HTTPS Inspection для R77.30 — усовершенствованная версия

HTTPS Inspection для R77.30 — усовершенствованная версия

Решение

R77.30 представляет усовершенствованную версию HTTPS Inspection (поддерживаемую только шлюзами безопасности на ОС Gaia and ОС SecurePlatform):

  • SSL Handshake Accelerationhttps inspection
  • Perfect Forward Secrecy (PFS)
  • Поддержка AES-GCM
  • Усовершенствованный HTTPS Inspection Bypass mechanism — Probe Bypass
  • Пассивный HTTPS Inspection – тестовый режим HTTPS Inspection

SSL Handshake Acceleration

Обзор:

Криптографические операции Public Key, такие как RSA и ECDH, требуют выполнения многих математических операций, что вызывает высокую нагрузку на процессор. При использовании 64-битного набора команд центрального процессора, операции могут выполняться значительно быстрее, чем с 32 — битным.

PKXLD является 64-битным процессом, который может работать на 64-битной ОС и выполнять необходимые криптографические операции. Он был добавлен для достижения SSL handshake acceleration для HTTPS Inspection.

Примечание: процесс PKXLD не может функционировать на 32-битной ОС.

 

Запуск и остановка процесса PKXLD:

Процесс PKXLD запущен по умолчанию на Gaia 64-bit. PKXLD будет выполняться по мере необходимости в WSTLSD, если ОС Gaia  работает в режиме 64-bit.

Режим шлюза Остановка SSL Handshake Acceleration Запуск SSL Handshake Acceleration
Security
Gateway
# touch $FWDIR/conf/pkxl_disable# reboot # rm -i $FWDIR/conf/pkxl_disable# reboot
VSX # vsenv 0# touch $FWDIR/conf/pkxl_disable# reboot # vsenv 0# rm -i $FWDIR/conf/pkxl_disable# reboot

Обратите внимание:

  • В режиме VSX команды должны самостоятельно выполняться в пределах шлюза VSX (в пределах Vs0), что влияет на работу всех виртуальных систем.
  • В кластерной среде команды должны выполняться на каждом узле кластера.

Примечание: допустимо иметь несколько узлов кластера с включенным PKXLD и несколько узлов кластера с выключенным PKXLD.

Perfect Forward Secrecy (PFS)

  • ECDHE шифры

ECDHE шифры были добавлены в Multi- порталы и HTTPS Inspection, обеспечив поддержку PFS для этих двух продуктов.

Появилась поддержка R77.30 для следующих шифров в пределах HTTPS проверки:

HTTPS Inspection:

    • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (ID 0x00C02B)
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (ID 0x00C02F)
    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (ID 0x00C013)
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (ID 0x00C013)
    • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (ID 0x00C009)
    • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (ID 0x00C00A)

Появилась поддержка R77.30 для следующих шифров в пределах Multi-порталов (Software Blades Portals/ порталов программных блейдов):

    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (ID 0x00C02F)
    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (ID 0x00C013)
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (ID 0x00C014)

 

  • Конфигурация

Важно! Обратите внимание:

  • Команды, представленные в этом разделе, должны выполняться на шлюзе безопасности / каждом узле кластера в режиме Expert.
  • Эти команды требуют перезапуска сервисов Check Point ( «cpstop ; cpstart»), что приводит к остановке всего трафика и может стать результатом сбоев в кластерной системе.
  • В режиме VSX конфигурация осуществляется посредством виртуальной системы.
  • Эти команды требуют перезагрузки (изменения сохраняются в файле Check Point реестра — $CPDIR/ registry/ HKLM_registry.data).
Дизайн Выбрать ECDHE Отключить ECDHE
HTTPS соединение пользовательского устройства со шлюзом По умолчанию установлен ECDHE, но AESGCM с RSAis является предпочтительным. # ckp_regedit -a SOFTWARE\\CheckPoint\\FW1 CPTLS_ACCEPT_ECDHE 1 # ckp_regedit -a SOFTWARE\\CheckPoint\\FW1 CPTLS_ACCEPT_ECDHE 2
HTTPS соединение шлюза с сервером ECDHE предлагается только в случае неудачи других предложений. # ckp_regedit -a SOFTWARE\\CheckPoint\\FW1 CPTLS_PROPOSE_ECDHE 1 # ckp_regedit -a SOFTWARE\\CheckPoint\\FW1 CPTLS_PROPOSE_ECDHE 2

Поддержка AES-GCM

Следующие AES- GCM шифры теперь поддерживают TLS 1.2 в Multi-Portals и HTTPS Inspection, что повышает пропускную способность на платформах, поддерживающих AES-NI*:

  • TLS_RSA_WITH_AES_128_GCM_SHA256 (ID 0x00009C)
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (ID 0x00C02B)
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (ID 0x00C02F)

Обратите внимание:

  • AES-NI поддерживается устройствами Check Point 12400 / 12600 / 13×00 / 21×00 / 41000 / 61000 и некоторыми открытыми серверами (обратитесь к спецификациям CPU сервера).
  • Для платформ, не поддерживающих AES-NI, AES-GCM, аналогом по производительности является AES-CBC + HMAC-SHA1.

