2.最大点を確認します。 HTTPS検査

前のレッスンでは、情報セキュリティにおける人的要因の問題に触れました。 その結果、使用する品質と高価な機器の量は問題ではないと結論付けました。 設定ですべてが「停止」しますが、これは正しく実行する必要があります。 このチュートリアルでは、 https検査について見ていきます 。 最近のネットワーク保護が考えられないこの機能の重要性をかなり過小評価しています。 しかし、まず最初に。

Webトラフィック保護

ほぼすべての最新のNGFWまたはUTMソリューションには、Webトラフィックをチェックする機能があります。 これには、サイトの分類、ダウンロード可能なコンテンツの確認、Webアプリケーションの定義が含まれます。 さらに、最後のポイント（Webアプリケーション）は非常に重要です。 同じポートを介して膨大な数のサービスが機能します。 また、ほぼすべてのベンダーがHTTPトラフィックのチェックに問題がない場合、HTTPSは最新のセキュリティツールにとって真の挑戦です。

Https

HTTPSとは何か、安全なインターネットを構築するためにHTTPSがどれほど重要であるかについて話すことはほとんど意味がないと思います。 HTTPSのおかげで、クライアント（ブラウザ）とサーバー（Webサーバー）の間で、送信された情報を傍受または変更することは不可能です。 2017年の統計によると、HTTPSトラフィックの割合は50％を超えました。







さらに、最新のブラウザー（たとえば、google chrome）は、http-sitesに認証フォームを信頼できないものとしてマークし、googleは検索結果でそれらを下げます。 これにより、HTTPSトラフィックのシェアがさらに急速に増加します。



前述のように、HTTPSはインターネット上の2つのノード間の安全な通信に使用されます。 同時に、HTTPSは新しいプロトコルではなく、一般にHTTPであり、SSLまたはTLSがトラフィックを保護するトランスポートプロトコルとして使用されます。 これらのプロトコルが認証、暗号化、およびトラフィックの整合性を担当します。 これらのプロトコルの動作を詳細に検討することはしませんが、興味のある方にはこの記事を強くお勧めします 。 大まかな概算では、HTTPSの動作は次のとおりです。







すなわち クライアントはWebサーバーへのTLS要求を開始し、TLS応答を受信します。また、当然のことながら信頼する必要があるデジタル証明書も確認します。 vk.comにアクセスするときの証明書の例は上に示されています。 安全な接続設定と公開鍵が含まれています。 さらに、ブラウザは使用されているTLSのバージョンを「伝える」ことができます。 繰り返しますが、これは非常に単純化されたTLSの説明です。



TLSハンドシェイクが成功すると、暗号化されたデータ転送が開始されます。 これは非常に優れていると思われます（そのとおりです）。 しかし、会社の「警備員」にとってこれは本当の頭痛の種です。 彼はこのトラフィックを「見ない」ため、ウイルス対策、侵入防止システム（IPS）、またはDLPシステムでその内容を確認できないため、何もありません...そして、これは非常に深刻な脆弱性です。 なぜなら ほとんどのサイトはHTTPS検査なしでHTTPSに切り替えるため、インターネットゲートウェイはWebトラフィックのほとんどをチェックできません（暗号化されているため）。 さらに、サイバー犯罪者はクラウドベースのファイルストレージを使用して、HTTPSでも動作するウイルスを拡散させることが増えています。 したがって、ファイアウォールがどれほど高品質で高価であっても（UTMまたはNGFWソリューションであっても）、HTTPS検査を有効にせずに、すべてのウイルスとマルウェアを完全に通過させます。 アンチウイルスによって検出される悪名高いテストウイルスEICARでさえ、HTTPSを介して保護を正常に通過させます。 これは確かに例として考えます。

HTTPS検査

HTTPS検査技術は、セキュリティの問題を解決するように設計されています。 その本質はいシンプルです。 実際、HTTPS検査を組織するデバイスは、 中間者攻撃を行います。 次のようになります。







すなわち Check Pointはユーザーのリクエストをインターセプトし、リクエストとのHTTPS接続を発生させ、それ自体からユーザーがアクセスしたリソースとのHTTPSセッションを発生させます。 この場合、クライアントにはCheck Point自体によって発行された証明書が提示されます。 言うまでもなく、この証明書は信頼されている必要があります。 このため、Check Pointには、信頼できるCA（下位証明書）から証明書をインポートする機能があります。 インポートするとき、証明書に少なくともsha256の署名アルゴリズムがあることを確認してください 。 たとえばsha1の場合、最新のブラウザはそのような証明書を「誓う」ことになります。 または、自己署名証明書を生成できます。この証明書は、すべてのコンピューターで信頼される必要があります。 この方法を例として検討します。



