La NSA advierte sobre la inspección de TLS


La NSA advierte sobre la inspección de TLS

La NSA ha lanzado un aviso de seguridad advertencia de los peligros de la inspección TLS:

La inspección de seguridad de la capa de transporte (TLSI), también conocida como interrupción e inspección de TLS, es un proceso de seguridad que permite a las empresas descifrar el tráfico, inspeccionar el contenido descifrado en busca de amenazas y luego volver a cifrar el tráfico antes de que entre o salga de la red. La introducción de esta capacidad en una empresa mejora la visibilidad dentro de los productos de seguridad de límites, pero presenta nuevos riesgos. Estos riesgos, aunque no son intrascendentes, tienen mitigaciones.

(…)

El riesgo principal involucrado con la CA incorporada de TLSI es el posible abuso de la CA para emitir certificados no autorizados en los que confían los clientes TLS. El abuso de una CA de confianza puede permitir que un adversario firme código malicioso para eludir los IDS / IPS del host o para implementar servicios maliciosos que se hacen pasar por servicios empresariales legítimos a los hosts.

(…)

Otro riesgo de introducir TLSI es que un adversario puede centrar sus esfuerzos de explotación en un solo dispositivo donde se descifra el tráfico potencial de interés, en lugar de tratar de explotar cada ubicación donde se almacenan los datos. Establecer una política para hacer cumplir ese tráfico se descifra y inspeccionado solo como autorizado, y garantizar que el tráfico descifrado esté contenido en un segmento aislado de la red fuera de banda evita el acceso no autorizado al tráfico descifrado.

(…)

Para minimizar los riesgos descritos anteriormente, romper e inspeccionar el tráfico TLS solo debe realizarse una vez dentro de la purple empresarial. TLSI redundante, en el que un flujo de tráfico cliente-servidor es descifrado, inspeccionado y reencriptado por un proxy directo y luego se reenvía a un segundo proxy directo por más de lo mismo. Inspeccionar varias veces puede complicar enormemente el diagnóstico Problemas de red con el tráfico TLS. Además, la inspección múltiple oscurece aún más los certificados al intentar determinar si se debe confiar en un servidor. En este caso, el proxy «más externo» toma las decisiones sobre qué certificados de servidor o CA deben ser confiables y es la única ubicación donde se puede realizar la fijación de certificados. Finalmente, una sola implementación de TLSI es suficiente para detectar amenazas de tráfico cifradas TLSI adicional tendrá acceso al mismo tráfico. Si la primera implementación de TLSI detectó una amenaza, eliminó la sesión y eliminó el tráfico, las implementaciones adicionales de TLSI se volverían inútiles ya que ni siquiera recibirían el tráfico eliminado para una inspección adicional. El TLSI redundante aumenta la superficie de riesgo, brinda oportunidades adicionales para que los adversarios obtengan acceso no autorizado al tráfico descifrado y no ofrece beneficios adicionales.

Nada sorprendente o novedoso. No hay información operativa sobre quién podría estar implementando estos ataques. No se reveló información clasificada.

Noticias artículo.

Publicado el 22 de noviembre de 2019 a las 6:16 a.m.

7 comentarios



Source backlink

Be the first to comment

Leave a Reply

Tu dirección de correo no será publicada.


*