¿Se considera una buena práctica implementar un servidor proxy SSL?

Question

¿Se considera una buena práctica implementar un servidor proxy SSL?

#1 de Steffen Ullrich (4 votos)
#2 de Lie Ryan (3 votos)
#3 de Serge Ballesta (0 votos)

3

Hay muchas preguntas en este sitio por parte de los usuarios que descubren que su empleador tiene un proxy de certificado implementado, esencialmente implementando un ataque de intermediario para que todo el tráfico pueda ser descifrado.

Nuestro profesional de seguridad me dijo que esta política se considera la mejor práctica. Al parecer, ayuda al software antivirus (en particular, McAfee) a hacer su trabajo. Supongo que esto no significa que ayude a prevenir la infección, sino que proporciona una manera de descubrir de dónde proviene la infección.

Otras personas me han dicho que la única razón por la que las empresas hacen esto es para poder controlar maliciosamente a sus empleados. En este pensamiento, no se debe creer ningún otro razonamiento dado por esta política.

¿Quién tiene razón? ¿Es esta política realmente considerada la mejor práctica? ¿Qué beneficio ofrece un proxy de certificado?

corporate-policy man-in-the-middle antivirus ssl-interception

pregunta Nacht 21.07.2017 - 03:25

fuente

3 respuestas

Lea otras preguntas en las etiquetas corporate-policy man-in-the-middle antivirus ssl-interception

Struts2.3 Ataque Cero Día explotado: CronJob siendo creado ¿Acabo de entregar mis credenciales al intentar conectarme a la VPN incorrecta?

score 4 · Answer 1

Según Mozilla Telemetry la mitad de los mejores resultados en la búsqueda de Google utiliza https en 04/2017 y proyectaron un crecimiento adicional de 65% a fines de año. Y aunque alguna vez se usó como un indicador de confianza en el contenido del sitio, https ahora es lo suficientemente ubicuo como para proteger el tráfico en sitios que generan malware o phishing, ya sea porque se configuraron de esta manera o porque un sitio anteriormente inofensivo fue hackeado

Esto significa que el contenido entregado a través de https no se puede confiar solo por el https, pero se debe inspeccionar como cualquier otro contenido potencialmente malicioso. Dicha inspección se puede realizar en el punto final del cifrado o en un punto intermedio. En este último caso, uno usa, por ejemplo, firewalls empresariales que ofrecen intercepción SSL, pero también muchos AV de escritorio tienen proxies locales que hacen intercepción SSL. La otra opción sería analizar el contenido solo después del descifrado, por ejemplo, utilizando extensiones dentro del navegador que tengan acceso a cualquier contenido descifrado o analizando cualquier acceso a archivos. Estos diferentes métodos de inspección de contenido no tienen las mismas capacidades porque trabajan con diferentes datos, tienen diferentes contextos de comunicación y se aplican en entornos en los que se confía de manera diferente, es decir, los diferentes métodos tienen diferentes ventajas y desventajas.

La intercepción de SSL en el firewall perimetral brinda visibilidad de los datos entrantes y salientes a nivel de red. Esto proporciona una imagen más amplia de la red donde los datos de diferentes sistemas se pueden analizar juntos. También ayuda a detectar o restringir la comunicación de botnets. Y, aunque el bloqueo básico de sitios web completos a menudo se puede lograr sin la intercepción de SSL, el control más granular, como bloquear solo las publicaciones a Facebook, solo se puede lograr al tener acceso al contenido. El mayor problema con la intercepción SSL es que destruye el cifrado de extremo a extremo esperado del tráfico y puede debilitar la seguridad si no se implementa correctamente. Y, desafortunadamente, a menudo está mal implementado .

En su lugar, analizar el contenido descifrado en el navegador no es menos invasivo que hacer la intercepción SSL y agrega algunos problemas adicionales. Para ser efectivo en la detección y el bloqueo de contenido malicioso, el complemento del navegador debe tener acceso a cualquier contenido en el navegador antes de que éste lo ejecute. Sin embargo, este es un código que se ejecuta en un sistema que debe considerarse menos confiable como el firewall, ya que los ataques contra clientes con su enorme superficie de ataque son mucho más comunes y exitosos que contra un firewall. Por lo tanto, uno tiene que considerar el caso de que un atacante encuentre un problema de seguridad en el complemento y pueda deshabilitarlo o, peor aún, secuestrarlo en controla todo en el navegador .

