Question:
Quel est le cas d'utilisation de TLS sur un réseau interne?
Architect
2020-06-05 14:57:54 UTC
view on stackexchange narkive permalink

S'il y a des consoles d'administration sur le réseau interne et que TLS a été désactivé, quel est le cas d'utilisation pour l'activer?

Le seul cas d'utilisation auquel je peux penser est celui où vous avez des utilisateurs non approuvés sur le réseau qui pourrait potentiellement utiliser des renifleurs de pack pour renifler le trafic.

L'activation de TLS signifierait que les appareils de surveillance ne pourraient pas surveiller le trafic car il sera crypté.

Que pensez-vous? TLS doit-il être activé pour les utilisateurs accédant aux services (par exemple, les consoles d'administration) sur les réseaux internes?

L'interface d'administration doit toujours utiliser TLS et une authentification appropriée.Cela protège non seulement contre les mauvais acteurs internes, mais également contre toute personne ayant un accès non autorisé à votre réseau (pas seulement le réseau de production, mais tout réseau à partir duquel vous accédez au réseau de production, comme le wifi de votre entreprise).Lorsque vous devez vous demander si TLS doit être activé, la réponse est presque toujours «oui», il y a peu de raisons de ne pas le faire.
Il ne faut pas oublier qu'il existe différents types de réseaux internes.Un réseau interne de bureau est généralement assez ouvert - avec des employés peu privilégiés, des visiteurs, des ports dans des espaces partagés, etc. TLS y est définitivement recommandé.Un réseau interne qui n'existe que dans un centre de données peut être beaucoup plus contrôlé.Bien que TLS soit toujours recommandé de toute façon.
Votre FAI peut renifler votre trafic LAN à distance en utilisant le routeur adsl / cable.
Un cas particulier pourrait être le support http2, qui est souvent lié à https.Ainsi, l'utilisation de TLS en interne pourrait être un moyen simple d'activer les avantages de http2 pour le trafic interne
Je ne veux vraiment pas que vous acceptiez ma réponse spécifiquement, mais pourquoi diable accepteriez-vous la réponse de ce copieur qui a été ajoutée un jour plus tard que celles dont ils ont copié?Acceptez les zyk ou lab9;la réponse de "R .." (avec un message politique en majuscules dans leur nom d'utilisateur) n'ajoutait rien de nouveau aux trois messages existants.
Souhaitez-vous mettre votre mot de passe root / admin dans un gestionnaire de mots de passe accessible à tous les utilisateurs de votre réseau?Si la réponse est «non» (j'espère vraiment que la réponse est «non»!) Alors vous ne faites pas confiance à tous vos utilisateurs jusqu'au niveau administrateur.Donc, en ce qui concerne le trafic de la console d'administration, ce ne sont pas des "utilisateurs de confiance".Il y a un tas d'autres bonnes raisons, comme l'indique la réponse ci-dessous
Si votre réseau interne n'est pas connecté à Internet (comme certains réseaux gouvernementaux ou financiers d'entreprises), le déploiement de TLS est beaucoup plus difficile.Mais c'est encore probablement nécessaire, peut-être plus encore en fait.
Mieux vaut prévenir que guérir.
Cinq réponses:
Luc
2020-06-05 16:03:05 UTC
view on stackexchange narkive permalink

Voir la note en bas au centre de cette diapositive classique:

NSA intercepting Google traffic, writing "SSL added and removed here" with a smiley

Ceci provient d'une présentation de diapositives de la NSA. Exploiter le trafic interne n'est pas sorcier, la seule vraie exigence est que quelqu'un vous cible. S'il y a quelque chose de valeur qui passe par le câble, quelque chose qui mérite potentiellement d'être chiffré, alors vous pouvez également supposer que quelqu'un pourrait le chercher tôt ou tard.

C'est pourquoi nous chiffrons le trafic interne: les câbles physiques ne le sont pas à toujours faire confiance. Un invité dans une salle d'attente ayant accès au réseau interne (en raison de LAN (V) manquants ou mal configurés) n'est pas rare, ou quelqu'un de confiance mais dont l'appareil est infecté, ou quelqu'un qui s'introduit physiquement, ou un seul serveur compromis qui peut intercepter le trafic d'autres serveurs ... il existe de nombreux scénarios dans lesquels le chiffrement aide, également sur les réseaux internes. Vous devez également vous demander: la personne la moins privilégiée disposant d’un accès physique (ou réseau) est-elle autorisée à connaître les données les plus sensibles que le réseau transporte? Si ce n'est pas le cas, c'est le cryptage qui garantit qu'ils ne peuvent pas l'intercepter.

