¿Es una práctica común que las empresas realicen el tráfico MITM HTTPS?

  

¿Es esta práctica común en las grandes empresas?

Sí. La función está disponible en la mayoría de los firewalls empresariales y también en varios firewalls para empresas más pequeñas. Incluso está disponible en el proxy web gratuito Squid . Y varios firewalls personales también lo han implementado.

A medida que más y más sitios (inofensivos y dañinos) se mueven a https:// , espere que el uso de la intercepción SSL también aumente, porque a nadie le gusta tener un firewall que no proteja un sistema porque es ciego con respecto al tráfico encriptado.

  

¿Puede alguien indicarme un estándar ISO?

La intercepción SSL solo hace uso de los estándares SSL y PKI existentes. No es necesario tener un nuevo estándar que defina cómo funciona la intercepción SSL.

En cuanto a las Normas de seguridad cibernética : no conozco ninguna que requiera explícitamente la interceptación de SSL, pero no No tengo mucho conocimiento de este tipo de normas. Pero incluso si no se requiere explícitamente, podría esperarse implícitamente que bloquee el acceso a un sitio SSL o haga una intercepción de SSL cuando el estándar exige monitoreo de tráfico.

  

me dará un error de certificado.

La intercepción SSL necesita que confíes en la CA interceptora. En la mayoría de las empresas, estos certificados de CA se administran e instalan de manera centralizada en todas las computadoras, pero si usa un navegador como Firefox, es posible que no sea útil porque Firefox tiene su propia tienda de CA y no usa los sistemas de CA.

  

Para mí esto está dañando la seguridad en un área para ayudarlo en otra.

Sí, está rompiendo el cifrado de extremo a extremo para detectar malware y fugas de datos que utilizan conexiones cifradas. Pero dado que la ruptura del cifrado de extremo a extremo se realiza bajo el control total de la empresa y usted aún tiene cifrado con el mundo exterior, es un intercambio que la mayoría de las empresas están dispuestas a realizar.

Pero tenga en cuenta que en el pasado se detectaron errores en varios Productos de intercepción SSL (como la misma CA entre diferentes empresas, no hay controles de revocación ...) que además debilitaron la seguridad.

Esta práctica se está volviendo más común a medida que las organizaciones intentan controlar más las cosas, y como los fabricantes comercializan características para poder espiar la actividad de los usuarios.

Para mí esto está dañando la seguridad en un área para ayudarlo en otra.

Sí, pero este MITM puede estar dañando la seguridad en un área que a la organización no le importa (como ser decente con los empleados / clientes / etc.) para enfocarse en un área que sí les importa (como ser capaz de ser el control).

Presumiblemente, puede dejar de recibir esos errores del navegador web instalando un certificado publicado por su empresa. Esto puede exponerlo a problemas, como observo en sala de chat sobre la universidad que requiere la certificación SSL . En ese caso, el certificado era de Cyberoam, que tenía esta vulnerabilidad: "Por lo tanto, es posible interceptar el tráfico de cualquier víctima de un dispositivo de Cyberoam con cualquier otro dispositivo de Cyberoam, o extraer la clave del dispositivo e importarla a otro DPI. dispositivos ". (DPI="Inspección profunda de paquetes") Por lo tanto, no se recomienda instalar ese certificado.

Una mejor opción es simplemente no navegar por la web cuando está conectado a la VPN. No navegar por la web puede ser inconveniente: la solución es minimizar el tiempo conectado a la VPN. Utilice brevemente la VPN solo para las comunicaciones confidenciales que necesitan cifrarse y luego deje de usarla. Si eso llega a ser demasiado inconveniente, entonces informe los problemas. Si hay suficientes quejas, quizás se perciba que la VPN es demasiado problemática con la política actual, lo que puede llevar a las personas a considerar un cambio en la política.

Según algunos otros comentarios (como uno de Arlix), ISO podría no proporcionar ningún estándar al respecto. Sin embargo, una organización de estándares que ha respondido es el IETF, que señaló este documento de "Mejores prácticas actuales": IETF BCP 188 (actualmente RFC 7258: "La supervisión generalizada es un ataque") . Esta podría ser su mejor apuesta si está buscando un recurso oficial que describa por qué no se debe hacer esto. Las compañías que realizan este ataque MITM no están cumpliendo con los estándares.

Tenga en cuenta que los dos obstáculos más importantes para la adopción de las funciones de intercepción de SSL son los siguientes:

1. Requisitos de privacidad corporativos o públicos (Políticas): querrá asegurarse de que cualquier solución de intercepción SSL con la que vaya permita políticas basadas (categorización de URL y características de la lista blanca) para asegurarse de que puede eximir de sitios Quiero estar monitoreando. La banca es un gran ejemplo, ¿desea ver si su red o dispositivo es pirateado y las credenciales bancarias de los empleados / amigos están comprometidas? Considere los requisitos de archivo y cumplimiento como parte de esa discusión.

2. Cambios futuros de SSL: también conocido como validación de certificado. Ejemplo: muchos sitios web se moverán a la verificación de certificados en el código. Aquí es donde el sitio web comprueba para asegurarse de que el certificado que el cliente está utilizando coincide con el certificado que envía. Esto rompe por completo casi todas las implementaciones de SSL Intercept que realizan MITM como funciones básicas. Los cambios futuros en los estándares o las mejores prácticas de la industria como esta pueden afectar su gasto o incluso la viabilidad de la intercepción SSL.