作者bojack (Bojack)
看板MIS
標題[請益] SSL封包拆解及掃瞄相關解決方案
時間Thu Sep 24 17:02:05 2015
各位先進大家好:
小弟又來和大家討論和請益問題了 :p
現階段單位OA對外僅開放80及443 Port
近來想評估有關藏在加密連線內的惡意指令或連線的阻擋機制(Anti-C&C)
參考了 Gartner 相關資料指出,現階段愈來愈多惡意程式會躲在合法的連線內
如果有電腦不幸成為 Botnet 其中一台成員,就會回傳 Callback 指令回去
原有的防火牆、入侵偵測等資安設備可能無法辨識
因此研究了一下廠商相關的解決方案,首先就是要處理加解密問題
接下來就是掃瞄連線內容是否有問題
目前看到下列產品
1. A10 Thunder ADC + FireEye
2. Blue Coat SSL Visibility Appliance + Content/Malware Analysis
3. Palo Alto ??
4. F5 ??
目前是考量二點
1. 處理加解密的效能
2. 掃瞄機制的效能與辨識度是否完善
不知道是否有其它先進有研究此議題或是有推薦相關設備呢?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 117.19.241.192
※ 文章網址: https://webptt.com/m.aspx?n=bbs/MIS/M.1443085329.A.64B.html
※ 編輯: bojack (117.19.241.192), 09/24/2015 17:02:39
1F:推 leaderliu: 把80跟443擋掉,上網就要經過proxy,這樣oa就安全了吧!? 09/24 17:31
2F:→ leaderliu: 我觀念是這樣,有錯請小力噴 09/24 17:31
3F:推 Non: Cisco FirePower 8.4也有SSL Decryption了 但我沒用過\._. 09/24 17:33
4F:推 Wishmaster: L7的產品都可以做,但是你要啥產品? F5又不是FW 09/24 18:02
5F:→ deadwood: 感覺你看的方案有幾個不是你要的用途...有數字的那兩個 09/24 18:03
6F:→ deadwood: 基本上你要找各家IPS、防火牆的SSL Visibility功能 09/24 18:07
7F:推 lovespre: 感覺只是想掃封包看有沒有malware之類 09/24 18:11
8F:推 gogohc: 像管理家用AP一樣輕鬆管理fw 請參考 Paloalto 09/24 18:34
9F:推 Non: 更正是5.4才對 不是8.4 09/24 19:47
10F:→ mmln: 推8F.. 09/24 22:25
11F:推 koyoki258: 可以看看能解SSL 有作IPS, APT, 及上網掃毒的防火牆 09/24 23:12
謝謝樓上各位先進的意見,小弟整理一下
1. 目前都是得透過 Proxy 出去,會再確認是否可以在 Proxy 端就做掉這功能
2. 目前看到的設備有這些 (都有Encryption/Decryption 功能)
2.1 A10 - SSL Insight
2.2 Blue Coat - SSL Visibility Appliance
2.3 F5 - BIG-IP System
2.4 Palo Alto - Wildwire
2.5 Cisco - ASA Firepower Service
3. 的確是只特別想看藏在內對外HTTPS裡的東西而已
※ 編輯: bojack (117.19.241.192), 09/25/2015 13:46:55
12F:→ shaoCL: 還有Citrix Netscaler 09/26 20:08
13F:推 xxoo1122: squid就有這樣的功能 09/28 14:57
14F:→ xxoo1122: 或是找websense之類的 09/28 14:58
15F:→ bojack: 謝謝樓上二位大大的分享,目前已有Websense,已經約好要談 09/29 12:00
16F:→ bojack: 在Proxy防護上增加ACE掃瞄這一段了 09/29 12:00