¿Cómo se escanean los datos del firewall avanzado (verifique la firma, etc.) si están cifrados?

Para aplicar realmente firmas al tráfico descifrado, el firewall debe tener acceso a este tráfico. La forma típica de hacer esto es esencialmente haciendo un hombre en el ataque central, solo que el "atacante" (el cortafuegos) se considera confiable en este caso. Consulte ¿Es una práctica común que las empresas usen MITM HTTPS? ¿Tráfico? para más.

Otra forma a veces empleada en los firewalls / IDS que protegen a un servidor específico (como en los firewalls de aplicaciones web) es no convertir a este servidor en el punto final de TLS. En su lugar, el propio firewall o algún dispositivo que se encuentre frente a él es el punto final TLS, de modo que el firewall puede ver el tráfico normal. Una variación en este escenario es proporcionar al servidor de seguridad la clave privada del certificado de servidores para que pueda descifrar el tráfico. Pero esto solo funciona si se usa el intercambio de claves RSA, mientras que hoy se recomienda el intercambio de claves DH.

Y luego hay ataques que se pueden detectar sin descifrar el tráfico. Estas firmas, por ejemplo, se basan en detalles específicos del protocolo de enlace TLS, como el tipo y el orden de los cifrados y las extensiones TLS utilizadas, o la información sobre el certificado enviado por el servidor. Dado que el certificado se envía en texto sin formato en el protocolo de enlace TLS, se puede determinar la CA que lo firmó o si fue autofirmado y similar simplemente olfateando pasivamente el tráfico. Consulte Descifrando el uso de TLS por parte de Malware (sin Descifrado) para un buen artículo sobre cómo se puede detectar la comunicación de malware de esta manera.