L'implementazione di un server proxy SSL è considerata una buona pratica?

Naviga le tue risposte
3

Ci sono molte domande su questo sito dagli utenti che scoprono che il loro datore di lavoro ha un proxy certificato in atto, essenzialmente implementando un attacco man-in-the-middle in modo che tutto il traffico possa essere decodificato.

Mi è stato detto dal nostro responsabile della sicurezza che ha messo in atto che questa politica è considerata la migliore pratica. Apparentemente aiuta il software anti-virus (in particolare, McAfee) a fare il suo lavoro. Presumo che ciò non significhi che aiuti a prevenire l'infezione, ma che fornisca un modo per scoprire da dove proviene l'infezione.

Ho avuto altre persone che mi dicono che l'unica ragione per cui le aziende lo fanno è che possano tenere sotto controllo i loro dipendenti malintenzionati. In questo modo di pensare, qualsiasi altro ragionamento fornito per questa politica non deve essere creduto.

Chi ha ragione? Questa politica è effettivamente considerata la migliore pratica? Quale vantaggio fornisce un proxy certificato?

    
posta Nacht 21.07.2017 - 03:25
fonte

3 risposte

4

Secondo Mozilla Telemetry la metà dei risultati principali nella ricerca di Google è stata utilizzata https nel 04/2017 e hanno proiettato un'ulteriore crescita al 65% alla fine dell'anno. E anche se un tempo era usato come indicatore di fiducia nel contenuto del sito stesso, https è ora abbastanza diffuso per proteggere il traffico verso siti che rilasciano malware o phishing, sia perché sono stati configurati in questo modo sia perché un sito precedentemente innocuo era violato.

Ciò significa che il contenuto fornito tramite https non può essere considerato attendibile solo a causa dell'https ma deve essere ispezionato come qualsiasi altro contenuto potenzialmente dannoso. Tale ispezione può essere effettuata o al punto finale della crittografia o in mezzo. Nel secondo caso, ad esempio, si utilizzano firewall aziendali che offrono intercettazione SSL, ma anche molti AV desktop hanno proxy locali che eseguono l'intercettazione SSL. L'altra opzione sarebbe quella di analizzare il contenuto solo dopo la decrittazione, ad esempio utilizzando estensioni all'interno del browser che hanno accesso a qualsiasi contenuto decrittografato o analizzando qualsiasi accesso ai file. Questi diversi metodi di ispezione del contenuto non hanno le stesse capacità perché lavorano su dati diversi, hanno un contesto di comunicazione diverso e sono applicati in ambienti che sono considerati attendibilmente diversi, cioè i diversi metodi hanno diversi vantaggi e svantaggi.

L'intercettazione SSL nel firewall perimetrale dà visibilità sia ai dati in entrata che in uscita a livello di rete. Ciò fornisce un quadro più ampio della rete in cui i dati di diversi sistemi possono essere analizzati insieme. Aiuta anche a rilevare o limitare la comunicazione botnet. Inoltre, mentre il blocco di base di interi siti Web può spesso essere ottenuto senza l'intercettazione SSL, un controllo più granulare, come il blocco solo dei post su Facebook, può essere ottenuto solo avendo accesso al contenuto. Il problema più grande con l'intercettazione SSL è che distrugge la crittografia end-to-end prevista del traffico e può effettivamente indebolire la sicurezza se non correttamente implementata. E sfortunatamente spesso è implementato male .

L'analisi del contenuto decrittografato nel browser invece non è molto meno invasiva rispetto all'intercettazione SSL e aggiunge alcuni problemi aggiuntivi. Per essere efficace nel rilevamento e nel blocco di contenuti dannosi, il plug-in del browser deve avere accesso a qualsiasi contenuto nel browser prima che venga eseguito dal browser. Ma questo è un codice che gira su un sistema che dovrebbe essere considerato meno affidabile del firewall poiché gli attacchi contro i client con la loro enorme superficie di attacco sono molto più comuni e di successo rispetto a un firewall. Quindi si deve considerare il caso in cui un aggressore trova un problema di sicurezza nel plugin e può disabilitarlo o peggio dirottarlo su controlla tutto nel browser .

Rilevare contenuti potenzialmente dannosi con il monitoraggio del file system, il monitoraggio delle chiamate di sistema o simili offre alcuni vantaggi perché monitora il malware in azioni reali anziché eseguire solo analisi statiche o eseguire test brevi all'interno di una sandbox. Ma perde anche molte informazioni sul contesto comunicativo in cui queste attività avvengono, cioè da dove proviene il contenuto. Inoltre, è impossibile rilevare i tipici siti di phishing in questo modo, che inducono gli utenti a fornire le loro password. A parte questo, potrebbe anche aumentare la superficie di attacco poiché queste soluzioni di monitoraggio solitamente funzionano con privilegi elevati ma non lontano da bug .

