ProHoster > بلوق > إدارة > يتعارض DPI (فحص SSL) مع مبدأ التشفير، لكن الشركات تنفذه

يتعارض DPI (فحص SSL) مع مبدأ التشفير، لكن الشركات تنفذه

يتعارض DPI (فحص SSL) مع مبدأ التشفير، لكن الشركات تنفذه
سلسلة الثقة. سي سي بي-سا 4.0 يانباس

أصبح فحص حركة مرور SSL (فك تشفير SSL/TLS أو تحليل SSL أو DPI) موضوعًا ساخنًا للمناقشة بشكل متزايد في قطاع الشركات. يبدو أن فكرة فك تشفير حركة المرور تتعارض مع مفهوم التشفير ذاته. ومع ذلك، فإن الحقيقة هي حقيقة: المزيد والمزيد من الشركات تستخدم تقنيات DPI، موضحة ذلك بالحاجة إلى التحقق من المحتوى بحثًا عن البرامج الضارة، وتسريبات البيانات، وما إلى ذلك.

حسناً، إذا قبلنا حقيقة مفادها أن مثل هذه التكنولوجيا تحتاج إلى التنفيذ، فيتعين علينا على الأقل أن ننظر في طرق للقيام بذلك بأكثر الطرق أماناً وأفضل إدارة ممكنة. على الأقل لا تعتمد على تلك الشهادات، على سبيل المثال، التي يقدمها لك مورد نظام DPI.

هناك جانب واحد من التنفيذ لا يعرفه الجميع. في الواقع، يتفاجأ الكثير من الناس عندما يسمعون عن ذلك. هذه هي سلطة التصديق الخاصة (CA). يقوم بإنشاء شهادات لفك تشفير حركة المرور وإعادة تشفيرها.

بدلاً من الاعتماد على الشهادات الموقعة ذاتيًا أو الشهادات من أجهزة DPI، يمكنك استخدام مرجع مصدق مخصص من مرجع مصدق لجهة خارجية مثل GlobalSign. لكن أولاً، دعونا نلقي نظرة عامة بسيطة على المشكلة نفسها.

ما هو فحص SSL ولماذا يتم استخدامه؟

ينتقل المزيد والمزيد من مواقع الويب العامة إلى HTTPS. على سبيل المثال، وفقا ل إحصائيات كروموفي بداية سبتمبر 2019، وصلت حصة حركة المرور المشفرة في روسيا إلى 83%.

يتعارض DPI (فحص SSL) مع مبدأ التشفير، لكن الشركات تنفذه

لسوء الحظ، يتم استخدام تشفير حركة المرور بشكل متزايد من قبل المهاجمين، خاصة وأن Let's Encrypt تقوم بتوزيع الآلاف من شهادات SSL المجانية بطريقة آلية. وبالتالي، يتم استخدام HTTPS في كل مكان - وتوقف القفل الموجود في شريط عنوان المتصفح عن العمل كمؤشر موثوق للأمان.

يقوم مصنعو حلول DPI بالترويج لمنتجاتهم من هذه المواقف. وهي مضمنة بين المستخدمين النهائيين (أي موظفيك الذين يتصفحون الويب) والإنترنت، مما يؤدي إلى تصفية حركة المرور الضارة. هناك عدد من هذه المنتجات في السوق اليوم، ولكن العمليات هي نفسها في الأساس. تمر حركة مرور HTTPS عبر جهاز فحص حيث يتم فك تشفيرها والتحقق من وجود برامج ضارة.

بمجرد اكتمال التحقق، يقوم الجهاز بإنشاء جلسة SSL جديدة مع العميل النهائي لفك تشفير المحتوى وإعادة تشفيره.

كيف تعمل عملية فك التشفير/إعادة التشفير

لكي يتمكن جهاز فحص SSL من فك تشفير الحزم وإعادة تشفيرها قبل إرسالها إلى المستخدمين النهائيين، يجب أن يكون قادرًا على إصدار شهادات SSL بسرعة. وهذا يعني أنه يجب أن يكون مثبتًا عليه شهادة CA.

من المهم للشركة (أو أي شخص في الوسط) أن تكون المتصفحات موثوقة بشهادات SSL هذه (أي لا تؤدي إلى ظهور رسائل تحذير مخيفة مثل تلك الموجودة أدناه). لذلك، يجب أن تكون سلسلة CA (أو التسلسل الهرمي) موجودة في المتجر الموثوق بالمتصفح. ونظرًا لعدم إصدار هذه الشهادات من المراجع المصدقة الموثوق بها بشكل عام، يجب عليك توزيع التسلسل الهرمي لـ CA يدويًا على كافة العملاء النهائيين.

