0 |
Средства для контроля зашифрованного трафика, реализованные либо программно, либо в виде специализированных устройств, применяются в корпоративных сетях уже более двух десятилетий. Создаваемый ими промежуточный TLS-прокси сканирует трафик HTTPS в поисках вредоносного ПО, фишинговых ссылок или в целях проверки соответствия требованиям законодательства и национальной безопасности. Для этого трафик сначала раскодируется, а после проверки шифруется повторно и направляется на сервер-получатель при помощи имитирующего браузер собственного TLS-клиента, находящегося во внешней сети.
Из-за усложнения технологий, обеспечивающих TLS-трафик, вендорам становится всё труднее корректно поддерживать все типы соединений, без ухудшения качества шифрования HTTPS. Несмотря на то, что об этой проблеме известно и с ней борются уже около 10 лет, некоторые производители до сих пор не смогли обеспечить сохранение необходимого уровня безопасности TLS-соединений, проходящих через их оборудование/ПО.
В конце прошлого месяца на arXiv.org было опубликовано обстоятельное академическое исследование этой проблемы, выполненное тремя исследователями из Университета Конкордиа в Монреале (Канада). С помощью созданного ими фреймворка авторы проанализировали поведение 17 версий 13 сетевых TLS-инструментов разного класса (бесплатных, с открытым кодом, низко- и высокоуровневых).
Проверка принесла результаты: уязвимыми оказались почти все рассматривавшиеся продукты.
Например, выяснилось, что WebTitan, UserGate и Comodo не выполняют валидацию TLS. Comodo и Endian по умолчанию считают всё сертификаты проверенными, а Cacheguard принимает самостоятельно подписанные сертификаты TLS.
Trend Micro, McAfee и Cacheguard используют предварительно сгенерированные пары ключей (хотя документация McAfee и утверждает обратное). Четыре устройства — от UserGate, WebTitan, Microsoft и Comodo — принимают собственные сертификаты для контента, доставляемого извне. Частные ключи хранятся на устройстве и их можно легко извлечь, используя другие уязвимости.
Атака BEAST позволяет получить аутентификационные файлы куки пользователей TLS-средств от Microsoft, Cisco и TrendMicro, а клиенты Sophos, Cacheguard, OpenSense, Comodo и Endian принимают сертификаты RSA-512, приватные ключи для которых легко подделываются в течение четырёх часов.
Канадские авторы утверждают, что после двух серий испытаний в 2017-2018 гг. они информировали о найденных недостатках поставщиков соответствующих TLS-продуктов, но получили неоднозначный отклик.
«Многие производители полностью игнорировали проблемы безопасности (Untangle, Microsoft, UserGate и pfSense), — рассказали они. — Ещё больше тревожит, что некоторые продукты даже стали хуже (Cisco), а в ряде случаев исправленные версии продуктов привнесли новые уязвимости по сравнению с их более старыми вариантами (WebTitan)».
Между тем, как указывают исследователи, в TLS-средствах достаточно легко обеспечить тот же уровень безопасности, что и в современных веб-браузерах. Поскольку TLS-сервер служит посредником для сетевого соединения Веба с клиентом, для него применимы те же простые принципы конфигурирования защиты, которые действуют для любого сервера HTTPS.
Про DCIM у забезпеченні успішної роботи ІТ-директора
0 |