SSLSplitter

SSLSplitter – программный продукт для расшифровки SSL-трафика, созданный в партнерстве компаний Microolap Technologies и ArtX.

Принцип работы

SSLSplitter устанавливается "в разрыв" сети на периметре организации, проксируя весь сетевой трафик. Находя в сетевых соединениях начало SSL-сессии, SSLSplitter для всех таких соединений выполняет подмену сертификатов (Man-in-the-Middle), представляясь клиенту соединения сервером, а серверу клиентом. Таким образом, SSLSplitter видит все данные SSL-соединений в нешифрованном виде. Для нахождения начала SSL-соединения внутри сессии используется сигнатура, что позволяет расшифровывать трафик вне зависимости от сетевого порта сервера соединения. Все нешифрованные соединения пропускаются без изменений.

Результатом работы SSLSplitter является одна или более копий расшифрованного сетевого трафика, направленные в Mirror-интерфейсы, к которым подключаются системы для анализа расшифрованных сетевых соединений.

Для подмены сертификатов SSLSplitter может использовать как самоподписанный сертификат, так и выпущенный в удостоверяющем центре. В любом случае, на устройствах пользователей, трафик которых расшифровывает SSLSplitter, в доверенных корневых центрах сертификации должен быть установлен либо сам сертификат SSLSplitter, либо сертификат удостоверяющего центра, использовавшийся для выпуска сертификата SSLSplitter.Цифровизация ТЭК: тренды, перспективы, крупнейшие ИТ-поставщики. Обзор TAdviser 15 т

SSLSplitter поддерживает работу в двух режимах:

• Прозрачный режим (Bridge) - в этом режиме SSLSplitter функционирует на уровне L2 сетевой модели OSI, являясь невидимым для пользовательской сети.
• Режим шлюза (Router) - в этом режиме SSLSplitter функционирует на уровне L3 сетевой модели OSI, являясь шлюзом для пользовательской сети, то есть явно указывается в сетевых настройках пользователей в качестве сетевого шлюза.

В SSLSplitter разработан механизм исключений, позволяющий пропускать без изменений и расшифровки соединения к интернет-сервисам, которые не требуется контролировать. Таким образом решаются следующие задачи:

• Исключение пользователей, трафик которых не требуется расшифровывать;
• Исключение веб-сервисов, трафик которых не нужно или нельзя расшифровывать, таких как:
  • интернет-клиенты банков;
  • веб-интерфейсы различных систем, в том числе использующих шифрование при помощи токен-ключей;
  • интернет-сервисы, клиенты которых используют жестко прописанный в приложение сертификат сервера (certificate pinning).

Исключения прописываются как по IP-адресам клиентов и серверов, так и по интернет-доменам. Также для упрощения работы с исключениями поддерживаются wildcard-синтаксис, например, "*.domain.com".

В SSLSplitter также имеется настройка автоисключений (auto-bypass) – возможность автоматически заносить во временные исключения соединения, которые не смогли установиться определенное количество раз за заданный промежуток времени. Автоисключения хранятся заданное в настройках время, за которое администратор может либо перевести их в постоянные, либо сообщить разработчикам о проблеме с требованием ее решения. Данный функционал значительно упрощает процесс интеграции SSLSplitter за счет минимизации рисков выхода из строя бизнес-приложений.

Особенности решения

• Расшифровка любых протоколов, использующих SSL/TLS-шифрование;
• Определение SSL/TLS-шифрования по сигнатурам, а не по номеру порта;
• Отсутствие навязанного функционала, только решение задачи расшифровки SSL/TLS-трафика;
• Поддержка сред виртуализации;
• Поддержка всех современных алгоритмов шифрования, в том числе ГОСТ;
• Масштабируемость и отказоустойчивость;
• Работа в режимах L2 (bridge) и L3 (router);
• Microolap Technologies осуществляет прямую техподдержку пользователей и партнёров на русском и английском языках.

Сферы применения

Задача вскрытия SSL/TLS-соединений естественным образом возникает во многих ИТ-сферах, где требуется контроль трафика или его изменение в режиме реального времени.

Microolap SSLSplitter не имеет жёсткой зависимости от экосистемы какого-либо производителя программного обеспечения (в том числе и других продуктов Microolap) или аппаратной платформы – отсутствует vendor-lock. Поэтому Microolap SSLSplitter может использоваться с любыми смежными системами, которым требуется решение задачи вскрытия SSL/TLS-соединений.

Далее два примера из реальной практики.

DLP-решения

При интеграции с DLP-решениями службам ИБ возвращается контроль над зашифрованным трафиком, которого в корпоративной среде насчитывается по разным оценкам от 50% до 75%. Например, контроль мессенджеров (Skype, [[Google Hangouts, Mail.Ru Агент, ICQ и пр.), контроль веб-почты, социальных сетей, облачных сервисов (OneDrive, Google Drive, iCloud, Яндекс Диск и пр.), сервисов обмена файлами (FTPS-серверы, файлообменники и пр.), обнаружение использования проксирующих решений, контроль несанкционированных каналов личной электронной почты (протоколы IMAP4S, SMTPS, POP3S, MAPI, NRPC).

DPI-решения

При интеграции с DPI-решениями позволяет операторам сотовой связи решать задачи приоритизации SSL/TLS-трафика, а также использовать кеширование и модификацию данных внутри SSL-соединений (будет доступно в новой версии, релиз назначен на начало 2018 года).