Certificat inspecció profunda SSL (DPI SSL)

23 octubre 2018
Josep Ma Solanes 0

Avui en dia, ja no és una opció disposar d’un tallafocs sense la inspecció profunda SSL (DPI SSL), a fi de poder defensar la xarxa interna de les amenaces externes. I més quan les últimes actualitzacions dels navegadors moderns indiquen com insegura qualsevol web que no utilitzi el protocol SSL, gairebé obligant a traspassar totes les comunicacions de HTTP a HTTPS.

Aquesta entrada tracta de com crear un certificat d’entitat subordinada, mitjançant l’entitat certificadora de Microsoft Windows Server, per poder fer una inspecció profunda SSL (DPI SSL) en un dispositiu d’anàlisi de trànsit, com ara un tallafocs amb serveis avançats de seguretat.

Introducció a la inspecció profunda SSL (DPI SSL)

A grans trets i per a millor comprensió, el HTTPS és un protocol de comunicacions que crea un túnel entre el servidor (la web on ens connectem) i el client (des d’on ens connectem).

Aquest túnel es crea mitjançant un certificat instal·lat al servidor. Al connectar-se per primer cop, el servidor li proporciona una clau pública al client, amb la què aquest xifra les dades que va enviant al servidor. Per tant, les dades viatgen xifrades, pel que si un atacant dolent vol visualitzar la comunicació amb el servidor no ho fa amb clar (es pot entendre el què diu), necessita la clau privada del servidor per desxifrar la comunicació o reventar per força bruta aquesta comunicació.

La clau privada només la té, i l’ha de tenir, el servidor, així ha de ser i sota cap concepte s’ha d’entregar a un client.

Remarco sota cap concepte, perquè per aquests móns, he vist com algun administrador, repartia erròniament el certificat generat per xifrar les comunicacions del servidor als usuaris, perquè l’instal·lessin al seu equip.

En quant a la inspecció profunda SSL heu de saber que es tracta d’un atac man-in-the-middle amb tots els sentits. El dispositiu desxifra les comunicacions i en pot veure tot el contingut en clar.

Ens serveix per defensar-nos, però si l’utilitzen males mans també pot servir pel contrari.

Si disposeu d’informació sensible dins l’empresa per diferents departaments, aconsello posar com excepció els dominis més sensibles dels què podem tenir una certesa de confiança, que no ens colaran programes maliciosos, a fi que no hi hagi mals entesos per una mala pràctica d’algú. És més una qüestió política que tècnica.

Tornant a l’apartat tècnic de la inspecció profunda SSL (DPI SSL). En el cas que no es fes la inspecció del trànsit, l’usuari es connecta al servidor, creant un túnel entre tots dos.

Tot el què passa pel túnel, sigui correcte o no (malware, webs no permeses, aplicacions denegades, etc…), el dispositiu de filtratge ho deixa passar perquè realment no sap què ho ha d’aturar.

En canvi, si es fa la inspecció profunda SSL (DPI SSL), el dispositiu de filtratge pot analitzar totes les dades que passen, ja què realment es generen dos túnels. Un entre el servidor i el propi dispositiu de filtratge. I l’altre entre el dispositiu de filtratge i el client.

I aquí és on tenim el “petit problema”, que el client visualitzarà un error de certificat o advertència greu en els comunicacions amb el servidor. Ja què és així, s’ha col·lat un dispositiu al mig de la comunicació (per aquest cas és per fer el bé, però pot ser el cas contrari també) que està revisant tot el què passa.

Per tant, s’ha trencat el túnel original i la feina del navegador és aixecar la mà per avisar que això no està bé.

Com a responsables de la seguretat de la xarxa s’ha de donar la tranquilitat als usuaris en què les seves connexions són correctes i segures. Toca gestionar correctament l’estructura de certificats.

