Con respecto a IPS, no estoy completamente de acuerdo en cómo se supone que terminen o descifren el tráfico cifrado. Tiene absolutamente sentido implementarlos en línea, pero ¿cómo se supone que se debe dividir el tráfico para que pueda ser inspeccionado? ¿Funciona de manera similar a cualquier infraestructura CASB que se implementaría?
Hay cuatro maneras en que un IPS puede lidiar con el tráfico cifrado:
Un IPS puede actuar como un proxy de intercepción TLS, donde se convierte en un intermediario para la conexión TLS. Esto requiere que agregue un certificado raíz creado por el software IPS a su almacén de confianza raíz, o cada sitio web cifrado que intente visitar dará un error de conexión. Esto permite que un IPS controle el contenido del tráfico cifrado de manera transparente, con algunas excepciones . Esto puede ser riesgoso si el software IPS no es seguro o no es confiable, ya que le está delegando toda confianza.
Un IPS puede tomar la pérdida y analizar lo que pueda sin necesidad de descifrar el tráfico (por ejemplo, puerto e IP de origen y destino, heurísticas basadas en análisis de tráfico, información de encabezado TCP, SNI, etc.). Por supuesto, esto es una inspección menos exhaustiva, pero no depende de cada cliente detrás del IPS para instalar su certificado TLS personalizado, lo que puede ser un riesgo de seguridad.
Si el software se integra con la aplicación mediante conexiones cifradas (lo cual es posible si el IPS se ejecuta en el punto final TLS, en lugar de en un firewall de hardware separado), puede inspeccionar el tráfico cifrado después de que haya Ya ha sido descifrado. Esto tiene la ventaja de no requerir la intercepción TLS mientras se puede leer el tráfico cifrado, pero tiene el inconveniente de que solo funciona con las aplicaciones compatibles y que se necesita ejecutar en el punto final.
Cualquier tráfico cifrado simplemente puede ser bloqueado. Esto permite que el IPS lea la mayoría del tráfico y niegue lo que no puede leer, pero a expensas de la facilidad de uso. Sin embargo, una entidad no autorizada todavía puede comunicarse mediante el uso de un protocolo cifrado no estándar u ofuscado que el software no puede entender. El uso de protocolos en la lista blanca tampoco es una solución, ya que sería posible enviar datos cifrados en el contenido de una página HTML a través de HTTP simple.
En cuanto a terminar una sesión encriptada, eso es fácil. TLS está en una capa diferente de TCP (en el modelo OSI, TLS es la capa 6, mientras que TCP es la capa 4). Es decir, TLS está encapsulado dentro de la conexión TCP y no encripta en absoluto la información relacionada con TCP. Para romper una conexión, todo lo que el IPS debe hacer es enviar un RST. Una vez que la conexión TCP está muerta, también lo está la sesión TLS.
Lea otras preguntas en las etiquetas encryption network tls ids tls-intercept