-
- いいね!1
Yoshikazu GOTO
@goto_ipv6
杉井さん:どうすれば? ・証明書をダウンロードしてブラウザーにインポートする →「Mozillaが承認していない発行者の証明書で検証された接続です」と表示される #janog #janog_3F_B
2020-01-23 10:26:51
Yoshikazu GOTO
@goto_ipv6
杉井さん:余談:SSLオフロードとの違い: ・L4 レベルで NW 制御 ・証明書の鍵を LB にインストール →クライアントと LB の間は SSL通信 →LB と Web サーバーの間は Plain 通信 #janog #janog_3F_B
2020-01-23 10:28:16
Yoshikazu GOTO
@goto_ipv6
杉井さん:並べてみると: ・SSLインスペクション →組織内の LAN の保護 ・SSLオフロード →WAN サービス側の保護 #janog #janog_3F_B
2020-01-23 10:28:49
Yoshikazu GOTO
@goto_ipv6
杉井さん:SSLインスペクションが必要なもう一つの理由:シャドーIT: ・勝手に情報・データを持ち出してしまう人 ・サービスレベルでのブロックならどうにかなる ・ISDB での宛先制御・証明書インスペクションでの Host名制御で実現可能 #janog #janog_3F_B
2020-01-23 10:30:19
Yoshikazu GOTO
@goto_ipv6
杉井さん:O365のテナント管理はどうにかやりたい: ・Proxy + SSLインスペクションの導入が必須 →プロキシサーバー側で HTTPヘッダー内に #janog #janog_3F_B
2020-01-23 10:31:11
yo
@yo12525
うん、これ自社でやろうとしてる(さっきベンダーが断ってきたw) #janog #janog_3f_b pic.twitter.com/xUQ3BGlNYq
2020-01-23 10:31:28
拡大
Yoshikazu GOTO
@goto_ipv6
杉井さん:FAQ:API型CASBではだめなの?: ・テナント内での管理 →自社契約サービス内での制御 ・テナント管理はスコープ外 #janog #janog_3F_B
2020-01-23 10:31:48
Yoshikazu GOTO
@goto_ipv6
杉井さん:SSLインスペクションに踏み切れない理由: ・運用負荷 (CA証明書の配布) ・適切な除外リストのメンテナンス →銀行口座へのアクセスも見れてしまうため ・パフォーマンス →SSL 終端を行うため #janog #janog_3F_B
2020-01-23 10:32:52
Yoshikazu GOTO
@goto_ipv6
杉井さん:証明書については: ・Windows AD により配布が可能 #janog #janog_3F_B
2020-01-23 10:33:11
Yoshikazu GOTO
@goto_ipv6
杉井さん:パフォーマンス: ・どれくらい劣化するのか? →条件によって変わる #janog #janog_3F_B
2020-01-23 10:33:56
yo
@yo12525
ADのグループポリシーでCA証明書配れるけど、Firefoxは自分で入れる必要があるってのはけっこう落とし穴なんですよね(経験者は語る) #janog #janog_3f_b
2020-01-23 10:33:57
Yoshikazu GOTO
@goto_ipv6
杉井さん:試験環境: ・SquidでSSLインスペクション(SSL Bump) ・プレーンHTTP vs HTTPS ・GET - 21kB Text を x 1 トランザクション ・負荷をランクアップさせ、最大スループットを見ていく #janog #janog_3F_B
2020-01-23 10:34:58
Yoshikazu GOTO
@goto_ipv6
杉井さん:結果: ・HTTP だと約 5G ・HTTPS だと 680M 付近で頭打ち #janog #janog_3F_B
2020-01-23 10:39:18
yo
@yo12525
そっかー全トラフィックDeep InspectionかけるとProxyの処理帯域が1/8に落ちるのかー。 #janog #janog_3F_B
2020-01-23 10:41:09
Yoshikazu GOTO
@goto_ipv6
佐藤さん:SSL を実測したことがある。その時も 1/10 になっていた。で、エンドポイント側でやることが面倒というところ。 #janog #janog_3F_B
2020-01-23 10:42:41
Yoshikazu GOTO
@goto_ipv6
杉井さん:水際になるので、エンドポイントがすべてを防いでくれるかどうかとなるとそうでもない。エンド側のパッチが遅れていた場合とかが考えられる。多層防御という観点だと、複数いれてあげて、低減すべきだと。 #janog #janog_3F_B
2020-01-23 10:42:42
Yoshikazu GOTO
@goto_ipv6
藤原さん:SSL って、脆弱ではありませんか?なので TLS をお使いください、と。あと、フィッシングの話。Let's encryptを皆さん使っているが、それが問題とも。 杉井さん:温床になっていると海外では #janog #janog_3F_B
2020-01-23 10:44:35
Yoshikazu GOTO
@goto_ipv6
藤原さん:あと、証明書をクライアントに、という話。ワイルドカード証明書ですよね?すべての、と。 杉井さん:そうです。なので、嫌だなーと。 #janog #janog_3F_B
2020-01-23 10:45:03
Yoshikazu GOTO
@goto_ipv6
「攻撃インフラに用いられるドメインに対する新たなアプローチの検討 -民事手続きを活用した攻撃インフラのテイクダウンに向けて-」 janog.gr.jp/meeting/janog4… #janog #janog_3F_B
2020-01-23 10:46:49
KOYAMA Tetsuji (こいほげ)
@koyhoge
暗号化/復号化のCPU負荷が高いので、SSL/TLSインスペクションするには専用アプライアンスを使うのが現実的だと思うのだけど、それでもパフォーマンス問題はあるんだろうか? #janog #janog_3f_b
2020-01-23 10:47:21