fredag 21 maj 2010

Forefront TMG gör MitM på din SSL

Ni kanske läste mitt inlägg om hur myndigheter och säkerhetstjänster kan avlyssna SSL genom proxies och utfärdande av korrekta SSL-certifikat on the fly?

Det är precis samma sak som Microsoft Forefront Threat Management Gateway gör.

Microsoft Forefront TMG gör Man-in-the-Middle
Microsoft beskriver själva sin teknik på Technet:

"In order to inspect outgoing HTTPS traffic, Forefront TMG breaks the HTTPS connection and then acts as an intermediary or "man in the middle" between the client that initiated the connection and the secure Web site."

Det går till så här:
  1. Sysadmin på arbetsplatsen ser till att ett så kallat HTTPS inspection certificate finns installerat i alla klientdatorers Trusted Root Certification Authorities certificate store
  2. Klienten gör ett anrop till en https-sajt
  3. TMG går in och bryter anropet
  4. TMG sätter upp en egen SSL-koppling till den begärda sajten och kontrollerar det SSL-cert som sajten autentiserar sig med
  5. TMG kopierar webbsajtens SSL-certifikat, skapar ett nytt SSL-certifikat med samma uppgifter, och signerar det med HTTPS inspection certificate
  6. TMG sätter upp en https-koppling till klienten mha det nya SSL-certifikatet
  7. Klienten accepterar det nya certet som korrekt för den begärda sajten eftersom HTTPS Inspection-certet finns bland de betrodda CA-certen
Det är så din arbetsgivare kan spionera på din SSL-trafik.

3 kommentarer:

Jakob sa...

Värt att notera är dock att detta inte fungerar om webtjänsten man kommunicerar med gör ömsesidig autentisering, dvs använder klientcertifikat.

John Wilander sa...

Helt riktigt. Eftersom TMG inte har den privata nyckeln för klientcertifikatet och därför inte kan koppla upp sig mot https-sajten med din/din maskins identitet.

TMG kan heller inte ersätta EV-certifikat. Det kommer se bra ut i webbläsaren men man kommer inte få den gröna delen.

Jag diskuterade det hela med några av våra konsulter inom säker infrastruktur på Omegapoint. För dem är allt det här gamla nyheter. Bl a Blue Coat har i år levererat produkter som fungerar så här. Det föranledde mig att föreslå en workshop om just när applikationssäkerhet och infrastruktursäkerhet möter varann. SSL är ett bra exempel på det.

cstrom sa...

Jag tycker det är anmärkningsvärt att lösningar för HTTPS-inspektion inte ifrågasätts oftare. Precis som Jakob poängterar är dessa "lösningar" inte förenliga med certifikatsbaserad autentisering, och specifikt ömsesidig sådan.

Detta är definitivt ett problem för företag som har två typer av policys: (1) stark autentisering m.h.a certifikat för webbapplikationer och (2) all kommunikation ska krypteras, end-to-end.

Om dessa två policys ställs mot varandra måste en försvinna, eller så väljer man att uppmuntra användarna till ett agerande som definitivt inte är förenligt med säkerhet - acceptera varningsinformation som överflödig och onödig.