FortiGateGuías técnicas

SSL mirroring en FortiGate configurado en modo proxy explícito

En la actualidad no se puede pretender dotar a una organización de protección efectiva frente a las amenazas externas sin una inspección del tráfico cifrado que atraviesa sus sistemas de defensa, cuyo porcentaje sobre el total de tráfico cursado sigue en una imparable senda de crecimiento (las estadísticas indican que alrededor del 60% del tráfico total en Internet ya es cifrado, cifra que se espera alcance el 80% a finales de este año).

En el caso de FortiGate, la inspección SSL es el mecanismo que se puede emplear para proteger el contenido sesiones cifradas, examinando los paquetes cifrados para encontrar y bloquear amenazas. La inspección SSL no sólo lo protege contra ataques que utilizan HTTPS, sino también contra otros protocolos cifrados de uso común, como SMTPS, POP3S, IMAPS y FTPS. Para asegurar que se inspecciona todo el contenido cifrado debe utilizarse una inspección SSL completa (también conocida como deep inspection). Cuando se utiliza la inspección completa de SSL, FortiGate se hace pasar por el destinatario de la sesión SSL de origen, y descifra e inspecciona el contenido; después se vuelve a cifrar el contenido, se crea una nueva sesión SSL entre FortiGate y el destinatario mediante la suplantación del remitente y se envía el contenido limpio de amenazas. Para más información recomendamos como punto de partida la lectura del cookbook ‘Why you should use SSL inspection‘ ( https://cookbook.fortinet.com/why-you-should-use-ssl-inspection/ ).

En una entrada anterior de este blog ( Mirroring SSL del tráfico inspeccionado https://fortixpert.blogspot.com/2018/03/mirroring-ssl-del-trafico-inspeccionado.html ) se comentó la funcionalidad de FortiGate que permite hacer un mirror (enviar una copia del tráfico descifrado mediante la inspección SSL a uno o más interfaces) de manera que el tráfico pueda ser enviado a una herramienta externa de captura de tráfico.

Esta funcionalidad está disponible únicamente en los modos de inspección flow o proxy, pero no para el modo proxy explícito, por lo que equipos con proxy explícito y deep inspection no pueden crear estos mirrors del tráfico SSL. Sin embargo, se puede emplear un perfil de seguridad IPS o AppCtrl configurado en el modo de inspección flow (tratado en una entrada anterior de este blog https://fortixpert.blogspot.com/2016/12/fos-54-cambio-de-modo-de-inspeccion-en.html ), e incluirlo en una regla para forzar que al tráfico afectado por la misma a que pase por el motor de IPS, permitiendo de este modo la creación de un mirror desde este motor. De este modo, la configuración necesaria sería la siguiente:

1) Definir un perfil de inspección en modo flow:

config antivirus profile
edit IPS-FLOW
set inspection-mode flow-based
end

2) Incluirlo en una regla (por ejemplo, que sólo afecte a determinado tráfico de interés) para hacer pasar ese tráfico pase por el motor de IPS, y configurar un mirror SSL:

config firewall policy
edit 20
set name “DMZ_svr01”
set srcintf “port2”
set dstintf “port3”
set srcaddr “all”
set dstaddr “vip01”
set action accept
set schedule “always”
set service “HTTPS” “HTTP”
set utm-status enable
set ssl-mirror enable
set ssl-mirror-intf “port4”
set av-profile “IPS-FLOW”
set profile-protocol-options “default”
set ssl-ssh-profile “server-ssl-inspection”
next
end

En el ejemplo, el mirroring sólo funcionan para el tráfico SSL; el tráfico HTTP (gestionado por la misma política) no será enviado al mirror. Por otro lado, el tráfico del mirror no será el de la sesión TCP completa, sino que contendrá únicamente los paquetes de datos (data frames) [https://help.fortinet.com/fos60hlp/60/Content/FortiOS/fortigate-firewall/Concepts%20-%20Firewall/Mirroring%20SSL%20inspected%20traffic.htm ].

El perfil de inspección SSL puede ser muy simple, o todo lo complejo (y restrictivo) que el entorno requiera; las opciones de configuración pueden consultarse en este enlace:https://help.fortinet.com/cli/fos60hlp/60/Content/FortiOS/fortiOS-cli-ref/config/firewall/ssl-ssh-profile.htm .

De este modo se puede obtener una visibilidad del tráfico en claro, empleando una sonda o analizador externo, así como con el propio sniffer del CLI (por ejemplo con diagnose sniffer packet port4 “” 6).

Tags

Contenidos relacionados

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *