web-dev-qa-db-ja.com

SSLプロキシサーバーの実装は適切な方法と見なされていますか?

このサイトには、雇用主に証明書プロキシがあり、すべてのトラフィックを復号化できるように中間者攻撃を本質的に実装しているというユーザーからの質問がたくさんあります。

セキュリティの専門家から、このポリシーはベストプラクティスと見なされていると言われました。どうやら、それはウイルス対策ソフトウェア(特にMcAfee)がその仕事をするのを助ける。これは、感染防止に役立つという意味ではなく、感染源を発見する方法を提供するものだと思います。

私は他の人に、企業がこれを行う唯一の理由は、従業員を悪意を持って監視できるようにするためであると私に話してもらいました。この考え方では、このポリシーに与えられた他のいかなる理由も信じられません。

誰が正しいのですか?このポリシーは実際にベストプラクティスと見なされていますか?証明書プロキシにはどのようなメリットがありますか?

Mozilla Telemetryによれば 2017年4月にGoogle検索の上位結果の半分がhttpsを使用し、年末には65%にさらに成長すると予測されていました。また、サイト自体のコンテンツへの信頼の指標として使用されていたhttpsは、マルウェアやフィッシングを配信しているサイトへのトラフィックを保護するのに十分なユビキタスになりました。ハッキング。

つまり、httpsを介して配信されるコンテンツは、httpsだけでは信頼できませんが、他の悪意のある可能性のあるコンテンツと同様に検査する必要があります。このような検査は、暗号化のエンドポイントまたはその中間で実行できます。後者の場合、SSLインターセプトを提供するエンタープライズファイアウォールなどを使用しますが、多くのデスクトップAVはSSLインターセプトを実行するローカルプロキシを備えています。もう1つのオプションは、たとえば、復号化されたコンテンツにアクセスできるブラウザ内の拡張機能を使用したり、ファイルアクセスを分析したりして、復号化後にのみコンテンツを分析することです。これらのコンテンツインスペクションのさまざまな方法は、機能が異なり、通信コンテキストが異なり、信頼の異なる環境に適用されるため、同じ機能を備えていません。つまり、方法ごとに長所と短所があります。

境界ファイアウォールでSSLインターセプトを実行すると、ネットワークレベルで着信データと発信データの両方を確認できます。これにより、さまざまなシステムへのデータを一緒に分析できる、ネットワークの全体像がわかります。ボットネット通信の検出または制限にも役立ちます。また、Webサイト全体の基本的なブロックは、SSLインターセプトなしで実現できることが多いですが、Facebookへの投稿のみをブロックするような、より詳細な制御は、コンテンツにアクセスすることによってのみ実現できます。 SSLインターセプトの最大の問題は、予想されるトラフィックのエンドツーエンドの暗号化を破壊し、適切に実装されていない場合、実際にはセキュリティを弱める可能性があることです。そして、残念なことに 多くの場合、正しく実装されていません

代わりに、ブラウザーで復号化されたコンテンツを分析することは、SSLインターセプトを実行することよりもそれほど侵襲的ではなく、さらにいくつかの問題が追加されます。悪意のあるコンテンツを効果的に検出してブロックするには、ブラウザプラグインがブラウザで実行される前に、ブラウザ内のコンテンツにアクセスできる必要があります。しかし、これはシステムで実行されているコードであり、ファイアウォールよりも信頼性が低いと見なされる必要があります。巨大な攻撃面を持つクライアントに対する攻撃は、ファイアウォールに対するよりもはるかに一般的で成功しているためです。したがって、攻撃者がプラグインにセキュリティの問題を見つけ、それを無効にするか、さらにはハイジャックして ブラウザ内のすべてを制御する の場合を考慮する必要があります。

ファイルシステムの監視、システムコールの監視などで悪意のある可能性のあるコンテンツを検出すると、静的な分析やサンドボックス内での短いテストの実行だけでなく、実際の動作でマルウェアを監視するため、いくつかの利点があります。ただし、これらのアクティビティが発生するコミュニケーションコンテキストに関する多くの情報も失われます。また、ユーザーをだましてパスワードを入力させるような、典型的なフィッシングサイトをこのように検出することは不可能です。それとは別に、これらの監視ソリューションは通常、昇格された特権で実行されるため、実際には攻撃面も増加する可能性があります ただし、バグがないわけではありません

