¿Son seguras las comunicaciones cifradas SSL a través de la red de la empresa?

Navega tus respuestas
1

Si estoy usando Skype, Facebook u otro tipo de comunicación en mi trabajo, ¿puede el administrador de la red ver mis conversaciones de Skype y Facebook, aunque esté cifrada con SSL?

Encontré este texto :

  

Si su empresa se toma en serio la seguridad, puede que haya instalado un   proxy más avanzado como el ProxySG de Blue Coat. Tales sistemas realizan una   Ataque Man-in-the-Middle generando dinámicamente un certificado falso   para el servidor de destino. Esto les da acceso a los datos completos, como   si no hubiera SSL.

Si instalé mi propia computadora desde cero, ¿es posible el método anterior? ¿Hay alguna manera de protegerme de ello?

¿Hay alguna forma de ver que mi conexión a mi banco o Facebook está verdaderamente protegida por SSL y que estoy usando el certificado correcto?

    
pregunta Newton 07.04.2014 - 19:36
fuente

2 respuestas

0

Si tu propia empresa es un enemigo, entonces tienes un problema. O posiblemente usted sea el problema.

Normalmente , conecta su máquina a la red de la empresa en base a un acuerdo contractual que lo convierte en el empleado y define sus derechos y obligaciones. En particular, muchas empresas no permiten que los empleados conecten su propio hardware a la red de la empresa; o cuando eso se permite, existen requisitos técnicos, como la instalación del software específico de sysadmin proporcionado por la propia empresa. Esto es lo que ocurre en la mayoría de los casos en que se aplica BYOD .

Estos acuerdos técnicos y contractuales permiten o no la interceptación por parte de los administradores de la red. Entonces su pregunta realmente suena como una solicitud de consejos específicos para hacer algo ilegal. Esto generalmente no es bien tolerado aquí.

Sin embargo , todavía puedo dar una respuesta neutral y técnica. SSL protege contra el espionaje pasivo y activo malicioso y la alteración de datos, en particular Man-in-the-Middle intercepción (que es" simplemente "doble personificación: el cliente habla con un servidor falso, el servidor habla con un cliente falso ). Esta propiedad está asegurada en base a los supuestos de la raíz:

  • El certificado del servidor puede ser validado de manera confiable por el cliente, en relación con un conjunto de root CA , tal como lo conoce el cliente, quienes son todos honestos.
  • El software del cliente no se modifica maliciosamente.

Si un tercero quiere ver qué datos se intercambian entre su máquina y algún servidor externo determinado, entonces una de estas suposiciones no debe ser válida. En el caso del producto ProxySG de Blue Coat, este es el primero: como parte de la implementación de ProxySG, una nueva CA raíz, controlada Mediante esa instalación ProxySG, se genera y debe instalarse en los sistemas cliente. Si no se instaló dicha CA raíz en su máquina, entonces ProxySG de Blue Coat no podrá promulgar su intercepción. Al menos no en silencio : su navegador le advertirá sobre cómo cada sitio web con tecnología SSL utiliza un certificado de una CA desconocida.

Un punto importante es que si tiene la costumbre de "hacer clic" en las advertencias del navegador, es decir, indicarle a su navegador que se conecte de todas formas, a pesar de un certificado de servidor no válido o no verificable, su seguridad contra MitM desaparecerá. acciones propias.

Otro punto importante es que a pesar de que SSL protege los datos contenidos , los intrusos externos todavía pueden averiguar con qué servidores están hablando y hacer suposiciones generales sobre la naturaleza de los intercambios según su tiempo y su tamaño Cuando se conecta a Facebook, su empleador no necesita ver los datos contenidos para darse cuenta de que está perdiendo el tiempo en lugar de hacer su trabajo.

Finalmente, Skype no usa SSL sino su propio protocolo, que puede o no ser seguro (los detalles del protocolo no se publican realmente, y tampoco están muy claros).

    
respondido por el Tom Leek 07.04.2014 - 20:10
fuente
0

Si tiene control total sobre su computadora, debería ser fácil detectar la intercepción SSL, porque el navegador se quejará de un emisor desconocido si accede a https-Sites. Al menos si los administradores del firewall no obtuvieron una CA intermedia de una CA confiable (consulte enlace ). E incluso estos podrás detectar si utilizas Google Chrome con el anclaje de certificados y no hicieron excepciones para la intercepción de los dominios de google.com (ver enlace ). Y, si tiene un sitio web sensible específico, puede consultar la huella digital del certificado y la ruta de confianza en el navegador y compararla con los resultados que obtiene de su hogar.

Trabajar alrededor es más difícil, porque generalmente estas reglas de firewall se instalan para proteger a la compañía del malware a través de conexiones SSL o de la fuga de datos de usuarios internos a sitios externos (nube, etc.). Entonces, estas reglas no suelen ser primarias para molestar a los usuarios, bloquear estos sitios sería mucho más fácil. Por lo tanto, si el administrador ha configurado correctamente el firewall, no debería haber manera de evitarlo utilizando VPN, proxies o lo que sea. Por supuesto, en la mayoría de los casos hay una forma, pero esto depende de la configuración específica del firewall (o simplemente use la red móvil).

Por cierto, si Skype aún funciona en esta configuración, probablemente sea seguro de usar (si confía en Microsoft). Skype no usa SSL, pero cuando hace un túnel a través de proxies HTTP usa un protocolo que parece lo suficientemente similar para engañar a algunos cortafuegos de inspección profunda.

    
respondido por el Steffen Ullrich 07.04.2014 - 19:59
fuente

Lea otras preguntas en las etiquetas

¿Podemos crear una APDU personalizada para tarjetas sin contacto (tipo de memoria) no inteligentes? biblioteca de cifrado de archivos de Gladman = AES en modo contador con autenticación HMAC-SHA1?