ASA 5500-X, deszyfracja ssl, cięcie ruchu

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba, Wojtachinho

Wiadomość
Autor
iten
fresh
fresh
Posty: 4
Rejestracja: 21 mar 2018, 11:46

ASA 5500-X, deszyfracja ssl, cięcie ruchu

#1

#1 Post autor: iten » 09 paź 2018, 19:08

Cześć,
czy spotkaliście się z problemem deszyfracji ruchu na platformie ASA 5500-X? Przy włączonej deszyfracji SSL część losowego ruchu, który nie jest deszyfrowany jest cięta. Sensory SFR na ASA oraz FTD są się w najnowszej wersji.

Dzięki za wszystkie sugestie :)

Gizmo
wannabe
wannabe
Posty: 176
Rejestracja: 28 sty 2008, 21:55

Re: ASA 5500-X, deszyfracja ssl, cięcie ruchu

#2

#2 Post autor: Gizmo » 16 paź 2018, 08:58

Za wyjątkiem 5585X, na wszystkich ASAch, sensor IPS Firepower pracuje jako moduł softwarowy. Jego wydajność to około 25-40% wydajności ASA w zależności od wykonywanych reguł i inspekcji, przy łączonej deszyfracji wydajność spada do około 5% (albo mniej). Generalnie nie jest zalecane włączanie deszyfracji SSL na ASA Firepower 5506-5555X. W wyjątkowych wypadkach można się pokusić o to na ASA 5545-5555X ale dla bardzo starannie wyselekcjonowanego ruchu.
“Two possibilities exist: either we are alone in the Universe or we are not. Both are equally terrifying.” - A.C.Clark

ODPOWIEDZ