Зеркалирование дешифрованного SSL трафика (Decryption Mirroring)

ID статьи: 80
Последнее обновление: 21 дек, 2023
KnowledgeBase:
Product: UserGate NGFW
Version: 5.x, 6.x, 7.x

Функция «Расшифровать и переслать» (доступна с версии 7.0.0) предоставляет возможность передачи расшифрованного трафика SSL/TLS с брандмауэра на систему сбора и обработки трафика, например: Data Leak Protection(DLP), Intrusion Detection System(IDS), Intrusion Detection and Prevention Systems(IDPS), Антивирусная обработка и т. д.

Эта функция необходима организациям, которым требуется комплексный сбор данных в целях обеспечения безопасности и/или функция предотвращения утечки данных (DLP).

Схема подключения в общем случае выглядит так:

Таким образом, реализуется возможность проверки зашифрованного трафика практически любым анализатором трафика, вне зависимости поддерживает он SSL или нет.

В UserGate NGFW реализована возможность реализации 2х вариантов пересылки SSL трафика:

1. L2. Пересылка через физический порт UserGate NGFW.

В этом случае дешифрованный SSL-трафик отправляется устройству анализа трафика, подключенному непосредственно к физическому порту UserGate NGFW.

2. L3-туннель. Пересылка дешифрованного трафика через GRE-туннель.

В этом случае дешифрованный SSL-трафик отправляется устройству анализа трафика посредством GRE-туннеля.

Для настройки этой функции следует перейти в раздел "Политики безопасности-инспектирование SSL" и создать правило инспектирования SSL трафика. (подробнее см Руководство Администратора). В свойствах правила необходимо выбрать пункт "Действие-Расшифровать и переслать", после этого станет доступным поле "Профиль пересылки SSL", где необходимо выбрать или создать профиль для пересылки SSL трафика. При создании профиля пересылки SSL, доступны поля:

Наименование

Описание

Название

Название профиля пересылки SSL. (может быть любым, обязательное поле)

Описание

Описание профиля. (может быть пустым)

Тип пересылки

Тип пересылки трафика. Может быть:

1). L2 - пересылка через физический порт UG NGFW/кластера.

2). L3 - пересылка через L3 туннель

MAC-адрес назначения

Доступен при выборе значения поля Тип пересылки - L2. Позволяет указать MAC-адрес устройства-приемника зеркалированного трафика.

Пересылать на интерфейс

Доступен при выборе значения поля Тип пересылки - L2. Имя порта UG NGWF, используемого для пересылки дешифрованного SSL трафика.

GRE IP-адрес источника

Доступен при выборе значения поля Тип пересылки - L3-туннель. Позволяет указать IP-адрес источника данных в GRE-туннеле.
GRE IP-адрес назначения

Доступен при выборе значения поля Тип пересылки - L3-туннель. Позволяет указать IP-адрес назначения в GRE-туннеле.

ПримечаниеВ случае с кластерной реализацией UserGate NGFW, при выборе имени порта для L2 пересылки администратор должен убедиться, что на всех узлах кластера существует порт с одинаковым именем (например, port1.100), и именно он будет использоваться на всех узлах кластера для пересылки дешифрованного SSL-трафика.
Эта статья была:   Полезна | Не полезна
Сообщить об ошибке
ID статьи: 80
Последнее обновление: 21 дек, 2023
Ревизия: 16
Просмотры: 6271
Комментарии: 0