Filtraggio dei pacchetti HTTPS

1

Vorrei sapere se un firewall può eseguire la scansione di un pacchetto HTTPS, per verificarne l'origine, la destinazione e i dati.

Oppure come impedire a un utente di inviare il file tramite HTTPS se contiene dati indesiderati.

    
posta Omkar Patil 11.09.2016 - 08:31
fonte

4 risposte

2

Ci sono due aspetti per prevenire la perdita di dati del tipo che ti interessa.

  • Deep Packet Inspection

    Per HTTPS che, ovviamente, è crittografato tra l'origine e la destinazione, è necessario un servizio di sicurezza che abbia, come detto Mark, un certificato fidato dai browser degli utenti. Funziona come un Man-in-the-Middle e quindi è in grado di continuare a ispezionare tutti i pacchetti in corso, anche quelli che normalmente sarebbero crittografati.

    Qualsiasi sistema decente lo farà dinamicamente sulla base di un punteggio di rischio e inserirà destinazioni di white-list come i siti di finanza personale in modo che tu possa continuare a offrire agli utenti un certo grado di privacy assicurando il monitoraggio del traffico organizzativo e sconosciuto.

  • Prevenzione della perdita di dati

    DLP utilizza le regole per identificare le informazioni che potresti considerare sensibili. Nationl numeri di assicurazione, numeri di carte di credito, id della patente di guida, ecc.

    Utilizzando un sistema di valutazione del rischio, il DLP controlla le informazioni sensibili che lasciano (e inseriscono se necessario) i confini dell'organizzazione e forniscono avvisi quando vengono superate le regole.

    Chiaramente, DLP richiede anche la capacità di intercettare le comunicazioni crittografate, ma probabilmente implementerai DLP in più punti. Sicuramente nel limite di sicurezza ma anche sui computer aziendali, in particolare sui laptop e sui desktop. Forse anche i cellulari.

    La DLP è particolarmente critica nei settori regolamentati come sanità e finanza.

Una cosa che personalmente ritengo fondamentale se si intende implementare cose come questa è informare tutti gli utenti che il loro traffico è monitorato. È necessario assicurarsi che le informazioni siano integrate in politiche di utilizzo accettabile e di governance delle informazioni. Dovresti includerlo nei tuoi Termini e condizioni d'uso.

Se non lo fai, ti apri alle accuse di intercettazione delle comunicazioni private. Tieni presente che le comunicazioni organizzative ottengono in genere esenzioni speciali da alcune regole sulla privacy poiché vi è l'aspettativa che le comunicazioni aziendali contengano informazioni aziendali.

AGGIORNAMENTO: Affinché pensi che questo sia il regno del paranoico come sembra @ Somone Somewhere, ti assicuro che non lo è.

Mentre i dati possono essere estrapolati in un certo numero di modi che aggirerebbero l'infrastruttura di sicurezza centralizzata, rischierebbero comunque la maggior parte dei rischi:

  1. Gli utenti che inviano deliberatamente dati sensibili da qualche parte non dovrebbero . Questo potrebbe essere per ragioni nefaste, anche se più comunemente è inviarlo a un sistema meno protetto, non aziendale (ad esempio un PC domestico) per fare qualcosa che non è permesso fare al lavoro. Sebbene ciò possa sembrare conveniente per loro, potrebbero benissimo violare la legge e rischiano di divulgare informazioni sensibili (pensare a informazioni sui pazienti, contratti, ecc.)
  2. Malware . Esistono molti tipi di malware che tentano di estrapolare informazioni sensibili. Alcuni si rivolgono a settori specifici (i registri sanitari sono particolarmente preziosi) e altri a informazioni generali come i dati bancari e altri dettagli finanziari. Gli autori di malware non sono stupidi, la maggior parte delle comunicazioni di malware è crittografata. È spesso possibile rilevare modelli di traffico diversi da HTTPS originale e, se il traffico HTTPS viene identificato e non può essere decodificato, anche questo indica il malware.

Solo perché un'infrastruttura di sicurezza non è efficace al 100% non significa che sia inefficace.

Alla fine della giornata, la tua organizzazione deve valutare i rischi e i costi e decidere quale livello di sicurezza è necessario. I rischi terranno in considerazione il valore dei dati in tuo possesso, eventuali vincoli legali e la quantità di target che sei.

Quando si considerano i vincoli legali, non dimenticare di considerare che i dirigenti aziendali possono essere ritenuti personalmente responsabili di perdite di dati sensibili.

    
risposta data 11.09.2016 - 11:29
fonte
0

Qualsiasi pacchetto HTTPS è crittografato e normalmente nessuno è in grado di vedere i dati all'interno (qualsiasi cosa nel payload del pacchetto) ad eccezione dei due endpoint HTTPS comunicanti (solitamente il PC utente e il PC del sito Web), che hanno entrambi chiave crittografica per decodificarlo. Gli indirizzi IP (sia del mittente che del destinatario) dei pacchetti HTTPS sono entrambi non criptati in modo che i pacchetti possano essere instradati da punti tra il mittente e il destinatario.

Le aziende e altre organizzazioni come le scuole installano spesso certificati in tutti i PC sotto il loro controllo in modo tale che un server proxy / gateway a Internet possa aprire e ispezionare qualsiasi pacchetto HTTPS per la navigazione inappropriata del sito Web o download di malware / virus. In questo caso, ci sono due connessioni HTTPS; quello tra il PC dell'utente e il gateway e un altro tra il gateway e il sito Web che l'utente sta visitando. I dati vengono crittografati sul PC dell'utente, non crittografati e controllati sul server proxy / gateway e quindi crittografati fino a quando non raggiunge il sito Web in cui non è nuovamente crittografato. I pacchetti che vengono restituiti vengono anche aperti e controllati dal server proxy / gateway.

Per quanto riguarda l'arresto di HTTPS, è possibile farlo su un firewall, ma questo ucciderebbe la maggior parte della navigazione in Internet poiché la maggior parte dei siti Web utilizza HTTPS o si sta spostando in questo modo per motivi di sicurezza. Senza la capacità di un server proxy di aprire e ispezionare i pacchetti, l'arresto dei pacchetti HTTPS è tutto o niente; puoi fermarli tutti o nessuno di essi, ma non puoi filtrare i pacchetti con ciò che è al loro interno.

    
risposta data 11.09.2016 - 09:34
fonte
0

Fonte, sì.

Destinazione, sì (almeno per l'IP. Se più siti sono ospitati da un indirizzo IP, potrebbe non essere possibile determinare quale).

Dati, no, a parte la quantità di esso.

potresti usare l'ispezione MITM, ma ciò richiede l'installazione di certificati su tutti i computer client e I ti consigliamo vivamente di non farlo a causa di vari motivi di privacy e sicurezza.

Per quanto riguarda come fermarli, impedisci loro di ottenere i dati in primo luogo. Se hanno i dati, potrebbero, tra le altre opzioni:

  • Copia su una penna USB, su una memoria locale o su un CD o stampalo e usalo per uscire dall'edificio.

  • Cifra o offusca, quindi invia.

  • Utilizza una rete diversa, ad es. cellulare.

  • Ricordalo, per quantità minori.

risposta data 11.09.2016 - 09:20
fonte
-1

Un firewall può scansionare un pacchetto HTTPS ma non può decifrarlo perché la decrittografia richiede un certificato SSL (una chiave per decodificare il pacchetto di dati)

È possibile ottenere informazioni su origine e destinazione ma non è possibile eseguire la scansione del pacchetto di dati inviato tramite protocollo HTTPS.

    
risposta data 11.09.2016 - 11:26
fonte

Leggi altre domande sui tag