Segurança de Rede Entra na Era sem Conteúdo

Os firewalls mudaram muito nos últimos 20 anos. Originalmente, os firewalls eram apenas um conjunto simples de regras para filtragem de pacotes. Embora não tenham sido projetados para lidar com muitos dos problemas que vieram depois, os firewalls ainda são uma ferramenta útil e necessária no arsenal de segurança.

Logo depois, os administradores precisavam identificar ataques na rede, bloquear vírus, interromper o spam e bloquear certos tipos de tráfego da web. Eles precisavam parar determinados aplicativos ou monitorar e registrar a atividade da rede. Os firewalls evoluíram para atender a essas necessidades adicionando tecnologias de segurança de rede relacionadas e inspeção de conteúdo.

 Os firewalls então entraram em uma nova era que combinava a base tradicional de roteamento e filtragem de pacotes com novas tecnologias como prevenção contra intrusão, antivírus, antispam, filtragem da Web etc. Muitos termos novos foram criados para descrever essa evolução como “next-gen” e “UTM”. ou gerenciamento unificado de ameaças.

 Os firewalls de última geração basicamente reconstroem os dados de aplicativos dos pacotes de forma transparente e os alimentam a essas outras tecnologias de segurança para inspeção. Isso permite que o mecanismo antivírus examine o conteúdo, e o filtro da Web identifique e classifique a página da Web e o mecanismo de prevenção de intrusões para procurar atividades suspeitas.

 No entanto, a capacidade de inspecionar o conteúdo bruto não criptografado na rede está desaparecendo rapidamente. As tecnologias de segurança que dependem da inspeção de conteúdo estão rapidamente se tornando irrelevantes. Acompanhe!

Drivers SSL

SSL / TLS é uma tecnologia para verificar e criptografar as comunicações. SSL não é novo; HTTPS (HTTP sobre SSL) existe desde que a maioria de nós tem usado HTTP. O SSL também é usado para verificar e criptografar muitas outras comunicações e protocolos.

Embora esta tecnologia já existe há muito tempo, o uso disparou recentemente. Alguns anos atrás, estávamos procurando no Google usando HTTP não criptografado. Nós estávamos comprando na Amazon e no eBay com HTTP (excluindo o checkout real). Estávamos assistindo a vídeos no YouTube em HTTP. Nós estávamos lendo Wikipedia com HTTP. Na verdade, estávamos fazendo praticamente tudo em HTTP, exceto logins, checkouts e casos de uso sensíveis à segurança, como serviços bancários. Hoje, você não pode fazer nada disso usando HTTP, mesmo que queira. Todos os principais sites estão mudando para HTTPS para todo o tráfego.

A adoção do SSL está sendo impulsionada por algumas coisas:

  • Questões de segurança e privacidade estão recebendo mais conscientização:

Parece que há uma nova quebra de segurança de alguma grande organização nos noticiários toda semana agora. Muitos países (incluindo o nosso) também lutam contra a liberdade na internet, a neutralidade da rede e a censura. Dadas essas preocupações de segurança e privacidade, é natural que os usuários esperem e desejem SSL e que as organizações respondam.

  • Otimização do Google e do mecanismo de pesquisa

O Google começou a melhorar os sites HTTPS. Como a pesquisa é uma importante fonte de tráfego para quase todos os sites, a maioria dos sites é altamente incentivada a mudar para o HTTPS. O navegador Chrome do Google também adiciona mais avisos e aborrecimentos para os usuários que fazem coisas por HTTP. Parece que um dos objetivos do Google é impulsionar a adoção de HTTPS e está funcionando.

  • Efeito de Rede

À medida que mais pessoas adotam o SSL, especialmente o HTTPS, é vantajoso para os outros adotarem o SSL também. Dada a maneira como os navegadores lidam com conteúdo misto com HTTP e HTTPS, é muito mais fácil para um site também ser HTTPS para evitar problemas de protocolo cruzado com referenciadores e outros casos, ou para um site vincular ou carregar conteúdo de outro site HTTPS . Agora que todos os principais sites e plataformas de anúncios estão usando HTTPS, sites menores são realmente melhores para o HTTPS.

  • Ter um site SSL é cada dia mais barato

Adquirir um certificado SSL é mais fácil e barato do que nunca. Existem até alguns serviços gratuitos como o letencrypt.org que estão ganhando força.

Adoção SSL

A maioria do tráfego da web agora é criptografada. Observando o tráfego da web de ontem em um subconjunto anônimo da frota Untangle implantada no mundo real, cerca de 65,6% de todo o tráfego da Web foi criptografado por SSL. (Tamanho da amostra: ~ 170 terabytes, ~ 10000 organizações).

Web Traffic

Observar os relatórios Untangle para um site individual pode mostrar a adoção contínua ao longo do tempo. Abaixo, é mostrado um tráfego por cento SSL de um único site versus tráfego da Web não SSL por dia até o ano passado.

Tráfego Web SSL

Se olharmos para outros protocolos, vemos a mesma tendência em níveis variados de adoção. Usando o mesmo conjunto de dados acima (dados anonimizados de ontem de ~ 170 terabytes de ~ 10.000 organizações), 83,1% do tráfego de e-mail IMAP agora é criptografado por SSL.

O POP3 fica atrás com 35,4% de SSL, mas a adoção de SSL está aumentando (embora o uso de POP3 em geral esteja diminuindo). O uso de SMTP tem sido texto claro há anos e agora está finalmente começando a ver algum crescimento real no uso de SSL para proteger o SMTP.

