R: Antivirus e squid

Di recente ho avuto modo di partecipare ad un seminario in cui presentavano,
tra le altre cose, anche un Proxy HTTPS.

In pratica la connessione viene spezzata in due:

Client -> Proxy
Proxy -> sito destinazione

e ritorno.

Il prodotto, molto interessante secondo me, oltre a permettere di "passare"
il contenuto della connessione ad eventuali content filter, come antivirus o
controllo della navigazione, controllava anche la validita del certificato
del sito destinazione, con policy impostabile dall'amministratore. Questo
per prevenire che il solito utente "ok, ok, ok sulle dialog box" accettasse
certificati non validi /sicuri.

Il vendor poneva l'accento sul fatto che per l'utente la cosa fosse
"trasparente".

Nicola.


-----Messaggio originale-----
Da: Daniele Muscetta [mailto:daniele@xxxxxxxxxxxx]
Inviato: venerdì 24 ottobre 2003 20.48
A: ml@xxxxxxxxxxxxx
Oggetto: Re: Antivirus e squid


On Fri, 2003-10-17 at 14:57, ~MeRliNo wrote:
> Con le connessioni Https come ci mettiamo?
> Non mi risulta che IWV proxy anche l'https. Da quello che vedo, per avere
una configurazione funzionante devi mettere 1 proxy
> squid a valle ed uno a monte con l'Interscan Web Virus Wall nel mezzo.
Interscan, per funzionare, deve collegarsi ad un proxy a
> valle e gli utenti, per accedere, si collegheranno con il proxy a monte
che a sua volta si collega con Interscan Web VirusWall.
> Nel log non c'e' traccia delle connessioni Https.
>
>

se i client usano un proxy, che a sua volta forwarda le connessioni a
IVW come suo parent proxy, il quale forwarda ancora ad un altro parent
proxy... le connessioni https saranno dunque 'proxate' e non 'reali'
(perdona l'imprecisione dei termini che sto usando)...

il client chiede al proxy, che chiede ad un'altro proxy, che chiede ad
un'altro proxy ancora... il quale fa la richiesta https al il web
server....


inoltre tieni presente che molti antivirus (ora, io non conosco IVW
nello specifico, ma sto ragionando per analogie) NON SONO IN GRADO di
effettuare la scansione antivirus di connessioni https. Perche' ? Beh,
perche' sono ENCRYPTED ! ...altrimenti che SSL sarebbe se l'antivirus
fosse in grado di 'leggerci dentro' ?
Questo e' vero per il proxy AV di Symantec, di McAfee, e altri che ho
provato.... fino ad arrivare al punto in cui alcuni vendor, pur di
tenere la porta 'chiusa' ai virus, si rifiutano di passare https del
tutto (l'appliance di Panda, che testai qualche mese fa, fa proprio
cosi': https NON passa), proprio perche' non ne possono effettuare la
scansione. Qui c'e' una scelta da parte dei vendor e degli utenti, se
vogliono permettere traffico potenzialmente pericoloso (perche' non
controllato) o se non usarlo da dentro un'azienda.

Questo e' un problema comune a tutti i protocolli cifrati, che non
vengono infatti 'visti' anche dai vari IDS... stesso discorso.

Uno dei vendor di IDS (ISS) promette di essere in grado di 'vedere'
nelle connessioni crittate SSL che avvengono verso il tuo webserver... e
come fa ? Usa un agente sul server web stesso, che funge da
MAN-IN-THE-MIDDLE.... intercetta la richiesta come se lui fosse il web
server, la descritta, la analizza, logga ed eventualmente la droppa se
'pericolosa'... e se decide che e' ok, la passa poi al web server
'vero'....

purtroppo (o per fortuna) non ci sono altri metodi di cui io sia al
corrente. Lista: Correggetemi se sbaglio, please!

Sicuramente io non ho visto questi metodi implementati su proxy AV.

...se la tua connessione 'SICURA' in https venisse intercettata e
descrittata dal proxy.... dove sarebbe piu' la sicurezza (privacy) della
connessione ?

Anche nel caso del man-in-the-middle, ci sarebbero delle implicazioni
per la privacy, credo!

Molti proxy si limitano a 'passare' queste connessioni cosi' come sono.
Non e' un bug, e' una feature di SSL ! :)

Cordiali Saluti,

Daniele Muscetta




________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List