Усовершенствованный HTTPS Inspection Bypass mechanism — Probe Bypass

Обратите внимание: Probe Bypass не следует использовать при наличии прокси-сервера между шлюзом безопасности и интернетом.

Ограничения для HTTPS Inspection Bypass Mechanism при отсутствии Probe Bypass :

  • Каждое первое соединение с сайтом проходит проверку, даже если она не предусмотрена политиками безопасности.
  • Соединения приложений без браузера разрываются в период работы HTTPS Inspection.
  • Клиентские сертифицированные соединения разрываются, когда HTTPS Inspection включен (даже при работе bypass).

Улучшения, внесенные Probe Bypass :

  • Механизм Bypass усовершенствован для лучшего отражения политик и преодоления следующих ограничений:
  • Остановка инспекции при первом подключении к заблокированным сайтам.
  • Возможность обхода соединений приложений вне браузера.
  • Возможность связи Bypass соединений с серверами, которые требуют сертификат клиента.
  • Новый механизм зондирования устраняет необходимость проверки первого подключения к IP- адресу, если этого не требуют политики.

Статус усовершенствованного процесса HTTPS Inspection Bypass feature (Probe Bypass) контролируется значением параметра ядра enhanced_ssl_inspection:

Значение Объяснение
0 Значение по умолчанию.Probe Bypass отключён.
1 Probe Bypass включён.

Обратите внимание:

Описанные ниже шаги будут иметь влияние на всю виртуальную систему VSX mode.

Чтобы включить функцию Improved HTTPS Inspection Bypass (Probe Bypass) на шлюзе безопасности / каждом узле кластера, установите значение параметра ядра enhanced_ssl_inspection, равное 1 .

  • Проверка текущего значения параметра ядра:

[Expert@HostName]# fw ctl get int enhanced_ssl_inspection

  • Установка  нужного значения для параметра ядра onthefly  (перезагрузка не требуется):

[Expert@HostName]# fw ctl set int enhanced_ssl_inspection 1

  • Установка  нужного значения для параметра ядра permanently:

Следуйте описаниюsk26202 (Changing the kernel global parameters for Check Point Security Gateway).

 

Для ОС Gaia / SecurePlatform:

  • Создайте файл $FWDIR/boot/modules/fwkern.conf  (если ещё не был осуществлён выход):

[Expert@HostName]# touch $FWDIR/boot/modules/fwkern.conf

  • Отредактируйте файл $FWDIR/boot/modules/fwkern.conf file в редакторе «Vi editor» следующим образом:

[Expert@HostName]# vi $FWDIR/boot/modules/fwkern.conf

  • Добавьте следующую строку (без пробелов):

enhanced_ssl_inspection=1

  • Сохраните изменения и закройте редактор «Vi editor».
  • Проверьте содержимое файла$FWDIR/boot/modules/fwkern.conf :

[Expert@HostName]# cat $FWDIR/boot/modules/fwkern.conf

  • Перезагрузите шлюз безопасности / каждый узел кластера.

Для отключения Probe Bypass на шлюзе безопасности / каждом узле кластера выполните шаги, описанные выше. Таким образом, будет установлено значение параметра ядра enhanced_ssl_inspection, равное 0.

Тестовый режим HTTPS Inspection

  • Предпосылки

Когда текстовая версия HTTPS Inspection загружена, CPU использование шлюза безопасности выполняется на 100 %.

Показатели эффективности, выполняемые при тестировании оборудования (например, Avalanche и Breaking Point), такие как CPS, показали, что пропускная способность и задержка были нерегулярны.

  • Причина

Причиной неравномерности является нестандартная реализация протокола HTTPS посредством тестового оборудования для повышения пропускной способности и производительности.

Check Point’s Active Inspection поддерживает стандартный (standard) HTTPS.

  • Решение

Passive HTTPS Inspection (тестовый режим HTTPS Inspection) решает вопрос совместимости с тестовым оборудованием.

Тем не менее, важно отметить следующие ограничения тестового режима:

  • Предназначен только для лабораторного использования .
  • Поддерживает контроль входящего трафика.
  • Поддерживает только обнаружение — следует использовать лишь в целях тестирования.
  • Результаты деятельности, измеренные в тестовом режиме, могут незначительно отличаться от реальных результатов.
  • ECDHE шифр не может быть использован в тестовом режиме, потому что пассивный расшифровщик (Passive decryption) не поддерживает PFS.

