ASA 5500-X, deszyfracja ssl, cięcie ruchu

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba, Wojtachinho

Wiadomość
Autor
iten
fresh
fresh
Posty: 4
Rejestracja: 21 mar 2018, 11:46

ASA 5500-X, deszyfracja ssl, cięcie ruchu

#1

#1 Post autor: iten » 09 paź 2018, 19:08

Cześć,
czy spotkaliście się z problemem deszyfracji ruchu na platformie ASA 5500-X? Przy włączonej deszyfracji SSL część losowego ruchu, który nie jest deszyfrowany jest cięta. Sensory SFR na ASA oraz FTD są się w najnowszej wersji.

Dzięki za wszystkie sugestie :)

Gizmo
wannabe
wannabe
Posty: 177
Rejestracja: 28 sty 2008, 21:55

Re: ASA 5500-X, deszyfracja ssl, cięcie ruchu

#2

#2 Post autor: Gizmo » 16 paź 2018, 08:58

Za wyjątkiem 5585X, na wszystkich ASAch, sensor IPS Firepower pracuje jako moduł softwarowy. Jego wydajność to około 25-40% wydajności ASA w zależności od wykonywanych reguł i inspekcji, przy łączonej deszyfracji wydajność spada do około 5% (albo mniej). Generalnie nie jest zalecane włączanie deszyfracji SSL na ASA Firepower 5506-5555X. W wyjątkowych wypadkach można się pokusić o to na ASA 5545-5555X ale dla bardzo starannie wyselekcjonowanego ruchu.
“Two possibilities exist: either we are alone in the Universe or we are not. Both are equally terrifying.” - A.C.Clark

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1430
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE

Re: ASA 5500-X, deszyfracja ssl, cięcie ruchu

#3

#3 Post autor: drake » 24 paź 2018, 15:10

Hej,

jak Gizmo napisal, nie jest to polecane ze wzgledu na brak wsparcia sprzetowego dla deszyfracji SSL w tych platformach. Funkcja HW SSL acceleration obecna jest tylko na FP serii 4100 i 9300, co wynika z architektury sprzetowej tych pudelek.

Pozdruffka! ;)
Never stop exploring :)

ODPOWIEDZ