SSL 暗号化解除ミラーリング
SSL暗号化解除ミラーリング機能を使用すると、SSL暗号化解除されたアプリケーショントラフィックが他のデバイスに対して行きSRX シリーズできます。SSL 暗号化解除ミラーリングの詳細については、このトピックを参照してください。
SSL 暗号化解除ミラーリング機能について
最初のJunos OS リリース 18.4R1、SSL フォワード プロキシーおよび SSL リバース プロキシー用の SSL 暗号化解除ミラーリング機能が導入されました。
SSL暗号化解除ミラーリング機能を使用すると、SSL暗号化解除されたアプリケーショントラフィックが他のデバイスに対して行きSRX シリーズできます。この機能を有効にした場合、SRX シリーズ デバイスは、設定された SSL 暗号化解除ミラーリング インターフェイス(イーサネット インターフェイス)を使用して、暗号化解除された SSL トラフィックのコピーを信頼できるトラフィック収集ツールまたはネットワーク アナライザに転送して、インスペクションと分析を行います。通常、この外部監視デバイスは、スイッチング デバイスを介して SSL 暗号化解除ミラーリング インターフェイスに接続します。外部ミラー トラフィック コレクター ポートは、デバイス上の SSL 暗号化解除ミラーリング インターフェイスから暗号化解除されたトラフィックのコピーを受信するポート(またはインターフェイス)SRX シリーズです。
SSL 暗号化解除ミラーリング機能を使用するには、SSL プロキシー プロファイルを定義してセキュリティー ポリシーに適用します。セキュリティ ポリシー ルールでは、デバイスで暗号化解除するトラフィックを定義できます。SSL プロキシー プロファイルをセキュリティー ポリシー ルールにアタッチすると、セキュリティー ポリシー ルールに一致するトラフィックが復号化されます。SSL 暗号化解除ミラーリング インターフェイスは、暗号化解除された HTTPS および STARTTLS(POP3S/SMTPS/IMAPS)トラフィックのコピーを信頼できる外部デバイスまたはトラフィック収集ツールに配信し、インスペクションと分析に使用します。
暗号化解除された IP パケットの組み込みの 5 要素データには、暗号化された IP パケットと同じ値が含まれています。
送信元 IP アドレス
宛先 IP アドレス
送信元ポート番号
宛先ポート番号
プロトコル番号
再設定を行わずに同じ 5 要素データを保持すると、暗号化解除されたトラフィックがパケット キャプチャ形式(Wireshark)で保存され、後でデータを再プレイできます。
SSL 暗号化解除ミラーリング ポートで転送された実際の暗号化解除されたペイロードに基づいて、TCP シーケンス番号と ACK 番号だけが作成されます。暗号化解除されたパケットのサイズが SSL 暗号化解除ミラーリング ポートの 最大送信単位(MTU)サイズを超える場合、暗号化解除されたペイロードは MTU サイズの要件に基づいて複数の TCP セグメントに分割されます。
- ポリシー適用前/適用後の SSL 暗号化解除ミラーリング
- SSL 暗号化解除ミラーリングのサポート
- SSL 暗号化解除ミラーリングのメリット
- 制限
- シャーシ クラスタでの SSL 暗号化解除ミラーリングのサポート
ポリシー適用前/適用後の SSL 暗号化解除ミラーリング
デフォルトでは、SRX シリーズ デバイスは、Junos OS が IDP、ジュニパー SKY ATP、UTM などのレイヤー 7 セキュリティ サービスを適用する前に、SSL 暗号化解除されたペイロードをミラー ポートに転送します。このオプションを使用すると、イベントをリプレイして、脅威を生成またはドロップ アクションをトリガーするトラフィックを分析できます。
また、セキュリティ ポリシーを適用した後に、暗号化解除されたトラフィックのミラーリングを設定できます。このオプションを使用すると、セキュリティ ポリシーを介して転送されたトラフィックだけがミラーリングされます。ただし、暗号化解除されたペイロードがセキュリティ ポリシー適用時に変更された場合、変更した暗号化解除されたペイロードはミラー ポート上で転送されます。同様に、(暗号化解除されたトラフィックで脅威が検出された場合など)ポリシー適用により、暗号化解除されたトラフィックがドロップされた場合、その特定の暗号化解除されたトラフィックはミラー ポート上で転送されません。
SSL 暗号化解除ミラーリングのサポート
SSL フォワード プロキシーおよび SSL リバース プロキシーに対応。
IPv4 と IPv6 の両方のトラフィックに対応。
ミラー ポートで使用可能な SSL 暗号化解除トラフィックはクリアテキスト形式です。SSL プロキシーでサポートされる暗号スイートはすべて、SSL 暗号化解除ミラーリング機能をサポートしています。サポートされる暗号スイートのリストについては、「 SSL プロキシーの概要 」を参照してください。
SSL 暗号化解除ミラーリングのメリット
監査、分析調査、履歴の目的で包括的なデータ キャプチャが可能です。
データ漏洩防止を提供します。
サードパーティ製アプライアンスによる追加のセキュリティ処理を、IDP、UTM可能。
関係する脅威に関するインサイトを提供します。
制限
ssl 暗号化解除ミラーリングは、st0 トンネル インターフェイス上に設定できません。
シャーシ クラスタでの SSL 暗号化解除ミラーリングのサポート
Junos OS リリース 18.4R1-S2 および Junos OS リリース 19.2R1 から、SSL 暗号化解除ミラーリング機能は、シャーシ クラスタで動作している SRX シリーズ デバイスの冗長イーサネット(reth)インターフェイスでサポートされています。
set interfaces reth20 redundant-ether-options redundancy-group 1 set interfaces reth20 unit 0 family inet
SSL 暗号化解除ミラーリングの設定
この例では、特定のデバイス上でSSL暗号化解除されたトラフィックのミラーリングを有効SRX シリーズします。
構成
手順
次の手順に従って、SSL 暗号化解除ミラーリングを構成します。
論理ユニット番号 0 を使用して SSL 暗号化解除ミラーリング インターフェイスを定義します。
user@host#set interfaces ge-0/0/2 unit 0SSL プロキシ プロファイルで SSL 暗号化解除ミラーリング インターフェイスを指定します。
user@host#set services ssl proxy profile profile-1 mirror-decrypt-traffic interface ge-0/0/2.0Ge-0/0/2.0 は、指定された SSL 暗号化解除ミラーリング インターフェイスとして設定されています。
