作者bojack (Bojack)
看板MIS
标题[请益] SSL封包拆解及扫瞄相关解决方案
时间Thu Sep 24 17:02:05 2015
各位先进大家好:
小弟又来和大家讨论和请益问题了 :p
现阶段单位OA对外仅开放80及443 Port
近来想评估有关藏在加密连线内的恶意指令或连线的阻挡机制(Anti-C&C)
参考了 Gartner 相关资料指出,现阶段愈来愈多恶意程式会躲在合法的连线内
如果有电脑不幸成为 Botnet 其中一台成员,就会回传 Callback 指令回去
原有的防火墙、入侵侦测等资安设备可能无法辨识
因此研究了一下厂商相关的解决方案,首先就是要处理加解密问题
接下来就是扫瞄连线内容是否有问题
目前看到下列产品
1. A10 Thunder ADC + FireEye
2. Blue Coat SSL Visibility Appliance + Content/Malware Analysis
3. Palo Alto ??
4. F5 ??
目前是考量二点
1. 处理加解密的效能
2. 扫瞄机制的效能与辨识度是否完善
不知道是否有其它先进有研究此议题或是有推荐相关设备呢?
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 117.19.241.192
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1443085329.A.64B.html
※ 编辑: bojack (117.19.241.192), 09/24/2015 17:02:39
1F:推 leaderliu: 把80跟443挡掉,上网就要经过proxy,这样oa就安全了吧!? 09/24 17:31
2F:→ leaderliu: 我观念是这样,有错请小力喷 09/24 17:31
3F:推 Non: Cisco FirePower 8.4也有SSL Decryption了 但我没用过\._. 09/24 17:33
4F:推 Wishmaster: L7的产品都可以做,但是你要啥产品? F5又不是FW 09/24 18:02
5F:→ deadwood: 感觉你看的方案有几个不是你要的用途...有数字的那两个 09/24 18:03
6F:→ deadwood: 基本上你要找各家IPS、防火墙的SSL Visibility功能 09/24 18:07
7F:推 lovespre: 感觉只是想扫封包看有没有malware之类 09/24 18:11
8F:推 gogohc: 像管理家用AP一样轻松管理fw 请参考 Paloalto 09/24 18:34
9F:推 Non: 更正是5.4才对 不是8.4 09/24 19:47
10F:→ mmln: 推8F.. 09/24 22:25
11F:推 koyoki258: 可以看看能解SSL 有作IPS, APT, 及上网扫毒的防火墙 09/24 23:12
谢谢楼上各位先进的意见,小弟整理一下
1. 目前都是得透过 Proxy 出去,会再确认是否可以在 Proxy 端就做掉这功能
2. 目前看到的设备有这些 (都有Encryption/Decryption 功能)
2.1 A10 - SSL Insight
2.2 Blue Coat - SSL Visibility Appliance
2.3 F5 - BIG-IP System
2.4 Palo Alto - Wildwire
2.5 Cisco - ASA Firepower Service
3. 的确是只特别想看藏在内对外HTTPS里的东西而已
※ 编辑: bojack (117.19.241.192), 09/25/2015 13:46:55
12F:→ shaoCL: 还有Citrix Netscaler 09/26 20:08
13F:推 xxoo1122: squid就有这样的功能 09/28 14:57
14F:→ xxoo1122: 或是找websense之类的 09/28 14:58
15F:→ bojack: 谢谢楼上二位大大的分享,目前已有Websense,已经约好要谈 09/29 12:00
16F:→ bojack: 在Proxy防护上增加ACE扫瞄这一段了 09/29 12:00