21.1. Symantec SSL可见性(BlueCoat)¶
由于Suricata本身无法解密SSL/TLS通信,一些组织使用解密产品来处理这一问题。本文档将提供一些使用Suricata和Symantec SSL可见性设备(以前称为BlueCoat)的建议。
21.1.1. 设备软件版本¶
该设备有两个主要的软件版本选项。3.x和4.x系列。Suricata最适合4.x系列。
只有4.x版本的设备软件才正确支持TLS1.3。
21.1.2. 魔术记号笔¶
设备有一个指示数据被解密的指示器。这可以使用一个特殊的魔法源MAC地址,或者使用一个特殊的VLAN头来完成。由于Surica可以使用VLAN作为流跟踪的一部分,因此建议使用源MAC方法。
在3.x版本的软件中,这些标记总是存在的,配置只允许设置将使用哪种类型。在4.x软件中,标记是可选的。
21.1.3. TCP处理¶
在3.x软件中,在Suricata的TCP流重组处理中需要注意一些。解密后的流量以TCP数据包的形式呈现给IDS,这些数据包不像常规TCP会话中预期的那样定期确认。一个大的TCP窗口用于不违反TCP规范。由于在IDS模式下,Suricata等待ACK进行大部分处理,这可能导致检测和日志记录延迟,以及由于数据缓冲增加而增加的资源使用。
要避免这种情况,请启用“stream.inline”模式,该模式在数据段进入时处理它们,而不等待ACK。
4.x软件发送更多的常规ACK,不需要在Suricata方面进行任何特殊处理。
21.1.4. Suricata中的TLS匹配¶
该设备负责TLS处理和解密,只向Suricata显示已解密的数据。这意味着Suricata不会看到TLS握手。因此,Suricata无法检查TLS握手或以其他方式处理它。这意味着对于解密的TLS会话,Suricata不会执行任何TLS关键字检查(如指纹匹配和JA3)、TLS日志记录或TLS证书提取。
如果匹配和/或记录这些信息很重要,则必须使用设备设施来匹配和记录它们自己。
对于设备安全策略不会导致流量解密的TLS流量,将向Surica提供TLS握手以进行分析和日志记录。
21.1.5. IPS¶
在ips模式下对设备使用suricata时,必须考虑以下事项:
如果Suricata在解密的流量中丢弃了一个数据包,那么设备将看到这一点,在此之后它将触发一个RST会话拆卸。
如果一个数据包需要一秒钟以上的时间来处理,则设备会自动将其视为丢弃。这不应该发生在正常的流量中,但是如果使用非常低效的lua脚本,这可能会发生。设备也可以配置为等待5秒钟。
使用suricata“replace”关键字修改数据时,请注意3.x设备软件不会将修改传递到目标,因此这不会产生任何效果。4.x设备软件支持传递对未加密文本所做的修改,默认情况下,此功能被禁用,但如果希望将修改传递到重新加密流中的目标,则可以启用此功能。由于Surica的工作方式,有效载荷的大小不能改变。