外部ミラー トラフィック MAC アドレス の名前を指定します。
user@host#set services ssl proxy profile profile-1 mirror-decrypt-traffic destination-mac-address 00:50:56:a6:5f:1fトラフィックの一致条件を指定してセキュリティ ポリシーを作成します。
user@host#set security policies from-zone trust to-zone untrust policy policy-1 match source-address anyuser@host#set security policies from-zone trust to-zone untrust policy policy-1 match destination-address anyuser@host#set security policies from-zone trust to-zone untrust policy policy-1 match application anySSL プロキシー プロファイルをセキュリティー ポリシー ルールに接続します。
user@host#set security policies from-zone trust to-zone untrust policy policy-1 then permit application-services ssl-proxy profile-name profile-1この設定では、外部ミラー トラフィック コレクター ポート(またはインターフェイス)が、暗号化解除されたトラフィックのコピーを、デバイス上の SSL 暗号化解除ミラーリング インターフェイスからSRX シリーズできます。
結果
設定モードから、 および コマンドを入力して設定 show services ssl proxy profile を確認 show security policies from-zone trust to-zone untrust policy します。出力結果に意図した設定結果が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show services ssl proxy profile profile-1
server-certificate Email_server_cert;
mirror-decrypt-traffic {
interface ge-0/0/2.0;
destination-mac-address 00:50:56:a6:5f:1f;
}
[edit]
user@host# show security policies from-zone trust to-zone untrust policy policy-1
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
ssl-proxy {
profile-name profile-1;
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
要件
この例では、次のハードウェアとソフトウェアのコンポーネントを使用しています。
リリース SRX シリーズが含Junos OSデバイス18.4R1デバイス。この構成例は、リリース 100 でのJunos OSテスト18.4R1。
この機能を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。
開始する前に、以下を実行します。
SSL プロキシを設定します。「 SSL プロキシーの概要 」を参照してください。
設定した SSL 暗号化解除ミラーリング インターフェイスは、どのセキュリティ ゾーンにも含されている必要があります。
SSL暗号化解除ミラーリング インターフェイスと実際のクライアントサーバーSSLトラフィック処理インターフェイスが、同じルーティング インスタンスの一部ことを確認します。
デバイスのサーバー上の SSL 暗号化解除ミラーリング インターフェイスとSRX シリーズ外部ミラー トラフィック コレクター ポートが同じブロードキャスト ドメインの一部である必要があります。
デバイスから SSL 暗号化解除ミラーリング インターフェイスへのトラフィックを許可SRX シリーズ別のセキュリティー ポリシーを設定する必要があります。
概要
この例では、SSL 暗号化解除ミラーリング インターフェイスの名前と外部ミラー トラフィック コレクター ポートの MAC アドレス を指定して、SSL フォワード プロキシー プロファイルを設定します。次に、セキュリティー ポリシーを作成し、許可されたトラフィック上でアプリケーション サービスとして SSL プロキシーを呼び出します。セキュリティ ポリシー ルールに一致するトラフィックが暗号化解除されます。その後、暗号化解除された SSL ペイロードのコピーが IP パケットにカプセル化され、SSL 暗号化解除ミラーリング インターフェイスを介して外部ミラー トラフィック コレクター ポート上のポートに転送されます。
図 1 は 、この例で使用されているトポロジを示しています。
表 1 は 、この例で使用されるパラメーターの詳細を示しています。
パラメーター |
名前 |
|---|---|
デバイス上の SSL 暗号化解除ミラーリング インターフェイスSRX シリーズ |
ge-0/0/2.0 |
MAC アドレス ミラー トラフィック コレクター ポートの数 |
00:50:56:a6:5f:1f |
SSL プロキシー プロファイル |
profile-1 |
セキュリティ ポリシー |
ポリシー 1 |
検証
SSL プロキシー構成の検証
目的
SSL プロキシの統計情報を表示して、設定が正常に機能されていることを確認します。
アクション
動作モードから コマンドを入力 show services ssl proxy statistics します。
user@host> show services ssl proxy statistics
PIC:fwdd0 fpc[0] pic[0]
sessions matched 30647
sessions bypassed:non-ssl 0
sessions bypassed:mem overflow 0
sessions bypassed:low memory 0
sessions created 25665
sessions ignored 0
sessions active 0
sessions dropped 0
sessions whitelisted 0
whitelisted url category match 0
default profile hit 0
session dropped no default profile 0
policy hit no profile configured 0