Artículo destacado

Visibilidad y control del tráfico SSL en la era HTTP/2.0

La arquitectura “SSL Everywhere” de F5 se centra en la pila SSL/TLS personalizada que forma parte de cada implementación de F5 BIG-IP. Esto permite a F5 tener visibilidad y control sobre el tráfico SSL/TLS en la era de HTTP/2.0.

¿Por qué es tan importante la visibilidad y el control del tráfico SSL/TLS? Hace apenas una década, el SSL estaba reservado para instituciones financieras y algunas organizaciones específicas, como agencias del sector público, para las páginas de inicio de sesión de sitios web y servicios preocupados por la seguridad. Hoy en día, esto se ha ampliado a la mayoría de los servicios basados en la web y se está convirtiendo rápidamente en el protocolo de facto para las comunicaciones. Según una investigación industrial realizada por Gartner, más del 50 por ciento del tráfico de Internet del mundo estará cifrado para finales de 2015.

TLS ofrece hoy un cambio de paradigma en la forma en que las empresas abordan las redes TI, ya que ofrece seguridad de las comunicaciones a través de un servidor de red. La conexión entre el cliente y el servidor es privada porque se utiliza criptografía simétrica para cifrar los datos transmitidos.

 

Visibilidad y control sobre el tráfico SSL/TLS en HTTP/2.0

Con el creciente uso de tráfico cifrado, el enfoque tradicional de depender de firewalls, sistemas de protección contra intrusiones y sistemas de detección de intrusiones se ha vuelto obsoleto, ya que estos dispositivos serán sorprendidos sin conocer el flujo de datos que pasa a través de ellos.  

La solución a este problema es que el descifrado SSL inicial se realice en el perímetro de seguridad. Sin embargo, la mayoría de las soluciones disponibles dentro de la industria que trabajan en el perímetro de seguridad no han sido diseñadas ni desarrolladas para el propósito específico del “descifrado SSL”. Si bien algunos pueden tener la capacidad de descifrar, no pueden hacerlo adecuadamente. Muchas empresas también están experimentando una caída significativa del rendimiento cuando habilitan el descifrado SSL. Esto inició una búsqueda para explorar “cómo” deberían diseñar su perímetro incorporando un manejo optimizado del tráfico SSL. Obviamente, para maximizar la eficacia de los dispositivos de seguridad de capa 7, el descifrado SSL debe ejecutarse cerca del perímetro de seguridad. Una vez descifrado el SSL entrante, las solicitudes resultantes se pueden analizar, modificar y dirigir. 

cifrado SSL

Los ciberdelincuentes a menudo atacan utilizando SSL para eludir los dispositivos de seguridad, sabiendo que esos dispositivos son vulnerabilidades de seguridad. El malware oculto dentro del tráfico SSL también podría eludir fácilmente las plataformas de seguridad. Gartner también estima que para 2017, más del 50 por ciento de los ataques a la red de las empresas utilizarán SSL para eludir la seguridad.

Con el descubrimiento de conjuntos de cifrado más vulnerables que producen ataques como Heartbleed, BEAST, POODLE y más, los administradores de seguridad tienen un breve período de tiempo para corregir las vulnerabilidades. Tener que administrar cientos o miles de servidores SSL llevaría semanas de reparación, ya que siguen siendo susceptibles a ataques de fuentes maliciosas.

Se trata entonces de saber qué tráfico hay que descifrar. Si una empresa ofrece contenido a usuarios de forma externa, necesita utilizar un dispositivo para descargar el tráfico SSL del servidor y luego insertar protección en el flujo de tráfico. Esto romperá el SSL, pero de manera inteligente: no desea descifrar una sesión bancaria, pero sí una sesión de Facebook. La seguridad debe tener la inteligencia para entender hacia dónde va el tráfico y luego tomar una decisión sobre si debe descifrarse o dejarse como está. 

Si bien SSL ayuda técnicamente a los usuarios a lograr seguridad de punto a punto, no necesariamente protege todo el tráfico. Se podría interceptar SSL ocultando malware en el tráfico cifrado sin falsificar un certificado SSL. Por lo tanto, el enfoque principal de TI es inspeccionar las estafas en tiempo real y mitigarlas de inmediato.

La arquitectura de proxy completa de F5 permite la conversión y el descifrado sin problemas, al tiempo que implementa conexiones separadas para las comunicaciones internas y externas. La capacidad de finalizar sesiones SSL también facilita que TI utilice cifrado para el tráfico externo y utilice el antiguo HTTP si es necesario. Todas las conexiones serán posibles y el departamento de TI no tendrá que romper y reemplazar toda la infraestructura de aplicaciones web para disfrutar de los beneficios de HTTP/2.0.

 

Mantenga el rendimiento mientras administra la configuración de TLS

Con la adopción de longitudes de clave más fuertes, de 1024 bits a 2048 bits, los requisitos computacionales han aumentado exponencialmente de cuatro a ocho veces más que antes. Esto reduce el rendimiento de la infraestructura existente que tiene que gestionar un tamaño de tráfico similar. Contar con hardware especializado junto con un acelerador de hardware aliviará la necesidad de actualizar los recursos de la CPU en toda la granja de servidores.

Dado que PCI DSS 3.1 exige que las empresas dejen de usar SSL y TLS 1.0 a partir del 30 de junio de 2016 en favor de implementaciones TLS más recientes, las empresas deberán cumplir con todos los dispositivos que tengan un punto de administración SSL centralizado que permita corregir los problemas en cuestión de minutos en todo el entorno.

 

 

Referencias del documento:

Las expectativas de SSL en todas partes

Arquitecturas de referencia SSL de F5