¿El protocolo TLS hace que el cifrado en las capas L2 / L3 sea redundante?

1

Si un par de puntos finales utilizan el protocolo TLS para intercambios de datos seguros, ¿hace que el cifrado en la red o las capas MAC sea redundante?

Por ejemplo, Si creo una sesión TLS entre dos puntos finales utilizando bluetooth como transporte, ¿puedo desactivar el cifrado en el nivel de bluetooth y seguir teniendo el mismo nivel de seguridad de comunicación de datos?

    
pregunta Vakul Garg 02.04.2018 - 08:54
fuente

1 respuesta

1

TL; DR: TLS asegura la conexión a un host o servicio específico. No ayudará a asegurarse de que el host o servicio correcto se elija correctamente. Si esto es un problema o no, depende del caso de uso específico.

TLS proporciona protección de extremo a extremo contra el olfateo y la modificación, incluso si no se emplea dicha protección en las capas inferiores. También detectará si un atacante intenta falsificar un sistema existente redirigiendo las capas subyacentes (es decir, la falsificación de ARP o la respuesta de suplantación de identidad a una búsqueda de DNS A / CNAME). Por lo tanto, no necesita tener protección adicional en el nivel de Bluetooth para una transferencia ya protegida por TLS.

Pero tenga en cuenta que puede haber partes de la pila de protocolos del sistema que no están lo suficientemente protegidas y que podrían llevar a la creación de una conexión TLS con el nombre o servicio de host incorrecto. Por ejemplo, para entregar un correo entre servidores de correo, se realiza una búsqueda de DNS MX para encontrar el servidor de correo para un dominio específico. Como las búsquedas de DNS generalmente no están protegidas contra la suplantación de identidad, se puede utilizar una suplantación de la respuesta a una búsqueda de MX para devolver un nombre de host de destino diferente que provoque una conexión con el servidor de correo incorrecto (falsificado). En este caso, TLS no ayudará ya que la conexión se realiza con el servidor de correo esperado (falsificado) que también devuelve un certificado válido para este servidor de correo (falso). El descubrimiento inseguro similar de hosts y servicios de destino existe en otros protocolos, como SIP (VoIP) o < a href="https://en.wikipedia.org/wiki/Web_Proxy_Auto-Discovery_Protocol"> WPAD .

    
respondido por el Steffen Ullrich 02.04.2018 - 09:45
fuente

Lea otras preguntas en las etiquetas