In sintesi: come altri tipi di analisi del contenuto, l'intercettazione SSL ha i suoi vantaggi e svantaggi, cioè aumenta la sicurezza e allo stesso tempo la diminuisce in un modo. Ma, correttamente implementato e utilizzato l'aumento della sicurezza supererà la diminuzione in molti casi d'uso. E, mentre ci sono altri modi per combattere il malware e il phishing, hanno i loro vantaggi e svantaggi e non sono necessariamente migliori dell'intercettazione SSL. Inoltre, per esempio è utile avere sia l'intercettazione centralizzata SSL nel firewall perimetrale e desktop AV come parte di una strategia di difesa in profondità.

    
risposta data 21.07.2017 - 08:19
fonte
3

No, non è "best practice". Implementare l'intercettazione SSL è un compromesso, tutte le aziende che lo stanno considerando devono soppesare pesantemente gli aspetti negativi dell'intercettazione SSL.

Da un lato, l'implementazione dell'intercettazione SSL centralizza la gestione della sicurezza. Consente all'azienda di eseguire la scansione del malware e di rilevare e bloccare (accidentali) l'estrazione / fuga di dati, ma consente anche all'azienda di applicare policy come proibire l'accesso ai siti NSFW.

Dall'altro lato, rende anche più facile il lavoro dell'aggressore poiché ora ha una singola macchina di alto valore che può compromettere la sicurezza dell'intera azienda. Compromettere questa singola macchina consentirebbe all'utente malintenzionato di intercettare tutte le password, falsificare le pagine e distribuire il malware a un livello senza precedenti.

Inoltre, molti prodotti di intercettazione SSL hanno in realtà una sicurezza inferiore rispetto ai browser aggiornati, ad esempio non controllano correttamente la catena di certificati, non controllano OCSP / CRL, o il loro archivio di certificati di root potrebbe non essere aggiornato frequentemente come root del browser memorizzare. La maggior parte dei prodotti di intercettazione sul mercato è un netto negativo per la sicurezza quando non sono implementati correttamente. Ottenere risultati positivi dai migliori prodotti di intercettazione non è facile, non è possibile installare e dimenticare, hanno bisogno di una manutenzione continua, se dispongono di rilevamento dell'estrazione dei dati, il loro database delle firme deve essere aggiornato man mano che l'attività evolve. Realizzare l'intercettazione in modo appropriato richiede un investimento significativo per ottenere benefici leggermente modesti.

Comuni ma scarsi motivi per l'implementazione dell'intercettazione SSL è che l'intercettazione SSL non è in grado di rilevare o bloccare deliberatamente l'estrazione dei dati. Se non ti fidi dei tuoi dipendenti, hai problemi sociali, non tecnici e non puoi risolvere problemi sociali con soluzioni tecniche.

Un altro motivo comune e povero è che consente agli amministratori di non dover configurare l'antivirus su workstation individuali. Molti virus non possono essere rilevati con analisi statiche, gli amministratori che utilizzano l'antivirus centrale per sostituire, piuttosto che in aggiunta, all'antivirus per workstation dovrebbero avere il loro privilegio di amministratore revocato.

Avere implementato l'intercettazione SSL inoltre non dovrebbe mai essere usato come scusa per mantenere il software obsoleto che non supporta il moderno TLS (ad esempio IE6 su WinXP).

Ci sono casi in cui l'intercettazione dell'implementazione ha senso, ma la maggior parte dei venditori se questi prodotti sovrastimano ciò che il loro prodotto può effettivamente fare e diminuiscono significativamente i costi e gli svantaggi. La maggior parte degli uffici non trarrebbe alcun beneficio dall'intercettazione SSL e di solito aumentano i rischi implementandoli.

    
risposta data 21.07.2017 - 05:17
fonte
0

I proxy SSL (che eseguono attacchi MITM) sono l'unico modo per eseguire l'ispezione deep packet al punto di ingresso esterno. E l'unico modo per controllare che le regole di sicurezza siano rispettate. Non è per consentire a un amministratore pigro di non mantenere la sicurezza sui desktop, ma per proteggere la rete dai dipendenti che non riescono a capire perché non dovrebbero agire sul lavoro come fanno a casa. Il problema non è che i dipendenti siano attivamente disposti a divulgare dati, ma espongono involontariamente il desktop a varie minacce o passano troppo tempo su siti non collegati al loro lavoro, o peggio ancora su siti illegali. La responsabilità del datore di lavoro (e dell'amministratore) può essere assunta se non sono state intraprese azioni appropriate per evitare che le macchine organizzative siano coinvolte in attività illecite. Pertanto, mentre dovrebbe essere controllato per proteggere la privacy dei dipendenti, le regole sulle best practice raccomandano l'ispezione approfondita dei pacchetti sul firewall esterno.

    
risposta data 21.07.2017 - 10:08
fonte

Leggi altre domande sui tag

Esiste una versione di base di jQuery che non presenta una vulnerabilità XSS? Ho appena ceduto le mie credenziali provando a connettermi alla VPN sbagliata?