filtrado de paquetes HTTPS

1

Me gustaría saber si un firewall puede escanear un paquete HTTPS para verificar su origen, destino y datos.

O cómo evitar que un usuario envíe el archivo a través de HTTPS si contiene algunos datos no deseados.

    
pregunta Omkar Patil 11.09.2016 - 08:31
fuente

4 respuestas

2

Hay dos aspectos para evitar la pérdida de datos del tipo que le preocupa.

  • Inspección profunda de paquetes

    Para HTTPS que, por supuesto, está cifrado entre el origen y el destino, necesita un servicio de seguridad que, como dijo Mark, tenga un certificado en el que confíen los navegadores de sus usuarios. Actúa como un Hombre en el Medio y, por lo tanto, puede continuar inspeccionando todos los paquetes que pasan, incluso aquellos que normalmente estarían encriptados.

    Cualquier sistema decente lo hará de forma dinámica en función de un puntaje de riesgo y incluirá en la lista blanca a los destinos, como sitios de finanzas personales, para que pueda continuar ofreciendo a los usuarios un cierto grado de privacidad al tiempo que garantiza que se supervise el tráfico organizativo y desconocido.

  • Prevención de pérdida de datos

    DLP usa reglas para identificar información que podría considerar confidencial. Números de seguros nacionales, números de tarjetas de crédito, identificaciones de licencias de conducir, etc.

    Al usar un sistema de calificación de riesgo, el DLP vigilará la información confidencial que deja (y si es necesario, ingresa) los límites de la organización y brindará alertas cuando se excedan las reglas.

    Claramente, DLP también requiere la capacidad de interceptar comunicaciones cifradas, pero probablemente implementará DLP en más lugares. Ciertamente, en el límite de seguridad, pero también en las computadoras organizacionales, especialmente en computadoras portátiles y de escritorio. Tal vez los móviles también.

    DLP es particularmente crítico en industrias reguladas como salud y finanzas.

Una cosa que personalmente creo que es fundamental si planea implementar cosas como esta es informar a todos los usuarios que su tráfico está siendo monitoreado. Debe asegurarse de que la información esté incorporada en cualquier Política de uso aceptable y Política de gobernanza de la información. También debe incluirlo en sus Términos y condiciones de uso.

Si no lo haces, te abres a las acusaciones de interceptar comunicaciones privadas. Tenga en cuenta que las comunicaciones organizacionales generalmente obtienen exenciones especiales de algunas reglas de privacidad, ya que existe la expectativa de que las comunicaciones corporativas contengan información corporativa.

ACTUALIZACIÓN: para que no creas que este es el reino de lo paranoico como @Somone Somewhere parece, déjame asegurarte que no lo es.

Si bien los datos se pueden filtrar de varias maneras que podrían pasar por alto la infraestructura de seguridad centralizada, aún podría detectar la mayoría de los riesgos:

  1. Los usuarios envían deliberadamente datos confidenciales a algún lugar donde no deberían . Esto puede deberse a razones nefastas, aunque más comúnmente es enviarlo a un sistema no corporativo y menos protegido (por ejemplo, una PC doméstica) para hacer algo que no pueden hacer en el trabajo. Si bien esto puede parecerles conveniente, es posible que estén infringiendo la ley y corran el riesgo de filtrar la información confidencial (piense en la información del paciente, contratos, etc.)
  2. Malware . Hay muchos tipos de malware que intentan filtrar información confidencial. Algunos dirigidos a industrias específicas (los registros de salud son particularmente valiosos) y otros a información general como banca y otros detalles financieros. Los autores de malware no son estúpidos, la mayoría de las comunicaciones de malware están encriptadas. Con frecuencia, los patrones de tráfico que no sean HTTPS genuinos se pueden detectar y, si se identifica el tráfico HTTPS y no se puede descifrar, eso también indica malware.

El hecho de que una infraestructura de seguridad no sea 100% efectiva no significa que sea ineficaz.

Al final del día, su organización necesita sopesar los riesgos y costos y decidir qué nivel de seguridad es necesario. Los riesgos tendrán en cuenta el valor de los datos que posee, las restricciones legales y la cantidad de objetivos que tiene.

Al considerar las restricciones legales, no olvide tener en cuenta que los ejecutivos corporativos pueden ser considerados personalmente responsables de las filtraciones de datos confidenciales.

    
respondido por el Julian Knight 11.09.2016 - 11:29
fuente
0

Cualquier paquete HTTPS está encriptado, y normalmente nadie puede ver los datos en el interior (nada en la carga útil del paquete), excepto los dos puntos finales HTTPS que se comunican (generalmente la PC del usuario y la PC del sitio web), quienes tienen la Clave criptográfica para descifrarlo. Las direcciones IP (tanto del remitente como del receptor) de los paquetes HTTPS no están cifradas, de modo que los paquetes pueden enrutarse por puntos entre el remitente y el receptor.

Las empresas y otras organizaciones, como las escuelas, a menudo instalan certificados en todas las PC bajo su control para que un servidor proxy / gateway a Internet pueda abrir e inspeccionar cualquier paquete HTTPS en busca de sitios web inadecuados o descargas de malware / virus. En este caso, hay dos conexiones HTTPS; el uno entre la PC del usuario y la puerta de enlace, y otro entre la puerta de enlace y el sitio web que el usuario está visitando. Los datos se cifran en la PC del usuario, se descifran y se inspeccionan en el servidor proxy / gateway y luego se vuelven a cifrar hasta que alcancen el sitio web donde se descifran nuevamente. Los paquetes que retornan también son abiertos e inspeccionados por el servidor proxy / gateway.

En lo que respecta a detener HTTPS, esto es posible hacerlo en un firewall, pero esto acabaría con la mayoría de las búsquedas en Internet, ya que la mayoría de los sitios web utilizan HTTPS o se están moviendo de esa manera por seguridad. Sin la capacidad de un servidor proxy para abrir e inspeccionar paquetes, detener los paquetes HTTPS es todo o nada; puede detenerlos a todos o ninguno de ellos, pero no puede filtrar paquetes por lo que hay dentro de ellos.

    
respondido por el Mark Ripley 11.09.2016 - 09:34
fuente
0

Fuente, sí.

Destino, sí (al menos a la IP. Si se alojan varios sitios desde una IP, es posible que no pueda determinar cuál).

Datos, no, aparte de la cantidad de ellos.

Usted podría utilizar la inspección MITM, pero esto requiere la instalación de certificados en todas las máquinas cliente y lo recomiendo enérgicamente debido a una variedad de razones de privacidad y seguridad.

En cuanto a cómo detenerlos, evite que obtengan los datos en primer lugar. Si tienen los datos, podrían, entre otras opciones:

  • Cópielo en una memoria USB, almacenamiento local o CD, o imprímalo y salga del edificio con él.

  • Cifre u ofusque, luego envíelo.

  • Usa una red diferente, por ejemplo, celular.

  • Recuérdalo, para cantidades más pequeñas.

respondido por el Someone Somewhere 11.09.2016 - 09:20
fuente
-1

Un firewall puede escanear un paquete HTTPS pero no puede descifrarlo porque el descifrado requería un Certificado SSL (una clave para descifrar el paquete de datos)

Puede obtener información de origen y destino, pero no es posible escanear el paquete de datos que se envía a través del protocolo HTTPS.

    
respondido por el Mohit Dagar 11.09.2016 - 11:26
fuente

Lea otras preguntas en las etiquetas