Explore a velocidade e a segurança do Suporte TLS 1.3

Os NGFWs da SonicWall oferecem suporte TLS 1.3 completo – e garantem que a sua rede possa processar os protocolos de criptografia mais recentes.

By

Os melhores produtos tendem a permanecer em alta por um tempo. Nos primeiros dois anos em que o Ford Mustang foi fabricado, 1965 e 1966, cerca de 1.3 milhões carros foram montados nas linhas de produção de Dearborn, Mich., Metuchen, N.J. e Milpitas, Calif. Entre eles, notáveis 350.000 ainda estão rodando pelas estradas hoje – e com os devidos cuidados, ainda levam pessoas do Ponto A ao Ponto B da mesma forma que faziam durante o governo do Presidente Johnson.

Mas deixando a estética de lado, esses carros seriam uma boa opção para um motorista nos dias de hoje? Em um teste de colisão contra qualquer veículo moderno (ou um em uma corrida com qualquer modelo de Mustang atual), o Mustang da primeira geração seria totalmente superado. Os recursos de segurança que não valorizamos como deveríamos, como airbags, detecção de pontos cegos e freios ABS, não existem no modelo antigo. Esses carros podem até se sair bem em um passeio casual de domingo pela cidade. Mas você levaria sua família em uma viagem em um desses?

Quando um produto forma a fronteira entre algo precioso e um desastre iminente, você precisa que, ao menos, esse produto seja o mais seguro possível. Isso também se aplica no caso de outra inovação vinda de Milpitas na Califórnia: os Firewalls da SonicWall. Para saber se a sua opção atual ainda é a melhor opção, você pode verificar quais inovações surgiram desde então, e se houve melhorias incrementais ou grandes avanços. No caso do suporte à criptografia do TLS 1.3, sem dúvidas seria este último caso.

O TLS 1.3 é a versão mais recente de segurança da camada de transporte, e oferece criptografia confiável para comunicações digitais via internet. E, assim como aconteceu com o Mustang, as inovações modernas representam saltos mensuráveis em duas áreas: segurança e desempenho.

TLS 1.3: Segurança em primeiro lugar

Desde a tecnologia SSL original introduzida em 1994, cada nova versão vinha com recursos para solucionar os problemas das versões anteriores, ao mesmo tempo mantendo a compatibilidade com essas versões. Mas, infelizmente, manter a compatibilidade com versões anteriores significava manter várias cifras desnecessárias ou vulneráveis.

Essas cifras antigas tornavam a criptografia suscetível a ataques, e oferecia aos invasores um vetor pelo qual poderiam se esquivar de novos avanços na segurança devido aos recursos mantidos para preservar uma proteção obsoleta e mais fraca. Algumas das cifras que foram mantidas até a versão 1.2 do TLS eram tão fracas que permitiam aos invasores descriptografar o conteúdo dos dados sem sequer dispor das chaves.

O TLS 1.3 representa uma mudança fundamental nessa filosofia. Devido ao aumento expressivo nos ataques, como Lucky14, BEAST, PODDLE, Logjam e FREAK, que dependiam dessas vulnerabilidades para efetuar transmissões, a força-tarefa de engenharia de internet (Internet Engineering Task Force – IETF) optou pela remoção geral dessas cifras – e o TLS 1.3 resultante dessa medida é incomparavelmente mais seguro, graças a essa mudança.

E também é mais privativo. Nas versões anteriores, incluindo a 1.2, assinaturas digitais não eram utilizadas para assegurar a integridade dos handshakes – elas protegiam apenas parte do handshake depois da negociação do pacote de cifras, permitindo que o invasor manipulasse a negociação e acessasse toda a conversa.

Com o TLS 1.3, todo o handshake é criptografado e somente o remetente e o destinatário podem descriptografar o tráfego. Isto não apenas torna impossível para pessoas estranhas interceptarem as comunicações entre cliente e servidor, como também dificulta muito o lançamento de ataques realizados por intermediários, protegendo também as comunicações em andamento, mesmo se futuras comunicações forem comprometidas.

TLS 1.3: Segurança Rápida

Com o TLS 1.3, o processo de handshake não é apenas mais seguro; também é mais rápido. O handshake em quatro etapas necessário no TLS 1.2 exigia a troca de informações em mão dupla entre os sistemas, gerando latência e consumindo largura de banda e potência.

Essas desacelerações afetavam principalmente a classe crescente de dispositivos de internet das coisas (IoT), que costumam ter problemas para lidar com conexões que exijam muita largura de banda ou potência, mas também tendem a exigir criptografia, geralmente devido à segurança fraca instalada.

Entretanto, com apenas uma troca de chave e uma quantidade significativamente menor de cifras processadas, o TLS 1.3 utiliza consideravelmente menos largura de banda. E como ele exige apenas uma viagem de ida e volta para concluir o acordo, é um sistema significativamente mais rápido. O recurso de tempo zero de ida e volta do TLS 1.3 (0-RTT) é ainda mais rápido: Em visitas subsequentes, ele oferece um tempo de latência igual ao do HTTP descriptografado.

Seu firewall é compatível com a tarefa?

Especialistas estimam que 80 a 90% de todo o tráfego nas redes atualmente seja criptografado. Mas muitos firewalls mais antigos não têm a capacidade ou potência de processamento para detectar, inspecionar e mitigar ataques cibernéticos enviados via tráfego HTTP inteiramente, ainda mais utilizando o TLS 1.3 – tornando este um canal altamente viável para os hackers implementarem e executarem malware.

Segundo o Relatório de ameaças cibernéticas da SonicWall em 2022, de 2020 para 2021, malwares enviados via HTTPS cresceram assustadores 167%. Dito isto, a SonicWall registrou 10,1 milhões de ataques criptografados em 2021 – quase tantos quanto em 2018, 2019 e 2020 juntos.

Com uma média de 7% dos clientes sofrendo um ataque criptografado em algum mês, as probabilidades de que sua organização seja alvo de um ataque este ano são imensas. Porém, se o seu firewall não puder inspecionar o tráfego criptografado – e cada vez mais, se não puder inspecionar o TLS 1.3 – você nunca vai saber até que seja tarde demais.

O SonicWall é compatível com a criptografia TLS 1.3

O firewall SonicWall Gen 7 acrescenta muito ao processo: Ele combina uma densidade superior nas portas e maior rendimento em relação às ameaças, com a análise abrangente de malware, sua simplicidade inigualável e seu desempenho líder no setor. Contudo, entre os maiores fatores de mudança da Gen 7 (e de seus antecessores capazes de executar o SonicOS Gen 6.5) encontra-se o suporte à criptografia TLS 1.3.

Os NGFWs da SonicWall com SonicOS Gen 6.5 e posteriores oferecem inspeção TLS completa, descriptografia de dados, verificação de possíveis ameaças, e finalmente a recriptografia para uma transmissão segura – tudo isto com a garantia de que você manterá um ótimo desempenho e uma visibilidade abrangente.

Afinal, assim como ocorreu com o Mustang, não há detecção de pontos cegos que os firewalls não possam administrar no tráfego criptografado dos dias de hoje – e essas soluções mais antigas são facilmente superadas no enfrentamento cara a cara. Não deixe que os firewalls do passado deixem lacunas desprotegidas na sua rede: Atualize-se e use o SonicWall Gen 7 hoje mesmo.

 

This post is also available in: Inglês Francês Alemão Spanish Italiano

Amber Wolff
Senior Digital Copywriter | SonicWall
Amber Wolff is the Senior Digital Copywriter for SonicWall. Prior to joining the SonicWall team, Amber was a cybersecurity blogger and content creator, covering a wide variety of products and topics surrounding enterprise security. She spent the earlier part of her career in advertising, where she wrote and edited for a number of national clients.