Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Replicación de descifrado SSL

La función de duplicación de descifrado de SSL le permite monitorear el tráfico de aplicación descifrado SSL que entra y sale del dispositivo de la serie SRX. Para obtener más información sobre la duplicación de descifrado SSL, lea este tema.

Descripción de la funcionalidad de duplicación de descifrado SSL

A partir de Junos OS versión 18.4R1, se introduce la funcionalidad de duplicación de descifrado SSL para el proxy de reenvío SSL y para el proxy inverso SSL.

La función de duplicación de descifrado de SSL le permite monitorear el tráfico de aplicación descifrado SSL que entra y sale del dispositivo de la serie SRX. Cuando habilita esta función, el dispositivo serie SRX usa una interfaz Ethernet (la interfaz de duplicación de descifrado SSL configurada) para reenviar una copia del tráfico SSL descifrado a una herramienta de recopilación de tráfico de confianza o a un analizador de red para inspección y análisis. Por lo general, conecta este dispositivo de monitoreo externo a la interfaz de duplicación de descifrado SSL mediante un dispositivo de conmutación. El puerto recopilador de tráfico de espejo externo es el puerto (o interfaz) que recibe la copia del tráfico descifrado desde la interfaz de duplicación de descifrado SSL en el dispositivo de la serie SRX.

Para usar la función de duplicación de descifrado SSL, se define un perfil de proxy SSL y se aplica a la política de seguridad. La regla de política de seguridad le permite definir el tráfico que desea que el dispositivo descifra. Cuando se adjunta el perfil de proxy SSL a la regla de política de seguridad, se descifra el tráfico que coincide con la regla de política de seguridad. La interfaz de duplicación de descifrado SSL ofrece una copia del tráfico DE STARTTLs y HTTPS descifrado (POP3S/SMTPS/IMAPS) a un dispositivo externo de confianza o una herramienta de recopilación de tráfico para inspección y análisis.

Los datos integrados de 5 tuplas del paquete IP descifrado incluyen los mismos valores siguientes que los paquetes IP cifrados:

  • Dirección IP de origen

  • Dirección IP de destino

  • Número de puerto de origen

  • Número de puerto de destino

  • Número de protocolo

Conservar los mismos datos de 5 tuplas sin reconfigurar garantiza que el tráfico descifrado se guarde en formato de captura de paquetes (Wireshark) y que pueda volver a reproducir los datos más tarde.

Solo los números de secuencia TCP y los números ACK se construyen según la carga real descifrada reenviada en el puerto de duplicación de descifrado SSL. Si el tamaño del paquete descifrado supera el tamaño máximo de la unidad de transmisión (MTU) del puerto de duplicación de descifrado SSL, la carga descifrada se divide en varios segmentos TCP según los requisitos de tamaño de MTU.

Descifrado SSL replicación antes o después de la aplicación de políticas

De forma predeterminada, el dispositivo serie SRX reenvía la carga descifrada ssl al puerto espejo antes de que Junos OS aplique los servicios de seguridad de capa 7, incluidos IDP, SKY ATP de Juniper y UTM. Esta opción le permite reproducir eventos y analizar el tráfico que genera una amenaza o desencadena una acción de caída.

También puede configurar la duplicación del tráfico descifrado después de aplicar la política de seguridad. Con esta opción, solo se replica el tráfico que se reenvía a través de la política de seguridad. Sin embargo, si la carga descifrada se modifica mientras se aplica la política de seguridad, la carga descifrada modificada se reenvía en el puerto espejo. De manera similar, si el tráfico descifrado se cae debido a la aplicación de políticas (por ejemplo, cuando se detecta una amenaza en el tráfico descifrado), ese tráfico descifrado en particular no se reenvía en el puerto espejo.

Soporte de replicación de descifrado SSL

  • Compatible con el proxy reenvío SSL y el proxy inverso SSL.

  • Compatible con el tráfico IPv4 e IPv6.

  • El tráfico descifrado SSL disponible en el puerto espejo está en formato de texto sin formato. Todos los conjuntos de cifrado compatibles con proxy SSL admiten la funcionalidad de duplicación de descifrado SSL. Para obtener la lista de conjuntos de cifrado compatibles, consulte Descripción general del proxy SSL.

Beneficios de la duplicación de descifrado SSL

  • Permite la captura completa de datos para auditorías, investigaciones forenses y propósitos históricos.

  • Ofrece prevención de fugas de datos.

