web-dev-qa-db-fra.com

Est-ce une pratique courante pour les entreprises de MITM HTTPS trafic?

Mon entreprise vient d'introduire une nouvelle politique VPN selon laquelle une fois connecté, tout le trafic est acheminé vers le réseau de l'entreprise. Il s'agit de permettre une meilleure surveillance du vol de données.

Il semblerait que cette stratégie effectue également une attaque d'homme au milieu sur le trafic HTTPS. Ce que cela signifie pratiquement pour moi, visiter " https://google.com " me donnera une erreur de certificat. Après inspection du certificat, il est signé par le certificat (auto-signé) de mon entreprise.

Pour moi, cela nuit à la sécurité dans un domaine pour l'aider dans un autre. Est-ce une pratique courante dans les grandes entreprises? Quelqu'un peut-il me diriger vers une norme ISO?

57
Andy Smith

Est-ce une pratique courante dans les grandes entreprises?

Oui. Cette fonctionnalité est disponible dans la plupart des pare-feu d'entreprise et dans plusieurs pare-feu pour les petites entreprises. Il est même disponible dans le proxy Web gratuit Squid . Et plusieurs pare-feu personnels l'ont également mis en œuvre.

Comme de plus en plus de sites (à la fois inoffensifs et nuisibles), passez à https://, attendez-vous à ce que l'utilisation de l'interception SSL augmente également, car personne n'aime avoir un pare-feu qui ne parvient pas à protéger un système car il est aveugle concernant le trafic chiffré.

Quelqu'un peut-il me diriger vers une norme ISO?

L'interception SSL utilise simplement les normes SSL et PKI existantes. Il n'est pas nécessaire d'avoir une nouvelle norme qui définit le fonctionnement de l'interception SSL.

Quant aux Cyber ​​Security Standards : Je n'en connais pas qui nécessitent explicitement l'interception SSL, mais je n'ai pas beaucoup de connaissances sur ce type de normes. Mais même si cela n'est pas explicitement requis, on peut implicitement s'attendre à ce que vous bloquiez l'accès à un site SSL ou que vous fassiez une interception SSL lorsque la norme exige la surveillance du trafic.

me donnera une erreur de certificat.

L'interception SSL nécessite que vous fassiez confiance à l'autorité de certification interceptante. Dans la plupart des entreprises, ces certificats d'autorité de certification sont gérés et installés de manière centralisée sur tous les ordinateurs, mais si vous utilisez un navigateur comme Firefox, cela peut ne pas aider car Firefox a son propre magasin d'autorités de certification et n'utilise pas le magasin de systèmes du CA.

Pour moi, cela nuit à la sécurité dans un domaine pour l'aider dans un autre.

Oui, il brise le chiffrement de bout en bout pour détecter les logiciels malveillants et les fuites de données qui utilisent des connexions chiffrées. Mais comme la rupture du chiffrement de bout en bout se fait en plein contrôle de l'entreprise et que vous avez toujours le chiffrement vers le monde extérieur, c'est un compromis que la plupart des entreprises sont prêtes à accepter.

Mais notez que dans le passé des bogues ont été détectés dans plusieurs produits d'interception SSL (comme la même autorité de certification entre différentes sociétés, pas de vérification de révocation ...), ce qui a en outre affaibli la sécurité.

66
Steffen Ullrich

Cette pratique est de plus en plus courante à mesure que les organisations tentent de contrôler davantage les choses et que les fabricants commercialisent des fonctionnalités pour pouvoir espionner l'activité des utilisateurs.

Pour moi, cela nuit à la sécurité dans un domaine pour l'aider dans un autre.

Oui, mais ce MITM peut nuire à la sécurité dans un domaine dont l'organisation ne se soucie pas (comme être décent pour les employés/clients/etc.) afin de se concentrer sur un domaine qui les intéresse (comme pouvoir être contrôle).

Vraisemblablement, vous pouvez cesser d'obtenir ces erreurs de navigateur Web en installant un certificat publié par votre entreprise. Cela peut vous exposer à des problèmes, comme je le note dans salle de discussion sur le collège nécessitant une certification SSL . Dans ce cas, le certificat provenait de Cyberoam, qui présentait cette vulnérabilité: "Il est donc possible d'intercepter le trafic de toute victime d'un appareil Cyberoam avec n'importe quel autre appareil Cyberoam - ou d'extraire la clé de l'appareil et de l'importer dans un autre DPI dispositifs". (DPI = "Deep Packet Inspection") Par conséquent, l'installation de ce certificat n'est pas recommandée.

Une meilleure option consiste simplement à ne pas naviguer sur le Web lorsqu'il est connecté au VPN. Ne pas naviguer sur le Web peut être gênant: la solution consiste à réduire le temps de connexion au VPN. Utilisez brièvement le VPN uniquement pour les communications sensibles qui doivent être chiffrées, puis arrêtez de l'utiliser. Si cela devient trop gênant, signalez les problèmes. S'il y a suffisamment de plaintes, le VPN sera peut-être perçu comme étant trop gênant avec la politique actuelle, ce qui peut amener les gens à envisager un changement de politique.

D'après certains autres commentaires (comme celui d'Arlix), l'ISO pourrait ne pas fournir de normes à ce sujet. Cependant, un organisme de normalisation qui a répondu est l'IETF, qui a noté ce document "Best Current Practice": IETF BCP 188 (actuellement RFC 7258: "Pervasive Monitoring Is an Attack") . Cela pourrait être votre meilleur pari si vous recherchez une ressource officielle décrivant pourquoi cela ne devrait pas être fait. Les entreprises qui exécutent cette attaque MITM ne sont pas conformes aux normes.

8
TOOGAM

N'oubliez pas que les deux principaux obstacles à l'adoption des fonctionnalités SSL Intercept sont les suivants:

  1. Exigences de confidentialité (politiques) de l'entreprise ou du public - vous voudrez vous assurer que quelle que soit la solution d'interception SSL avec laquelle vous optez, elle repose sur des politiques (catégorisation des URL et fonctionnalités de liste blanche) pour vous assurer que vous pouvez exempter les sites que vous ne voudrez pas surveiller. Les services bancaires sont un excellent exemple, voulez-vous être tenu responsable si votre réseau ou votre appareil est piraté et que les informations bancaires des employés/amis sont compromises? Tenez compte des exigences d'archivage et de conformité dans le cadre de cette discussion.

  2. Futures modifications SSL - aka validation du certificat. Exemple - De nombreux sites Web vont passer à la vérification des certificats en code. C'est là que le site Web vérifie que le certificat que le client utilise correspond bien au certificat qu'il envoie. Cela brise complètement presque toutes les implémentations SSL Intercept qui exécutent MITM en tant que fonctions principales. Les changements de normes futurs ou les meilleures pratiques de l'industrie comme celle-ci peuvent avoir un impact sur vos dépenses ou même sur la viabilité de SSL Intercept.

3
C. Harden