Què ens coneixem i no serveix en dir a l’usuari que no passa res perquè li surti el missatge d’advertència de connexió insegura, posar un certificat auto-signat generat pels propis dispositius, a més a nivells de xifrat baixos o dates de caducitat a 99 anys, etc… Si fèssim això estariem fent malament la nostra feina, que és garantir al màxim la seguretat i privacitat dins la nostra xarxa.

Què necessitem per fer la inspecció profunda SSL (DPI SSL) en quant a certificats?

Bàsicament es necessiten certificats amb clau públiques i privades per crear i mantenir els túnels, entre el client i el dispositiu d’inspecció profunda del protocol SSL (DPI SSL).

Concretament, un certificat que permeti actuar al dispositiu com una entitat certificadora subordinada o intermitja, ja què cada cop generarà certificats nous per les connexions entre el client i el servidor on es vulgui connectar.

Si heu seguit correctament l’entrada sobre la instal·lació de l’entitat certificadora de Microsoft Windows Server i com migrar el xifrat de l’entitat certificadora a SHA2, podeu continuar.

En cas contrari, reviseu que la vostra entitat certificadora disposa de les configuracions esmentades (sobretot amb el xifratge de SHA2), ja què podeu generar correctament els certificats, però amb un nivell de xifratge baix (SHA1), que els navegadors bloquejaran al ser un xifratge obsolet.

Obrir l’administrador de l’Entitat Certificadora de Microsoft Windows Server. Botó dret damunt de l’entitat certificadora i seleccionar Propietats.

Validar la configuració de xifratge:

  • Proveïdor Microsoft Software Key Storage Provider
  • Algoritme de signatura SHA512 (a data de l’entrada, també us serveix el SHA256)

Botó dret damunt de plantilles de certificat i seleccionar Administrar.

Localitzar la plantilla Entitat Certificadora Subordinada. Botó dret i seleccionar Duplicar Plantilla.

A la pestanya Compatibilitat, entenent que el sistema operatiu del servidor de l’entitat certificadora és com a mínim un Microsoft Windows Server 2016 (aneu actualitzant els sistemes si encara no ho heu fet), seleccionar tant a entitat certificadora com a certificat la versió Microsoft Windows Server 2016.

Seleccionar la pestanya General. Indicar el nom de la plantilla (DPI-SSL Subordinate Certification Authority), el període de validesa del certificat (5 anys) i el període de renovació (6 setmanes).

Seleccionar la pestanya Requeriments per emissió. Com que no és un certificat que es pugui fer servidor de forma indiscriminada per a tothom, recomano limitar l’emissió a l’aprovació d’un administrador. No es doni el cas que algú vol fer un atac dels dolents tipus man-in-the-middle i demani un certificat correcte per fer-lo.

Marcar el piscu de Es necessita l’aprovació d’un administrador de CA. I deixar marcada l’opció de seguir el mateix criteri per la renovació del certificat.

Seleccionar la pestanya Extensions. A priori no cal modificar cap d’aquests paràmetres, es poden deixar per defecte a no ser que es vulgui fer alguna cosa més concreta.

Seleccionar la pestanya Seguretat. Per poder demanar el certificat es requereixen permisos per fer-ho. Cal afegir el servidor de l’entitat certificadora que s’utilitzarà per crear aquest nou certificat a la llista d’equips autoritzats per demanar certificats. Clicar el botó Afegir.

Clicar el botó tipus d’objectes per desmarcar tots els tipus d’objectes i marcar Equips. Clicar el botó Ok.

Escriure el nom del servidor des del què es demanarà crear el nou certificat i clicar el botó Comprovar noms per validar-lo. Un cop validat, clicar el botó OK per afegir-lo a la llista de permisos.

Seleccionar el compte de l’equip i habilitar el piscu de permetre demanar el certificat. Clicar OK per acceptar les modificacions.

A la llista de plantilles de certificats apareix la nova plantilla. Tancar la consola de plantilles de certificats.

Tornant a la consola d’administració de l’entitat certificadora, seleccionar plantilles de certificat. Botó dret i clicar a Nova i Plantilla de Certificat a emetre.

