Использование Сенсора для защиты шифрованного трафика

Решение предполагает подачу на Сенсор KDP копии трафика по SPAN и логов web-сервера в режиме реального времени.

Механизм защиты HTTPS-трафика без передачи секретного ключа

Использование Сенсора Kaspersky DDoS Protection позволяет очищать шифрованный трафик Клиента на уровне нешифрованного, то есть с максимально возможным качеством, без передачи SSL-сертификата за пределы инфраструктуры Клиента. Чтобы получать всю необходимую информацию о шифрованном трафике, веб-серверы Клиента в режиме реального времени передают на Сенсор журнал запросов в формате UDP Syslog.

Строка записи журнала обязательно должна содержать следующие поля:

• server_addr:server_port - IP-адрес и порт сервера, принимающего запрос (IP-адрес Защищаемого ресурса);
• remote_addr:remote_port - IP-адрес и порт клиента, устанавливающего соединение с Защищаемым ресурсом;
• remote_port - порт клиента;
• time_local - время запроса;
• scheme - протокол прикладного уровня (HTTP или HTTPS);
• request - запрос;
• status - код ответа сервера;
• http_host - значение заголовка Host в HTTP-запросе;
• http_referer - значение заголовка Referer в HTTP-запросе;
• http_user_agent - значение заголовка User-Agent в HTTP-запросе;
• http_accept - значение заголовка Accept в HTTP-запросе.

Крайне желательно, чтобы строка записи журнала содержала следующие поля:

• ssl_session_id - идентификатор SSL-сессии;
• ssl_session_reused - 1, если SSL-сессия используется повторно;

Поля должны быть разделены двумя символами решетки “##”. Строка должна начинаться с двойного разделителя “####” и (желательно) заканчиваться разделителем ##.

Пример корректного лога:

####10.1.10.113:443##111.11.111.11:3000##02/Jun/2022:16:36:29 +0300##https##GET /api/v1/news?_sort=beginShowDate-&_sort=dateTime- HTTP/1.1##304##online.site.ru##http://localhost/##Mozilla/5.0 (Linux; Android 12; RMX3363 Build/RKQ1.210503.001; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/101.0.4951.61 Mobile Safari/537.36##

Дополнительно по запросу Клиента предоставляется документ с примерами настройки для различных веб-серверов.

Применение данного механизма не требует передачи сертификата или расшифрованной копии шифрованного трафика на Сенсор Kaspersky DDoS Protection. Таким образом, обеспечивается полное соответствие требованиям различных регуляторов.

В начало