Savez-vous où passent vos câbles physiques et si tous ces endroits sont gardés à tout moment? L'usurpation ARP est-elle désactivée dans chaque LAN que vous avez? Le saut de VLAN est-il atténué? Pas de WiFi WPA2-PSK n'importe où? Les pare-feu et les routeurs intermédiaires ont activé 2FA et ne sont pas piratés? Toutes les mesures mises en œuvre sont-elles testées? N'ai-je rien oublié? D'après mon expérience, chacune de ces mesures n'est utilisée que dans une minorité d'entreprises, et très peu auront tout.

La configuration du cryptage est généralement facile de nos jours. Si vous ne parlez que de vos propres données, vous pouvez prendre le risque pour vous-même. Mais lorsqu'il y a d'autres personnes (collègues ou même clients) à risque, vous devriez vraiment l'activer.

J'ai assisté une fois à une conférence de Bruce Schneier où il a décrit cette diapositive.Je crois que son commentaire était "Quand la NSA fait une note sur votre réseau et ajoute un visage souriant, ce n'est pas une bonne chose."
Remarque pour les curieux: cette diapositive était exacte au moment où elle est devenue publique, mais de nos jours, Google crypte [en fonction de limites physiques au lieu de limites logiques] (https://cloud.google.com/security/encryption-in-transit#googles_network_infrastructure).Il n'y a (en général) pas de trafic DC-to-DC non chiffré sur le réseau de Google, sauf dans les cas où les DC sont suffisamment proches pour que toute la fibre entre eux soit sous la sécurité physique et le contrôle de Google (généralement parce qu'ils font partie d'un campus Google plus grand.).
@Kevin "* pas de trafic DC-to-DC non chiffré sur le réseau de Google, sauf * ..." étant donné toutes les façons dont cela peut mal tourner, comme indiqué dans la réponse, cela ressemble à une recette pour un désastre.
@Luc: Je ne travaille pas sur le réseau, donc je ne connais pas vraiment le trafic DC-to-DC intra-campus.C'est principalement transparent du point de vue de la couche 7 (et, en tant que SRE, j'opère principalement à la couche 8, de toute façon ...).
@Kevin Juste pour mémoire, je ne voulais pas vous en prendre à vous ou à Google en particulier;C'était un commentaire très juste de dire que Google a corrigé cela en réponse aux fuites.La diapositive vient d'illustrer ce point.Pourtant, je suis surpris qu'il y ait un "sauf" dans cette phrase plutôt que de simplement rendre le cryptage omniprésent, mais je suis sûr que quelqu'un a pensé au coût par rapport aux avantages et c'est ainsi que cela s'est produit.
Voici un [excellent message médiatique] (https://medium.com/airbnb-engineering/one-step-forward-in-data-protection-8071e2258d16) par AirBnb Engineering qui est également disponible sous forme de présentation [ici] (https://media.ccc.de/v/35c3-9603-sneaking_in_network_security), ce qui offre de nombreux avantages liés à la distribution de certificats X.509 dans votre réseau d'entreprise.
Un avantage supplémentaire de l'utilisation de TLS (HTTPS) en interne est de tester la distribution du site Web en HTTPS, s'il s'agit d'un projet destiné au public.Cela permet d'éviter les situations où, par exemple, un script cesse de fonctionner en raison de restrictions imposées par un navigateur ou quelque chose rend votre site Web non fiable (chargement de * trucs * à partir de http par erreur) et d'autres.
Pour ajouter à ce qu'a dit @Kevin, il est important de noter la date de cette image: elle provenait d'un document écrit en [2013 ou antérieur] (https://www.washingtonpost.com/world/national-security/nsa-infiltrates-links-to-yahoo-google-data-centers-Worldwide-snowden-documents-say / 2013/10/30 / e51d661e-4166-11e3-8b74-d89d714ca4dd_story.html).Google a continué à travailler dur au cours des 7 dernières années pour chiffrer de plus en plus de données dans le trafic inter-DC et intra-DC.
alors qu'en est-il à l'intérieur du DC lui-même?
@Thayne Je pense que la réponse énumère suffisamment de raisons pour lesquelles le trafic interne peut être compromis, que ce soit sur un réseau privé entre des centres de données, un réseau privé à l'intérieur d'un centre de données, à l'intérieur d'une entreprise, etc.
R.. GitHub STOP HELPING ICE
2020-06-06 10:02:23 UTC
view on stackexchange narkive permalink

Le seul cas d'utilisation auquel je puisse penser est si vous avez des utilisateurs non fiables sur le réseau ...

