Diciamo che per la normale navigazione web, dato che sta usando HTTPS, tutti i dati saranno crittografati. In tal caso, in che modo il firewall / IDS / IPS verifica la presenza di firme per rilevare anomalie / virus / malware?
Diciamo che per la normale navigazione web, dato che sta usando HTTPS, tutti i dati saranno crittografati. In tal caso, in che modo il firewall / IDS / IPS verifica la presenza di firme per rilevare anomalie / virus / malware?
Per applicare effettivamente le firme al traffico decrittografato, il firewall deve avere accesso a questo traffico. Il modo tipico per farlo è essenzialmente facendo un uomo nell'attacco centrale, solo che l'"attaccante" (il firewall) è considerato attendibile in questo caso. Vedi È prassi comune per le aziende di MITM HTTPS traffico? per altro.
Un altro modo utilizzato talvolta nei firewall / IDS che proteggono un server specifico (come nei firewall delle applicazioni Web) è quello di non rendere questo server l'endpoint TLS. Invece il firewall stesso o qualche dispositivo di fronte ad esso è l'endpoint TLS in modo che il firewall possa vedere il traffico normale. Una variante in questo scenario è di fornire al firewall la chiave privata del certificato dei server in modo che possa decodificare il traffico. Ma questo funziona solo se si usa lo scambio di chiavi RSA mentre si raccomanda lo scambio di chiavi DH oggi.
E poi ci sono attacchi che possono essere rilevati senza decrittografare il traffico. Queste firme, ad esempio, si basano su specifiche dell'handshake TLS come il tipo e l'ordine delle crittografie e delle estensioni TLS utilizzate o le informazioni sul certificato inviate dal server. Poiché il certificato viene inviato in formato testo nell'handshake TLS, è possibile determinare la CA che lo ha firmato o se è stato autofirmato e simile semplicemente annusando passivamente il traffico. Vedi Decifrando l'uso di TLS da parte di Malware (senza Decrittografia) per un bel documento su come si possano rilevare le comunicazioni malware in questo modo.