¿Qué es la inspección SSL?

El uso de SSL/TLS en HTTPS proporciona seguridad para el tráfico web que contiene información confidencial. Si bien esto es valioso para la privacidad del usuario, también es útil para los ciberdelincuentes. El malware utiliza cada vez más HTTPS para ocultar sus comunicaciones de comando y control.

 

SSL/TLS es un protocolo de red diseñado para proporcionar seguridad adicional a otros protocolos inseguros mediante cifrado. Se utiliza comúnmente en HTTPS para proteger el tráfico web, pero el uso generalizado de HTTPS por parte del malware hace que las capacidades de inspección SSL sean un componente esencial de la estrategia de ciberseguridad de una organización.

Manual del comprador de NGFW

¿Qué es la inspección SSL?

¿Qué es HTTPS?

El protocolo de transferencia de hipertexto seguro (HTTPS) es lo que hace posible la web segura. Al navegar por la web, cualquier página web que tenga el icono de candado en la barra de direcciones utiliza HTTPS para comunicarse entre el equipo que solicita la página y el servidor donde está almacenada.

HTTP frente a HTTPS

HTTPS es una versión segura del protocolo HTTP básico. HTTP está diseñado para permitir la navegación por la web definiendo cómo un equipo cliente y un servidor web deben comunicarse entre sí.

 

La principal limitación de HTTP es que es completamente inseguro. Todo el tráfico que se transporta a través de HTTP es legible para cualquiera que lo esté esPIANDO. Como la web transporta cada vez más información confidencial (debido al comercio electrónico, registros médicos en línea, redes sociales, etc.), esto pone en riesgo la información confidencial de los usuarios.

 

HTTPS utiliza el protocolo Transport Layer Security (TLS), anteriormente conocido como Secure Sockets Layer (SSL), para agregar seguridad a HTTP. Con SSL/TLS, HTTPS puede verificar la identidad del servidor web y cifrar todo el tráfico que fluye entre el cliente y el servidor.

¿Cómo funciona HTTPS?

HTTPS se implementa como dos protocolos que trabajan juntos. SSL/TLS se utiliza para crear una conexión cifrada entre el cliente y el servidor. Una vez hecho esto, el tráfico HTTP se envía a través de este túnel cifrándolo e incrustándolo en la sección de datos de los paquetes SSL/TLS. En su destino, la otra computadora descifra los datos y los procesa según el protocolo HTTP.

 

Para que esto sea posible, el cliente y el servidor deben tener una clave secreta compartida para el cifrado. SSL/TLS crea esto mediante un protocolo de intercambio en el que el cliente y el servidor acuerdan los parámetros que se utilizarán para el cifrado (algoritmo, etc.) y comparten una clave secreta utilizando criptografía de clave pública o asimétrica para protegerlo de escuchas ilegales.

Beneficios de SSL/TLS

El uso de SSL/TLS hace que HTTPS sea más lento y menos eficiente que HTTP. Sin embargo, el protocolo también ofrece varios beneficios importantes, incluyendo:

 

  • Privacidad: HTTPS cifra el tráfico web de un usuario, asegurando la privacidad de los datos. Con Perfect Forward Secrecy (PFS), incluso protege los mensajes de ser descifrados si las claves se filtran en el futuro mediante el uso de valores aleatorios que se eliminan después de que finaliza una sesión.
  • Integridad de datos: HTTPS utiliza códigos de autenticación de mensajes (MAC) para garantizar que los datos no se hayan modificado en tránsito. Esto protege contra errores de transmisión y modificaciones maliciosas.
  • Autenticación: La fase de apretón de manos de SSL/TLS utiliza el certificado digital del servidor web, que verifica la identidad del servidor web. HTTPS también se puede configurar para probar la identidad del cliente.

HTTPS no es completamente seguro

HTTPS está diseñado para ser una alternativa segura a HTTP. Sin embargo, su seguridad tiene sus limitaciones, incluyendo:

 

  • Vulnerabilidad del protocolo: El protocolo SSL/TLS está en continua mejora. Muchas de las actualizaciones del protocolo incluyeron correcciones para vulnerabilidades descubiertas previamente, lo que hace que la instalación de estas actualizaciones sea esencial para la seguridad.
  • Sitios web falsos: el ícono de candado en HTTPS solo garantiza que el servidor web tiene un certificado digital emitido para la URL. No protege contra sitios de phishing que se han creado con una URL similar en nombre a un dominio confiable.
  • Intercepción SSL/TLS: SSL/TLS verifica que el certificado digital de un sitio web esté firmado por una autoridad de confianza del cliente. Si un atacante puede crear un certificado falso y confiable, puede realizar un ataque Man-in-the-Middle (MiTM) para interceptar y leer/modificar el tráfico. Con este ataque, el atacante crea una conexión SSL/TLS con el cliente, descifra el tráfico para ver el contenido del paquete y luego encripta el paquete al servidor web. Los paquetes de retorno pasan por el mismo proceso. Es posible que los usuarios no se den cuenta de que esto sucede, pero existen soluciones de seguridad para terminales, navegadores y dispositivos móviles que pueden detectar y prevenir ataques MitM.
  • Contenido malicioso cifrado: el cifrado que ofrece HTTPS hace imposible inspeccionar el contenido del tráfico. El malware y los sitios de phishing se aprovechan de esto para evadir las defensas cibernéticas de una organización.

La necesidad de una inspección HTTPS

El uso de SSL/TLS en HTTPS proporciona seguridad para el tráfico web que contiene información confidencial. Si bien esto es valioso para la privacidad del usuario, también es útil para los ciberdelincuentes. El malware utiliza cada vez más HTTPS para ocultar sus comunicaciones de comando y control.

 

La inspección SSL/TLS implica realizar una interceptación estilo MitM en conexiones SSL/TLS que entran o salen de la red de una organización. Esto permite a la organización inspeccionar el tráfico en busca de contenido malicioso.

Beneficios de la inspección HTTPS

La inspección HTTPS proporciona varios beneficios de seguridad y rendimiento de la red, que incluyen:

 

  • Identificación de aplicaciones mejorada: descifrar el tráfico HTTPS permite a una organización identificar mejor la aplicación mediante la conexión y aplicar políticas de enrutamiento y seguridad específicas de la aplicación.
  • Aplicación del filtrado de URL: la inspección del tráfico HTTPS permite a una organización bloquear el tráfico a sitios web inseguros o inapropiados.
  • Filtrado de contenido malicioso: la inspección HTTPS permite que las soluciones de ciberseguridad escaneen en busca de contenido malicioso dentro del tráfico HTTPS. El contenido se puede probar en un sandbox y el contenido malicioso se puede eliminar de los archivos mediante las tecnologías de Desarmado y Reconstrucción de Contenido (CDR).

Impacto en el rendimiento de la inspección HTTPS

La inspección HTTPS requiere un Firewall de última generación (NGFW) para descifrar una conexión, inspeccionar los datos que contiene en busca de contenido malicioso y luego cifrarlos antes de reenviarlos a su destino. Esto puede crear una latencia de red significativa, especialmente si el NGFW carece de la capacidad para realizar inspecciones a la velocidad de la línea.

 

La implementación de una solución de seguridad escalable es esencial para garantizar que una organización pueda adaptarse al aumento del ancho de banda del tráfico. Una solución de red a hiperescala permite a una organización agregar más recursos para satisfacer la demanda sin comprar sistemas dedicados adicionales.

Mejores prácticas para la inspección de HTTPS de red

La inspección HTTPS puede mejorar drásticamente la seguridad web de una organización. Al seleccionar e implementar un NGFW para la inspección HTTPS, implemente las siguientes prácticas recomendadas:

 

  • Inspección entrante vs saliente: La inspección entrante analiza el tráfico que fluye hacia el cliente, mientras que la inspección saliente supervisa el tráfico al servidor. La inspección entrante puede proteger los servidores web internos mediante la aplicación de protecciones IPS (sistema de prevención de intrusiones) .
  • Respete las preocupaciones legítimas de privacidad: Algunos tipos de datos están protegidos por regulaciones como GDPR, PCI DSS e HIPAA. Las reglas de inspección HTTPS deben configurarse para ignorar el tráfico que probablemente contenga este tipo de datos confidenciales (es decir, para instituciones financieras, organizaciones de atención médica, etc.).
  • Lista de omisión recomendada: la inspección HTTPS aumenta la latencia de la red y es innecesaria para ciertos sitios confiables. Un NGFW debe tener la capacidad de usar una lista de derivación actualizable para determinar qué tráfico no debe inspeccionarse.
  • Certificado de puerta de enlace: importe el certificado de puerta de enlace para que el navegador del terminal confíe en el certificado de puerta de enlace de seguridad. Esto es esencial para eliminar las advertencias del navegador y crear una experiencia del usuario perfecta.

 

Un NGFW debe admitir estas capacidades además de las otras características principales descritas en esta guía del comprador de NGFW, que incluyen:

 

  • Administración fácil de usar
  • Prevención de amenazas
  • INSPECCIÓN Y CONTROL DE APLICACIONES
  • INSPECCIÓN Y CONTROL BASADOS EN LA IDENTIDAD
  • Rendimiento escalable

 

Los NGFW de Check Point brindan capacidades de inspección SSL/TLS escalables y de alto rendimiento. Para verlos en acción, puede solicitar una demostración gratuita.

x
  Comentarios
Este sitio web emplea cookies para su funcionalidad y con fines analíticos y de marketing. Al continuar empleando este sitio web, usted acepta el uso de cookies. Para más información, lea nuestro Aviso sobre cookies.