¿Cómo se puede usar el túnel SSL para atacar a un objetivo, y cómo puedo evitar que ocurra algo así? ¿Los cortafuegos modernos de red / aplicación tienen la capacidad de detectar túneles SSL? gracias
Actualización: He leído cómo funciona el túnel SSL. Pero para un atacante fuera de la organización, ¿cómo va a configurar el canal de "recepción" a menos que en algún lugar de la organización, alguna computadora se haya comprometido y este pirata informático externo tenga acceso a ella?
Se utiliza un túnel para evitar las restricciones en un sistema. En el caso de un túnel SSL o TLS, intentaría evitar las restricciones cifrando la comunicación.
Por ejemplo, suponga que su organización tiene una regla de que no se deben descargar archivos .exe de fuentes externas. Al configurar un túnel SSL o TLS, puede descargar un archivo .exe, que se cifrará durante la transferencia, por lo que si se monitorea la red, el archivo .exe no se detectará.
(Obviamente, la organización debería tener más defensas contra archivos .exe extranjeros y empleados con un mejor sentido de la responsabilidad, pero eso no viene al caso).
Podría hacer imposible el uso del tráfico SSL / TLS en su red, pero a menudo no es una opción en la práctica, ya que también obstaculizaría los muchos usos legítimos de SSL / TLS, como iniciar sesión en el correo web.
Podría restringir los hosts a los que se podrían establecer conexiones SSL / TLS, aunque determinar qué hosts deberían permitirse es probable que sea una gran cantidad de trabajo.
En respuesta a su actualización: sin acceso a al menos parte de la infraestructura de la organización, el atacante no puede configurar el extremo receptor. Pero el "acceso" es un concepto amplio aquí: si el atacante puede engañar a un empleado, por ejemplo, creando un sitio web que parezca genuino, eso es suficiente. La defensa aquí son los certificados que utilizan SSL y TLS para probar la identidad de uno. El riesgo es que las personas no presten atención a las advertencias de seguridad sobre los certificados, o que un certificado raíz esté comprometido (por ejemplo, DigiNotar).
SSL Tunneling es el acto de transferir datos dentro de SSL (o ahora es más probable que TLS haya reemplazado a SSL). Cualquier persona que se encuentre fuera de la red de comunicaciones solo verá una conexión SSL.
La tunelización no es realmente una forma de atacar a un objetivo, sino un método para ocultar o asegurar un canal de comunicaciones. Sin embargo, podría usarse como parte de un ataque o un suplemento.
Siempre puede bloquear el puerto SSL, que es 443. Sin embargo, esto detendría cualquier otra conexión SSL en este puerto que a menudo se necesita para permitir el tráfico normal, por ejemplo, el inicio de sesión en el desbordamiento de pila. Puede hacer temas más avanzados, como inspeccionar los detalles de una conexión SSL para ver si se ve anormal o diferente, pero esto comienza a involucrarlo en temas analíticos de lo que es o no son las conexiones SSL normales que un firewall normal probablemente no. hacer.