Domanda:
Qual è il caso d'uso per l'utilizzo di TLS su una rete interna?
Architect
2020-06-05 14:57:54 UTC
view on stackexchange narkive permalink

Se ci sono console di amministrazione sulla rete interna e TLS è stato disabilitato, qual è il caso d'uso per abilitarlo?

L'unico caso d'uso a cui riesco a pensare è quando sulla rete ci sono utenti non affidabili chi potrebbe potenzialmente utilizzare pack sniffer per rilevare il traffico.

Abilitare TLS significherebbe che i dispositivi di monitoraggio non sarebbero in grado di monitorare il traffico poiché verrà crittografato.

Quali sono i tuoi pensieri? TLS dovrebbe essere abilitato per gli utenti che accedono ai servizi (ad es. Console di amministrazione) su reti interne?

L'interfaccia di amministrazione dovrebbe sempre utilizzare TLS e un'autenticazione appropriata.Questo non solo protegge da cattivi attori interni, ma anche da chiunque abbia accesso non autorizzato alla tua rete (non solo la rete di produzione, ma qualsiasi rete da cui accedi alla rete di produzione come il wifi aziendale).Quando devi chiederti se TLS deve essere abilitato, la risposta è quasi sempre "sì", ci sono poche ragioni per non farlo.
Bisogna tenere a mente che esistono diversi tipi di rete interna.Una rete interna dell'ufficio è generalmente abbastanza aperta, con dipendenti con privilegi limitati, visitatori, porte in spazi condivisi, ecc. TLS è decisamente consigliato lì.Una rete interna che esiste solo all'interno di un data center può essere molto più controllata.Sebbene TLS sia comunque comunque consigliato.
Il tuo ISP può fiutare il tuo traffico LAN in remoto utilizzando il router adsl / cable.
Un caso speciale potrebbe essere il supporto http2, che spesso è legato a https.Quindi l'utilizzo di TLS internamente potrebbe essere un modo semplice per abilitare i vantaggi http2 per il traffico interno
Non intendo davvero che tu accetti la mia risposta in modo specifico, ma perché diavolo accetteresti la risposta di questo imitatore che è stato aggiunto un giorno dopo rispetto a quelli da cui hanno copiato?Accetta zyk o lab9;la risposta da "R .." (con qualche messaggio politico in maiuscolo nel nome utente) non ha aggiunto nulla di nuovo ai tre post esistenti.
Metteresti la tua password di root / amministratore in un gestore di password accessibile a tutti gli utenti della tua rete?Se la risposta è "no" (spero davvero che la risposta sia "no"!) Allora non ti fidi di tutti i tuoi utenti fino al livello amministratore.Quindi, per quanto riguarda il traffico della console di amministrazione, non sono "utenti fidati".Ci sono un sacco di altre buone ragioni, come indica la risposta sotto
Se la tua rete interna non è connessa a Internet (come alcune reti governative o finanziarie), la distribuzione di TLS è molto più difficile.Ma probabilmente è ancora necessario, forse di più in effetti.
Meglio prevenire che curare.
Cinque risposte:
Luc
2020-06-05 16:03:05 UTC
view on stackexchange narkive permalink

Vedi la nota in basso al centro di questa diapositiva classica:

NSA intercepting Google traffic, writing "SSL added and removed here" with a smiley

Questa è da una presentazione di diapositive della NSA trapelata. Togliere il traffico interno non è scienza missilistica, l'unico vero requisito è che qualcuno ti stia prendendo di mira. Se c'è qualcosa di valore che passa attraverso il cavo, qualcosa che potenzialmente vale la pena crittografare, allora potresti anche presumere che qualcuno potrebbe inseguirlo prima o poi.

Ecco perché crittografiamo il traffico interno: i cavi fisici non lo sono essere sempre attendibile. Un ospite in una sala d'attesa che ha accesso alla rete interna (a causa di LAN (V) mancanti o mal configurate) non è raro, o qualcuno che è fidato ma il cui dispositivo è infetto, o qualcuno che entra fisicamente o un singolo server compromesso che può intercettare il traffico di altri server ... ci sono molti scenari in cui la crittografia aiuta, anche su reti interne. Dovresti anche chiederti: la persona meno privilegiata con accesso fisico (o alla rete) è autorizzata ad apprendere i dati più sensibili che la rete trasporta? In caso contrario, la crittografia è ciò che garantisce che non possano intercettarlo.

Sai dove passano i tuoi cavi fisici e se tutti quei luoghi sono sorvegliati in ogni momento? Lo spoofing ARP è disabilitato in ogni LAN che hai? Il salto della VLAN è mitigato? Nessun WiFi WPA2-PSK da nessuna parte? I firewall e i router intermedi hanno 2FA abilitato e non vengono violati? Tutte le misure implementate vengono testate? Non ho dimenticato niente? In base alla mia esperienza, ognuna di queste misure è in uso solo in una minoranza di aziende e pochissime avranno tutto.

La configurazione della crittografia è generalmente facile oggigiorno. Se parli solo dei tuoi dati, puoi correre il rischio per te stesso. Ma quando ci sono altre persone (colleghi o anche clienti) a rischio, dovresti davvero abilitarlo.

Una volta ho assistito a un discorso di Bruce Schneier in cui ha descritto questa diapositiva.Credo che il suo commento sia stato "Quando la NSA prende nota della tua rete e aggiunge una faccina sorridente, non è una buona cosa".
Nota per i curiosi: questa diapositiva era accurata al momento in cui è diventata pubblica, ma oggigiorno Google esegue la crittografia [in base a confini fisici anziché logici] (https://cloud.google.com/security/encryption-in-transit#googles_network_infrastructure).Non c'è (in generale) traffico DC-to-DC non crittografato sulla rete di Google, tranne nei casi in cui i controller di dominio sono abbastanza vicini che l'intera fibra tra loro è sotto la sicurezza fisica e il controllo di Google (di solito perché fanno parte di un campus Google più grande).
@Kevin "* nessun traffico DC-to-DC non crittografato sulla rete di Google, tranne * ..." dati tutti i modi in cui questo può andare storto, come elencato nella risposta, sembra una ricetta per il disastro.
@Luc: Non lavoro sulla rete, quindi in realtà non conosco il traffico DC-to-DC intra-campus.È per lo più trasparente dalla prospettiva del livello 7 (e, come SRE, opero principalmente al livello 8, comunque ...).
@Kevin Solo per la cronaca, non intendevo prendermi in giro te o Google in particolare;è stato un commento molto giusto fare in modo che Google abbia risolto il problema in risposta alle perdite.La diapositiva ha appena illustrato il punto.Tuttavia, sono sorpreso che ci sia un "tranne" in quella frase piuttosto che rendere onnipresente la crittografia, ma sono sicuro che qualcuno ha pensato al rapporto costi / benefici ed è proprio così che è venuto fuori.
Ecco un [ottimo post medio] (https://medium.com/airbnb-engineering/one-step-forward-in-data-protection-8071e2258d16) di AirBnb Engineering, disponibile anche come talk [qui] (https://media.ccc.de/v/35c3-9603-sneaking_in_network_security), che offre molti vantaggi offerti dalla distribuzione dei certificati X.509 nella rete aziendale.
Un ulteriore vantaggio dell'utilizzo interno di TLS (HTTPS) consiste nel testare la distribuzione del sito Web in HTTPS, se si tratta di un progetto rivolto al pubblico.Questo aiuta a prevenire situazioni in cui, ad esempio, uno script smette di funzionare a causa di restrizioni imposte da un browser o qualcosa fa sì che il tuo sito web venga visualizzato come non attendibile (caricando * cose * da http per errore) e altri.
Per aggiungere a ciò che ha detto @Kevin, è importante notare la data di questa immagine: proviene da un documento scritto in [2013 o precedente] (https://www.washingtonpost.com/world/national-security/nsa-infiltrates-link-to-yahoo-google-data-center-worldwide-snowden-documents-say / 2013/10/30 / e51d661e-4166-11e3-8b74-d89d714ca4dd_story.html).Google ha continuato a lavorare duramente negli ultimi 7 anni per crittografare sempre più dati nel traffico tra DC e intra-DC.
quindi per quanto riguarda l'interno della stessa DC?
@Thayne Penso che la risposta elenchi abbastanza motivi per cui il traffico interno può essere compromesso indipendentemente dal fatto che si trovi su una rete privata tra datacenter, una rete privata all'interno di un datacenter, all'interno di un'azienda, ecc.
R.. GitHub STOP HELPING ICE
2020-06-06 10:02:23 UTC
view on stackexchange narkive permalink

L'unico caso d'uso a cui riesco a pensare è se hai utenti non fidati sulla rete ...

Questo, ma il problema è che hai utenti non fidati che non sai nemmeno siano utenti sui dispositivi in ​​rete. Ciò include:

  • Nodi botnet su junk IoT compromessa
  • Sviluppatori di qualsiasi app abbozzata che hai installato sul tuo telefono o PC
  • Attaccanti che hanno già ha compromesso un server effettivo sulla rete, forse uno di basso valore in cui la sicurezza era trascurata
  • Attaccanti fisici che hanno collegato discretamente un dispositivo a una presa Ethernet da qualche parte
  • Vicini / driver di guardia che hanno indovinato / ha forzato brute la tua password wifi
    • E uno qualsiasi dei precedenti utilizzando i loro dispositivi
  • Etc.

Un fondamentale principio di sicurezza è che il livello di rete è sempre non attendibile . Se segui questo, ti risparmierai un sacco di problemi.

Hai un sacco di utenti non attendibili che sai essere anche utenti.L'avversario più probabile è un dipendente, scontento o corrotto dalla concorrenza.
-1 la tua risposta non aggiunge nuove informazioni, tre risposte sono state pubblicate un giorno prima della tua e includevano tutte le stesse informazioni
@Luc: Non sono sicuro se aggiunge nuove * informazioni *, ma aggiunge un'importante * prospettiva *.
zyk
2020-06-05 15:50:41 UTC
view on stackexchange narkive permalink

Con TLS abilitato per i servizi interni, riduci il rischio di minacce quali:

  • Divulgazione di dati sensibili tramite attacchi di sniffing contro un insider maligno o un attaccante esterno che ha già un punto d'appoggio all'interno la tua rete
  • Attacchi man-in-the-middle attraverso server non autorizzati che possono facilmente falsificare l'identità di un server non autenticato (TLS ti dà l'autenticità oltre alla riservatezza *) che può quindi intensificare gli scenari di attacco più ampi
  • Alterazioni non autorizzate dei dati in transito, che possono causare seri danni se i dati inviati fanno parte di qualche comando amministrativo (TLS fornisce anche il servizio di sicurezza dell'integrità dei dati)
  • Probabilmente altri che posso Non penso a adesso ...

* Supponendo che non sia un certificato TLS autofirmato e che esista una sorta di istituzione di fiducia, come una PKI interna.

Come sempre, è un approccio basato sul rischio. Se ritieni che le minacce di cui sopra non siano inverosimili per la tua rete / organizzazione, ti consiglio di implementare TLS ove possibile internamente. Se per qualsiasi motivo ciò aggiungerà uno strato di complessità che supererebbe i benefici ottenuti (poiché il rischio che tali minacce si materializzino è ritenuto basso), non farlo.

lab9
2020-06-05 15:24:55 UTC
view on stackexchange narkive permalink

A mio parere, è consigliabile proteggere i siti interni sensibili con TLS.

I motivi:

  • Se un utente malintenzionato ha ottenuto un punto d'appoggio iniziale a basso privilegio sul tuo rete, avrebbe una superficie di attacco più ampia (tramite packet sniffing e simili) per eseguire l'escalation dei privilegi se le tue pagine di amministrazione non fossero adeguatamente protette.
  • Potrebbe essere ingenuo escludere la possibilità di malintenzionati all'interno della rete interna.
JesseM
2020-06-06 01:33:29 UTC
view on stackexchange narkive permalink

TLS dovrebbe essere abilitato per gli utenti che accedono ai servizi (ad es. console di amministrazione) su reti interne?

Sì.

Hai già menzionato la riservatezza contro un cattivo attore interno sulla tua rete con uno sniffer di pacchetti. Questo è un motivo sufficiente proprio lì. Potrebbe essere un dipendente disonesto, un ospite o una stampante compromessa.

Parliamo di quella stampante. Movimento laterale. Una volta che qualcuno "esterno" prende piede nella tua rete, ora è dentro.

TLS offre anche Integrità, oltre che Riservatezza. Impedisce al malintenzionato di modificare i comandi durante il volo nella console di amministrazione.

Infine, TLS fornisce l'autenticazione, almeno del server ai client. Protegge i tuoi utenti dall'accesso a falsi siti di phishing.

Il perimetro di rete "interno" non dovrebbe essere il tuo unico meccanismo di difesa. Questa è l'idea della "difesa in profondità".

Abilitare TLS significherebbe che i dispositivi di monitoraggio non sarebbero in grado di monitorare il traffico poiché verrà crittografato.

Per quanto riguarda il monitoraggio, puoi distribuire la tua CA interna, firmare i certificati TLS con quello e avere i tuoi strumenti di monitoraggio per intercettare e decrittografare il traffico, se questo è un requisito.

utilizzare la propria CA interna per decrittografare il traffico per il monitoraggio è un ottimo punto.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...