Kennisbank

Inhoud

HTTPS inspectie

HTTPS inspectie is het onderzoeken van SSL verkeer tussen een client en een server op kwaadaardige software in HGI omgevingen. Twee derde van de malware wordt afgeleverd via versleutelde https-verbindingen. Door encryptie van het netwerkverkeer met SSL kan kwaadaardige software zich verbergen en is onzichtbaar voor detectie. HTTPS inspectie kan in- en outbound worden uitgevoerd. Standaard werkt dit als volgt:

  • Inbound: Op de inspectielocatie ‘draait’ een site die gebruik maakt van het certificaat en de private key van de interne server. Bij een verbinding wordt intern in de inspectielocatie een nieuwe tunnel naar de daadwerkelijke server opgezet. Verkeer wordt ontcijferd, bekeken en weer versleuteld doorgestuurd in de tweede tunnel;
  • Outbound: De client krijgt een certificaat en pki chain van de inspectielocatie. Elk HTTPS verzoek wat een client stuurt naar de inspectielocatie wordt ontsleuteld op de inspectielocatie (want die heeft alle private keys voorhanden) en daarna wordt een valide tunnel opgezet vanaf de inspectielocatie naar de doelserver.

In beide gevallen leven de private keys van certificaten op twee plekken en zijn dus niet meer private.

Vorige Fusion
Volgende Messaging gateway