Detectar el certificado autofirmado HTTPS en el firewall (DPI)

Question

Detectar el certificado autofirmado HTTPS en el firewall (DPI)

#1 de Steffen Ullrich (0 votos)

0

TL; DR: ¿Puede un firewall DPI detectar conexiones HTTPS que usan un certificado autofirmado? Si es así, ¿cómo?

Un firewall DPI que no debería permitir conexiones VPN. El firewall bloquea todos los puertos VPN de forma predeterminada y en el puerto 443 inspecciona el protocolo para que sea SSL / TLS. Envolviendo mi conexión VPN en stunnel, puedo pasar por alto este mecanismo de detección en el puerto 443. La mayoría de las conexiones de stunnel usan certificados autofirmados. ¿Puede el firewall DPI detectar conexiones HTTPS (en este caso, la conexión stunnel) que usa un certificado autofirmado y, en caso afirmativo, cómo?

Nota: quiero encontrar una solución adecuada antes de informar este error.

Gracias de antemano.

firewalls tls

pregunta Joseph 13.11.2015 - 15:25

fuente

1 respuesta

Lea otras preguntas en las etiquetas firewalls tls

Google Chrome "Su conexión con el sitio web está cifrada con criptografía obsoleta" cifrado de navegación de Internet

score 0 · Accepted Answer

¿Puede un firewall DPI detectar conexiones HTTPS que usan un certificado autofirmado? Si es así, ¿cómo?

Es posible implementar una funcionalidad de este tipo dentro de un firewall DPI, pero eso no significa que la capacidad se implemente en cada firewall DPI o incluso esté habilitada en la configuración específica utilizada a su lado.

Por lo general, si un DPI puede hacer una intercepción SSL (es decir, una persona activa en el medio de las conexiones SSL / TLS) también verificará los certificados. Dependiendo de la configuración, rechazará todas las conexiones que utilicen certificados no firmados por una CA de confianza. Pero no se sabe si el firewall en su sitio puede hacer una intercepción SSL y si está habilitado, pero puede verificarlo mirando la cadena de certificados. A menudo, estas soluciones DPI también pueden configurarse para aceptar certificados erróneos, aunque este no suele ser el caso por defecto.

También es posible ver los certificados de las conexiones SSL / TLS sin hacer la intercepción de SSL, porque los certificados se transfieren de forma clara. Pero esta funcionalidad no es muy común porque no hay un caso de uso tan grande para la inspección pasiva del tráfico TLS, eso significa que generalmente se necesita una inspección de los datos transferidos que requiere una intercepción SSL activa.