IDP-SSL-Prüfung
IDP SSL Inspection ermöglicht es Firewalls der SRX-Serie, SSL-verschlüsselten HTTP-Datenverkehr über jeden Port zu untersuchen.
SSL, der Vorgänger von TLS, ist eine Protokollsuite für Websicherheit, die Authentifizierung, Vertraulichkeit und Nachrichtenintegrität bietet. Die Authentifizierung schützt vor betrügerischen Übertragungen, indem sie es einem Browser ermöglicht, die Identität eines Webservers zu überprüfen. Vertraulichkeitsmechanismen stellen sicher, dass die Kommunikation privat ist. SSL erzwingt die Vertraulichkeit durch Verschlüsselung von Daten, um zu verhindern, dass unbefugte Benutzer die elektronische Kommunikation belauschen. Schließlich stellt die Nachrichtenintegrität sicher, dass der Inhalt einer Kommunikation nicht manipuliert wurde.
Weitere Informationen finden Sie in den folgenden Themen:
IDP SSL Übersicht
Jede SSL-Sitzung beginnt mit einem Handshake, bei dem sich Client und Server auf den spezifischen Sicherheitsschlüssel und die Verschlüsselungsalgorithmen einigen, die für diese Sitzung verwendet werden sollen. Zu diesem Zeitpunkt authentifiziert der Client auch den Server. Optional kann der Server den Client authentifizieren. Sobald der Handshake abgeschlossen ist, kann mit der Übertragung der verschlüsselten Daten begonnen werden.
Juniper Networks bietet eine Intrusion Detection and Prevention (IDP) SSL-Prüfung, bei der die SSL-Protokollsuite verwendet wird, die aus verschiedenen SSL-Versionen, Verschlüsselungen und Schlüsselaustauschmethoden besteht. In Kombination mit der Funktion "Anwendungsidentifikation" können Firewalls der SRX-Serie mit der Funktion "SSL-Prüfung" den in SSL verschlüsselten HTTP-Datenverkehr an jedem Port untersuchen. Folgende SSL-Protokolle werden unterstützt:
SSLv2
SSLv3
TLS (TLS)
Siehe auch
Unterstützte IDP-SSL-Verschlüsselungen
Eine SSL-Verschlüsselung umfasst Verschlüsselung, Verschlüsselung, Authentifizierungsmethode und Komprimierung. Junos OS unterstützt alle von OPENSSL unterstützten Verschlüsselungen, die keine Verwendung temporärer privater Schlüssel beinhalten. Für die Authentifizierung werden die Authentifizierungsmethoden NULL, MD5 und SHA-1 unterstützt.
Komprimierung und SSLv2-Verschlüsselungen werden nicht unterstützt. Derzeit werden die meisten SSL-Server automatisch auf eine TLS-Verschlüsselung aktualisiert, wenn eine SSLv2-Verschlüsselung in einer Client-"Hallo"-Nachricht empfangen wird. Überprüfen Sie Ihren Browser, um zu sehen, wie stark die Verschlüsselungen sein können und welche Ihr Browser unterstützt. (Wenn die Verschlüsselung nicht in der Liste der unterstützten Verschlüsselungen enthalten ist, wird die Sitzung für die Deep Packet Inspection ignoriert.)
Tabelle 1 zeigt die Verschlüsselungsalgorithmen, die von den Firewalls der SRX-Serie unterstützt werden.
| Exportierbarer Chiffriertyp | Schlüsselmaterial | Erweitertes Schlüsselmaterial | Effektive Schlüsselbits | IV-Größe | ||
|---|---|---|---|---|---|---|
NULL |
Nein |
Bach |
0 |
0 |
0 |
N/A |
DES-CBC-SHA |
Nein |
Block |
8 |
8 |
56 |
8 |
DES-CBC3-SHA |
Nein |
Block |
24 |
24 |
168 |
8 |
AES128-SHA |
Nein |
Block |
16 |
16 |
128 |
16 |
AES256-SHA |
Nein |
Block |
32 |
32 |
256 |
16 |
Weitere Informationen zu Verschlüsselungsalgorithmen finden Sie unter IPsec VPN Overview /documentation/us/en/software/junos/vpn-ipsec/topics/topic-map/security-ipsec-vpn-overview.html. Tabelle 2 zeigt die unterstützten SSL-Verschlüsselungen.
| Wert von Cipher Suites | |
|---|---|
TLS_RSA_WITH_NULL_MD5 TLS_RSA_WITH_NULL_SHA TLS_RSA_WITH_DES_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA |
0x0001 0x0002 0x0009 0x000A 0x002F 0x0035 |
RC4- und IDEA-Chiffren werden aufgrund der Verfügbarkeit von Lizenzen und OPENSSL-Bibliotheken nicht unterstützt.
