SSL-Entschlüsselungs-Spiegelung
Die SSL-Entschlüsselungs-Spiegelungsfunktion ermöglicht ihnen die Überwachung des SSL-entschlüsselten Anwendungsdatenverkehrs, der das Gerät der SRX-Serie ein- und verlässt. Weitere Informationen zur SSL-Entschlüsselungsspiegelung finden Sie in diesem Thema.
Grundlegendes zur SSL-Entschlüsselungsspiegelung
Ab Junos OS Version 18.4R1 wird die SSL-Entschlüsselungsspiegelungsfunktion für SSL Forward Proxy und für SSL Reverse Proxy eingeführt.
Die SSL-Entschlüsselungs-Spiegelungsfunktion ermöglicht ihnen die Überwachung des SSL-entschlüsselten Anwendungsdatenverkehrs, der das Gerät der SRX-Serie ein- und verlässt. Wenn Sie diese Funktion aktivieren, verwendet das Gerät der SRX-Serie eine Ethernet-Schnittstelle – die konfigurierte SSL-Entschlüsselungsspiegelungsschnittstelle –, um eine Kopie des entschlüsselten SSL-Datenverkehrs zur Prüfung und Analyse an ein Tool zur Erfassung des vertrauenswürdigen Datenverkehrs oder einen Netzwerkanalysator weiterzuleiten. In der Regel verbinden Sie dieses externe Überwachungsgerät über ein Switching-Gerät mit der SSL-Entschlüsselungsspiegelungsschnittstelle. Der externe Mirror Traffic Collector-Port ist der Port (oder die Schnittstelle), die die Kopie des entschlüsselten Datenverkehrs von der SSL-Entschlüsselungsspiegelungsschnittstelle auf dem Gerät der SRX-Serie empfängt.
Zur Verwendung der SSL-Entschlüsselungsspiegelungsfunktion definieren Sie ein SSL-Proxyprofil und wenden es auf die Sicherheitsrichtlinie an. Mit der Sicherheitsrichtlinienregel können Sie den Datenverkehr definieren, den das Gerät entschlüsseln soll. Wenn Sie das SSL-Proxyprofil an die Sicherheitsrichtlinienregel anfügen, wird der Datenverkehr entschlüsselt, der der Sicherheitsrichtlinienregel entspricht. Die SSL-Entschlüsselungsspiegelungsschnittstelle liefert eine Kopie des entschlüsselten HTTPS- und STARTTLS -Datenverkehrs (POP3S/SMTPS/IMAPS) zur Prüfung und Analyse an ein vertrauenswürdiges externes Gerät oder ein Tool für die Datenverkehrserfassung.
Die eingebetteten 5-Tupel-Daten des entschlüsselten IP-Pakets enthalten die gleichen Werte wie die verschlüsselten IP-Pakete:
Quell-IP-Adresse
Ziel-IP-Adresse
Quell-Portnummer
Ziel-Portnummer
Protokollnummer
Die Aufbewahrung derselben 5-Tupel-Daten ohne Neukonfiguration stellt sicher, dass der entschlüsselte Datenverkehr im Paketerfassungsformat (Wireshark) gespeichert wird und Sie die Daten später erneut abspielen können.
Nur TCP-Sequenznummern und ACK-Nummern werden auf der Grundlage der tatsächlichen entschlüsselten Nutzlast erstellt, die über den SSL-Entschlüsselungsspiegelungsport weitergeleitet wird. Wenn die entschlüsselte Paketgröße die maximale MTU-Größe (Transmission Unit) des SSL-Entschlüsselungsspiegelungsportes überschreitet, wird die entschlüsselte Nutzdaten basierend auf den MTU-Größenanforderungen in mehrere TCP-Segmente aufgeteilt.
- SSL-Entschlüsselungsspiegelung vor oder nach der Richtliniendurchsetzung
- Unterstützung für SSL-Entschlüsselungsspiegelung
- Vorteile der SSL-Entschlüsselungsspiegelung
- Einschränkungen
- Unterstützung für SSL-Entschlüsselungsspiegelung im Chassis-Cluster
SSL-Entschlüsselungsspiegelung vor oder nach der Richtliniendurchsetzung
Standardmäßig leitet das Gerät der SRX-Serie die SSL-entschlüsselte Nutzdaten an den Spiegelport weiter, bevor Junos OS Layer 7-Sicherheitsservices wie IDP, Juniper SKY ATP und UTM durchsetzt. Mit dieser Option können Sie Ereignisse erneut abspielen und den Datenverkehr analysieren, der eine Bedrohung generiert oder eine Drop-Aktion auslöst.
