Desde la perspectiva de invertir recursos para hacer que los servicios web se ejecuten bajo el protocolo; ¿Hace mucha diferencia si implementó TLS vs ejecutándose en el modo HTTP simple dentro del firewall?
Concedido que una presencia vil llegó a la intranet, qué tan fácil podría ser TLSv1.2.
TLS 1.2 es probablemente el mejor que existe. Tenga en cuenta que la idea detrás del protocolo en sí es relativamente segura. El problema radica en los detalles del protocolo.
Hay varias decisiones de diseño que no son tan buenas dentro de TLS, como la idea de realizar un MAC sobre el mensaje / marcos en lugar de sobre el texto cifrado. El efecto de eso fue que los ataques de oráculo de relleno se convirtió en una posibilidad Sin embargo, las implementaciones corregidas del protocolo pueden evitar eso. Que yo sepa, no hay vulnerabilidades importantes que no puedan ser parchadas.
Mientras mantenga su software actualizado y elija un conjunto de cifrado seguro y el método de autenticación, TLS 1.2 puede proporcionar mucha seguridad. Si es fácil de implementar, entonces ciertamente no lo discutiré. Si vale la pena el costo es algo que tendrá que decidir; depende más de su situación (casos de uso, modelo de amenaza, número de dispositivos en la red, relación costo / beneficio, etc.) si vale la pena el costo en recursos.
Los cortafuegos son mitigaciones, no detienen todos los ataques. Si lo hicieran nunca habría infracciones. Si valora los datos procesados por sus servidores web internos, haga que solo usen HTTPS.
No es probable que se rompa TLS 1.2, pero los atacantes no necesitan romper TLS, sino que lo rodean.
Y no piense que los firewalls tampoco tienen problemas de seguridad, solo considere esto vulnerabilidad en un dispositivo de firewall de Cisco, permite la ejecución remota de código. Por lo tanto, su servidor de seguridad se convirtió en el servidor de seguridad del atacante y luego puede configurarlo para incluir en la lista blanca las direcciones IP que controla para atacar aún más su red.