Зеркалирование дешифрованного SSL трафика (Decryption Mirroring)

Функция «Расшифровать и переслать» (доступна с версии 7.0.0) предоставляет возможность передачи расшифрованного трафика SSL/TLS с брандмауэра на систему сбора и обработки трафика, например: Data Leak Protection(DLP), Intrusion Detection System(IDS), Intrusion Detection and Prevention Systems(IDPS), Антивирусная обработка и т. д.

Эта функция необходима организациям, которым требуется комплексный сбор данных в целях обеспечения безопасности и/или функция предотвращения утечки данных (DLP).

Схема подключения в общем случае выглядит так:

Таким образом, реализуется возможность проверки зашифрованного трафика практически любым анализатором трафика, вне зависимости поддерживает он SSL или нет.

В UserGate NGFW реализована возможность реализации 2х вариантов пересылки SSL трафика:

1. L2. Пересылка через физический порт UserGate NGFW.

В этом случае дешифрованный SSL-трафик отправляется устройству анализа трафика, подключенному непосредственно к физическому порту UserGate NGFW.

2. L3-туннель. Пересылка дешифрованного трафика через GRE-туннель.

В этом случае дешифрованный SSL-трафик отправляется устройству анализа трафика посредством GRE-туннеля.

Для настройки этой функции следует перейти в раздел "Политики безопасности-инспектирование SSL" и создать правило инспектирования SSL трафика. (подробнее см Руководство Администратора). В свойствах правила необходимо выбрать пункт "Действие-Расшифровать и переслать", после этого станет доступным поле "Профиль пересылки SSL", где необходимо выбрать или создать профиль для пересылки SSL трафика. При создании профиля пересылки SSL, доступны поля: