Per quanto riguarda l'IPS, non sono completamente in grado di terminare o decrittografare il traffico crittografato? Ha assolutamente senso dispiegarli in linea, ma come si suppone che il traffico sia interrotto in modo che possa essere ispezionato? Funziona in modo simile a qualsiasi infrastruttura CASB che sarebbe stata installata?
Esistono quattro modi in cui un IPS può gestire il traffico crittografato:
Un IPS può fungere da proxy di intercettazione TLS, laddove diventa un man-in-the-middle per la connessione TLS. Ciò richiede l'aggiunta di un certificato di root creato dal software IPS al tuo trust store principale, oppure ogni sito web criptato che tenti di visitare darà un errore di connessione. Ciò consente a un IPS di monitorare in modo trasparente il contenuto del traffico crittografato, con alcune eccezioni . Questo può essere rischioso se il software IPS non è sicuro o non affidabile, poiché si sta delegando tutto il trust ad esso.
Un IPS può prendere la perdita e analizzare tutto ciò che può senza dover decifrare il traffico (ad esempio indirizzo IP di destinazione e di destinazione, euristica basata sull'analisi del traffico, informazioni sull'intestazione TCP, SNI, ecc.). Si tratta ovviamente di un'ispezione meno approfondita, ma non si basa su ciascun client dietro l'IPS per installare il suo certificato TLS personalizzato, che può rappresentare un rischio per la sicurezza.
Se il software è integrato con l'applicazione utilizzando connessioni crittografate (che è possibile se l'IPS è in esecuzione sull'endpoint TLS stesso, piuttosto che su un firewall hardware separato), può ispezionare il traffico crittografato dopo che ha già decifrato. Questo ha il vantaggio di non richiedere l'intercettazione TLS pur essendo in grado di leggere il traffico crittografato, ma ha lo svantaggio di funzionare solo con le applicazioni supportate e di dover essere eseguito sull'endpoint.
Qualsiasi traffico crittografato può essere semplicemente bloccato. Ciò consente all'IPS di leggere la maggior parte del traffico e negare ciò che non può leggere, ma a scapito dell'usabilità. Tuttavia, un'entità non autorizzata può ancora comunicare utilizzando un protocollo crittografato non standard o offuscato che il software non è in grado di comprendere. Anche l'uso della whitelist del protocollo non è una soluzione, dal momento che sarebbe possibile inviare dati crittografati nei contenuti di una pagina HTML su un semplice HTTP.
Come per terminare una sessione crittografata, è facile. TLS si trova su un livello diverso da TCP (nel modello OSI, TLS è il livello 6, mentre TCP è il livello 4). Cioè, TLS è incapsulato all'interno della connessione TCP e non crittografa affatto le informazioni relative a TCP. Per abbattere una connessione, tutto ciò che l'IPS deve fare è inviare un RST. Una volta che la connessione TCP è morta, anche la sessione TLS.
Leggi altre domande sui tag encryption network tls ids tls-intercept