Efeitos SSL na segurança da rede

A essa taxa, a grande maioria do conteúdo enviado pela rede será criptografada com SSL. Como um exercício de reflexão, vamos supor que 100% do conteúdo da camada de aplicativo seja criptografado por SSL. Como é esse mundo?

As regras tradicionais de prevenção de intrusões não são muito úteis. 88% do nosso conjunto de regras depende da correspondência “conteúdo”, que será inútil em um mundo SSL. O antivírus do gateway é inútil porque depende do acesso ao conteúdo para avaliar se o conteúdo é malicioso. O antispam é muito difícil na camada de rede porque o conteúdo não pode ser avaliado.

Nem tudo é má notícia! A filtragem da Web ainda é possível, mas não no nível muito granular que era antes da criptografia. O Application Control ainda pode identificar o aplicativo e, de certa forma, é ainda mais fácil porque possui o certificado do qual obter informações. Muitas tecnologias de segurança baseadas em reputação são ainda melhores neste mundo porque o certificado fornece uma maneira de verificar a autenticidade e fornecer identificação da organização da qual a reputação pode ser derivada.

Usuários de Untangle de longa data podem ver seus próprios dados e ver esse efeito. É provável que você veja muito mais acessos bloqueados a sites de malware com base na reputação através do Filtro da Web do que verá bloqueios de acesso com base em varreduras de conteúdo no Bloqueador de Vírus.

A adoção do SSL forçará os fornecedores de segurança de rede a mudar para abordagens de segurança não baseadas em conteúdo. Embora essa tendência possa ser óbvia, muitas vezes vemos o oposto. Muitos fornecedores estão investindo em sandboxing de rede em um esforço para aumentar a eficácia do mecanismo antivírus – que já não é relevante no nível da rede e está diminuindo com o tempo.

Inspeção SSL

Mas espere! A inspeção por SSL, também chamada de man-in-the-middle ou MITM, nos permite inspecionar o tráfego SSL como se ele não fosse criptografado e nos dar visibilidade total do conteúdo? Realmente faz. A inspeção SSL descriptografa e criptografa novamente o tráfego SSL de modo transparente, fazendo com que coisas como antivírus e antispam possam verificar o conteúdo.

O problema com o SSL Inspection é que é muito difícil implantá-lo no mundo real. A inspeção SSL requer a adição de uma nova autoridade de certificação (CA) ao dispositivo. Em alguns cenários, como uma escola adicionando a CA aos dispositivos que possui, a inspeção SSL pode funcionar muito bem. Fora de cenários como este, a inspeção SSL pode muitas vezes ser mais uma dor de cabeça do que vale a pena. Por quê?

  • A diversidade de dispositivos na rede dificulta a implantação do CA, pois cada dispositivo é diferente. Até mesmo os navegadores variam de acordo com cada dispositivo.
  • A organização pode não possuir o dispositivo na rede e talvez não consiga implantar a autoridade de certificação.
  • Muitos aplicativos não usam os certificados de “armazenamento raiz” e de códigos rígidos (ou “pin”) do sistema operacional. Nesse caso, a inspeção SSL apenas interrompe o aplicativo.

Dadas essas questões, muitos administradores simplesmente abandonam o esforço. Atualmente, estamos vendo menos de 10% de adoção de inspeção SSL entre os clientes Untangle.

No entanto, o maior problema enfrentado pela inspeção SSL é o Google. Como mencionado anteriormente, o Google é um dos principais impulsionadores da adoção do SSL. Agora, com o Android Nougat (7.0), o Google está tornando muito difícil até mesmo os administradores adicionarem CAs ao armazenamento raiz no dispositivo, tornando a inspeção SSL essencialmente impossível para esses dispositivos.

O objetivo do SSL é autenticar e criptografar, e a inspeção SSL essencialmente nega esse propósito. Acredito que essa seja uma das missões do Google para incentivar a adoção de SSL, de modo que os usuários possam se conectar com segurança a seus serviços de qualquer lugar sem interferência. Para o registro, eu concordo com isso. A inspeção SSL, embora tenha aplicativos de segurança úteis, também é algo que provavelmente será abusado. Precisamos de SSL para trabalhar por uma internet segura e gratuita. Se o Google continuar nesse caminho, e acredito que sim, a inspeção SSL não será uma abordagem viável de longo prazo para lidar com SSL.

Conclusão

A era de produtos de segurança de rede sendo capazes de analisar dados de aplicativos de texto não criptografado está terminando. Muitas das nossas antigas tecnologias baseadas em conteúdo não serão tão úteis.

Felizmente, a adoção de SSL traz muitas novas oportunidades e pode capacitar alguns de nossos aplicativos de segurança existentes.

Caso queira conhecer melhor o Untangle, acesse o demo do produto: http://demo.untangle.com

Etiquetas: ,

Fale conosco:

Assessoria Completa

Desde 2000 no mercado, a Linux Solutions hoje é referência na implantação, treinamento, manutenção e suporte das melhores soluções baseadas em software livre.

Copyright © 2000 - 2018 - Linux Solutions

Av. Presidente Vargas, 482 - sala 326 - Centro Rio de Janeiro - RJ
21-2526-7262 - contato@linuxsolutions.com.br


Agencia de Crescimento