Seleccionar la plantilla que s’ha creat en el pas anterior i clicar el botó OK.

El servidor ja disposa de la nova plantilla per entitat certificadora subordinada.

Obrir una consola d’administració. IniciExecutar (o tecla Windows + R) i escriure mmc

En el menú Fitxer, seleccionar Afegir o treure complement.

Seleccionar Certificats i prèmer el botó Afegir.

El complement demana pel tipus de magatzem a gestionar, pel cas que ens ocupa, cal seleccionar el compte d’equip. Clicar el botó Següent.

Indicar quin equip ha de gestionar. Deixar seleccionat el local o seleccionar el què correspongui. Clicar el botó Finalitzar.

Tornant al quadre de diàleg anterior, clicar el botó OK per carregar el complement.

Desplegar el magatzem de certificats a Personal > Certificats. Botó dret damunt de Certificats. Clicar l’opció Totes les tasques i Nova petició de certificat.

S’inicia l’assistent per un nou certificat. Clicar el botó Següent per continuar.

En quina entitat certificadora farà la petició, per defecte la indicada en la directiva del Active Directory. Clicar el botó Següent per continuar.

Localitzar la plantilla de l’entitat certificadora subordinada creada anteriorment. Ha de sortir una advertència, demanant més informació per poder emetre el certificat. Clicar sobre el text de l’advertència per indicar aquestes dades necessàries.

Pestanya Subjecte. Indicar el Common Name de l’entitat, per no barrejar-la amb l’arrel, m’agrada utilitzar la nomenclatura DPI-SSL. Clicar el botó Afegir.

Afegir la resta de dades habituals en els certificats:

  • Organització
  • Localitat (Locality)
  • Provincia (State)
  • País (Country). Recordeu que heu d’escriure el codi ISO del país.

Clicar la pestanya General per indicar el nom descriptiu del certificat.

No cal fer cap modificació a la pestanya Extensions, es pot deixar per defecte.

A la pestanya Clau Privada, es pot augmentar el nivell de la clau de xifrat a 4096. Tot depèn de la confiança dins la xarxa interna i les capacitats del dispositiu. Com més gran la clau, més forta la comunicació entre el client i el dispositiu d’inspecció profunda SSL (DPI SSL), que no amb el servidor on estableix la comunicació; però també es necessita més potència de càlcul.

A la pregunta de si es permet exportar la clau privada, deixar el piscu marcat, ja què s’ha d’exportar el certificat per poder-lo instal·lar al dispositiu d’inspecció profunda SSL (DPI SSL).

Clicar el botó OK, per enregistrar totes les dades proporcionades.

Al llistat de plantilles desapareix l’advertència. Marcar el piscu de la plantilla i clicar el botó Enroll.

Es genera la petició, però queda a l’espera (carpeta peticions de certificats) a què l’administrador l’autoritzi. Clicar el botó Finalitzar.

Tornant a la consola d’administració de l’entitat certificadora com a Administrador de la mateixa. Seleccionar la carpeta peticions pendents. Es visualitza la petició del nou certificat per l’entitat certificadora subordinada.

Botó dret a la petició de certificat, seleccionar Totes les tasques i Emetre.

Tornant a la consola de certificats, des d’on s’ha fet la petició del certificat, seleccionar la carpeta Peticions de Certificats (Certificate Enrollment Requests), Certificats. Comprovar que s’ha generat el nou certificat.

Fixeu-vos que no es confia en aquest certificat ja què ha estat emés per una nova entitat certificadora amb la que no es confia (JMSolanes DPI-SSL)

Clicar la pestanya Detalls per guardar una còpia amb la clau privada d’aquest certificat.

Aquesta còpia només s’ha d’utilitzar per instal·lar al dispositiu d’inspecció profunda SSL (DPI SSL).

En cap cas s’ha d’utilitzar la còpia d’aquest certificat amb la clau privada per afegir-lo com a entitat de confiança.