要約すると、他の種類のコンテンツ分析と同様に、SSLインターセプトには長所と短所があります。つまり、セキュリティが向上すると同時に、セキュリティが低下します。ただし、適切に実装して使用したセキュリティの増加は、多くのユースケースでの減少を上回ります。また、マルウェアやフィッシングと戦う方法は他にもありますが、それらには独自の長所と短所があり、SSLインターセプトよりも優れているとは限りません。また、たとえば、多層防御戦略の一環として、境界ファイアウォールでの中央SSLインターセプトとデスクトップAVの両方を使用すると便利です。

4
Steffen Ullrich

いいえ、「ベストプラクティス」ではありません。 SSLインターセプトの実装はトレードオフであり、SSLインターセプトのマイナス面を大いに検討する必要があると考えているすべての企業です。

一方では、SSLインターセプトを実装すると、セキュリティの管理が一元化されます。これにより、会社はマルウェアをスキャンし、(偶発的な)データの漏えいや漏出を検出してブロックすることができます。また、会社がNSFWサイトへのアクセスを禁止するなどのポリシーを施行することもできます。

一方、攻撃者は企業全体のセキュリティを危険にさらす可能性のある単一の高価値マシンを手に入れているため、攻撃者の仕事もはるかに簡単になります。この単一のマシンを侵害すると、攻撃者はすべてのパスワードを傍受し、ページを偽装し、かつてないレベルでマルウェアを配布できます。

さらに、多くのSSLインターセプト製品は、実際には最新のブラウザよりもセキュリティが低くなっています。たとえば、証明書チェーンを正しくチェックしない、OCSP/CRLをチェックしない、ルート証明書ストアがブラウザのルートストアほど頻繁に更新されない場合があります。市場に出回っている傍受製品のほとんどは、適切に実装されていない場合、セキュリティに対してマイナスの影響を及ぼします。優れたインターセプト製品からネットのポジティブを得るのは簡単ではありません。インストールして忘れることはできません。継続的なメンテナンスが必要です。データ漏洩の検出がある場合、ビジネスの進化に合わせて署名データベースを最新の状態に保つ必要があります。代行受信を適切に行うには、いくらか控えめな利益のためにかなりの投資が必要です。

SSLインターセプトを実装する一般的な、しかし不十分な理由は、SSLインターセプトが意図的なデータ漏えいを実際に検出またはブロックできなかったことです。従業員を信用しないと、技術的な問題ではなく社会的な問題が発生し、技術的な解決策では社会的な問題を解決できません。

もう1つの一般的で不十分な理由は、管理者が個々のワークステーションにウイルス対策をセットアップする必要がないことです。多くのウイルスは静的分析では検出できません。ワークステーションごとのウイルス対策に加えて、中央のウイルス対策ソフトウェアを置き換えるために使用する管理者は、管理者権限を取り消す必要があります。

SSLインターセプトを実装したことも、最新のTLSをサポートできない古いソフトウェア(WinXPのIE6など)を維持するための言い訳として使用しないでください。

インターセプトの実装が理にかなっている場合もありますが、ほとんどのベンダーは、これらの製品が実際に何ができるかを過大評価しており、コストとマイナス面を大幅に抑えています。ほとんどのオフィスでは、SSLインターセプトのメリットはあまり得られず、通常、SSLインターセプトを実装することでリスクが増大します。

3
Lie Ryan

SSLプロキシ(MITM攻撃を行う)は、外部エントリポイントで詳細なパケット検査を実行する唯一の方法です。そして、そのセキュリティルールを制御する唯一の方法に従います。怠惰な管理者がデスクトップのセキュリティを維持できないようにするのではなく、自宅のように職場で行動すべきでない理由を理解できない従業員からネットワークを保護するためです。問題は、積極的にデータを漏らそうとする従業員ではなく、不注意にデスクトップをさまざまな脅威にさらしたり、自分の仕事とは無関係のサイトに時間をかけすぎたり、違法なサイトではさらに悪いことです。組織のマシンが不正な活動に関与することを回避するために適切な措置が講じられていない場合、雇用主(および管理者)の責任が関与する可能性があります。したがって、従業員のプライバシーを保護するために制御する必要がありますが、ベストプラクティスルールでは、外部ファイアウォールでの詳細なパケット検査を推奨しています。

0
Serge Ballesta