 

  • Конфигурация тестового режима HTTPS Inspection

Статус тестового режима Inspection Test контролируется значением параметра ядра fwtls_passive_decrypt:

Значение Объяснение
0 Значение по умолчанию.Тестовый режим отключён.
1 Тестовый режим запущен.

Обратите внимание: шаги, описанные ниже, должны быть выполнены до загрузки трафика на устройство. Если тестовый режим включен во время загрузки трафика, существующие соединения могут быть прерваны.

Чтобы запустить тестовый режим на шлюзе безопасности / каждом узле кластера, установите значение параметра ядра fwtls_passive_decrypt, равное 1.

  • Проверка текущего значения параметра ядра:

[Expert@HostName]# fw ctl get int fwtls_passive_decrypt

  •  Установка нужного значения для параметра onthefly  ( не требует перезагрузки ) :

[Expert@HostName]# fw ctl set int fwtls_passive_decrypt 1

  •  Установка нужного значения параметра ядра permanently  ( не рекомендуется):

Следуйте инструкции sk26202 (Changing the kernel global parameters for Check Point Security Gateway).

Follow sk26202 (Changing the kernel global parameters for Check Point Security Gateway).

 

Для ОС Gaia / SecurePlatform:

  • Создайте файл$FWDIR/boot/modules/fwkern.conf  (если ещё не был осуществлён выход):

[Expert@HostName]# touch $FWDIR/boot/modules/fwkern.conf

  • Отредактируйте файл $FWDIR/boot/modules/fwkern.conf в редакторе «Vi editor»:

[Expert@HostName]# vi $FWDIR/boot/modules/fwkern.conf

  • Добавьте следующую строку (без пробелов):

fwtls_passive_decrypt=1

  • Сохраните изменения и выйдите из редактора «Vi editor».
  • Проверьте содержимое файла $FWDIR/boot/modules/fwkern.conf:

[Expert@HostName]# cat $FWDIR/boot/modules/fwkern.conf

  • Перезагрузите шлюз безопасности / каждый узел кластера.

Чтобы отключить тестовый режим на шлюзе безопасности/ каждом узле кластера, выполните действия, описанные выше. Это позволит установить значения параметра ядра fwtls_passive_decrypt, равное 0.

Дополнительная настройка для оптимизации Session Rate в тестовом режиме HTTPS Inspection

Для оптимизации Session Rate в тестовом режиме HTTPS Inspection, увеличьте максимальное количество записей в следующих составляющих ядра:

  • fwtls_state_map
  • cptls_sessions

Следуйте инструкции:

Важное примечание: эти изменения затронут все шлюзы безопасности / кластеры, управляемые Security Management Server (сервером управления безопасностью)/ Multi — Domain Security Management Server .

  • Соедините панель SmartDashboard с Security Management Server (сервером управления безопасностью) / Domain Management Server (сервером управления доменами).
  • Перейдите к пункту меню ‘File’ — нажмите на ‘Database Revision Control…’ — сделайте скриншот.
  • Закройте все окна SmartConsole ( SmartDashboard , SmartView Tracker , SmartView Monitor и т.д.).
  • Подключите к командной строке Security Management Server (сервер управления безопасностью)/ Multi — Domain Security Management Server.
  • На Multi-Domain Security Management Server перейдите к ситуации вовлечённого Domain Management Server:

[Expert@HostName]# mdsenv Domain_Name

[Expert@HostName]# mdsenv Domain_Name

  • Измените

Это:

/*********

* fwtls *

*********/

fwtls_state_map = dynamic keep limit 100000 hashsize 32768;

cptls_sessions = dynamic expires 3600 limit 100000 hashsize 32768 sync kbuf 2;

на:

/*********

* fwtls *

*********/

fwtls_state_map = dynamic keep limit 1000000 hashsize 32768;

cptls_sessions = dynamic expires 600 limit 1000000 hashsize 32768 sync kbuf 2;

  • Сохраните изменения в соответствующем файле table.def.
  • Соедините SmartDashboard с серверами Security Management Server или Domain Management Server.
  • Установите политики на соответствующем шлюзе безопасности/ узле кластера.

Похожие решения:

Имеет отношение к:

  • 01418393 , 01456436 , 01467522 , 01470952 , 01471765 , 01474667 , 01479662 , 01510285 , 01516601 , 01522323 , 01546352 , 01551219 , 01556280 , 01577129
  • 01482072
ID решения sk104717
Продукт HTTPS Inspection
Версия R77.30
ОС Gaia, SecurePlatform 2.6
Платформа / Модель Все
Дата создания 19-мая-2015
Последнее изменение 10-декабря-2015