Cisco ASA 5510 com AIP SSM - Pode inspecionar o tráfego SSL?

1

É possível para um módulo AIP dentro de um Cisco 5510 ASA descriptografar e inspecionar o tráfego SSL?

Eu perguntei ao meu fornecedor local (quem colocou os dispositivos de que falo) e eles dizem que o módulo AIP é incapaz de revisar o conteúdo criptografado. Eu trabalho com firewalls de aplicativos da Web bastante comumente familiarizado com a capacidade de instalar um certificado da Web em um dispositivo para permitir que ele veja o tráfego SSL. Isso é impossível em um módulo ASA com IPS?

    
por moniker 08.12.2010 / 17:23

1 resposta

2

Correto. O ASA não executa a terminação SSL (além daquela exigida para o WebVPN e o AnyConnect VPN), assim não pode fornecer um fluxo de dados descriptografado para o AIP inspecionar. Você precisaria posicionar outra coisa na frente do ASA que possa executar a terminação SSL, como um firewall de aplicativo da Web, como você mencionou. Alguns produtos de balanceamento de carga (por exemplo, Cisco CSM-SSL) também podem fazer isso.

    
por 08.12.2010 / 19:17