SSL/TLS Trafiğinizi F5 ile Yönetin
SSL/TLS Trafiğinizi F5 ile Yönetin
Ali Rıza AYDIN, Network Security Engineer, Platin Bilişim
SSL, Netscape Communications Corporation tarafından 1994 yılında, World Wide Web (www) üzerinden yapılan işlemlerin güvenliğini sağlamak amacıyla tasarlandı. SSL’in 1. Sürümü ciddi güvenlik açıkları olduğu gerekçesiyle hiçbir zaman tanıtılmadı. Bunun üzerine SSL’in 2. Ve 3. Sürümü yayınlandı.
SSL sürüm 1-3’ten sonra (IETF), SSL ile aynı işlevi sağlayan ve SSL Layer 3.0’I referans alan başka bir standart oluşturmaya başladı. Bunun ismini Transport Layer Security (TLS) olarak belirlediler. TLS 1.2 ve 1.3 ile birlikte de güvenlik seviyesi arttırıldı ve yeni özellikler güncellendi.
SSL ve TLS, yaygın kullanımıyla HTTP’yi güvenli protokol olan HTTPs’e çeviren protokoller olarak bilinirler. Bununla birlikte SSL/TLS; FTP, LDAP, SMTP gibi diğer uygulama düzeyindeki protokollerin de güvenliğini sağlamak için kullanılabilir.TLS, SSL’in yerini almaya başlasa dahi SSL hala yaygın bir alışkanlık ve çoğu hizmet veren hala kullanıyor.
Load balancer vb. Application Delivery Controller ürünleri tam proxy yapısıyla uygulama sunucularımızın önünde trafiği karşılayan ürünlerdir. Bu sebeple SSL trafiğini de karşılayan ve yönlendiren ürünlerdir. Bir SSL trafiğini düşündüğünüzde ihtiyacınız olan iki şey sertifika ve anahtarlardır. Dolayısıyla tam proxy ürünler, bunları yönetebilen cihazlar olmalıdır. F5, Client ve Server tarafında uyguladığı ve trafiği işleyip, yönlendirdiği profiller sayesinde bu trafiği en optimize şekilde yönetir.
F5 SSL trafiğini 3 şekilde yönetir :
1- SSL Passthrough : SSL Passthrouh, SSL oturumunun, F5 üzerinde herhangi bir encrypt ve decrypt edilmeden direk olarak sunucu tarafına gönderilmesi işlemidir. Bu yapılandırmada, SSL trafiği tamamen sunucu tarafından yönetiecektir. SSL trafiğini F5 üzerinde sonlandırmak oldukça kolaydır. Ancak bazı uygulamalar, SSL oturumunun doğrudan sunucu üzerinde sonlandırılmasını gerektirir. Passthrough bu tarz uygulamalar için kullanılan yöntemdir.
En büyük dezavantajı, uygulama trafiğine ilişkin herhangi bir görünürlük elde edememenizdir.
2- SSL Offloading : F5 BIG-IP sistemlerinin en büyük avantajlarından biri SSL Offloading işlemini kendi üzerinde gerçekleştirebilmesidir. F5 cihazları bir SSL hızlandırıcı kartına sahip olduğundan, SSL/TLS trafiğini şifrelemek ve şifresini çözmek söz konusu olduğunda fazlasıyla hızlıdır. Sanal sürümlerde dahi yüksek verimli optimize edilmiş bir SSL yazılımına sahiptir.
SSL offloading işleminin iki büyük avantajı vardır. Bunlardan birincisi, sunucu üzerinde büyük yük getiren SSL offloading işlemini, sunucudan önce yaparak yükü hafifletmesidir. İkincisi ise her bir sunucuya ayrı ayrı sertifika ve key yüklemek yerine, F5 üzerinde sertifika ve key yönetimini tek bir cihaz ile kolaylaştırmasıdır.
SSL Offloading işlemi için F5 üzerinde Client SSL profilini aktif hale getirip düzenlemek gerekmektedir. Server tarafında SSL profiline ihtiyaç yoktur.
SSL Offloading işleminin güvenlik açısından bir dezavantajı vardır. O da F5 üzerinde SSL sonlandırıldığı için, F5 sunucu arasında iletişim şifresiz olarak sağlanmaktadır.
3- SSL Bridging : Bazı işletme ve kuruluşlar, yüksek güvenlik gereksinimiyle gerçek sunuculara şifresiz trafik gönderemezler. Bu durumlarda trafik F5 ve sunuu arasında da şifrelenmeye ihtiyaç duyar. SSL bridging, SSL sonlandırma işleminin F5 üzerinde yapılmasından sonra tekrar şifrelenerek sunucu tarafına iletilmesidir. Bu işlemi yapmak için Client SSL profiline ek olarak, Server SSL profilini de etkinleştirmek gerekir.
SSL Bridging, sunucu tarafında SSL sonlandırma yükünü hafifletmez. Ancak, sunucu tarafında kurulan SSL trafiğinde daha düşük boyutta bir sertifika ve key ile, normal SSL işleminden daha hafif bir işlem haline getirebilir. Ayrıca SSL passthrough’dan farklı olarak paketi L7 düzeyine kadar inceler ve tüm BIG-IP özelliklerini kullanmamızı sağlar.