  • Permite el procesamiento de seguridad adicional realizado por dispositivos de terceros para IDP, UTM, etc.

  • Proporciona información sobre las amenazas involucradas.

Limitaciones

  • El espejo de descifrado SSL no se puede configurar en la interfaz del túnel st0.

Soporte de duplicación de descifrado SSL en el clúster de chasis

A partir de Junos OS versión 18.4R1-S2 y Junos OS versión 19.2R1, la función de duplicación de descifrado SSL se admite en la interfaz Ethernet redundante (reth) en dispositivos de la serie SRX que operan en un clúster de chasis.

Configuración del espejado de descifrado SSL

En este ejemplo, se muestra cómo habilitar la duplicación del tráfico descifrado SSL en un dispositivo serie SRX.

Configuración

Procedimiento paso a paso

Siga los pasos siguientes para configurar el reflejo de descifrado SSL.

  1. Defina la interfaz de duplicación de descifrado SSL con el número de unidad lógica 0.

  2. Especifique la interfaz de duplicación de descifrado SSL en el perfil de proxy SSL.

    Ge-0/0/2.0 está configurada como interfaz de espejo de descifrado SSL designada.

  3. Especifique la dirección MAC del puerto del recopilador de tráfico de espejo externo.

  4. Cree una política de seguridad especificando los criterios de coincidencia para el tráfico.

  5. Adjunte el perfil de proxy SSL a la regla de política de seguridad.

    Esta configuración permite que el puerto (o interfaz) del recolector de tráfico de espejo externo reciba la copia del tráfico descifrado desde la interfaz de duplicación de descifrado SSL en el dispositivo de la serie SRX.

Resultados

Desde el modo de configuración, ingrese los comandos y show security policies from-zone trust to-zone untrust policy para confirmar la show services ssl proxy profile configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Cualquier dispositivo serie SRX con la versión 18.4R1 o posterior de Junos OS. Este ejemplo de configuración se prueba para Junos OS versión 18.4R1.

No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.

Antes de empezar:

  • Configure el proxy SSL. Consulte Descripción general del proxy SSL.

  • La interfaz de duplicación de descifrado SSL que configure no tiene que formar parte de ninguna zona de seguridad.

  • Asegúrese de que la interfaz de duplicación de descifrado SSL y las interfaces reales de procesamiento de tráfico SSL del cliente-servidor SSL formen parte de la misma instancia de enrutamiento.

  • Asegúrese de que la interfaz de duplicación de descifrado SSL en el dispositivo de la serie SRX y el puerto de recolección de tráfico de espejo externo deben formar parte del mismo dominio de difusión.

Nota:

No es necesario configurar una política de seguridad independiente para permitir el tráfico desde el dispositivo serie SRX hasta la interfaz de duplicación de descifrado SSL.

Visión general

En este ejemplo, configure un perfil de proxy de reenvío SSL especificando el nombre de la interfaz de espejo de descifrado SSL y la dirección MAC del puerto externo del recolector de tráfico de espejo. A continuación, cree una política de seguridad e invoque el proxy SSL como servicio de aplicación en el tráfico permitido. El tráfico que coincide con la regla de política de seguridad se descifra. Una copia de la carga SSL descifrada se encapsula en un paquete IP y se reenvía al puerto del recolector de tráfico de espejo externo a través de la interfaz de espejo de descifrado DE SSL.

La Figura 1 muestra la topología utilizada en este ejemplo.

Figura 1: Replicación SSL Decryption Mirroring de descifrado SSL

La tabla 1 proporciona los detalles de los parámetros utilizados en este ejemplo.

Tabla 1: Parámetros utilizados en el ejemplo de duplicación de descifrado SSL

Parámetro

Nombre

Interfaz de duplicación de descifrado SSL en dispositivo serie SRX

ge-0/0/2.0

Dirección MAC del puerto del recolector de tráfico de espejo externo

00:50:56:a6:5f:1f

Perfil de proxy SSL

perfil 1

Política de seguridad

política 1

Verificación

Verificar la configuración del proxy SSL

Propósito

Confirme que la configuración funciona correctamente mostrando las estadísticas del proxy SSL.

Acción

Desde el modo operativo, ingrese el show services ssl proxy statistics comando.

Tabla de historial de versiones
Lanzamiento
Descripción
18.4R1
A partir de la versión 18.4R1 de Junos OS, se introduce la funcionalidad de duplicación de descifrado SSL para el proxy de reenvío SSL y para el proxy inverso SSL