Inspeção de SSL IDP
Secure Sockets Layer (SSL), também chamado de Segurança de camada de transporte (TLS), é um pacote de protocolo para segurança web que oferece autenticação, confidencialidade e integridade da mensagem. A autenticação protege contra transmissões fraudulentas, permitindo que um navegador da Web valide a identidade de um webserver. Os mecanismos de confidencialidade garantem que as comunicações sejam privadas. A SSL impõe confidencialidade criptografando dados para evitar que usuários não autorizados façam espionagem em comunicações eletrônicas. Por fim, a integridade da mensagem garante que o conteúdo de uma comunicação não tenha sido adulterado.
Para obter mais informações, veja os seguintes tópicos:
Visão geral do IDP SSL
Cada sessão de SSL começa com um aperto de mão durante o qual o cliente e o servidor concordam com a chave de segurança específica e os algoritmos de criptografia a serem usados para essa sessão. Neste momento, o cliente também autentica o servidor. Opcionalmente, o servidor pode autenticar o cliente. Assim que o aperto de mão estiver concluído, a transferência de dados criptografados pode começar.
A Juniper Networks oferece inspeção SSL de detecção e prevenção de intrusões (IDP) que usa o pacote de protocolo SSL que consiste em diferentes versões SSL, cifras e métodos de troca chave. Combinado com o recurso de identificação de aplicativos, o recurso de inspeção SSL permite que os firewalls da Série SRX inspecionem o tráfego HTTP criptografado em SSL em qualquer porta. Os seguintes protocolos SSL são suportados:
SSLv2
SSLv3
TLS
Veja também
Cifras IDP SSL com suporte
Uma cifra SSL compreende cifra de criptografia, método de autenticação e compressão. O Junos OS oferece suporte a todas as cifras apoiadas pelo OPENSSL que não envolvem o uso de chaves privadas temporárias. Para autenticação, os métodos de autenticação NULL, MD5 e SHA-1 são suportados.
As cifras de compressão e SSLv2 não são suportadas. Atualmente, a maioria dos servidores SSL atualiza automaticamente para uma cifra TLS quando uma cifra SSLv2 é recebida em uma mensagem de "olá" do cliente. Verifique seu navegador para ver a força das cifras e quais são compatíveis com o seu navegador. (Se a cifra não estiver na lista de cifras suportadas, a sessão será ignorada para inspeção profunda de pacotes.)
A Tabela 1 mostra os algoritmos de criptografia suportados pelos firewalls da Série SRX.
Material de chave | de tipo | exportável | cipher | expandiu o material chave | chave tamanho | IV |
---|---|---|---|---|---|---|
ZERO |
Não |
Riacho |
0 |
0 |
0 |
N/A |
DES-CBC-SHA |
Não |
Bloquear |
8 |
8 |
56 |
8 |
DES-CBC3-SHA |
Não |
Bloquear |
24 |
24 |
168 |
8 |
AES128-SHA |
Não |
Bloquear |
16 |
16 |
128 |
16 |
AES256-SHA |
Não |
Bloquear |
32 |
32 |
256 |
16 |
Para obter mais informações sobre algoritmos de criptografia, consulte a visão geral /documentation/us/en/software/junos/vpn-ipsec/topics/topic-map/security-ipsec-vpn-overview.html de VPN IPsec. A Tabela 2 mostra as cifras SSL suportadas.
Valor | do Cipher Suites |
---|---|
TLS_RSA_WITH_NULL_MD5 TLS_RSA_WITH_NULL_SHA TLS_RSA_WITH_DES_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA |
0x0001 0x0002 0x0009 0x000A 0x002F 0x0035 |
As cifras RC4 e IDEA não são suportadas devido à licença e à disponibilidade da biblioteca OPENSSL.
Entendendo a troca de chave da Internet IDP
O Internet Key Exchange (IKE) estabelece um segredo de pré-mestre usado para gerar chaves simétricas para criptografia e autenticação de dados em massa. A seção F.1.1 da RFC 2246 define a autenticação da segurança da camada de transporte (TLS) e os principais métodos de troca. Os três principais métodos de troca são:
RSA — Rivest-Shamir-Adleman (RSA) é um algoritmo de troca chave que rege a maneira como os participantes criam chaves simétricas ou um segredo que é usado durante uma sessão de SSL. O algoritmo de troca de chave RSA é o método mais usado.
