{"id":3378,"date":"2017-05-17T13:35:06","date_gmt":"2017-05-17T11:35:06","guid":{"rendered":"http:\/\/vm.piszki.pl\/?p=3378"},"modified":"2017-05-17T13:35:06","modified_gmt":"2017-05-17T11:35:06","slug":"trend-micro-deep-security-inspekcja-ruchu-ssl","status":"publish","type":"post","link":"https:\/\/vm.piszki.pl\/?p=3378","title":{"rendered":"Trend Micro Deep Security – Inspekcja ruchu SSL"},"content":{"rendered":"

O Trend Micro Deep Security na tym blogu pisa\u0142em wielokrotnie, nie wspomina\u0142em jednak do tej pory o jednej z funkcji tego rozwi\u0105zania, czyli inspekcji ruchu SSL. Zgodnie z ostatnimi statystykami<\/a> Google, ponad 70% ruchu w sieci jest ju\u017c szyfrowane. Oznacza to, \u017ce wszystkie rozwi\u0105zania IDS\/IPS\/WAF kt\u00f3re nie potrafi\u0105 rozszywa\u0107 ruchu SSL i dokonywa\u0107 jego inspekcji, s\u0105 bezradne wobec atak\u00f3w! W przypadku Deep Security mamy mo\u017cliwo\u015b\u0107 w\u0142\u0105czenia inspekcji SSL na poziomie modu\u0142u Intrusion Prevention. Oczywi\u015bcie nie osi\u0105gniemy tutaj takiej wydajno\u015bci i skuteczno\u015bci jak w przpakdu np. BIG-IP F5, nie mam mowy tez o SSL-Offload, ale dzi\u0119ki temu podniesiemy wyra\u017anie poziom bezpiecze\u0144stwa ochranianych us\u0142ug.<\/p>\n

\"pobrane\"<\/a><\/p>\n

<\/p>\n

Inspekcja ruchu SSL niesie ze sob\u0105 pewne ograniczenia, w\u0142\u0105czenie jej bezmy\u015blnie mo\u017ce doprowadzi\u0107 do odci\u0119cia us\u0142ugi. W tym po\u015bcie opisz\u0119, na przyk\u0142adzie Apache HTTPD, jak to zrobi\u0107 bezpiecznie i skutecznie. Wspomniane ograniczenia bior\u0105 si\u0119 ze sposobu obs\u0142ugi inspekcji SSL przez Trend Micro Deep Security, to czego nie potrafi zdeszyfrowa\u0107, jest z automatu blokowane. Dlatego opr\u00f3cz w\u0142\u0105czenia inspekcji, nale\u017cy odpowiednio przygotowa\u0107 us\u0142ug\u0119 (w tym wypadku Apache Httpd). Zaczniemy od warunk\u00f3w jakie musz\u0105 by\u0107 spe\u0142nione. Deep Security wspiera protoko\u0142y SSL 3.0, TLS 1.0-1.2, dodatkowo nie wspierana jest kompresja SSL oraz Diffie-Hellman jako protok\u00f3\u0142 autentykacji przy zestawianiu po\u0142\u0105czenia szyfrowanego (handshake) . Mamy te\u017c ograniczon\u0105 liczb\u0119 wspieranych szyfr\u00f3w (cipher), protoko\u0142y te to:<\/p>\n

RC4-MD5
\nRC4-SHA
\nDES-CBC-SHA
\nDES-CBC3-SHA
\nAES128-SHA
\nAES256-SHA
\nAES128-SHA256
\nAES256-SHA256
\nCAMELLIA128-SHA
\nCAMELLIA256-SHA
\nDES-CBC3-MD5<\/p>\n

U\u017cywaj\u0105c tych protoko\u0142\u00f3w nie dostaniecie zielonej ikonki w \u017cadnym te\u015bcie typu \u201cSSL Check\u201d, co nie oznacza, \u017ce AES256-SHA256 jest protoko\u0142em do z\u0142amania (wiem wiem). W kwestii bezpiecze\u0144stwa jest to zawsze wywa\u017cenie pryncypi\u00f3w, co jest wa\u017cniejsze? Mocne szyfrowanie czy inspekcja zaszyfrowanego ruchu? W przypadku us\u0142ugi nie krytycznej, jak\u0105 jest m\u00f3j blog, interesuje mnie inspekcja i ochrona przed atakami. Odpowiednie przygotowanie konfiguracji wygl\u0105da tak, \u017ce dodajemy odpowiednie dyrektywy do pliku konfiguracyjnego:<\/p>\n

SSLEngine on
\nSSLProtocol\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
\nSSLCipherSuite\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 AES128-SHA:AES256-SHA:CAMELLIA128-SHA:CAMELLIA256-SHA:DES-CBC3-MD5:AES128-SHA256:AES256-SHA256:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!DH:!EDH:!ADH
\nSSLHonorCipherOrder\u00a0\u00a0\u00a0\u00a0 on
\nSSLCompression\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 off
\nSSLOptions +StrictRequire<\/p>\n

U\u017cycie szyfru AES128-SHA jako pierwszego jest te\u017c kompromisem pomi\u0119dzy bezpiecze\u0144stwem a szybko\u015bci\u0105 dzia\u0142ania. Im \u201cci\u0119\u017cszy\u201d szyfr tym potrzebujemy wi\u0119cej mocy na deszyfracj\u0119 i czasu na jej przeprowadzenie. Aby deszyfrowa\u0107 ruch, potrzebujemy wgra\u0107 klucz i certyfikat do Deep Security w module Intrusion Prevention w sekcji Advanced.<\/p>\n

\"ssl1\"<\/a><\/p>\n

W trakcie konfiguracji musimy poda\u0107, port, interfejs, wskaza\u0107 IP (wybrany, lista lub wszystkie) oraz za\u0142adowa\u0107 zestaw klucz certyfikat wraz z has\u0142em.<\/p>\n

\"ssl2\"<\/a><\/p>\n

W przypadku konkretnej, znanej Deep Security us\u0142ugi, kt\u00f3ra jest wystawiona na niestandardowym porcie. Musimy zmodyfikowa\u0107 odpowiedni\u0105 regu\u0142\u0119 IPS lub list\u0119 port\u00f3w dost\u0119pn\u0105 w zak\u0142adce \u201cPolicies\u201d. Dla Apache by\u0142aby to regu\u0142a \u201cWeb Server Common\u201d, bez wskazania w\u0142a\u015bciwego portu regu\u0142a ta nie zadzia\u0142a.<\/p>\n

\"ssl3\"<\/a><\/p>\n

Pami\u0119tajmy te\u017c, \u017ce licencja VMware NSX for vSphere nie wspiera bez agentowej inspekcji ruchu dla IPS, tutaj musimy zastosowa\u0107 ochron\u0119 agentow\u0105. Je\u015bli wszystko poprawnie skonfigurowali\u015bmy, to dzia\u0142a i us\u0142uga i IPS.<\/p>\n

\"ssl4\"<\/a><\/p>\n

Interpretacja tego obrazka jest bardzo ciekawa, to co widzimy oznacza, \u017ce przychodz\u0105 z Internetu konkretne skany pr\u00f3buj\u0105ce wymusi\u0107 u\u017cycie dziurawego, s\u0142abego, nie wspieranego szyfru. I to pomimo, \u017ce Apache przy zapinaniu sesji zwraca list\u0119 protoko\u0142\u00f3w i szyfr\u00f3w jakie jest w stanie obs\u0142u\u017cy\u0107. A wed\u0142ug test\u00f3w jakie przeprowadzi\u0142em (SSL Check) to sam AES128-SHA jest wspierany przez 99% procent przegl\u0105darek funkcjonuj\u0105cych na rynku.<\/p>\n

<\/div>","protected":false},"excerpt":{"rendered":"

O Trend Micro Deep Security na tym blogu pisa\u0142em wielokrotnie, nie wspomina\u0142em jednak do tej pory o jednej z funkcji tego rozwi\u0105zania, czyli inspekcji ruchu SSL. Zgodnie z ostatnimi statystykami Google, ponad 70% ruchu w sieci jest ju\u017c szyfrowane. Oznacza … Continue reading →<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":1536,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"yasr_overall_rating":0,"yasr_post_is_review":"","yasr_auto_insert_disabled":"","yasr_review_type":"","footnotes":""},"categories":[45],"tags":[16,118,41],"class_list":["post-3378","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-poradniki","tag-deep-security","tag-ips","tag-ssl"],"yasr_visitor_votes":{"stars_attributes":{"read_only":false,"span_bottom":false},"number_of_votes":0,"sum_votes":0},"_links":{"self":[{"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/posts\/3378"}],"collection":[{"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3378"}],"version-history":[{"count":4,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/posts\/3378\/revisions"}],"predecessor-version":[{"id":3382,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/posts\/3378\/revisions\/3382"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/media\/1536"}],"wp:attachment":[{"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3378"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3378"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3378"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}