Dekrypcja SSL

F5 SSL Orchestrator / Wheel LYNX SSL INSPECTOR

W kwestii deskrypcji SSL pragniemy zaproponować Państwu dwa rozwiązania, pochodzące od 2 rożnych producentów – firmy F5 oraz Wheel.

F5 SSL Orchestrator

Zadanie szyfrowania i deszyfrowania ruchu HTTPS znacznie obciąża elementy sieciowe służące do inspekcji ruchu (zapory, systemy IDS/IPS, systemy antywirusowe, narzędzia do filtrowania adresów URL, rozwiązania DPI do szczegółowej analizy pakietów itd.), zmniejszając ich wydajność. W przypadku zapory nowej generacji podczas inspekcji zaszyfrowanego ruchu wydajność spada o 81%. Mamy więc do czynienia z dwoma problemami: widocznością ruchu i wydajnością zasobów.

Rozwiązanie F5 pozwala na inspekcję wcześniej zaszyfrowanego ruchu i dostarczenie go w postaci niezaszyfrowanej do serwerów WWW lub elementów sieciowych służących do jego analiz (zapór, systemów IDS/IPS, systemów antywirusowych, narzędzi do filtrowania adresów URL, narzędzi DPI do szczegółowej analizy pakietów itd.). Zapewnia to widoczność ruchu i w konsekwencji pozwala zredukować wielkość urządzeń służących do jego przyjmowania (FireEye, PAN, CheckPoint, SourceFire), co dodatkowo ułatwia skalowanie w poziomie. W przeciwieństwie do innych rozwiązań na rynku, opartych na wykorzystaniu oprogramowania SSL w technice MITM (Man-In-The-Middle), F5 stosuje akcelerację sprzętową przetwarzania ruchu SSL (odciążanie SSL).

Wheel LYNX SSL INSPECTOR

Urządzenie Lynx SSL Inspector pracuje w trybie przezroczystego mostu (transparent bridge), przechwytując wybrany ruch sieciowy. Sesje SSL/TLS są ustanawiane w taki sposób, by oprogramowanie klienckie uważało, że komunikuje się z docelowym serwerem, którego adres używany jest w procesie wymiany danych. Odszyfrowany ruch przekazywany jest do inspekcji, do dedykowanego urządzenia typu IDS/IPS. Wheel Lynx SSL Inspector ponownie szyfruje dane i przesyła do serwera docelowego. System DLP/IDS/IPS może wysłać do Wheel Lynx SSL Inspector żądanie zerwania wybranego połączenia użytkownika. Ruch nieszyfrowany, który również może przechodzić przez urządzenie, jest przekazywany do systemów IDS/IPS w stanie niezmienionym.