DSA — Algoritmo de assinatura digital (DSA) adiciona uma opção de autenticação adicional às propostas da Fase 1 do IKE. O DSA pode ser configurado e se comportar de forma análoga à RSA, exigindo que o usuário importe ou crie certificados DSA e configure uma proposta de IKE para usar o DSA. Os certificados digitais são usados para assinaturas RSA, assinaturas DSA e o método de autenticação baseado em criptografia de chave pública RSA no protocolo IKE.
Diffie-Hellman — Diffie-Hellman (DH) é um método de troca chave que permite que os participantes produzam um valor secreto compartilhado. A força da técnica é que ela permite que os participantes criem o valor secreto em um meio inseguro sem passar o valor secreto pelo fio.
Os principais métodos de troca podem usar uma chave de servidor fixa ou temporária. O IDP só pode recuperar o segredo do pré-mestre se uma chave de servidor fixo for usada. Para obter mais informações sobre o Internet Key Exchange, veja elementos básicos do PKI no Junos OS.
O IDP da Juniper não descriptografa sessões de SSL que usam a troca de chaves da Diffie-Hellman.
Visão geral do tratamento de chave criptográfica do IDP
Com o recurso de descriptografia de Camada de Tomada Segura (SSL) de Detecção e Prevenção de Invasões (IDP), os firewalls da Série SRX carregam chaves privadas RSA configuradas para a memória e as usam para estabelecer chaves de sessão SSL para descriptografar dados. O IDP é necessário para descriptografar as chaves RSA e verificar a integridade antes de realizar operações normais de criptografia ou descriptografia usando as chaves.
O objetivo principal deste recurso é garantir que as chaves privadas RSA usadas pelo IDP não sejam armazenadas como texto simples ou em um formato facilmente entendêvel ou utilizável. As chaves são descriptografadas para realizar operações normais de criptografia ou descriptografia. Esse recurso também envolve verificações de detecção de erros durante a cópia das chaves de um local de memória para outro, bem como sobreposição de armazenamento intermediário com padrões nãozeros quando as chaves não são mais necessárias.
O set security idp sensor-configuration ssl-inspection key-protection
comando de configuração CLI é usado para habilitar esse recurso.
Entendendo o gerenciamento de chaves do servidor IDP SSL e a configuração de políticas
O dispositivo pode oferecer suporte a até 1000 chaves privadas de servidor. Cada chave pode ter até 100 servidores que a usam. Essa capacidade é a mesma, independentemente do número de SPUs disponíveis no dispositivo, pois essencialmente cada SPU precisa ser capaz de acessar todas as chaves.
Vários servidores podem compartilhar a mesma chave privada; no entanto, um servidor pode ter apenas uma chave privada. A descriptografia SSL é desabilitada por padrão. As chaves simples e criptografadas são suportadas.
O Junos OS não criptografa o arquivo de chaves SSL.
Você pode definir o valor do parâmetro de tempo limite de cache de sessão SSL usando o set security idp sensor-configuration ssl-inspection session-id-cache-timeout comando. O valor padrão do parâmetro de tempo limite de cache é de 600 segundos.
Configuração de uma inspeção IDP SSL (procedimento CLI)
O decodificador SSL é habilitado por padrão. Se você precisar habilitá-lo manualmente via CLI, use o seguinte comando CLI.
set security idp sensor-configuration detector protocol-name SSL tunable-name sc_ssl_flags tuneable-value 1
Para configurar uma inspeção IDP SSL, use o seguinte procedimento CLI:
[edit security] idp { sensor-configuration { ssl-inspection { sessions <number>; } }
O sensor agora inspeciona o tráfego para o qual ele tem um par de chave/servidor.
Máximo de sessões suportadas por SPU: o valor padrão é de 10.000 e o intervalo é de 1 a 100.000. O limite de sessão é por SPU, e é o mesmo, independentemente do número de SPUs no dispositivo.
Adicionar chaves IDP SSL e servidores associados
Quando você está instalando uma chave, você pode proteger a chave por senha e também associá-la a um servidor.
Para instalar uma chave PEM (Privacy-Enhanced Mail, Correio aprimorado para privacidade), use o seguinte comando CLI:
request security idp ssl-inspection key add key-name file file-path server server-ip password password-string
Em um cluster da Série SRX de dois nós, a chave precisa ser copiada manualmente para o Nós 0 e o Nó 1 no mesmo local para que o comando de solicitação seja bem sucedido.
