Seguridad

El uso del cifrado SSL es una tendencia en auge

El descubrimiento de oscuras prácticas de "escuchas" por parte de agencias gubernamentales y tendencias como SPDY y HTTP2.0 han disparado las peticiones de gestión del tráfico cifrado. Según Javier Múgica, FSE Leader Spain en F5 Networks, "SSL está hasta en la sopa".

seguridad_ssl

Puede ser debido a degeneración profesional, pero SSL está hasta en la sopa. Hace unos días, cuando ayudaba a mi hermana a darle la comida a mi sobrinita, observé que al terminar quedaron en el plato sólo tres letras: “S”, “S” y “L”, lo que me recordó que  estamos viendo cada vez más peticiones relacionadas con la gestión del tráfico cifrado por parte de nuestros clientes y partners.

Las razones son múltiples, desde el descubrimiento de ciertas oscuras prácticas de “escuchas” por parte de alguna(s) agencia(s) gubernamental(es), muchos fueron los que decidieron cambiar sus estrategias de entrega de servicios web para cifrar el tráfico con sus clientes/usuarios.

Además, estamos viendo también nuevas tendencias que incorporan la necesidad de cifrado para el transporte de los datos, concretamente SPDY y HTTP2.0, que introducen una mejora de alrededor de un 30% en la descarga y presentación de los contenidos web (¡ahí es nada!), y que hoy por hoy ya soportan todos los browsers. De hecho, hay compañías como Google que aprovechan que el protocolo es “compatible hacia atrás”, y ya presentan todos sus servicios mediante SPDY o HTTP2.0 (buscador, Youtube, Gmail, Google Maps, Drive, Apps, etc.) Google, además, está liderando un gran cambio de paradigma, ya que evalúa el cifrado de las páginas para mejorar o empeorar el posicionamiento en su buscador, así que nadie se sorprenda cuando los departamentos de marketing empiecen a preguntar a IT por qué la publicación de servicios no tiene un “A+” en “ssl labs”.

La cuestión es que estos protocolos no sólo mejoran la velocidad de descarga, haciendo que algunos se planteen abandonar el uso de CDN y habilitar el servicio en SPDY/H2.0, sino que también mejoran la seguridad de la entrega, ya que requieren el uso de cifrado para su funcionamiento, introduciendo la necesidad de offloading del mismo en plataformas hardware con capacidad de cifrado. Además de hacer este offloading, los BIG-IP, también pueden funcionar como Gateway SPDY/HTTP2.0.

El resultado es que el uso del cifrado es una tendencia en evidente auge, tanto es así que en algunas reuniones con los principales operadores en España nos han reconocido ratios superiores a un 40% de tráfico cifrado sobre el tráfico total que sirven. Esto, incluso, les genera otros problemas de optimización del tráfico a los operadores, haciendo que la optimización del tráfico TCP sea una alternativa muy interesante para los ISP, por encima de soluciones tradicionales de caching.

Por otra parte, este último año ha sido especialmente importante desde el punto de vista de la seguridad y arquitecturas de cifrado. La aparición del ataque HeartBleed, que ha sido categorizado como la vulnerabilidad más importante desde el nacimiento de Internet, dado que entre otras posibles fugas de información permitía obtener la clave privada de los certificados, y también del ataque Poodle, ha hecho que muchos reconsideren estrategias de cifrado, tipos de protocolos (TLS1.1/1.2), cipher” a usar, uso de offloading centralizado, HSM y netHSM, uso de ECC (Elliptic curve cryptography Cipher, que permite cifrado seguro con claves más pequeñas, para dispositivos con menor capacidad), etc.

Curiosamente, a pesar de estas nuevas amenazas, hace unos días pude leer en un informe de seguridad de Cisco que aún existen un 56% de servidores sobre su muestreo con versiones de OpenSSL con más de 4 años de antigüedad sin parchear, lo cual me da que pensar si realmente las empresas están preocupadas o no por la seguridad. En cualquier caso, hay brotes verdes. David Holmes, uno de nuestros expertos en seguridad, haciendo su propio muestreo, ha observado importantes mejoras en la adopción de FPS (Forward Perfect Secrecy) y TLS desde la aparición de estos ataques.

Por si esto fuera poco, la adopción de SSL ha tenido otros nuevos casos de uso como herramienta de comunicación entre botnets, malware y C&C, limitando la capacidad de detección de fugas de información, descarga de contenidos maliciosos, etc. Y por otra parte, el uso de SSL para la realización de ataques DDoS, ya sea para tratar de evitar el filtrado del ataque en la nube, como para atacar a los aplicativos -peticiones recurrentes a la capa 7 transportadas mediante SSL-, o bien ataques DDoS al propio protocolo, tales como ataques de renegociación (el servidor consume 15x ciclos de CPU en cada renegociación de clave SSL con respecto al cliente).

Por todo ello, aparece la necesidad continua en las organizaciones de cifrar el tráfico hacia el exterior, pero también de descifrar el tráfico entrante y saliente de la organización, para poder dar visibilidad de estos tráficos a todos los elementos de seguridad que tienen las organizaciones: sistemas IPS, sistemas anti APT, firewalls, SIEM, etc., tradicionalmente ciegos ante este tipo de tráficos o con problemas de rendimiento o compatibilidad con la funcionalidad de descifrado.

Al final, existen dos estrategias, o bien descifrar y cifrar en cada uno de estos dispositivos -lo cual además de latencias, introduce otros muchos problemas: rendimiento, compatibilidad con los últimos ciphers, costes, etc.-, o bien usar una plataforma centralizada de descifrado e inspección de estos tráficos, que además permita el “steering” de tráfico a estos sistemas así como escalarlos y darles alta disponibilidad. Es por ello que, como decía al principio, cada vez más clientes y partners nos pregunten sobre esto, ya que ha aparecido un *nuevo* caso de uso para nuestros equipos, haciendo tanto el offload del tráfico cifrado hacia los servidores, como el funcionamiento interceptando el tráfico saliente cifrado para su inspección por otros sistemas de seguridad.



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper