Decryption Policy Rule_forside web

SSL dekryptering og Zero Trust. Inngående dekryptering

#TekniskeTips. Pan-OS
SSL dekryptering har flere former - inngående og utgående. Vi ønsker at du setter deg inn i den enkle inngående delen

Hvorfor skal man dekryptere?

Deler av trafikken på internett er kryptert. Hvor mye av den som er kryptert spiller egentlig ingen rolle, da de kriminelle vet å utnytte den manglende synligheten ofrene har inn i en kryptert kommunikasjon, noe som gjør all kryptert kommunikasjon har en økt risiko fra et sikkerhetsståsted. Derfor må all kryptert kommunikasjon i utgangspunktet dekrypteres, med kontrollerte unntak. Kommunikasjon er gjerne todelt. En ting er det klientene gjør, mot internett og andre tjenester. En annen ting er kommunikasjon mot dine servere og applikasjoner. Kryptering vil eksistere i begge tilfeller. Skadelige hendelser kan skje i begge tilfellene.
 

Tradisjonell SSL dekryptering. SSL Forward Proxy aka Man In The Middle (MITM) 

Når noen sier SSL dekryptering, tenker de fleste på det som i fagverdenen kalles "SSL Forward Proxy", som gjør det man kaller "Man in the middle/MITM". Dette har noen fordeler og ulemper. Fordelen er naturligvis at man skaper synlighet på klientkommunikasjonen, og dermed kan gjøre tilgangskontroll for riktig applikasjon, samt inspeksjon av kommunikasjonen med alle sikkerhetsfunksjoner, for synlighet, logging, kontroll og sikkerhet. Mange kunder kjører dette suksessfullt. Dette er noe vi anbefaler alle våre kunder å gjøre. "The bumps in the road" for denne løsningen, som bidrar til at mange dessverre ikke gjør dette, er prosessen man må igjennom for å lykkes. For det første blir brannmuren en "MITM", som vil være koblingspunktet mellom klient og server. Det vil derfor måtte implementeres et CA sertifikat på branmuren for kommunikasjonen. Alle klienter som skal dekrypteres må også ha dette CA sertifikatet. Noen websider vil ikke fungere med MITM konfigurasjon, slik at unntak er en del av prosessen. MITM vil også ha innvirkning på ytelse. Dette kommer naturligvis an på hvor stor andel av trafikken som skal dekrypteres, så her finnes ikke noe eksakt ytelsestall.
 

SSL Inbound Inspection. Den viktigste. Den enkleste. Den man starter med.

Man har gjerne en Next Generation Firewall. Den har mange funksjoner, som god synlighet og tilgangskontroll på applikasjonsnivå, samt innsyn og sikkerhet på innhold. Dette er naturligvis viktig. Dette er veldig viktig for kommunikasjon til dine servere og tjenester. Om man ønsker synlighet og kontroll på kommunikasjon til dine servere og tjenester, vil dette være vanskelig om kommunikasjonen er kryptert. Det er derfor veldig viktig å dekryptere denne kommunikasjonen. I en Zero Trust strategi, der visibilitet og tilgangskontroll er sentralt, sier det seg selv av SSL dekryptering er nødvendig. Da man for dette kjenner serveren, har man også kontroll på serversertifikat og nøkkel, og man har mulighet til å se inn i SSL kommunikasjonen, også utenfor serveren. Dette gjøres ved å eksportere sertifikat og nøkkel fra server, for deretter å importere dette til brannmuren, og så lage dedikerte dekrypteringsregler per server. Mange har et Wildcard sertifikat, som kanskje gjelder hele domenet sitt, noe som gjør det enkelt å få god synlighet med lite innsats. "SSL Inbound Inspection" krever ikke "Man In The Middle", og krever ikke noe klientkonfigurasjon, og har mindre innflytelse på ytelse. Dette er så enkelt, at absolutt alle burde aktivere det. Det er lite jobb, har ingen innflytelse på eksisterende komminikasjon, annet enn at det vil gi full synlighet. Se nedenfor for mer informasjon om hvordan man teknisk sett utfører dette. 
 

Når skal man starte med inngående dekryptering? Nå!

Dette er enkelt. Dette er viktig å implementere umiddelbart.
 

Dokumentasjon på hvordan du setter opp dette i din Palo Alto Networks brannmur

Decryption Policy Rule


Se her for mer informasjon

Forskjellen mellom SSL Forward Proxy og SSL Inbound Inspection

Hvordan konfigurere SSL Inbound Inspection

https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-admin/decryption/configure-ssl-inbound-inspection.html

 

For mer informasjon 

Gøran Tømte-WEB_150x150

Gøran Tømte
CISO, Data Equipment
Mobil: 930 40 018
E-post: goran@dataequipment.no