BLOG

Abordando el principio de Peter Parker en la inspección TLS

Miniatura de Jay Kelley
Jay Kelley
Publicado el 9 de diciembre de 2019

“Un gran poder conlleva una gran responsabilidad”. Reconociendo a Voltaire y Churchill, la cita es más conocida por los cómics de “Spider-Man”, atribuidos al tío Ben de Peter Parker. Por supuesto, parte de la prevalencia cultural de esta frase es que se puede aplicar a cualquier cantidad de situaciones y temas, incluida, como lo indica el título, la inspección TLS.

Recientemente, la Agencia de Seguridad Nacional de Estados Unidos (NSA) publicó un aviso para abordar los posibles riesgos asociados con la implementación de la Inspección de Seguridad de la Capa de Transporte (TLSI). El aviso de la NSA también proporcionó métodos para mitigar cualquier posible debilidad de seguridad para las organizaciones que implementan y emplean productos TLSI.

Una breve introducción a TLSI: TLSI, también conocido como TLS break and inspect, es un proceso que permite a las organizaciones descifrar y volver a cifrar el tráfico de red cifrado con TLS o incluso con Secure Socket Layer (SSL). TLSI es un imperativo para las organizaciones, dado que la mayoría de los ataques actuales están camuflados en tráfico cifrado. Por ejemplo, según las últimas investigaciones , más del 90% de las cargas de páginas ahora están cifradas con SSL/TLS, y el 71% de los sitios web de phishing utilizan certificados de cifrado.

En la actualidad, muchas organizaciones utilizan un dispositivo dedicado, como un dispositivo proxy, un firewall o un sistema de detección de intrusiones (IDS) o un sistema de prevención de intrusiones (IPS) para descifrar y volver a cifrar el tráfico cifrado con TLS. Otros todavía ejecutan tráfico cifrado TLS a través de una cadena de dispositivos en su pila de seguridad, lo que fuerza el descifrado y el nuevo cifrado a través de cada dispositivo de seguridad. Todo el proceso TLSI ayuda a las organizaciones a monitorear amenazas potenciales (como malware) en el tráfico cifrado entrante. También permite a las organizaciones monitorear el tráfico cifrado saliente para exfiltración de datos y comunicaciones activas de comando y control (C2) a servidores maliciosos, listos para descargar medios de ataque adicionales.

Pero el método de implementación y uso de TLSI, así como la forma en que se implementa, también pueden introducir riesgos graves para una organización, según el aviso de la NSA.

La NSA, en su aviso, también recomienda que el tráfico TLS se interrumpa e inspeccione solo una vez dentro de la red de una organización. El aviso establece claramente que no se debe descifrar, inspeccionar ni volver a cifrar el tráfico TLS mediante un dispositivo proxy de reenvío para luego enviarlo a otro dispositivo proxy de reenvío para la misma acción. Esta acción aumenta la superficie de riesgo sin ofrecer ningún beneficio adicional.

Si una organización implementa o utiliza una oferta TLSI que no valida adecuadamente los certificados TLS, el cifrado TLS puede debilitarse, lo que deja una abertura para que se lancen ataques del tipo "man-in-the-middle" (MiTM).

Un dispositivo proxy de reenvío que funcione incorrectamente y se utilice para TLSI puede provocar que el tráfico descifrado se redirija a un dispositivo de terceros no autorizado y que se produzca el robo o uso indebido de datos confidenciales.

Monitorear el flujo de tráfico de red hacia el proxy directo puede ayudar a aliviar cualquier potencial explotación, según el aviso de la NSA. Además, para garantizar que el TLSI esté funcionando como debería, el aviso sugiere emplear análisis de registros, que pueden detectar tráfico mal enrutado, así como ayudar a detectar abusos o usos indebidos (intencionales o no) por parte de los administradores.

Además, los productos TLSI probablemente necesitarán encadenar conexiones TLS, lo que podría causar una degradación en la protección de cifrado y podría llevar a que se explote un conjunto de cifrado más débil o una versión de TLS. Algunas ofertas de TLSI pueden permitir versiones TLS y conjuntos de cifrado más débiles solo por excepción.

La mayoría de los dispositivos proxy de reenvío TLSI incluyen su propia autoridad de certificación (CA) interna para crear y firmar nuevos certificados. Pero la CA incorporada podría usarse para firmar código malicioso, eludiendo mecanismos de seguridad como IDS e IPS, o usarse para implementar servicios maliciosos que imiten servicios reales. El aviso de la NSA recomienda que una organización seleccione productos que implementen el flujo de datos, TLS y CA correctamente.

Otra superficie de ataque puede ser donde el dispositivo TLSI descifra el tráfico, justo antes de que este se envíe a los dispositivos de seguridad. El tráfico está en texto simple y es vulnerable a ataques que podrían robar a los atacantes las credenciales de usuario y otros datos confidenciales.

F5 SSL Orchestrator garantiza que el tráfico cifrado se descifre, se inspeccione mediante controles de seguridad adecuados y se vuelva a cifrar, lo que brinda visibilidad del tráfico cifrado y mitiga los riesgos de amenazas ocultas. SSL Orchestrator también maximiza la efectividad de las inversiones en seguridad existentes, encadenando dinámicamente servicios de seguridad y dirigiendo el tráfico descifrado a través de políticas, aplicando inteligencia basada en el contexto al tráfico cifrado. Además, SSL Orchestrator administra y distribuye de forma centralizada las últimas tecnologías de cifrado en toda la infraestructura de seguridad de una organización, centralizando los certificados y la gestión de claves y al mismo tiempo proporcionando una sólida gestión y control del cifrado. SSL Orchestrator supervisa de forma independiente el estado de cada servicio de seguridad. También garantiza que las soluciones de seguridad funcionen con la máxima eficiencia y puedan escalar con alta disponibilidad a través de las capacidades de escalamiento y equilibrio de carga de F5. Además, admite los estándares gubernamentales e industriales más estrictos y sólidos en materia de seguridad y privacidad.

El énfasis detrás del aviso de la NSA es realizar bien la inspección y el descifrado de TLS, y hacerlo una sola vez. Si bien puede parecer que una solución todo en uno como un firewall de próxima generación (NGFW) abordaría técnicamente este concepto, en realidad es bastante poco práctico cuando se intenta abordar todos los tipos de tráfico cifrado y requisitos de rendimiento. Lo que realmente se necesita (y el mejor enfoque para realizar una inspección y descifrado TLS bien y en una sola vez) es un conjunto de productos de múltiples proveedores conectados de forma segura y monitoreados de cerca, configurados en una solución de descifrado/inspección/recifrado en una sola vez, que demostrará ser más flexible, más resistente y práctica.

Con F5 SSL Orchestrator, una organización no necesita encadenar dispositivos proxy. No necesita realizar un monitoreo de tráfico independiente, ni siquiera un monitoreo de dispositivos adicionales. Se utiliza el conjunto de cifrado o método de cifrado más seguro, porque es una arquitectura de proxy completo. En otras palabras, SSL Orchestrator mitiga todos los riesgos mencionados en el aviso de la NSA y, al mismo tiempo, ayuda a las organizaciones a alinearse con el vínculo bien establecido entre responsabilidad y poder.