アウトバウンドSSL通信の可視化

株式会社ネットワールド

Networld Corporation 2016 2Networld Corporation 2016 2

社内LAN

インターネットへのSSL通信を可視化してますか？

UserノートPC

デスクトップPC

情報漏えい セキュリティデバイス

SSL/TLS トラフィック SSL/TLS トラフィック

課題

HTTPSはトラフィックを

復号化しない限りIPSやアンチウィルスで検疫できない

FWやIPSによる復号化はパフォーマンスの大幅な低下を招く

SSLのスループットを確保しようとするとハイエンドの高価なセキュリティ機器が

必要

Google, Facebook, Twitterなどのサービスが常時SSLを導入

SSLを悪用した攻撃が増加

SSL通信はデータの中身が暗号化されていて外部からデータの盗聴ができない 攻撃者はSSL通信を逆手にとり、攻撃を仕込んでくる

Gartnerは、『2017年にはネットワーク攻撃の50％がSSL化される』と予測

Internet

情報漏えい

Networld Corporation 2016 3Networld Corporation 2016 3

社内LAN

Internet

BIG-IPの高速SSL処理を利用

User ノートPC

デスクトップPC

SSL/TLS トラフィック SSL/TLS トラフィック

解決アプローチ

アプリケーションレベルでのフィルタリングとアクセス制

御か有効になる

BIG-IPLTM＋SSL Forward Proxy

復号化

クリアテキスト

IPS/IDS URLフィルタ Application Control

代理著名再暗号化

FW AV Check

BIG-IPでHTTPSを可視化

専用アプライアンスによる最適化されたSSL暗号複合化処理で高速処理

Networld Corporation 2016 4Networld Corporation 2016 4

BIG-IPを利用するコストメリット

現状のセキュリティ要件 同一ブランドでリプレイスした場合

BIG-IP追加導入した場合

約1,670万(上位機種2台の定価)

約770万(BIG-IP 2000s 2台の定価)（SSL Forward Proxy ライセンス含む）

メリット

スループット 1Gbps

UTM機器 2台(HA構成)

アプリケーション制御/IPS実装

SSLトラフィックは検疫対象外

HTTPのみ検疫

約53％減

IPS/IDSFWSSL Decode

Security Device

BIG-IP + SSL Forward Proxy

Security Device

Application Control

IPS/IDSFWSSL Decode Application Control

SSLInspection

既存 機器 既存 機器

BIG-IP + SSL Forward Proxy

AV Check

AV CheckSSLInspection

Networld Corporation 2016 5Networld Corporation 2016 5

Q&A

❏ 特定サイトだけSSL復号化(SSL可視化)させないことはできますか？

特定ドメインのみSSL復号化させずに通過させることが可能です。

❏ 構成例(パターン)を教えてください。

サンドイッチ構成

ブリート構成

※次頁の構成を確認ください。

❏ クライアント証明書を利用しているサイトはSSL Inspection可能ですか？

クライアント証明書を利用しているサイトはSSL Inspectionできません。

❏ HTTPS以外のSSLを使用した通信も可視化可能ですか？

可能です。

※TCPオプションを透過可能なセキュリティデバイスにより実現可能です。

HTTPS以外のSSL通信を可視化する場合、TCPオプションのヘッダーにフラグを埋め込んで、

再暗号化する／しないの判断をしますのでTCPオプションを透過可能な機器が前提となります。

❏ 導入において注意する点はありますか？

クライアント端末へCA証明書をインポート必要がありますので、配布方法を検討する必要があります。

※Windows Group Policyで配布する等

Networld Corporation 2016 6Networld Corporation 2016 6

アウトバウンドSSL Inspection 構成サンドイッチ構成

ブリート構成（ICAP連携）

ブリート構成(レシーブ オンリー サービスとの連携)

