Rileva il certificato autofirmato HTTPS nel firewall (DPI)

0

TL; DR: un firewall DPI può rilevare connessioni HTTPS che utilizzano un certificato autofirmato? Se sì, come?

Un firewall DPI che non dovrebbe consentire connessioni VPN. Il firewall blocca tutte le porte VPN per impostazione predefinita e sulla porta 443 controlla che il protocollo sia SSL / TLS. Avvolgendo la mia connessione VPN in stunnel, posso aggirare questo meccanismo di rilevamento sulla porta 443. La maggior parte della connessione stunnel utilizza certificati autofirmati. Il firewall DPI può rilevare le connessioni HTTPS (in questo caso la connessione stunnel) che utilizza un certificato autofirmato e, in caso affermativo, come?

Nota: voglio trovare una soluzione adeguata prima di segnalare questo bug.

Grazie in anticipo.

    
posta Joseph 13.11.2015 - 15:25
fonte

1 risposta

0

Can a DPI firewall detect HTTPS connections that use a self-signed certificate? If so, how?

È possibile implementare tale funzionalità all'interno di un firewall DPI, ma ciò non significa che l'abilità sia implementata in ogni firewall DPI o persino abilitata nella configurazione specifica utilizzata al tuo fianco.

Di solito, se un DPI può eseguire l'intercettazione SSL (ovvero connessioni man-in-the-middle attive SSL / TLS), verifica anche i certificati. A seconda della configurazione, rifiuterà tutte le connessioni che utilizzano certificati non firmati da una CA attendibile. Tuttavia, non è noto se il firewall sul tuo sito possa eseguire l'intercettazione SSL e se è abilitato, ma è possibile controllare guardando la catena di certificati. Spesso tali soluzioni DPI possono anche essere configurate per accettare certificati errati, sebbene di solito non sia il caso per impostazione predefinita.

È anche possibile esaminare i certificati delle connessioni SSL / TLS senza eseguire l'intercettazione SSL, poiché i certificati vengono trasferiti in chiaro. Ma questa funzionalità non è molto comune perché non esiste un caso di utilizzo così ampio per l'ispezione passiva del traffico TLS, il che significa che di solito è necessaria l'ispezione dei dati trasferiti che richiede l'intercettazione SSL attiva.

    
risposta data 13.11.2015 - 16:00
fonte

Leggi altre domande sui tag