В настоящий момент я управляю небольшим домашним офисом - несколькими ПК и программным маршрутизатором с открытым исходным кодом на базе x86 * nix. Я бы хотел перенести сканирование / проверку трафика на пограничное устройство.
Мотив состоит в том, чтобы увеличить барьер для необнаруженного вредоносного ПО и подозрительного трафика, отделить сканирование основного трафика от любых устройств конечных пользователей и повысить уверенность за счет сканирования на шлюзе LAN.
В настоящее время они используют потребительский антивирус, который эффективно сканирует SSL, создавая на ПК поддельный ЦС. Это достойный бренд AV и работает, но есть проблемы. Если это не слишком сложно, они хотели бы получить заверения в том, что к ней подходят как к корпоративной проблеме с использованием «надлежащих» средств (их термин), а не потребительского программного обеспечения для ПК.
Ясно, что вредоносные программы все чаще переходят на зашифрованный трафик, который, если его не сканировать, может быть неотличим от обычного трафика https. Я не могу фильтровать по конечным точкам (допустимые конечные точки слишком широки для включения в белый список, и даже на «хороших» сайтах могут случайно размещаться вредоносные программы), и вы не получите много других надежных данных для зашифрованного трафика на обычных портах.
Существует доверие и хороший диалог с людьми, использующими его (3 партнера, без сотрудников), и все они тоже этого хотят, поэтому внутри компании не возникает проблем с этикой / согласием / конфиденциальностью. Трафик достаточно низкий (Интернет / электронная почта), поэтому нет необходимости в крупномасштабном или специализированном UTM.
Практическая проблема при сканировании ssl заключается в том, что SSL специально разработан для обнаружения и предотвращения MITM (что и есть), и поэтому при сканировании необходимо перезаписывать пакеты с собственным CA. Это довольно плохая идея и «разрывает» цепочку сертификатов, поэтому лучше не делать этого ... за исключением того, что единственной альтернативой, похоже, является полное отсутствие сканирования любых SSL / https, что считается более рискованным и потенциально худшим. Как и демократия, это наихудшее решение, кроме всех остальных ;-) Например, поскольку браузер или локальное устройство не смогут проверить цепочки сертификатов, пограничное устройство должно будет сделать это за них и заблокировать или предупредить, если нет. верный. Но теоретически если внешняя цепочка сертификатов была надежно проверена перед отбрасыванием, то проверка MITM на шлюзе или рядом с ним может быть более безопасным вариантом, чем полное отсутствие сканирования SSL.
Я осмотрелся, и действительно, кажется, что это «где-то там» и используется на предприятии, но обычно как отдельное устройство.
Есть признанный способ сделать это без специализированного устройства?
Обновление 1:
Это пожилые люди, которые не росли с компьютерами и, несмотря на их усилия, склонны сначала щелкать, а потом беспокоиться, или звонить по телефону каждый раз, когда у них есть сомнения. Как и в случае с другими предприятиями малого и среднего бизнеса, они также используют свои рабочие ПК для покупок / просмотра страниц / социальных сетей и т. Д., Что увеличивает риск - и они это знают. SSL-сканирование обнаружило довольно много вещей, которые, по-видимому, не были заблокированы настройкой черного списка на основе ПК, включая явно законные сайты или «никто не знает как». Вероятно, вполне разумно, что они хотят иметь больше комфорта в будущем, даже если в черные списки попадет «большинство» вещей. Я думаю, что это может быть их лучший способ, если я смогу понять, возможно ли это и как я могу это сделать. Если главное возражение - «не стоит беспокоиться», я все равно хотел бы изучить его, чтобы они могли подумать о соотношении затрат и выгод. Но пока все, что я могу найти, это высокопроизводительные устройства, я не могу найти, существуют ли программные решения / решения FOSS для этой функции, даже если можно было бы ожидать, что они будут. Но я не смог найти ничего, если так, отсюда вопрос.
Вы говорите о том, чтобы сделать что-то с TLS, для предотвращения чего он был полностью разработан. Я думаю, вы это понимаете.
Выходя за рамки этого, я думаю, вы пытаетесь решить следующую проблему:
Как мне защитить пользователей, которые, по сути, активно пытаются заразиться / взломать?
Если все в офисе не желает соблюдать ИТ-политики, как «не кликайте, что exe-файл в вашей электронной почте» или «не смотреть порно на вашей компании ПК» единственной безопасной, что нужно сделать, чтобы рассматривать всю окружающую среду, враждебно. У вас есть проблема с людьми, и вы пытаетесь решить ее с помощью технологий. Похоже, вы или компания не желаете делать что-то более разумное, например, решать кадровые проблемы, так что ..
Вы работаете во враждебной ИТ-среде. Вам нужно все заблокировать. Если пользователи обеспокоены безопасностью, но не желают делать свою часть работы, ограничьте их следующим основанием:
Обычно мы здесь не даем советов по покупкам, но я думаю, что вы в основном ответили на свой вопрос: если вы хотите провести необычное обнаружение вторжений с использованием зашифрованного протокола, такого как TLS, вы, вероятно, потратите несколько долларов.
На самом деле лучшее, что вы можете сделать для себя и этой компании, - это внедрить Хорошие холодные резервные копии, которые можно использовать КОГДА (но не в случае) компрометации
Да, они есть. Например, мы развертываем брандмауэры Watchguard, а серия T - очень доступное устройство, ориентированное на небольшой офис (найдите в Google / Bing модель WGT10031-US, чтобы получить представление о ценах, я не хочу, чтобы это выглядело как продажа подача). Все модели имеют прокси-сервер HTTPS, который поддерживает проверку SSL / TLS (в документации это называется глубокой проверкой пакетов или проверкой содержимого). Вот таблица: http://www.watchguard.com/docs/datasheet/wg_firebox-t10-t30-t50_ds.pdf
И ссылка на документацию для конкретной функции (извините за уродливый URL): http://www.watchguard.com/help/docs/fireware/11/en-US/index.html#en-US/proxies/https/https_proxy_contentinspection_c.html%3FTocPath%3DProxy%2520Settings%7CAbout%2520the%2520HTTPS Прокси% 7C _____ 2
В качестве программного решения вы можете посмотреть что-то вроде Untangle NG Firewall (http://www.untangle.com/untangle-ng-firewall/).
Это несколько примеров. Мне не известны какие-либо решения FOSS, но это не область моей компетенции, поэтому я не сомневаюсь, что они существуют.
При развертывании такого решения следует помнить о некоторых вещах: