Un proxy de terminación de TLS (o proxy de terminación de SSL , [1] o descarga de SSL [2] ) es un servidor proxy que actúa como un punto intermediario entre las aplicaciones del cliente y el servidor , y se utiliza para terminar y / o establecer TLS (o DTLS ) túneles descifrando y / o cifrando las comunicaciones. Esto es diferente a los proxies de paso a través de TLS que reenvían tráfico TLS cifrado (D) entre clientes y servidores sin terminar el túnel.
Usos
Los proxies de terminación TLS se pueden utilizar para:
- seguras de texto plano comunicaciones a través de redes no seguras por un túnel en (D), TLS
- Permitir la inspección del tráfico cifrado mediante un sistema de detección de intrusos para detectar y bloquear actividades maliciosas.
- Permitir la vigilancia de la red y el análisis del tráfico cifrado.
- habilitar la integración no admitida de otro modo con otras aplicaciones que brindan capacidades adicionales como el filtrado de contenido o el módulo de seguridad de hardware ,
- habilitar (D) versiones, extensiones o capacidades del protocolo TLS (por ejemplo , grapado OCSP , ALPN , DANE , validación CT , etc.) no admitidas por aplicaciones de cliente o servidor para mejorar su compatibilidad y / o seguridad,
- trabajar alrededor de implementaciones de TLS con errores / inseguras (D) en aplicaciones de cliente o servidor para mejorar su compatibilidad y / o seguridad,
- proporcionar autenticación adicional basada en certificados no admitida por el servidor y / o las aplicaciones o protocolos del cliente,
- proporcionar una capa adicional de defensa en profundidad para un control centralizado y una gestión coherente de la configuración de (D) TLS y las políticas de seguridad asociadas, y
- reduzca la carga en los servidores principales descargando el procesamiento criptográfico a otra máquina.
Tipos
Los proxies de terminación TLS pueden proporcionar tres patrones de conectividad: [3]
- TLS Descarga de una conexión TLS entrante cifrada (D) desde un cliente y reenvío de comunicaciones a través de una conexión de texto sin formato al servidor.
- TLS Cifrado de la conexión de texto sin formato saliente de un cliente y reenvío de comunicaciones a través de una conexión TLS cifrada (D) al servidor.
- Puente TLS de dos conexiones TLS cifradas (D) para permitir la inspección y el filtrado del tráfico cifrado descifrando la conexión TLS entrante (D) de un cliente y volviéndola a cifrar con otra conexión TLS (D) al servidor.
La combinación de un proxy de cifrado TLS frente a un cliente con un proxy de descarga TLS frente a un servidor puede permitir (D) el cifrado y la autenticación TLS para protocolos y aplicaciones que de otro modo no lo admiten, con dos proxies que mantienen una (D) ) Túnel TLS sobre segmentos de red que no son de confianza entre el cliente y el servidor.
Un proxy utilizado por los clientes como puerta de enlace intermediaria para todas las conexiones salientes se suele llamar proxy de reenvío , mientras que un proxy utilizado por los servidores como puerta de enlace intermediaria para todas las conexiones entrantes se suele llamar proxy inverso . Los proxies de puente de TLS de reenvío que permiten que el sistema de detección de intrusos analice todo el tráfico del cliente se comercializan normalmente como "Proxy de reenvío SSL". [4] [5] [6]
Los proxies TLS Offloading y TLS Bridging normalmente necesitan autenticarse ante los clientes con un certificado digital utilizando la autenticación PKIX o DANE. Por lo general, el operador del servidor proporciona a su proxy inverso un certificado válido para usar durante el protocolo de enlace (D) TLS con los clientes. Sin embargo, un operador de proxy de reenvío necesitaría crear su propia CA privada , instalarla en el almacén de confianza de todos los clientes y hacer que el proxy genere un nuevo certificado firmado por la CA privada en tiempo real para cada servidor al que un cliente intente conectarse. .
Cuando el tráfico de red entre el cliente y el servidor se enruta a través de un proxy, puede operar en modo transparente usando la dirección IP del cliente en lugar de la suya propia cuando se conecta al servidor y usando la dirección IP del servidor cuando responde al cliente. Si un proxy de puente TLS transparente tiene un certificado de servidor válido, ni el cliente ni el servidor podrían detectar la presencia del proxy. Un adversario que haya comprometido la clave privada del certificado digital del servidor o sea capaz de utilizar una CA PKIX comprometida / coaccionada para emitir un nuevo certificado válido para el servidor, podría realizar un ataque de intermediario al enrutar el tráfico TLS entre cliente y servidor a través de un proxy de puente TLS transparente y tendría la capacidad de copiar comunicaciones descifradas, incluidas las credenciales de inicio de sesión, y modificar el contenido de las comunicaciones sobre la marcha sin ser detectado.
Referencias
- ^ Terminación SSL , redes F5 .
- ^ "Configurar IIS con reescritura de URL como proxy inverso" . Microsoft.
- ^ "Diseños de infraestructura que involucran TLS" . Tecnologías HAProxy.
- ^ "Descripción general del proxy de reenvío SSL" . Juniper Networks .
- ^ "Proxy de reenvío SSL" . Palo Alto Networks.
- ^ "Descripción general: autenticación de servidor y cliente proxy de reenvío SSL" . Redes F5.