Sie können auch die Spiegelung des entschlüsselten Datenverkehrs konfigurieren, nachdem die Sicherheitsrichtlinie durchgesetzt wurde. Mit dieser Option wird nur der Datenverkehr gespiegelt, der über die Sicherheitsrichtlinie weitergeleitet wird. Wenn die entschlüsselte Nutzdaten jedoch unter Durchsetzung der Sicherheitsrichtlinie geändert wird, wird die geänderte entschlüsselte Nutzdaten auf dem Spiegelport weitergeleitet. Wenn der entschlüsselte Datenverkehr aufgrund der Durchsetzung von Richtlinien unterbrochen wird (z. B. wenn eine Bedrohung im entschlüsselten Datenverkehr erkannt wird), wird dieser bestimmte entschlüsselte Datenverkehr nicht über den Spiegelport weitergeleitet.
Unterstützung für SSL-Entschlüsselungsspiegelung
Unterstützt für SSL Forward Proxy und SSL Reverse Proxy.
Unterstützt sowohl IPv4- als auch IPv6-Datenverkehr.
Der ssl-entschlüsselte Datenverkehr, der auf dem Spiegelport verfügbar ist, ist im Klartextformat. Alle Cipher Suites, die von SSL-Proxy unterstützt werden, unterstützen SSL-Entschlüsselungsspiegelungsfunktionen. Eine Liste der unterstützten Cipher Suites finden Sie unter ÜBERSICHT ÜBER SSL-Proxy.
Vorteile der SSL-Entschlüsselungsspiegelung
Ermöglicht eine umfassende Datenerfassung für Audits, forensische Untersuchungen und historische Zwecke.
Bietet Schutz vor Datenlecks.
Ermöglicht zusätzliche Sicherheitsverarbeitung durch Anwendungen von Drittanbietern für IDP, UTM und so weiter.
Bietet Einblicke in die damit verbundenen Bedrohungen.
Einschränkungen
Die SSL-Entschlüsselungsspiegelung kann auf der st0-Tunnel-Schnittstelle nicht konfiguriert werden.
Unterstützung für SSL-Entschlüsselungsspiegelung im Chassis-Cluster
Ab Junos OS Version 18.4R1-S2 und Junos OS Version 19.2R1 wird die SSL-Entschlüsselungsspiegelungsfunktion auf redundanten Ethernet-Schnittstellen (reth) auf Geräten der SRX-Serie unterstützt, die in einem Chassis-Cluster arbeiten.
set interfaces reth20 redundant-ether-options redundancy-group 1 set interfaces reth20 unit 0 family inet
Konfigurieren der SSL-Entschlüsselungsspiegelung
Dieses Beispiel zeigt, wie Sie die Spiegelung des SSL-entschlüsselten Datenverkehrs auf einem Gerät der SRX-Serie aktivieren.
Konfiguration
Schritt-für-Schritt-Verfahren
Verwenden Sie die folgenden Schritte, um die SSL-Entschlüsselungsspiegelung zu konfigurieren.
Definieren Sie die SSL-Entschlüsselungsspiegelungsschnittstelle mit der logischen Einheitsnummer 0.
user@host#set interfaces ge-0/0/2 unit 0Geben Sie die SSL-Entschlüsselungsspiegelungsschnittstelle im SSL-Proxyprofil an.
user@host#set services ssl proxy profile profile-1 mirror-decrypt-traffic interface ge-0/0/2.0Ge-0/0/2.0 ist als designierte SSL-Entschlüsselungsspiegelungsschnittstelle konfiguriert.
