it-swarm.com.de

Ist es für Unternehmen üblich, HTMPS-Verkehr mit MITM zu betreiben?

Mein Unternehmen hat gerade eine neue VPN-Richtlinie eingeführt, nach der der gesamte Datenverkehr nach der Verbindung über das Unternehmensnetzwerk geleitet wird. Dies soll eine verbesserte Überwachung des Datendiebstahls ermöglichen.

Es scheint, dass diese Richtlinie auch einen Mann im mittleren Angriff auf den HTTPS-Verkehr ausführt. Für mich bedeutet dies praktisch, dass der Besuch von " https://google.com " mir einen Zertifikatfehler gibt. Nach Prüfung des Zertifikats wird es vom (selbstsignierten) Zertifikat meines Unternehmens signiert.

Für mich schadet dies der Sicherheit in einem Bereich, um in einem anderen Bereich zu helfen. Ist dies in großen Unternehmen üblich? Kann mich jemand auf einen ISO-Standard hinweisen?

57
Andy Smith

Ist dies in großen Unternehmen üblich?

Ja. Die Funktion ist in den meisten Unternehmensfirewalls sowie in mehreren Firewalls für kleinere Unternehmen verfügbar. Es ist sogar im kostenlosen Webproxy Squid verfügbar . Und mehrere persönliche Firewalls haben es ebenfalls implementiert.

Da immer mehr Websites (sowohl harmlose als auch schädliche) zu https://, erwarten Sie, dass auch die Verwendung von SSL-Interception zunimmt, da niemand eine Firewall haben möchte, die ein System nicht schützt, weil es für verschlüsselten Datenverkehr blind ist.

Kann mich jemand auf einen ISO-Standard hinweisen?

Beim Abfangen von SSL werden nur die vorhandenen SSL- und PKI-Standards verwendet. Es ist kein neuer Standard erforderlich, der definiert, wie das Abfangen von SSL funktioniert.

Was die Cyber ​​Security Standards betrifft: Mir sind keine bekannt, die ausdrücklich das Abfangen von SSL erfordern, aber ich habe nicht viel Wissen über diese Art von Standards. Aber selbst wenn dies nicht explizit erforderlich ist, kann implizit erwartet werden, dass Sie entweder den Zugriff auf eine SSL-Site blockieren oder SSL abfangen, wenn der Standard eine Verkehrsüberwachung verlangt.

wird mir einen Zertifikatfehler geben.

Beim Abfangen von SSL müssen Sie der abfangenden Zertifizierungsstelle vertrauen. In den meisten Unternehmen werden diese CA-Zertifikate zentral verwaltet und auf allen Computern installiert. Wenn Sie jedoch einen Browser wie Firefox verwenden, hilft dies möglicherweise nicht, da Firefox über einen eigenen CA-Speicher verfügt und den System-CA-Speicher nicht verwendet.

Für mich schadet dies der Sicherheit in einem Bereich, um in einem anderen Bereich zu helfen.

Ja, die End-to-End-Verschlüsselung wird unterbrochen, um Malware und Datenlecks zu erkennen, die verschlüsselte Verbindungen verwenden. Da der Bruch der End-to-End-Verschlüsselung jedoch unter vollständiger Kontrolle des Unternehmens erfolgt und Sie immer noch Verschlüsselung nach außen haben, ist dies ein Kompromiss, den die meisten Unternehmen eingehen möchten.

Beachten Sie jedoch, dass in der Vergangenheit Fehler wurden in mehreren SSL-Interception-Produkten festgestellt (wie dieselbe Zertifizierungsstelle zwischen verschiedenen Unternehmen, keine Sperrprüfungen ...), was die Sicherheit zusätzlich schwächte.

66
Steffen Ullrich

Diese Praxis wird immer häufiger, wenn Unternehmen versuchen, die Dinge besser zu kontrollieren, und wenn Hersteller Marktfunktionen nutzen, um Benutzeraktivitäten ausspionieren zu können.

Für mich schadet dies der Sicherheit in einem Bereich, um in einem anderen Bereich zu helfen.

Ja, aber dieses MITM kann die Sicherheit in einem Bereich beeinträchtigen, der der Organisation nicht wichtig ist (z. B. Anstand gegenüber Mitarbeitern/Kunden/etc.), Um sich auf einen Bereich zu konzentrieren, der ihnen wichtig ist (z. B. in der Lage zu sein) Controlling).

Vermutlich können Sie diese Webbrowser-Fehler stoppen, indem Sie ein von Ihrem Unternehmen veröffentlichtes Zertifikat installieren. Dies kann zu Problemen führen, wie ich im Chatroom über das College feststelle, für das eine SSL-Zertifizierung erforderlich ist . In diesem Fall stammte das Zertifikat von Cyberoam, das diese Sicherheitsanfälligkeit aufwies: "Es ist daher möglich, den Datenverkehr eines Opfers eines Cyberoam-Geräts mit einem anderen Cyberoam-Gerät abzufangen oder den Schlüssel aus dem Gerät zu extrahieren und in eine andere DPI zu importieren Geräte ". (DPI = "Deep Packet Inspection") Daher wird die Installation dieses Zertifikats nicht empfohlen.

Eine bessere Option ist, einfach nicht im Internet zu surfen, wenn eine Verbindung zum VPN besteht. Das Nicht-Surfen im Internet kann unpraktisch sein: Die Problemumgehung besteht darin, die mit dem VPN verbundene Zeit zu minimieren. Verwenden Sie das VPN kurz nur für die vertraulichen Kommunikationen, die verschlüsselt werden müssen, und verwenden Sie es dann nicht mehr. Wenn dies zu unpraktisch wird, melden Sie die Probleme. Wenn es genügend Beschwerden gibt, wird das VPN möglicherweise als zu problematisch mit der aktuellen Richtlinie empfunden, was dazu führen kann, dass Personen eine Änderung der Richtlinie in Betracht ziehen.

Nach einigen anderen Kommentaren (wie einem von Arlix) liefert ISO möglicherweise keine Standards dazu. Eine Standardorganisation, die geantwortet hat, ist jedoch die IETF, die dieses "Best Current Practice" -Dokument zur Kenntnis genommen hat: IETF BCP 188 (derzeit RFC 7258: "Durchdringende Überwachung ist ein Angriff") . Dies ist möglicherweise die beste Wahl, wenn Sie nach einer offiziellen Ressource suchen, die beschreibt, warum dies nicht getan werden sollte. Unternehmen, die diesen MITM-Angriff durchführen, sind nicht standardkonform.

8
TOOGAM

Beachten Sie bitte, dass die beiden größten Hindernisse für die Einführung von SSL Intercept-Funktionen die folgenden sind:

  1. Anforderungen an den Datenschutz von Unternehmen oder der Öffentlichkeit (Richtlinien) - Sie möchten sicherstellen, dass die von Ihnen verwendete SSL-Intercept-Lösung richtlinienbasiert ist (URL-Kategorisierung und Whitelist-Funktionen), um sicherzustellen, dass Sie Websites ausnehmen können, die Sie nicht überwachen möchten. Banking ist ein gutes Beispiel. Möchten Sie haftbar gemacht werden, wenn Ihr Netzwerk oder Gerät gehackt wird und die Bankdaten von Mitarbeitern/Freunden gefährdet sind? Berücksichtigen Sie Archiv- und Compliance-Anforderungen als Teil dieser Diskussion.

  2. Zukünftige SSL-Änderungen - auch bekannt als Zertifikatvalidierung. Beispiel - Viele Websites werden auf die Zertifikatsüberprüfung im Code umsteigen. Hier überprüft die Website, ob das vom Client verwendete Zertifikat tatsächlich mit dem von ihm gesendeten Zertifikat übereinstimmt. Dadurch werden fast alle SSL Intercept-Implementierungen, die MITM als Kernfunktionen ausführen, vollständig zerstört. Zukünftige Standardänderungen oder branchenübliche Best Practices wie diese können sich auf Ihre Ausgaben oder sogar auf die Rentabilität von SSL Intercept auswirken.

3
C. Harden