La detección de contenido malintencionado con la supervisión del sistema de archivos, la supervisión de llamadas al sistema o similares ofrece algunas ventajas, ya que controla el malware en acción real en lugar de solo realizar análisis estáticos o realizar pruebas cortas dentro de un recinto de pruebas. Pero también pierde mucha información sobre el contexto de comunicación en el que se desarrollan estas actividades, es decir, de dónde proviene el contenido. Además, es imposible detectar los sitios típicos de phishing de esta forma, lo que engaña a los usuarios para que proporcionen sus contraseñas. Aparte de eso, también podría aumentar la superficie de ataque, ya que estas soluciones de monitoreo generalmente se ejecutan con privilegios elevados pero están lejos de estar libres de errores .

En resumen: al igual que otros tipos de análisis de contenido, la intercepción de SSL tiene sus ventajas y desventajas, es decir, aumenta la seguridad y, al mismo tiempo, la reduce de alguna manera. Pero, implementado y utilizado correctamente, el aumento de la seguridad superará la disminución en muchos casos de uso. Y, aunque hay otras formas de combatir el malware y el phishing, tienen sus propias ventajas y desventajas y no son necesariamente mejores que la intercepción SSL. Además, es útil, por ejemplo, tener una intercepción central de SSL en el firewall perimetral y una AV de escritorio como parte de una estrategia de defensa en profundidad.

score 3 · Answer 2

No, no es la "mejor práctica". Implementar la intercepción SSL es un compromiso, todas las compañías que lo consideran deben sopesar los inconvenientes de la intercepción SSL.

Por un lado, la implementación de la intercepción SSL centraliza la gestión de la seguridad. Permite a la compañía escanear en busca de malware, y detectar y bloquear exfiltraciones / fugas de datos (accidental), también le permite a la compañía aplicar políticas como prohibir el acceso a los sitios NSFW.

Por otro lado, también facilita mucho el trabajo del atacante, ya que ahora tienen una única máquina de alto valor que puede comprometer la seguridad de toda la compañía. Comprometer a esta única máquina le permitiría al atacante interceptar todas las contraseñas, falsificar páginas y distribuir malware a un nivel sin precedentes.

Además, muchos productos de intercepción SSL en realidad tienen menos seguridad que los navegadores actualizados, por ejemplo, no verifican la cadena de certificados correctamente, no verifican OCSP / CRL, o su almacén de certificados raíz no se actualiza con tanta frecuencia como la raíz del navegador almacenar. La mayoría de los productos de intercepción en el mercado son netos negativos para la seguridad cuando no se implementan correctamente. Obtener resultados netos positivos de los mejores productos de intercepción no es fácil, no se puede instalar y olvidar, necesitan mantenimiento continuo, si tienen detección de exfiltración de datos, su base de datos de firmas debe mantenerse actualizada a medida que el negocio evolucione. Implementar la interceptación correctamente requiere una inversión significativa para obtener beneficios algo modestos.

Las razones comunes pero pobres para implementar la intercepción SSL es que la intercepción SSL realmente no pudo detectar o bloquear la exfiltración de datos deliberada. Si no confía en sus empleados, tiene un problema social, no técnico, y no puede solucionar el problema social con soluciones técnicas.

Otra razón común y deficiente es que permite a los administradores no tener que configurar antivirus en estaciones de trabajo individuales. Muchos de los virus no se pueden detectar con análisis estático, los administradores que usan el antivirus central para reemplazar, en lugar de además, el antivirus por estación de trabajo deben tener su privilegio de administrador revocado.

La implementación de la intercepción SSL tampoco debe usarse como excusa para mantener software obsoleto que no admite el TLS moderno (por ejemplo, IE6 en WinXP).

Hay casos en los que la implementación de la intercepción tiene sentido, pero la mayoría de los proveedores si estos productos exageran lo que realmente puede hacer su producto y minimizan significativamente los costos y los inconvenientes. La mayoría de las oficinas no se beneficiarían realmente de la intercepción de SSL y, por lo general, aumentan sus riesgos implementándola.

score 0 · Answer 3

Los

proxies SSL (haciendo ataques MITM) son la única forma de realizar una inspección profunda de paquetes en el punto de entrada externo. Y la única forma de controlar que se obedecen las reglas de seguridad. No es para permitir que un administrador perezoso no mantenga la seguridad en los escritorios, sino para proteger la red contra los empleados que no pueden entender por qué no deben actuar en el trabajo como lo hacen en casa. El problema no es que los empleados estén activamente dispuestos a filtrar datos, sino que exponen inadvertidamente su computadora de escritorio a varias amenazas o que pasen demasiado tiempo en sitios no relacionados con su trabajo, o incluso peor en sitios ilegales. La responsabilidad del empleador (y del administrador) puede comprometerse si no se han tomado las medidas adecuadas para evitar que las máquinas de la organización estén involucradas en actividades ilícitas. Por lo tanto, aunque debería controlarse para proteger la privacidad de los empleados, las reglas de mejores prácticas recomiendan la inspección profunda de paquetes en el firewall externo.