Geben Sie die MAC-Adresse des Ports des externen Spiegelungsdatensammlers an.
user@host#set services ssl proxy profile profile-1 mirror-decrypt-traffic destination-mac-address 00:50:56:a6:5f:1fErstellen Sie eine Sicherheitsrichtlinie, indem Sie die Übereinstimmungskriterien für den Datenverkehr festlegen.
user@host#set security policies from-zone trust to-zone untrust policy policy-1 match source-address anyuser@host#set security policies from-zone trust to-zone untrust policy policy-1 match destination-address anyuser@host#set security policies from-zone trust to-zone untrust policy policy-1 match application anyFügen Sie das SSL-Proxyprofil an die Sicherheitsrichtlinienregel an.
user@host#set security policies from-zone trust to-zone untrust policy policy-1 then permit application-services ssl-proxy profile-name profile-1Mit dieser Konfiguration kann der externe Mirror Traffic Collector-Port (oder die Schnittstelle) die Kopie des entschlüsselten Datenverkehrs von der SSL-Entschlüsselungsspiegelungsschnittstelle auf dem Gerät der SRX-Serie empfangen.
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die Befehle und show security policies from-zone trust to-zone untrust policy die show services ssl proxy profile Befehle eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show services ssl proxy profile profile-1
server-certificate Email_server_cert;
mirror-decrypt-traffic {
interface ge-0/0/2.0;
destination-mac-address 00:50:56:a6:5f:1f;
}
[edit]
user@host# show security policies from-zone trust to-zone untrust policy policy-1
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
ssl-proxy {
profile-name profile-1;
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Alle Geräte der SRX-Serie mit Junos OS Version 18.4R1 oder höher. Dieses Konfigurationsbeispiel wurde für Junos OS Version 18.4R1 getestet.
Vor der Konfiguration dieser Funktion ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Bevor Sie beginnen:
Konfigurieren Sie den SSL-Proxy. Siehe Übersicht über SSL-Proxys.
Die von Ihnen konfigurierte SSL-Entschlüsselungsspiegelungsschnittstelle muss nicht Teil von Sicherheitszonen sein.
Stellen Sie sicher, dass die SSL-Entschlüsselungsspiegelungsschnittstelle und die eigentlichen Client-Server-SSL-Datenverkehrsverarbeitungsschnittstellen Teil derselben Routing-Instanz sind.
Stellen Sie sicher, dass die SSL-Entschlüsselungsspiegelungsschnittstelle auf dem Gerät der SRX-Serie und der externe Mirror Traffic Collector-Port Teil derselben Broadcast-Domain sein müssen.
Sie müssen keine separate Sicherheitsrichtlinie konfigurieren, um Datenverkehr vom Gerät der SRX-Serie zur SSL-Entschlüsselungsspiegelungsschnittstelle zu erlauben.
Übersicht
Konfigurieren Sie in diesem Beispiel ein SSL-Weiterleitungs-Proxyprofil, indem Sie den Namen der SSL-Entschlüsselungsspiegelungsschnittstelle und die MAC-Adresse des externen Datenverkehrsammler-Ports angeben. Erstellen Sie als Nächstes eine Sicherheitsrichtlinie und rufen Sie den SSL-Proxy als Anwendungsservice für den zulässigen Datenverkehr auf. Der Datenverkehr, der der Sicherheitsrichtlinienregel entspricht, wird entschlüsselt. Eine Kopie der entschlüsselten SSL-Nutzdaten wird dann in ein IP-Paket gekapselt und über die SSL-Entschlüsselungsspiegelungsschnittstelle an den externen Traffic Collector-Port weitergeleitet.
Abbildung 1 veranschaulicht die in diesem Beispiel verwendete Topologie.
Tabelle 1 enthält die Details der in diesem Beispiel verwendeten Parameter.
Parameter |
Namen |
|---|---|
SSL-Entschlüsselungsspiegelungsschnittstelle auf Geräten der SRX-Serie |
ge-0/0/2,0 |
MAC-Adresse des externen Mirror Traffic Collector-Ports |
00:50:56:a6:5f:1f |
SSL-Proxyprofil |
Profil-1 |
Sicherheitspolitik |
Richtlinie 1 |
Überprüfung
SSL-Proxy-Konfiguration überprüfen
Zweck
Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert, indem Sie die SSL-Proxystatistiken anzeigen.
Aktion
Geben Sie im Betriebsmodus den show services ssl proxy statistics Befehl ein.
user@host> show services ssl proxy statistics
PIC:fwdd0 fpc[0] pic[0]
sessions matched 30647
sessions bypassed:non-ssl 0
sessions bypassed:mem overflow 0
sessions bypassed:low memory 0
sessions created 25665
sessions ignored 0
sessions active 0
sessions dropped 0
sessions whitelisted 0
whitelisted url category match 0
default profile hit 0
session dropped no default profile 0
policy hit no profile configured 0