27.1. 赛门铁克SSL可见性(BlueCoat)¶
由于Suricata本身无法解密SSL/TLS流量,部分组织会使用解密设备来处理此类流量。本文档将提供在赛门铁克SSL可见性设备(原BlueCoat)环境下使用Suricata的建议方案。
27.1.1. 设备软件版本¶
该设备提供两个主要软件版本选项:3.x系列和4.x系列。Suricata在4.x系列软件中运行效果最佳。
TLS1.3仅在设备软件的4.x版本中完整支持。
27.1.2. 魔术标记¶
设备通过特殊机制标识解密数据:使用特定的源MAC地址魔术标记,或采用特殊VLAN头部标记。由于Suricata可将VLAN作为流追踪的组成部分,推荐使用源MAC地址标记方案。
在3.x版本软件中这些标记始终存在,配置仅允许选择标记类型。而4.x版本软件中标记功能变为可选项。
27.1.3. TCP流处理¶
使用3.x版本软件时,需特别注意Suricata的TCP流重组处理机制。解密流量以TCP数据包形式呈现给IDS时,其确认应答(ACK)频率低于常规TCP会话预期。设备采用大TCP窗口机制以避免违反TCP规范。由于Suricata在IDS模式下需等待ACK包进行多数处理流程,这可能导致检测延迟、日志记录滞后,以及因数据缓冲增加导致的资源消耗上升。
解决方案是启用'stream.inline'模式,该模式将在数据段到达时立即处理,无需等待ACK包。
4.x版本软件会发送更规范的ACK包,Suricata端无需特殊配置。
27.1.4. Suricata中的TLS匹配¶
设备负责TLS处理及解密工作,仅向Suricata提供解密后的数据。这意味着: - Suricata无法获取TLS握手过程 - 所有基于TLS握手的关键字检测(如指纹匹配/ja3)、TLS日志记录及证书提取功能均不可用
若需匹配或记录此类信息,必须使用设备自身的匹配和日志功能。
对于设备安全策略未要求解密的TLS流量,TLS握手过程仍会传递给Suricata进行分析记录。
IPS模式 ---
在IPS模式下配合设备使用时需注意: * 当Suricata对解密流量中的报文执行DROP操作时,设备感知后将触发RST会话终止 * 若报文处理超时1秒,设备将自动视为DROP操作(常规流量不应出现此情况,但低效Lua脚本可能引发该问题)。设备可配置为5秒超时阈值 * 使用Suricata 'replace'关键字修改数据时需注意:
3.x版本软件不会将修改传递至目标端(修改无效)
4.x版本软件支持传递明文修改(默认关闭该功能,需手动启用)
受Suricata工作机制限制,有效载荷大小不可变更