Você também pode associar a chave a um servidor posteriormente, usando o comando CLI do servidor adicionado. Um servidor pode ser associado a apenas uma chave. Para associar um servidor à chave instalada, use o seguinte comando CLI:
request security idp ssl-inspection key add key-name server server-ip
O comprimento máximo do nome da chave é de 32 bytes, incluindo o final "\0".
Exclusão de chaves SSL IDP e servidores associados
Para excluir todas as chaves e servidores, use o seguinte comando CLI:
user@host> request security idp ssl-inspection key delete
Todas as chaves instaladas são excluídas junto com quaisquer servidores associados.
Para excluir uma chave específica e todos os servidores associados com essa chave, use o seguinte comando CLI:
user@host> request security idp ssl-inspection key delete <key-name>
Elimina a chave especificada e todos os servidores associados a essa chave.
Para excluir um único servidor, use o seguinte comando CLI:
user@host> request security idp ssl-inspection key delete <key-name> server <server-ip>
Exclui o servidor especificado que está vinculado à chave especificada.
Exibição de chaves IDP SSL e servidores associados
-
Para exibir todas as chaves de servidor instaladas e o servidor associado, use o seguinte comando CLI:
user@host> show security idp ssl-inspection key
Exibe todas as chaves do servidor e endereços IP vinculados a essas chaves. O exemplo a seguir mostra a saída CLI quando o
show security idp ssl-inspection key
comando é usado:Total SSL keys : 2 SSL server key and ip address : Key : key1, server : 10.1.1.1 Key : key2, server : 10.2.2.2 Key : key2, server : 10.2.2.3
-
Para exibir endereços IP vinculados a uma chave específica, use o seguinte comando CLI:
user@host> show security idp ssl-inspection key <key-name>
O seguinte é um exemplo da saída CLI recebida quando o
show security idp ssl-inspection key <key-name>
comando é usado:Key : key1, server : 10.1.1.1
Exemplo: configuração do IDP quando o proxy SSL é habilitado
Este exemplo descreve como o IDP oferece suporte à funcionalidade de identificação de aplicativos (AppID) quando o proxy SSL é habilitado.
Requisitos
Antes de começar:
Crie zonas. Veja exemplo: criação de zonas de segurança.
Configure uma lista de endereços com endereços para a política. Veja exemplo: configuração de livros de endereços e conjuntos de endereços.
Crie um aplicativo (ou conjunto de aplicativos) que indique que a política se aplica ao tráfego desse tipo. Veja exemplo: Configuração de aplicativos de políticas de segurança e conjuntos de aplicativos.
Crie um perfil de proxy SSL que habilita o proxy SSL por meio de uma política. Veja a configuração do proxy de encaminhamento SSL.
Configure uma política de IDP como uma política ativa.
Visão geral
Este exemplo mostra como configurar o IDP em uma regra de política quando o proxy SSL é habilitado.
Configuração
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos na CLI no nível de hierarquia e, em seguida, entre no [edit]
commit
modo de configuração.
set security policies from-zone Z_1 to-zone Z_2 policy policy1 match source-address any set security policies from-zone Z_1 to-zone Z_2 policy policy1 match destination-address any set security policies from-zone Z_1 to-zone Z_2 policy policy1 match application junos-https set security policies from-zone Z_1 to-zone Z_2 policy policy1 then permit application-services ssl-proxy profile-name ssl-profile-1 set security policies from-zone Z_1 to-zone Z_2 policy policy1 then permit application-services idp
Procedimento
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Neste exemplo, você configura uma política de segurança que usa o IDP como serviço de aplicativo.
Configure uma política para processar o tráfego com o perfil de proxy SSL ssl-profile-1.
[edit security policies from-zone Z_1 to-zone Z_2 policy policy1 user@host# set match source-address any user@host# set match destination-address any user@host# set match application junos-https user@host# set then permit application-services ssl-proxy profile-name ssl-profile-1
Defina o IDP como o serviço de aplicativo.
[edit security policies from-zone Z_1 to-zone Z_2 policy policy1 user@host# set then permit application-services idp
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security policies
comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
Verificação
Verifique se a configuração está funcionando corretamente. A verificação no IDP é semelhante à verificação no firewall de aplicativos. Veja firewall de aplicativos.
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.