Clicar el botó Copiar a fitxer.

S’inicia l’assistent per exportar el certificat. Clicar el botó Següent per continuar.

En aquesta ocasió, seleccionar Exportar la clau privada, per crear la còpia del certificat a instal·lar al dispositiu d’inspecció profunda SSL (DPI SSL). Clicar el botó Següent.

Deixar les opcions per defecte en el format d’exportació del certificat. Clicar el botó Següent.

Marcar el piscu de Contrasenya per poder exportar el certificat amb la clau privada, indicar una contrasenya que s’utilitza per la importació i seleccionar el tipus de xifratge que considereu oportú. Clicar el botó Següent.

Indicar la ruta i el nom del fitxer. Recordar que aquest és el fitxer que s’ha d’importar al dispositiu d’inspecció profunda i no com a certificat de confiança. Clicar el botó Següent.

Resum de l’exportació que ha de ser satisfactòria. Clicar el botó Finalitzar.

Repetir el procés, però aquest cop sense exportar la clau privada.

Aquesta còpia de certificat és el què s’ha de distribuir a tots els equips que estiguin a la part interna del dispositiu d’inspecció profunda SSL (DPI SSL).

Amb els dos certificats generats, cal repartir-los als seus respectius dispositius:

  • El de la clau pública. Genera una política de grup que l’afegeixi com entitat Certificadora Intermitja de confiança.
  • El de la clau privada. Instal·lar al dispositiu d’inspecció profunda SSL (DPI SSL).

GPO certificat entitat certificadora intermitja de confiança

Per afegir el certificat de l’entitat arrel de confiança es pot editar o crear la política de grup de certificats a tal efecte.

Sí, heu llegit bé, s’ha d’afegir el certificat de l’entitat certificadora subordinada com arrel de confiança perquè els equips confiïn amb els certificats que generarà aquesta entitat.

Des de l’administrador de Polítiques de Grup. Carpeta Objectes de Política de Grup. Crear o editar la de Certificats.

En les opcions de configuració de màquina, seleccionar Configuració de Windows, Configuració de Seguretat, Polítiques de Clau pública, Entitat de Certificació Arrels de confiança. Botó dret i clicar a Importar.

S’inicia l’assistent per poder importar un nou certificat amb la clau pública, que no la privada! Clicar el botó Següent.

Indicar el nom del fitxer que s’ha exportat en el pas anterior i què només conté la clau pública. Clicar el botó Següent.

Per defecte queda seleccionat el magatzem d’entitats de certificació arrels de confiança. Clicar el botó Següent per continuar.

Resum de l’assistent per la importació. Clicar el botó Finalitzar. Si tot és correcte apareix un missatge indicant que la importació ha estat correcte. Clicar el botó OK.

En el llistat d’entitats apareix l’entitat acabada de crear.

Esperar uns cinc minuts per la rèplica de polítiques del Active Directory. Anant a la consola d’administració de certificats, a Entitats de Certificació Arrels de confiança, apareix el nou certificat de l’entitat per la inspecció profunda SSL (DPI SSL).

Si accedim a la carpeta d’Entitats de Certificació Intermitges, Certificats; i obrim el certificat s’ha de validar com de confiança, sense l’error d’abans.

Tot llest perquè els equips confiïn amb els certificats emesos per la nova entitat de certificació intermitja.

Només queda instal·lar el certificat amb la clau privada al dispositiu d’inspecció profunda SSL (DPI SSL) que correspongui.

 

T’ha agradat l’article? El pots compartir a les xarxes socials. També pots deixar la teva opinió, comentari o suggeriment. Gràcies!

Similar Posts by The Author:

 

Deixar un comentari

Recorda que no es contestaran preguntes personals, només d´interés comú que ens enriqueixin a tots.
La teva adreça de correu electrònic no serà publicada. Els camps obligatoris estan indicats.

Aquest lloc utilitza Akismet per reduir el correu brossa. Aprendre com la informació del vostre comentari és processada