OCHRONA NA POZIOMIE SIECI

W obecnych czasach wszystkie przedsiębiorstwa stosują zaawansowane zabezpieczenia mające je chronić przed wyciekiem danych i atakami malware. Problem w tym, że większość z nich staje się bezbronna w momencie, gdy pracownik użyje połączenia szyfrowanego. Szacuje się, że już ponad 25 % całkowitego ruchu sieciowego jest szyfrowane za pomocą technologii SSL lub TLS. Z rozwiązaniem problemu przyszła polska firma Wheel Systems, tworząc system deszyfrujący Lynx SSL Inspector.

Wheel Lynx SSL Inspector pracuje na zasadzie przezroczystego mostu (transparent bridge), przechwytując wybrany ruch sieciowy. Połączenia SSL/TLS, które zostaną zidentyfikowane w monitorowanym ruchu są rozszywane, a następnie przesyłane do inspekcji przez dedykowane urządzenie DLP/IDS/IPS.

W przypadku trybu out-of-band do urządzenia DLP/IDS/IPS przesyłana jest kopia odszyfrowanych danych. Niezwłocznie po ich wysłaniu Wheel Lynx SSL Inspector ponownie je szyfruje, a następnie wysyła do serwera docelowego.

Jeżeli urządzenie DLP/IDS/IPS znajdzie w odszyfrowanych danych jakieś anomalie, wtedy ma możliwość wysłania do Wheel Lynx SSL Inspectora żądania zakończenia wskazanego połączenia.

W przypadku trybu inline Wheel Lynx SSL Inspector przesyła do urządzenia DLP/IDS/IPS odszyfrowane dane, a następnie czeka na to, aż zostaną one przeanalizowane, a następnie odesłane. Dopiero wtedy następuje ponowne ich zaszyfrowanie oraz przesłanie do serwera docelowego. Jeżeli urządzenie DLP/IDS/IPS wykryje w analizowanym ruchu jakieś anomalie, wtedy będzie miało możliwość samodzielnego zablokowania podejrzanego połączenia, bądź też zmodyfikowania treści przesyłanych danych.

Główne cechy

  • Zarządzanie certyfikatami. Wheel Lynx SSL Inspector wspiera następujące polityki zarządzania certyfikatami:

• Automatyczne generowanie certyfikatów z własnym podpisem (self-signed).
• Automatyczne generowanie certyfikatów podpisanych zaufanym kluczem prywatnym wewnętrznego CA (Certificate Authority).
• Automatyczne generowanie certyfikatów podpisanych niezaufanym kluczem prywatnym wewnętrznego CA.
• Użycie certyfikatu hosta docelowego i wgranego klucza prywatnego.

W przypadku certyfikatów generowanych automatycznie, parametry certyfikatu wypełniane są wartościami odpowiadającymi wartościom parametrów oryginalnego certyfikatu. Dotyczy to również dat ważności certyfikatów – jeżeli docelowy serwer posiada certyfikat, który wygasł, Wheel Lynx SSL Inspector również wygeneruje certyfikat z wygaśniętą datą ważności. Dzięki temu klient zobaczy takie samo ostrzeżenie na temat certyfikatu, jakie zobaczyłby łącząc się bezpośrednio z serwerem.

  • Przepływ danych. Analizowane dane przechodzą fizycznie przez grupę trzech lub czterech interfejsów sieciowych. Dane od klienta odbierane są na pierwszym interfejsie. Po odszyfrowaniu, wysyłane są przez drugi interfejs do urządzenia typu DLP/IDS/IPS. W przypadku gdy urządzenie pracuje w trybie inline wtedy po przeanalizowaniu dane są odsyłane do Wheel Lynx SSL Inspectora, który nasłuchuje na nie na kolejnym interfejsie. Ponownie zaszyfrowane dane przesyłane są przez ostatni interfejs do serwera docelowego. W przypadku trybu out-of-band dodatkowy interfejs może być opcjonalnie użyty do odbierania żądań przerwania wybranych połączeń.
  • Możliwość tworzenia Białej Listy. Rozwiązanie umożliwia stworzenie listy adresów URL i adresów IP, które nie podlegają deszyfracji. Utrzymywana jest ona przez Wheel Systems i zawiera instytucje finansowe, medyczne i reigijne. Wheel Lynx SSL Inspector automatycznie pobiera listę oraz pozwala na definiowanie własnych wpisów.
  • Konfiguracja sprzętowa. Wheel Lynx SSL Inspector może być wyposażony w dwa procesory Intel Xeon E5-26xx v3, 32GB pamięci RAM (maksymalnie 512GB), zintegrowane karty sieciowe: dwie 1Gbps, dwie poczwórne 1Gbps oraz dwie poczwórne 10Gbps.
  • Wspierane protokoły. Wheel Lynx SSL Inspector obsługuje protokoły SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1 oraz TLS 1.2. Obsługiwane są zarówno protokoły szyfrowane od samego początku transmisji (tj. HTTPS) jak również protokoły, które mogą rozpocząć szyfrowaną transmisję po komendzie STARTTLS (np. SMTP).