したがって、2つの暗号化された接続の中間にあるCheck Pointは、ウイルス対策と他のブレード（IPS、Threat Emulationなど）の両方を使用して、トラフィックとすべてのファイルをスキャンできます。 Check Point HTTPS検査の詳細については、 こちらをご覧ください 。

HTTPS検査の制限

ただし、すべてがそれほど単純ではありません。 中間者メソッドは常に機能するとは限りません。 httpsトラフィックを解読することが単に不可能な場合があります。 以下に例を示します。



1）国内の暗号化アルゴリズム（GOST）は、標準のSSL / TLSの代わりに使用されます。

現時点では、このようなHTTPSトラフィックを正しく解読できる外部ソリューションは1つだけではありません（ただし、このようなHTTPS検査を実行できる国内のソリューションは個人的には知りませんが）。 解決策として、このカテゴリのサイトのHTTPS検査で例外を構成できます。



2）証明書のPinnigを使用しました。

すなわち クライアントアプリケーションは、アクセスしているサーバー証明書を事前に知っています。 通常、証明書のシリアル番号がチェックされます。 この場合、アプリケーションは単純に信頼できる証明書のローカルストアを調べないため、置換しようとすると自然にエラーが発生します。 ほとんどの場合、この問題は、トランスポートとしてSSL / TLSを使用するファットクライアント（Skype、Telegramなど）に適用されます。 さらに、先日、Google chromeの更新バージョンでもそのサービス（youtube、googleドライブ、gmailなど）に証明書固定技術が使用されるようになったことを発見しました。 これにより、https検査を使用できなくなります。 Googleはユーザーの安全を積極的に重視していますが、警備員の生活を著しく複雑にします。 この場合、2つの出力があります。

• Googleサービスのhttps検査で除外を設定します。 これは企業にとって非常に望ましくないことだと思います。
• 別のブラウザを使用します...たとえば、Firefox。

私は、多くの人が電報などのアプリケーションの問題に興味を持っていると確信しています。 残念ながら（または幸いなことに）現時点では、このトラフィックを解読することはできません。 または、これらのアプリケーションをブロックします、なぜなら このトラフィックをネットワークレベルで「見る」ことは不可能です。または、ユーザーのコンピューター上のエージェントの形で追加の保護レベルを使用します。たとえば、 CheckPoint SandBlast Agentは 、既に復号化されたトラフィック（メッセンジャーを介して受信したファイルなど）をチェックできます。



3）認証はサーバーだけでなくクライアントでも使用されます。

これは、クライアントが銀行のポータルにアクセスするために特別なキーまたはトークンを使用する場合の金融サービスカテゴリのサイトで一般的です。 当然、この場合、HTTPS検査を実行するデバイスは、サーバーへのhttps接続を整理できません。 正しいキーがありません。 この問題は、HTTPS検査で例外を設定することによってのみ解決されます。



4）SSL / TLS以外のプロトコルが使用されます。

この場合、GOST暗号化についてではなく、google- quicからの比較的新しいプロトコルについて話します。 Googleは、このプロトコルへのサービスの積極的な移行を開始します。 同時に、現在、それを解読することは不可能です。 この場合の唯一の解決策は、quicプロトコルをブロックすることです。その後、Googleサービスは標準のSSL / TLSの使用を開始します。

カスタマイズ

テキスト形式で設定を記述することは非常に難しいため、短いビデオを作成しました。 最初の部分では、上記の理論について説明し、2番目の部分では、HTTPSを介してウイルスをダウンロードし、HTTPS検査を設定して結果を比較しようとします。

おわりに

このレッスンから学ぶべき最も重要なことは、HTTPS検査が最新の保護の必須コンポーネントであることです。 この機能がないと、ネットワークにはセキュリティの面で大きなブラックホールがあります。 そして、これはチェックポイントだけでなく、他のすべてのソリューションにも当てはまります。 この方法でネットワークをテストしてください。 必要なのは、何らかの種類のテストウイルスとクライアントマシン、できればウイルス対策なしで、ファイルのダウンロードをブロックできないようにすることです（実験の純度のため）。

これで2番目のレッスンは終了です。ご清聴ありがとうございました！



こちらから無料でチェックポイントのセキュリティ設定を監査できます。



PSレッスンの準備に協力してくれたAlexei Beloglazovに感謝します。