Internet

クライアント

BIG-IPLTM + SSL Forward Proxy

セキュリティ機器

BIG-IPLTM

Router

ブリート構成（L3サービスとの連携）

ブリート構成（L2サービスとの連携）

Internet

クライアント

BIG-IPLTM + SSL Forward

Proxy

BIG-IPLTM + SSL Forward

Proxy

Router

Internet

クライアント

BIG-IPLTM + SSL Forward

Proxy

BIG-IPLTM + SSL Forward

Proxy

Router

同一筐体

同一筐体

Internet

クライアント

BIG-IPLTM + SSL Forward

Proxy

Router

Internet

クライアント

BIG-IPLTM + SSL Forward

Proxy

Router

ICAP連携

L3セキュリティ

機器

L2セキュリティ

機器

セキュリティ機器

Recieve Onlyセキュリティ

機器

複製

Networld Corporation 2016 7Networld Corporation 2016 7

セキュリティデバイス毎のSSL可視化対応機能

セキュリティ機能 FortiGate

Application Control ✔URLフィルタリング ✔IPS ✔アンチスパム ✔アンチウィルス ✔DLP(情報漏洩防止) ✔ボットネット検知 ✔未知のマルウェア検知(FortiSandbox)を追加 ✔

セキュリティ機能 FireEye

HTTPに特化した未知の攻撃/未知のマルウェア検知(独自開発の仮想解析) ✔標的型メール攻撃(添付ファイル/URL) ✔

セキュリティ機能 Paloalto

Application Control ✔URLフィルタリング ✔IPS ✔アンチスパム ✔アンチウィルス ✔ファイルブロッキング ✔ボットネット検知 ✔WildFire(未知のマルウェア検知) ✔

Networld Corporation 2016 8Networld Corporation 2016 8

Internet

BIG-IPLTM＋SSL Forward Proxy

【テスト環境】ブリート構成（L3サービスとの連携）

クライアント

.20.2541.1

1.21.3

1.4 10.15.102.0/24

.254

.1

.1

.254

FortiGate

port1port2

10.15.0.0/22.1.7.1.254

VS

●ポイント⁃ Internal VS[0.0.0.0/0 :any]で待受け、SSL

通信の場合は復号化しTCP Option 挿入⁃ PoolメンバーにFortiGate[192.168.1.254:0]

を登録⁃ Enable On Virtual Serverに[Internal]を登録VS

●ポイント⁃ FortiGateからのトラフィックを「0.0.0.0/0:any」

VSで受信⁃ TCP Option ありの場合は再暗号化⁃ PoolメンバーにGate Way[10.15.1.254]を登録

EICARテストファイルをダウンロードした場合のブロック画面

VLAN: InternalVLAN:External

有効にしたUTM機能・アンチウィルス・アプリケーションコントロール・Webフィルター

192.168.2.0/24

VLAN: FG-ext

192.168.1.0/24

VLAN:FG-int

※ EICARテストファイル ：EICAR が開発したアンチウイルス (AV) ソフトウェアの応答をテストするためのファイル。

Networld Corporation 2016 9Networld Corporation 2016 9

Internet

BIG-IPLTM＋SSL Forward Proxy

192.168.1.0%10/24

【テスト環境】ブリート構成（L2サービスとの連携）

クライアント

.20.2541.1

1.21.3

1.4 10.15.102.0/24

FortiGate

port1port2

10.15.0.0/22.1.7.1.254

VS

●ポイント- Internal VS[0.0.0.0/0 :any]で待受け、SSL

通信の場合は復号化しTCP Option 挿入⁃ PoolメンバーにBIG-IPのRouteDomainのSelf-

IP [192.168.1.254%10:0]を登録⁃ Enable On Virtual Serverに[Internal]を登録

VS

●ポイント⁃ RouteDomainを使用⁃ FortiGateからのトラフィックを

「0.0.0.0%10/0:any」VSで受信

⁃ TCP Option ありの場合は再暗号化⁃ PoolメンバーにGate Way[10.15.1.254]を登録⁃ Enable On Virtual Serverに[FG-ext]を登録

VLAN: InternalVLAN:External

有効にしたUTM機能・アンチウィルス・アプリケーションコントロール・Webフィルター

VLAN: FG-ext(Route Domain 10)

192.168.1.0/24

VLAN:FG-int

192.168.1.254%10 192.168.1.1

EICARテストファイルをダウンロードした場合のブロック画面

※ EICARテストファイル ：EICAR が開発したアンチウイルス (AV) ソフトウェアの応答をテストするためのファイル。

お問い合わせ先：f5-info@networld.co.jp

SSL可視化に関するご相談・ご質問などございましたらご連絡お待ちしております。