Ceci, mais le problème est que vous avez des utilisateurs non fiables que vous ne connaissez même pas sont des utilisateurs sur les appareils sur le réseau. Cela inclut:

  • Les nœuds de botnet sur les fichiers indésirables IoT compromis
  • Les développeurs des applications fragmentaires que vous avez installées sur votre téléphone ou votre PC
  • Les attaquants qui ont déjà a compromis un serveur réel sur votre réseau, probablement un serveur de faible valeur où la sécurité a été négligée
  • Des attaquants physiques qui ont discrètement connecté un appareil à une prise Ethernet quelque part
  • Voisins / gardiens qui ont deviné / a forcé brutalement votre mot de passe wifi
    • Et l'un des éléments ci-dessus en utilisant leurs appareils
  • Etc.

Un élément fondamental Le principe de sécurité est que la couche réseau est toujours non fiable . Si vous suivez ceci, vous vous épargnerez beaucoup de problèmes.

Vous avez beaucoup d'utilisateurs non approuvés que vous savez être des utilisateurs aussi.L'adversaire le plus probable est un employé, mécontent ou corrompu par la concurrence.
-1 votre réponse n'ajoute aucune nouvelle info, trois réponses ont été postées un jour avant la vôtre et incluaient toutes les mêmes informations
@Luc: Je ne sais pas si cela ajoute de nouvelles * info *, mais cela ajoute une * perspective * importante.
zyk
2020-06-05 15:50:41 UTC
view on stackexchange narkive permalink

Avec TLS activé pour les services internes, vous réduisez le risque contre les menaces telles que:

  • La divulgation de données sensibles via des attaques de reniflage contre un initié malveillant ou un attaquant externe qui a déjà un pied à l'intérieur votre réseau
  • Attaques de type «Man-in-the-Middle» via des serveurs non fiables qui peuvent facilement usurper l’identité d’un serveur non authentifié (TLS vous donne l’authenticité en plus de la confidentialité *) qui peuvent ensuite dégénérer en des scénarios d’attaque plus importants
  • Modifications non autorisées des données en transit, qui peuvent causer de graves dommages si les données envoyées font partie d'une commande administrative (TLS vous donne également le service de sécurité de l'intégrité des données)
  • Probablement d'autres que je peux Je ne pense pas maintenant ...

* En supposant qu'il ne s'agisse pas d'un certificat TLS auto-signé et qu'une sorte d'établissement de confiance existe, comme une PKI interne.

Comme toujours, c'est une approche basée sur les risques. Si vous pensez que les menaces ci-dessus ne sont pas exagérées pour votre réseau / organisation, je vous recommande de mettre en œuvre TLS si possible en interne. Si, pour une raison quelconque, cela ajoutera une couche de complexité qui surpasserait les avantages obtenus (le risque que de telles menaces se matérialisant étant considéré comme faible), alors ne le faites pas.

lab9
2020-06-05 15:24:55 UTC
view on stackexchange narkive permalink

À mon avis, il est recommandé de sécuriser les sites internes sensibles avec TLS.

Les raisons:

  • Si un attaquant a pris pied au départ avec de faibles privilèges sur votre réseau, elle aurait une plus grande surface d'attaque (via le reniflage de paquets, etc.) pour faire une élévation de privilèges si vos pages d'administration n'étaient pas correctement sécurisées.
  • Il pourrait être naïf d'exclure la possibilité d'acteurs malveillants au sein du réseau interne.
JesseM
2020-06-06 01:33:29 UTC
view on stackexchange narkive permalink

TLS devrait-il être activé pour les utilisateurs accédant aux services (par exemple, les consoles d'administration) sur les réseaux internes?

Oui.

Vous avez déjà mentionné la confidentialité contre un mauvais acteur interne sur votre réseau avec un renifleur de paquets. C'est une raison suffisante ici. Il peut s'agir d'un employé non autorisé, d'un invité ou d'une imprimante compromise.

Parlons de cette imprimante. Mouvement latéral. Une fois que quelqu'un "extérieur" prend pied sur votre réseau, il est maintenant à l'intérieur.

TLS offre également l'intégrité, ainsi que la confidentialité. Cela empêche le méchant de changer les commandes en vol vers la console d'administration.

Enfin, TLS fournit l'authentification, au moins du serveur aux clients. Il protège vos utilisateurs contre les faux sites de phishing.

Le périmètre de réseau "interne" ne doit pas être votre seul mécanisme de défense. C'est l'idée de "défense en profondeur".

L'activation de TLS signifierait que les appareils de surveillance ne seraient pas en mesure de surveiller le trafic car il sera chiffré.

En ce qui concerne la surveillance, vous pouvez déployer votre propre autorité de certification interne, signer les certificats TLS avec cela, et faire intercepter et déchiffrer le trafic par vos propres outils de surveillance, si c'est une exigence.

utiliser sa propre CA interne pour décrypter le trafic à des fins de surveillance est un très bon point.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...