Oracle Cloud Infrastructure (OCI) Network Firewall je cloudová nativní služba firewallu, která rozšiřuje naše možnosti brány firewall nové generace (NGFW) o ochranu pracovních zátěží OCI a pomáhá poskytovat centralizovanou ochranu proti kybernetickým útokům bez provozních a správních složitostí spojených s nasazením virtuálního počítače třetí strany firewallové zařízení. OCI Network Firewall je založen na technologii Palo Alto NGFW.
Téměř všechny podniky používají tradiční firewally k ochraně svých pracovních zátěží vystavených internetu (provoz ze severu na jih) a interního provozu (provoz z východu na západ). Stále více zákazníků si však uvědomuje, že tradiční firewall, který filtruje pouze hlavičky IP a zaměřuje se až na vrstvu 4 (transportní vrstva), nestačí. Pokročilé útoky jsou stále propracovanější, odehrávají se na vrstvách 4–7 modelu OSI a zaměřují se především na aplikační vrstvu.
NGFW je součástí třetí generace firewallové technologie, která kombinuje tradiční firewall s dalšími funkcemi filtrování síťových zařízení, jako je aplikační firewall využívající in-line hloubkovou kontrolu paketů (DPI) a systém prevence narušení (IPS). Mohou být také použity další techniky, jako je kontrola šifrovaného provozu TLS/SSL, filtrování webových stránek, správa QoS nebo šířky pásma, antivirová kontrola a integrace správy identit třetích stran.
Tento blogový příspěvek vysvětluje, jak používat některé z těchto funkcí s OCI Network Firewallem ke kontrole připojení šifrovaných TLS/SSL a následně k použití systémů detekce a prevence narušení (IDS a IPS) na toky provozu.
Kontrola provozu SSL/TLS
Jedním z hlavních použití NGFW je použití řízení IDS a IPS na provoz, včetně šifrovaného provozu přes zabezpečené kanály SSL/TLS. K provedení tohoto úkolu musí NGFW dešifrovat provoz šifrovaný SSL/TLS. Zní to rozporuplně, že zabezpečený šifrovaný kanál lze dešifrovat pomocí softwaru NGFW. Ale jako důvěryhodné zařízení lze NGFW nakonfigurovat tak, aby dešifrovalo příchozí připojení SSL/TLS k serverům v rámci OCI na odchozí připojení „zosobněním“ vzdáleného serveru, což je pro koncového uživatele transparentní.
Režim příchozí kontroly
Tento scénář se běžně používá u webových aplikací a rozhraní HTTPS REST, která jsou vystavena externím klientům. OCI Network Firewall dešifruje a kontroluje příchozí provoz SSL/TLS od klientů směrem k serverům v OCI pomocí certifikátu serveru importovaného do síťového firewallu. Síťový firewall používá různé dešifrovací techniky založené na typu výměny hlavního klíče používaného mezi klientem nebo serverem: RSA nebo DHE/ECDHE.
U výměn založených na RSA provádí OCI Network Firewall příchozí kontrolu SSL bez ukončení připojení SSL/TLS. Pomocí předinstalovaného soukromého klíče X.509 serveru může OCI Network Firewall dešifrovat a zachytit výměnu hlavního klíče pomocí vyjednaného symetrického klíče mezi klientem a serverem k dešifrování následného šifrovaného provozu relace.
Pro výměny klíčů na bázi DHE/ECDHE funguje OCI Network Firewall jako proxy mezi externím klientem a interním serverem pomocí certifikátu serveru se svým soukromým klíčem. Výměna klíčů Diffie Hellman nepřenáší hlavní klíč. Obě strany generují hlavní klíč pomocí výpočtů založených na výměně neškodného materiálu, takže neexistuje žádný klíč k zachycení. Další část vysvětluje tuto proxy techniku.
Režim přesměrování proxy
V režimu SSL dopředného proxy se OCI Network Firewall chová jako prostředník mezi interním klientem a externím serverem, jako u příchozí kontroly při použití výměny klíčů DHE/ECDHE. Režim proxy je vyžadován, protože síťová brána firewall nemůže zachytit hlavní klíč vyjednávaný nebo generovaný mezi dvěma stranami. Při výměně hlavního klíče DHE/ECDHE nedochází k žádné skutečné výměně hlavního klíče. S RSA není k dispozici soukromý klíč certifikátu X509 externího serveru pro import do OCI Network Firewall, a proto nelze symetrický klíč zachytit.
OCI Network Firewall mezi klientem a serverem ukončí relaci SSL/TLS od klienta a vytvoří novou pro server.
Klient ani server si nejsou vědomi tohoto proxy a vždy věří, že se k sobě připojují přímo. K dosažení tohoto cíle vytvoří OCI Network Firewall kopii přijatého certifikátu serveru a podepíše ji pomocí certifikátu místní certifikační autority (CA) a jejího soukromého klíče. Tomuto místnímu CA musí důvěřovat také všichni klienti v rámci interní sítě. Bez této důvěryhodnosti klient vidí chyby certifikátu, protože nemůže ověřit certifikát serveru znovu vygenerovaný nebo zosobněný bránou Network Firewall.
Pro příchozí DHE/ECDHE není prvek místní CA vyžadován. Interní certifikát serveru X.509 a jeho soukromý klíč jsou nainstalovány a používány síťovým firewallem k ukončení relace TLS s externím klientem. Síťový firewall pak vytvoří samostatnou relaci k internímu serveru a propojí obě relace dohromady, zatímco klient věří, že je připojen přímo k serveru.
Zdroj: Oracle