Grundlegendes zum IDP Internet Key Exchange
Internet Key Exchange (IKE) richtet einen geheimen Premaster-Schlüssel ein, der zum Generieren symmetrischer Schlüssel für die Massendatenverschlüsselung und -authentifizierung verwendet wird. Abschnitt F.1.1 von RFC 2246 definiert die TLS-Authentifizierung (Transportschicht Security) und Schlüsselaustauschmethoden. Die drei wichtigsten Austauschmethoden sind:
RSA – Rivest-Shamir-Adleman (RSA) ist ein Schlüsselaustauschalgorithmus, der die Art und Weise steuert, wie Teilnehmer symmetrische Schlüssel oder ein Geheimnis erstellen, das während einer SSL-Sitzung verwendet wird. Der RSA-Schlüsselaustauschalgorithmus ist die am häufigsten verwendete Methode.
DSA: Digital Signature Algorithm (DSA) fügt den IKE-Phase-1-Vorschlägen eine zusätzliche Authentifizierungsoption hinzu. Der DSA kann konfiguriert werden und verhält sich analog zum RSA, sodass der Benutzer DSA-Zertifikate importieren oder erstellen und einen IKE-Vorschlag für die Verwendung des DSA konfigurieren muss. Digitale Zertifikate werden für RSA-Signaturen, DSA-Signaturen und die auf RSA-Public-Key-Verschlüsselung basierende Authentifizierungsmethode im IKE-Protokoll verwendet.
Diffie-Hellman: Diffie-Hellman (DH) ist eine Schlüsselaustauschmethode, mit der Teilnehmer einen gemeinsamen geheimen Wert erzeugen können. Die Stärke der Technik besteht darin, dass sie es den Teilnehmern ermöglicht, den geheimen Wert über ein ungesichertes Medium zu erstellen, ohne den geheimen Wert durch den Draht zu leiten.
Die Schlüsselaustauschmethoden können entweder einen festen oder einen temporären Serverschlüssel verwenden. IDP kann den geheimen Premasterschlüssel nur dann erfolgreich abrufen, wenn ein fester Serverschlüssel verwendet wird. Weitere Informationen zu Internet Key Exchange finden Sie unter Grundlegende Elemente der PKI in Junos OS.
Juniper IDP entschlüsselt keine SSL-Sitzungen, die den Diffie-Hellman-Schlüsselaustausch verwenden.
Übersicht über die Handhabung kryptografischer Schlüssel von IDP
Mit der Intrusion Detection and Prevention (IDP) Secure Sockets Layer (SSL)-Entschlüsselungsfunktion laden Firewalls der SRX-Serie konfigurierte private RSA-Schlüssel in den Speicher und verwenden sie zum Einrichten von SSL-Sitzungsschlüsseln zur Entschlüsselung von Daten. Der IDP ist erforderlich, um die RSA-Schlüssel zu entschlüsseln und die Integrität zu überprüfen, bevor er normale Verschlüsselungs- oder Entschlüsselungsvorgänge mit den Schlüsseln durchführt.
Der Hauptzweck dieser Funktion besteht darin, sicherzustellen, dass private RSA-Schlüssel, die von IDPs verwendet werden, nicht als Klartext oder in einem leicht verständlichen oder verwendbaren Format gespeichert werden. Die Schlüssel werden entschlüsselt, um normale Verschlüsselungs- oder Entschlüsselungsvorgänge durchzuführen. Diese Funktion umfasst auch Fehlererkennungsprüfungen beim Kopieren der Schlüssel von einem Speicherort zu einem anderen sowie das Überschreiben des Zwischenspeichers mit Mustern ungleich Null, wenn die Schlüssel nicht mehr benötigt werden.
Der set security idp sensor-configuration ssl-inspection key-protection CLI-Konfigurationsbefehl wird verwendet, um diese Funktion zu aktivieren.
Grundlegendes zur Verwaltung von IDP-SSL-Serverschlüsseln und zur Konfiguration von Richtlinien
Das Gerät kann bis zu 1000 private Serverschlüssel unterstützen. Jeder Schlüssel kann von bis zu 100 Servern verwendet werden. Diese Kapazität ist unabhängig von der Anzahl der auf dem Gerät verfügbaren SPUs gleich, da im Wesentlichen jede SPU in der Lage sein muss, auf alle Schlüssel zuzugreifen.
Mehrere Server können denselben privaten Schlüssel verwenden. Ein Server kann jedoch nur über einen privaten Schlüssel verfügen. Die SSL-Entschlüsselung ist standardmäßig deaktiviert. Es werden sowohl einfache als auch verschlüsselte Schlüssel unterstützt.
Junos OS verschlüsselt die SSL-Schlüsseldatei nicht.
Sie können den Wert des Parameters SSL-Sitzungs-ID-Cache-Timeout mit dem set security idp sensor-configuration ssl-inspection session-id-cache-timeout Befehl festlegen. Der Standardwert des Cache-Timeout-Parameters beträgt 600 Sekunden.
Konfigurieren einer IDP-SSL-Prüfung (CLI-Verfahren)
Der SSL-Decoder ist standardmäßig aktiviert. Wenn Sie es manuell über die CLI aktivieren müssen, verwenden Sie den folgenden CLI-Befehl.
set security idp sensor-configuration detector protocol-name SSL tunable-name sc_ssl_flags tuneable-value 1
Verwenden Sie das folgende CLI-Verfahren, um eine IDP-SSL-Prüfung zu konfigurieren:
[edit security]
idp {
sensor-configuration {
ssl-inspection {
sessions <number>;
}
}
Der Sensor überprüft nun den Datenverkehr, für den er über ein Schlüssel-Server-Paar verfügt.
Maximal unterstützte Sitzungen pro SPU: Der Standardwert ist 10.000 und der Bereich liegt zwischen 1 und 100.000. Das Sitzungslimit gilt pro SPU und ist unabhängig von der Anzahl der SPUs auf dem Gerät gleich.
Hinzufügen von IDP-SSL-Schlüsseln und zugehörigen Servern
Wenn Sie einen Schlüssel installieren, können Sie den Schlüssel mit einem Kennwort schützen und ihn auch einem Server zuordnen.
Verwenden Sie den folgenden CLI-Befehl, um einen PEM-Schlüssel (Privacy-Enhanced Mail) zu installieren:
request security idp ssl-inspection key add key-name file file-path server server-ip password password-string
In einem Cluster der SRX-Serie mit zwei Knoten muss der Schlüssel manuell auf Knoten 0 und Knoten 1 am selben Speicherort kopiert werden, damit der Anforderungsbefehl erfolgreich ausgeführt werden kann.
Sie können den Schlüssel auch zu einem späteren Zeitpunkt mit einem Server verknüpfen, indem Sie den CLI-Befehl add server verwenden. Ein Server kann nur mit einem Schlüssel verknüpft werden. Verwenden Sie den folgenden CLI-Befehl, um einen Server mit dem installierten Schlüssel zu verknüpfen:
request security idp ssl-inspection key add key-name server server-ip
Die maximale Länge des Schlüsselnamens beträgt 32 Bytes, einschließlich der Endung "\0".
Löschen von IDP-SSL-Schlüsseln und zugehörigen Servern
Um alle Schlüssel und Server zu löschen, verwenden Sie den folgenden CLI-Befehl:
user@host> request security idp ssl-inspection key deleteAlle installierten Schlüssel werden zusammen mit allen zugehörigen Servern gelöscht.
Verwenden Sie den folgenden CLI-Befehl, um einen bestimmten Schlüssel und alle mit diesem Schlüssel verknüpften Server zu löschen:
user@host> request security idp ssl-inspection key delete <key-name>Löscht den angegebenen Schlüssel und alle Server, die diesem Schlüssel zugeordnet sind.
