilitado.

Configuração

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos na CLI no nível de hierarquia e, em seguida, entre no [edit] commit modo de configuração.

Procedimento

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Neste exemplo, você configura uma política de segurança que usa o IDP como serviço de aplicativo.

  1. Configure uma política para processar o tráfego com o perfil de proxy SSL ssl-profile-1.

  2. Defina o IDP como o serviço de aplicativo.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security policies comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Verificação

Verifique se a configuração está funcionando corretamente. A verificação no IDP é semelhante à verificação no firewall de aplicativos. Veja firewall de aplicativos.

Tabela de histórico de lançamentos
Lançamento
Descrição
15,1X49-D100
A partir de 15.1X49, o recurso de inspeção de SSL IDP é preterido. A Juniper recomenda o uso do recurso SSL Proxy.