Replicación de descifrado SSL
La función de duplicación de descifrado de SSL le permite monitorear el tráfico de aplicación descifrado SSL que entra y sale del dispositivo de la serie SRX. Para obtener más información sobre la duplicación de descifrado SSL, lea este tema.
Descripción de la funcionalidad de duplicación de descifrado SSL
A partir de Junos OS versión 18.4R1, se introduce la funcionalidad de duplicación de descifrado SSL para el proxy de reenvío SSL y para el proxy inverso SSL.
La función de duplicación de descifrado de SSL le permite monitorear el tráfico de aplicación descifrado SSL que entra y sale del dispositivo de la serie SRX. Cuando habilita esta función, el dispositivo serie SRX usa una interfaz Ethernet (la interfaz de duplicación de descifrado SSL configurada) para reenviar una copia del tráfico SSL descifrado a una herramienta de recopilación de tráfico de confianza o a un analizador de red para inspección y análisis. Por lo general, conecta este dispositivo de monitoreo externo a la interfaz de duplicación de descifrado SSL mediante un dispositivo de conmutación. El puerto recopilador de tráfico de espejo externo es el puerto (o interfaz) que recibe la copia del tráfico descifrado desde la interfaz de duplicación de descifrado SSL en el dispositivo de la serie SRX.
Para usar la función de duplicación de descifrado SSL, se define un perfil de proxy SSL y se aplica a la política de seguridad. La regla de política de seguridad le permite definir el tráfico que desea que el dispositivo descifra. Cuando se adjunta el perfil de proxy SSL a la regla de política de seguridad, se descifra el tráfico que coincide con la regla de política de seguridad. La interfaz de duplicación de descifrado SSL ofrece una copia del tráfico DE STARTTLs y HTTPS descifrado (POP3S/SMTPS/IMAPS) a un dispositivo externo de confianza o una herramienta de recopilación de tráfico para inspección y análisis.
Los datos integrados de 5 tuplas del paquete IP descifrado incluyen los mismos valores siguientes que los paquetes IP cifrados:
Dirección IP de origen
Dirección IP de destino
Número de puerto de origen
Número de puerto de destino
Número de protocolo
Conservar los mismos datos de 5 tuplas sin reconfigurar garantiza que el tráfico descifrado se guarde en formato de captura de paquetes (Wireshark) y que pueda volver a reproducir los datos más tarde.
Solo los números de secuencia TCP y los números ACK se construyen según la carga real descifrada reenviada en el puerto de duplicación de descifrado SSL. Si el tamaño del paquete descifrado supera el tamaño máximo de la unidad de transmisión (MTU) del puerto de duplicación de descifrado SSL, la carga descifrada se divide en varios segmentos TCP según los requisitos de tamaño de MTU.
- Descifrado SSL replicación antes o después de la aplicación de políticas
- Soporte de replicación de descifrado SSL
- Beneficios de la duplicación de descifrado SSL
- Limitaciones
- Soporte de duplicación de descifrado SSL en el clúster de chasis
Descifrado SSL replicación antes o después de la aplicación de políticas
De forma predeterminada, el dispositivo serie SRX reenvía la carga descifrada ssl al puerto espejo antes de que Junos OS aplique los servicios de seguridad de capa 7, incluidos IDP, SKY ATP de Juniper y UTM. Esta opción le permite reproducir eventos y analizar el tráfico que genera una amenaza o desencadena una acción de caída.
También puede configurar la duplicación del tráfico descifrado después de aplicar la política de seguridad. Con esta opción, solo se replica el tráfico que se reenvía a través de la política de seguridad. Sin embargo, si la carga descifrada se modifica mientras se aplica la política de seguridad, la carga descifrada modificada se reenvía en el puerto espejo. De manera similar, si el tráfico descifrado se cae debido a la aplicación de políticas (por ejemplo, cuando se detecta una amenaza en el tráfico descifrado), ese tráfico descifrado en particular no se reenvía en el puerto espejo.
Soporte de replicación de descifrado SSL
Compatible con el proxy reenvío SSL y el proxy inverso SSL.
Compatible con el tráfico IPv4 e IPv6.
El tráfico descifrado SSL disponible en el puerto espejo está en formato de texto sin formato. Todos los conjuntos de cifrado compatibles con proxy SSL admiten la funcionalidad de duplicación de descifrado SSL. Para obtener la lista de conjuntos de cifrado compatibles, consulte Descripción general del proxy SSL.
Beneficios de la duplicación de descifrado SSL
Permite la captura completa de datos para auditorías, investigaciones forenses y propósitos históricos.
Ofrece prevención de fugas de datos.
Permite el procesamiento de seguridad adicional realizado por dispositivos de terceros para IDP, UTM, etc.
Proporciona información sobre las amenazas involucradas.
Limitaciones
El espejo de descifrado SSL no se puede configurar en la interfaz del túnel st0.