Um einen einzelnen Server zu löschen, verwenden Sie den folgenden CLI-Befehl:
user@host> request security idp ssl-inspection key delete <key-name> server <server-ip>
Löscht den angegebenen Server, der an den angegebenen Schlüssel gebunden ist.
Anzeigen von IDP-SSL-Schlüsseln und zugehörigen Servern
-
Verwenden Sie den folgenden CLI-Befehl, um alle installierten Serverschlüssel und den zugehörigen Server anzuzeigen:
user@host> show security idp ssl-inspection key
Zeigt alle Serverschlüssel und IP-Adressen an, die an diese Schlüssel gebunden sind. Das folgende Beispiel zeigt die CLI-Ausgabe, wenn der
show security idp ssl-inspection keyBefehl verwendet wird:Total SSL keys : 2 SSL server key and ip address : Key : key1, server : 10.1.1.1 Key : key2, server : 10.2.2.2 Key : key2, server : 10.2.2.3 -
Verwenden Sie den folgenden CLI-Befehl, um IP-Adressen anzuzeigen, die an einen bestimmten Schlüssel gebunden sind:
user@host> show security idp ssl-inspection key <key-name>
Im Folgenden finden Sie ein Beispiel für die CLI-Ausgabe, die bei Verwendung des
show security idp ssl-inspection key <key-name>Befehls empfangen wird:Key : key1, server : 10.1.1.1
Beispiel: Konfigurieren von IDP bei aktiviertem SSL-Proxy
In diesem Beispiel wird beschrieben, wie IDP die Anwendungsidentifikationsfunktion (AppID) unterstützt, wenn der SSL-Proxy aktiviert ist.
Anforderungen
Bevor Sie beginnen:
Erstellen von Zonen. Siehe Beispiel: Erstellen von Sicherheitszonen.
Konfigurieren Sie ein Adressbuch mit Adressen für die Richtlinie. Siehe Beispiel: Konfigurieren von Adressbüchern und Adresssätzen.
Erstellen Sie eine Anwendung (oder einen Anwendungssatz), die angibt, dass die Richtlinie für Datenverkehr dieses Typs gilt. Siehe Beispiel: Konfigurieren von Sicherheitsrichtlinienanwendungen und Anwendungsgruppen.
Erstellen Sie ein SSL-Proxyprofil, das SSL-Proxy mithilfe einer Richtlinie aktiviert. Weitere Informationen finden Sie unter Konfigurieren des SSL-Proxys.
Konfigurieren Sie eine IDP-Richtlinie als aktive Richtlinie.
Überblick
In diesem Beispiel wird gezeigt, wie IDP in einer Richtlinienregel konfiguriert wird, wenn der SSL-Proxy aktiviert ist.
Konfiguration
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die erforderlich sind, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie dann die Befehle, fügen Sie sie auf der Hierarchieebene in die CLI ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security policies from-zone Z_1 to-zone Z_2 policy policy1 match source-address any set security policies from-zone Z_1 to-zone Z_2 policy policy1 match destination-address any set security policies from-zone Z_1 to-zone Z_2 policy policy1 match application junos-https set security policies from-zone Z_1 to-zone Z_2 policy policy1 then permit application-services ssl-proxy profile-name ssl-profile-1 set security policies from-zone Z_1 to-zone Z_2 policy policy1 then permit application-services idp
Verfahren
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
In diesem Beispiel konfigurieren Sie eine Sicherheitsrichtlinie, die IDP als Anwendungsdienst verwendet.
Konfigurieren Sie eine Richtlinie für die Verarbeitung des Datenverkehrs mit dem SSL-Proxyprofil ssl-profile-1.
[edit security policies from-zone Z_1 to-zone Z_2 policy policy1 user@host# set match source-address any user@host# set match destination-address any user@host# set match application junos-https user@host# set then permit application-services ssl-proxy profile-name ssl-profile-1
Definieren Sie IDP als Anwendungsdienst.
[edit security policies from-zone Z_1 to-zone Z_2 policy policy1 user@host# set then permit application-services idp
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security policies Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
Verifizierung
Überprüfen Sie, ob die Konfiguration ordnungsgemäß funktioniert. Die Überprüfung in IDP ähnelt der Überprüfung in der Anwendungs-Firewall. Weitere Informationen finden Sie unter Anwendungs-Firewall.
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.