Como os firewalls de Camada 7 reconhecem aplicativos SSL?

Navegue suas respostas
0

Recentemente, tenho coletado informações sobre firewalls de Camada 7 do OSI, por exemplo, firewalls que podem bloquear o tráfego com base no aplicativo.

A maioria desses firewalls tem recursos como "Bloquear Twitter" ou "Bloquear Facebook", o que me leva à seguinte pergunta:

Como esses firewalls bloqueiam esse tráfego se o Twitter e o Facebook são totalmente criptografados por TLS?

Estou tentando teorizar isso sozinho e estas são as conclusões a que cheguei:

  • Não pode ser feito com um man-in-the-middle permanente porque esses certificados são ephimeral e os usuários serão avisados sempre que tentarem acessar esses sites, e também precisarão aceitar o certificado toda vez (alegação de documentação isso não acontece).

  • Meu palpite é que essa ação "bloquear" é tomada ao negociar a conexão SSL / TLS e antes de estabelecê-la. Eles poderiam obter o certificado do site, ver para quais sites eles são usados, e se alguns deles são (digamos) Twitter ou Facebook, bloqueá-lo?

Se nenhuma das opções acima é a correta, que outros métodos poderiam ser usados para conseguir isso?

Observação : não estou falando de uma marca específica, estou interessado apenas em como essa tecnologia funciona sem romper a cadeia de SSL / TLS.

    
por nKn 19.01.2017 / 19:13

2 respostas

1

Você pode precisar definir "aplicativo" neste contexto. Se você está apenas falando sobre o bloqueio de determinados sites de grande nome que têm aplicativos móveis como interface do usuário personalizada (como seus exemplos do Twitter e do Facebook), um firewall pode fazer várias coisas:

  1. Bloquear (ou responder incorretamente) pesquisas de DNS para esses sites ou seus CDNs associados (os maiores sites geralmente têm seus próprios CDNs).
  2. Bloqueie o tráfego para os endereços IP conhecidos desses sites e seus nós de CDN conhecidos (servidores de borda).
  3. Assista ao início de todas as negociações de TLS e interrompa todas as conexões em que o certificado do servidor contenha o nome de domínio a ser bloqueado ou qualquer um dos nomes de domínio associados conhecidos (nomes de domínio da CDN).
por 19.01.2017 / 19:22
0

É claro que o firewall corporativo pode filtrar "grandes jogadores" pelo endereço IP (cdn ou servidor), mas definitivamente não é a Camada 7.

No entanto, o ataque MITM ao SSL é possível se alguém instalar o certificado de proxy (CA raiz) no seu navegador. Depois disso, a inspeção da camada 7 pode ser feita em texto claro.

Não é particularmente difícil instalar (mesmo remotamente) o certificado confiável necessário em seu navegador em um ambiente corporativo controlado. Com o certificado em vigor, o firewall age como uma conexão SSL de abertura de proxy (uma nova externa) em seu nome para o site, obtém os dados e, após a inspeção, os encaminha para você em outra sessão SSL. Ele cria um certificado falso para você, que imita o original, mas é assinado pela própria empresa confiável ca. Usuário normal não notará nada. Sem aviso, sem pop-ups. Está tudo bem.

É claro que, se você estiver usando seu próprio dispositivo não controlado pela empresa, verá imediatamente a fraude. Mas, é claro, você não tem permissão para usar seu próprio dispositivo na rede da empresa. Agora está claro porque. :)

    
por 19.01.2017 / 22:36

Tags

Referenciando os últimos (n) valores de uma coluna no excel Atualização de RAM (MotherBoard: 0Y2MRG)