Soporte de duplicación de descifrado SSL en el clúster de chasis
A partir de Junos OS versión 18.4R1-S2 y Junos OS versión 19.2R1, la función de duplicación de descifrado SSL se admite en la interfaz Ethernet redundante (reth) en dispositivos de la serie SRX que operan en un clúster de chasis.
set interfaces reth20 redundant-ether-options redundancy-group 1 set interfaces reth20 unit 0 family inet
Configuración del espejado de descifrado SSL
En este ejemplo, se muestra cómo habilitar la duplicación del tráfico descifrado SSL en un dispositivo serie SRX.
Configuración
Procedimiento paso a paso
Siga los pasos siguientes para configurar el reflejo de descifrado SSL.
Defina la interfaz de duplicación de descifrado SSL con el número de unidad lógica 0.
user@host#set interfaces ge-0/0/2 unit 0Especifique la interfaz de duplicación de descifrado SSL en el perfil de proxy SSL.
user@host#set services ssl proxy profile profile-1 mirror-decrypt-traffic interface ge-0/0/2.0Ge-0/0/2.0 está configurada como interfaz de espejo de descifrado SSL designada.
Especifique la dirección MAC del puerto del recopilador de tráfico de espejo externo.
user@host#set services ssl proxy profile profile-1 mirror-decrypt-traffic destination-mac-address 00:50:56:a6:5f:1fCree una política de seguridad especificando los criterios de coincidencia para el tráfico.
user@host#set security policies from-zone trust to-zone untrust policy policy-1 match source-address anyuser@host#set security policies from-zone trust to-zone untrust policy policy-1 match destination-address anyuser@host#set security policies from-zone trust to-zone untrust policy policy-1 match application anyAdjunte el perfil de proxy SSL a la regla de política de seguridad.
user@host#set security policies from-zone trust to-zone untrust policy policy-1 then permit application-services ssl-proxy profile-name profile-1Esta configuración permite que el puerto (o interfaz) del recolector de tráfico de espejo externo reciba la copia del tráfico descifrado desde la interfaz de duplicación de descifrado SSL en el dispositivo de la serie SRX.
Resultados
Desde el modo de configuración, ingrese los comandos y show security policies from-zone trust to-zone untrust policy para confirmar la show services ssl proxy profile configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show services ssl proxy profile profile-1
server-certificate Email_server_cert;
mirror-decrypt-traffic {
interface ge-0/0/2.0;
destination-mac-address 00:50:56:a6:5f:1f;
}
[edit]
user@host# show security policies from-zone trust to-zone untrust policy policy-1
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
ssl-proxy {
profile-name profile-1;
}
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Cualquier dispositivo serie SRX con la versión 18.4R1 o posterior de Junos OS. Este ejemplo de configuración se prueba para Junos OS versión 18.4R1.
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.
Antes de empezar:
Configure el proxy SSL. Consulte Descripción general del proxy SSL.
La interfaz de duplicación de descifrado SSL que configure no tiene que formar parte de ninguna zona de seguridad.
Asegúrese de que la interfaz de duplicación de descifrado SSL y las interfaces reales de procesamiento de tráfico SSL del cliente-servidor SSL formen parte de la misma instancia de enrutamiento.
Asegúrese de que la interfaz de duplicación de descifrado SSL en el dispositivo de la serie SRX y el puerto de recolección de tráfico de espejo externo deben formar parte del mismo dominio de difusión.
No es necesario configurar una política de seguridad independiente para permitir el tráfico desde el dispositivo serie SRX hasta la interfaz de duplicación de descifrado SSL.
Visión general
En este ejemplo, configure un perfil de proxy de reenvío SSL especificando el nombre de la interfaz de espejo de descifrado SSL y la dirección MAC del puerto externo del recolector de tráfico de espejo. A continuación, cree una política de seguridad e invoque el proxy SSL como servicio de aplicación en el tráfico permitido. El tráfico que coincide con la regla de política de seguridad se descifra. Una copia de la carga SSL descifrada se encapsula en un paquete IP y se reenvía al puerto del recolector de tráfico de espejo externo a través de la interfaz de espejo de descifrado DE SSL.
La Figura 1 muestra la topología utilizada en este ejemplo.
de descifrado SSL
La tabla 1 proporciona los detalles de los parámetros utilizados en este ejemplo.
Parámetro |
Nombre |
|---|---|
Interfaz de duplicación de descifrado SSL en dispositivo serie SRX |
ge-0/0/2.0 |
Dirección MAC del puerto del recolector de tráfico de espejo externo |
00:50:56:a6:5f:1f |
Perfil de proxy SSL |
perfil 1 |
Política de seguridad |
política 1 |
Verificación
Verificar la configuración del proxy SSL
Propósito
Confirme que la configuración funciona correctamente mostrando las estadísticas del proxy SSL.
Acción
Desde el modo operativo, ingrese el show services ssl proxy statistics comando.
user@host> show services ssl proxy statistics
PIC:fwdd0 fpc[0] pic[0]
sessions matched 30647
sessions bypassed:non-ssl 0
sessions bypassed:mem overflow 0
sessions bypassed:low memory 0
sessions created 25665
sessions ignored 0
sessions active 0
sessions dropped 0
sessions whitelisted 0
whitelisted url category match 0
default profile hit 0
session dropped no default profile 0
policy hit no profile configured 0