Scenari di Fortigate SLL/TLS Inspection

 

Introduzione al problema

Perché è importante abilitare l’ispezione SSL/TLS su FortiGate?

Oggi, oltre il 90% del traffico in rete è crittografato, come illustrato nel grafico che mostra la crescente adozione dei protocolli SSL/TLS nel corso degli ultimi anni. Questo alto livello di crittografia rappresenta un’arma a doppio taglio: se da un lato garantisce la sicurezza delle comunicazioni, dall’altro può nascondere minacce che sfuggono ai controlli di sicurezza tradizionali.

HTTPS è certamente imprescindibile per le comunicazioni in rete, ma ad esso vi sono associati dei rischi di cui bisogna essere coscienti. Uno dei rischi è quello di far sì che il traffico crittografato superi i controlli di sicurezza della nostra rete. Se ad esempio all’interno di una sessione di comunicazione crittografata viene scaricato un file contenente un virus al proprio interno, il virus potrebbe non essere rilevato.

Tipologie di Forigate Inspection

Le modalità di ispezione possono essere di due tipi:

 

  • SSL Certificate inspection
  • Full SSL inspection

 

Nella modalità SSL Certificate inspection, FortiGate non decripta in alcun modo il traffico.

Esso si focalizza sull’identificazione del server o dell’applicazione, senza ispezionare il contenuto dei pacchetti crittografati scambiati.

Per quanto detto, le uniche due funzionalità di sicurezza che permette questa modalità di ispezione sono:

 

  • Application Control (in alcuni casi)
  • Web Filtering

 

Nella modalità Full SSL inspection, anche detta Deep inspection, FortiGate è in grado di ispezionare il contenuto dei pacchetti, compreso il payload. In tal caso si comporta come un vero e proprio proxy, decrittografando il traffico dal client e ri-crittografandolo per inviarlo al server. Vi sono due connessioni SSL distinte: quella Client-FortiGate e quella FortiGate-Server.

La modalità Deep inspection, dunque, consente di proteggersi da attacchi che utilizzano il protocollo HTTPS ed in generale altri protocolli SSL-encrypted, come ad esempio SMTPS, POP3S, IMAPS ed FTPS.

 

I profili di ispezione che possiamo applicare a una firewall policy su FortiGate sono:

  • No-Inspection: Nessuna ispezione del traffico.
  • Certificate-Inspection: Ispezione del certificato senza decriptazione del contenuto.
  • Deep-Inspection: Ispezione completa del traffico decriptato.
  • Custom-Deep-Inspection: Ispezione profonda personalizzata per esigenze specifiche.

Application Control

L’Application Control è una funzione cruciale che consente di identificare e gestire le applicazioni che attraversano la rete. Quando combinato con l’ispezione SSL/TLS, FortiGate è in grado di riconoscere e controllare l’uso delle applicazioni, anche se il loro traffico è crittografato.

Per utilizzare l’Application Control in modo efficace, è necessaria una sottoscrizione a FortiGuard. FortiGuard è un servizio di sicurezza fornito da Fortinet che offre aggiornamenti in tempo reale per una vasta gamma di funzionalità di sicurezza, inclusi database di applicazioni, firme antivirus, intrusion prevention system (IPS) e altro ancora. La sottoscrizione garantisce che FortiGate disponga delle informazioni più recenti per identificare e controllare le applicazioni.

In tal caso FortiGuard fornisce un Application Control Signature package, su cui poter lavorare.

Scenario: Utilizzo di Certificate Inspection e Deep Inspection su FortiGate

La gestione della sicurezza del traffico crittografato è fondamentale per prevenire le minacce nascoste e garantire la conformità alle policy aziendali. FortiGate offre due modalità principali di ispezione del traffico SSL/TLS: Certificate Inspection e Deep Inspection. In questo scenario, esamineremo l’efficacia di entrambe le modalità di ispezione. Dimostreremo come, con la Certificate Inspection, sia possibile scaricare malware e postare su Facebook, nonostante l’adozione di un Application Profile che dovrebbe impedire tali attività. Vedremo quindi come, senza la Deep Inspection, l’Application Profile perda di efficacia. Infine, mostreremo come abilitando la Deep Inspection, entrambe queste operazioni saranno inibite, garantendo una maggiore sicurezza della rete aziendale e l’effettiva applicazione delle policy di controllo delle applicazioni.

Per realizzare questo scenario, come prima cosa andremo a definire l’Application Control profile che ha come obiettivo quello di impedire all’utente di pubblicare dei post su Facebook:

Come si evince dall’immagine di sopra, tutte le signature relative a Facebook hanno come azione “BLOCK”. Tuttavia, se andiamo nel dettaglio della signature relativa alla specifica azione di POST, si legge chiaramente che è richiesta una Deep Inspection:

In secondo luogo, andiamo a definire la Firewall Policy che dovrebbe sia impedire di effettuare questa azione, sia impedire di effettuare il download di uno specifico malware:

Come reagisce in tal caso questa firewall policy?

Il malware viene scaricato senza alcun tipo di problema.

La Facebook post, analogamente, va a buon fine:

 

Perché? Perché il traffico che consente entrambe le azioni è crittografato, e dunque, utilizzando la semplice certificate inspection, FortiGate non decripta il traffico. Esso non è in grado di riconoscere nel dettaglio queste due azioni. Di conseguenza, non può impedirle in alcun modo.

A questo punto, abilitiamo un profilo di tipo Deep Inspection:

Ripetiamo dunque le stesse due azioni:

Il malware non viene scaricato, così come indicato dall’antivirus profile (standard) all’interno della firewall policy. Anche la Facebook Post viene impedita:

 

Entrambe le azioni vengono registrate all’interno dei log per motivi di sicurezza:

Vuoi maggiori informazioni?

Vuoi mettere in sicurezza il tuo sistema con soluzioni personalizzate Fortinet?

Compila i campi qui sotto, ti ricontatteremo quanto prima.