Использование Сенсора для защиты шифрованного трафика
17 апреля 2024
ID 203036
Решение предполагает подачу на Сенсор KDP копии трафика по SPAN и логов web-сервера в режиме реального времени.
Механизм защиты HTTPS-трафика без передачи секретного ключа
Использование Сенсора Kaspersky DDoS Protection позволяет очищать шифрованный трафик Клиента на уровне нешифрованного, то есть с максимально возможным качеством, без передачи SSL-сертификата за пределы инфраструктуры Клиента. Чтобы получать всю необходимую информацию о шифрованном трафике, веб-серверы Клиента в режиме реального времени передают на Сенсор журнал запросов в формате UDP Syslog.
Строка записи журнала обязательно должна содержать следующие поля:
- server_addr:server_port - IP-адрес и порт сервера, принимающего запрос (IP-адрес Защищаемого ресурса);
- remote_addr:remote_port - IP-адрес и порт клиента, устанавливающего соединение с Защищаемым ресурсом;
- remote_port - порт клиента;
- time_local - время запроса;
- scheme - протокол прикладного уровня (HTTP или HTTPS);
- request - запрос;
- status - код ответа сервера;
- http_host - значение заголовка Host в HTTP-запросе;
- http_referer - значение заголовка Referer в HTTP-запросе;
- http_user_agent - значение заголовка User-Agent в HTTP-запросе;
- http_accept - значение заголовка Accept в HTTP-запросе.
Крайне желательно, чтобы строка записи журнала содержала следующие поля:
- ssl_session_id - идентификатор SSL-сессии;
- ssl_session_reused - 1, если SSL-сессия используется повторно;
Поля должны быть разделены двумя символами решетки “##”. Строка должна начинаться с двойного разделителя “####” и (желательно) заканчиваться разделителем ##.
Пример корректного лога:
####10.1.10.113:443##111.11.111.11:3000##02/Jun/2022:16:36:29 +0300##https##GET /api/v1/news?_sort=beginShowDate-&_sort=dateTime- HTTP/1.1##304##online.site.ru##http://localhost/##Mozilla/5.0 (Linux; Android 12; RMX3363 Build/RKQ1.210503.001; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/101.0.4951.61 Mobile Safari/537.36##
Дополнительно по запросу Клиента предоставляется документ с примерами настройки для различных веб-серверов.
Применение данного механизма не требует передачи сертификата или расшифрованной копии шифрованного трафика на Сенсор Kaspersky DDoS Protection. Таким образом, обеспечивается полное соответствие требованиям различных регуляторов.