Come può essere utilizzato il tunneling SSL per attaccare un bersaglio, e come posso evitare che ciò accada? I moderni firewall di rete / applicativi sono in grado di rilevare il tunneling SSL? grazie
Aggiornamento: ho letto come funziona il tunnel SSL. Ma per un aggressore esterno all'organizzazione, come intende impostare il canale di "ricezione" a meno che non si trovi da qualche parte nell'organizzazione, alcuni computer sono stati compromessi e questo ha accesso ad un hacker esterno?
Un tunnel è usato per aggirare le restrizioni su un sistema. Nel caso di un tunnel SSL o TLS, proverai a ignorare le restrizioni crittografando la comunicazione.
Ad esempio, supponiamo che la tua organizzazione abbia una regola che non dovrebbe essere scaricato alcun file .exe da fonti esterne. Impostando un tunnel SSL o TLS, è possibile scaricare un file .exe, che verrà crittografato durante il trasferimento, quindi se la rete viene monitorata, il file .exe non verrà individuato.
(Ovviamente l'organizzazione dovrebbe avere più difese contro file .exe estranei, e dipendenti con un migliore senso di responsabilità - ma questo è oltre il punto).
Potresti rendere impossibile l'utilizzo del traffico SSL / TLS sulla tua rete, ma spesso non è un'opzione praticabile, ma ostacolerebbe anche i molti usi legittimi di SSL / TLS, come l'accesso alla webmail.
Potresti limitare gli host a cui possono essere fatte le connessioni SSL / TLS, sebbene determinare quali host dovrebbero essere consentiti è probabile che sia molto lavoro.
In risposta al tuo aggiornamento: senza l'accesso ad almeno parte dell'infrastruttura dell'organizzazione, l'utente malintenzionato non può impostare il destinatario. Ma "accesso" è un concetto ampio qui: se l'aggressore può ingannare un dipendente, ad esempio creando un sito Web dall'aspetto originale, è sufficiente.
La difesa qui sono i certificati che SSL e TLS utilizzano per dimostrare la propria identità. Il rischio è che le persone non prestino attenzione agli avvisi di sicurezza sui certificati o che un certificato di root sia compromesso (ad esempio, DigiNotar).
Tunneling SSL è l'atto di trasferire dati all'interno di SSL (o ora più probabile TLS che ha sostituito SSL). Chiunque al di fuori delle comunicazioni di rete in cerca vedrebbe solo una connessione SSL.
Il tunnelling non è in realtà una forma di attacco a un bersaglio, piuttosto un metodo per nascondere o proteggere un canale di comunicazione. Potrebbe tuttavia essere utilizzato come parte di un attacco o di un supplemento.
Puoi sempre bloccare la porta SSL che è 443. Ciò fermerebbe comunque qualsiasi altra connessione SSL su questa porta che è abbastanza spesso necessaria per consentire il normale traffico, ad esempio l'accesso allo stack overflow. Puoi fare argomenti più avanzati come ispezionare i dettagli di una connessione SSL per vedere se sembra anormale o differente, ma questo inizia a farti analizzare argomenti di ciò che è o non è normale connessioni SSL, mentre un normale firewall probabilmente non fare.