يتعارض DPI (فحص SSL) مع مبدأ التشفير، لكن الشركات تنفذه
رسالة تحذير للشهادة الموقعة ذاتيًا في Chrome. مصدر: BadSSL.com

على أجهزة الكمبيوتر التي تعمل بنظام Windows، يمكنك استخدام Active Directory وسياسات المجموعة، ولكن بالنسبة للأجهزة المحمولة يكون الإجراء أكثر تعقيدًا.

يصبح الوضع أكثر تعقيدا إذا كنت بحاجة إلى دعم شهادات الجذر الأخرى في بيئة الشركة، على سبيل المثال، من Microsoft، أو بناء على OpenSSL. بالإضافة إلى حماية وإدارة المفاتيح الخاصة حتى لا تنتهي صلاحية أي من المفاتيح بشكل غير متوقع.

الخيار الأفضل: شهادة جذر خاصة ومخصصة من جهة خارجية CA

إذا لم تكن إدارة الجذور المتعددة أو الشهادات الموقعة ذاتيًا أمرًا جذابًا، فهناك خيار آخر: الاعتماد على مرجع مصدق من جهة خارجية. في هذه الحالة يتم إصدار الشهادات من نشر مرجع مصدق مرتبط في سلسلة ثقة بمرجع مصدق جذر خاص ومخصص تم إنشاؤه خصيصًا للشركة.

يتعارض DPI (فحص SSL) مع مبدأ التشفير، لكن الشركات تنفذه
بنية مبسطة لشهادات جذر العميل المخصصة

يؤدي هذا الإعداد إلى التخلص من بعض المشكلات المذكورة سابقًا: فهو على الأقل يقلل من عدد الجذور التي تحتاج إلى الإدارة. هنا يمكنك استخدام مرجع جذر خاص واحد فقط لجميع احتياجات PKI الداخلية، مع أي عدد من المراجع المصدقة المتوسطة. على سبيل المثال، يُظهر الرسم البياني أعلاه تسلسلًا هرميًا متعدد المستويات حيث يتم استخدام أحد المراجع المصدقة الوسيطة للتحقق/فك التشفير SSL ويتم استخدام الآخر لأجهزة الكمبيوتر الداخلية (أجهزة الكمبيوتر المحمولة والخوادم وأجهزة الكمبيوتر المكتبية وما إلى ذلك).

في هذا التصميم، ليست هناك حاجة لاستضافة مرجع مصدق (CA) على كافة العملاء نظرًا لأن المرجع المصدق (CA) ذو المستوى الأعلى تتم استضافته بواسطة GlobalSign، الذي يعمل على حل مشكلات حماية المفتاح الخاص وانتهاء الصلاحية.

ميزة أخرى لهذا الأسلوب هي القدرة على إلغاء سلطة فحص SSL لأي سبب من الأسباب. بدلاً من ذلك، يتم ببساطة إنشاء حساب جديد، وهو مرتبط بالجذر الخاص الأصلي الخاص بك، ويمكنك استخدامه على الفور.

على الرغم من كل الجدل، تقوم الشركات بشكل متزايد بتنفيذ فحص حركة مرور SSL كجزء من البنية التحتية الداخلية أو الخاصة لبنية المفاتيح العمومية (PKI). تتضمن الاستخدامات الأخرى لـ PKI الخاص إصدار شهادات لمصادقة الجهاز أو المستخدم، وSSL للخوادم الداخلية، والتكوينات المختلفة غير المسموح بها في الشهادات العامة الموثوقة كما هو مطلوب من قبل CA/Browser Forum.

المتصفحات تقاوم

تجدر الإشارة إلى أن مطوري المتصفحات يحاولون مواجهة هذا الاتجاه وحماية المستخدمين النهائيين من MiTM. على سبيل المثال، قبل بضعة أيام موزيلا اتخاذ قرار قم بتمكين بروتوكول DoH (DNS-over-HTTPS) افتراضيًا في أحد إصدارات المتصفح التالية في Firefox. يخفي بروتوكول DoH استعلامات DNS من نظام DPI، مما يجعل فحص SSL صعبًا.

حول خطط مماثلة 10 سبتمبر 2019 أعلن جوجل لمتصفح كروم.

يتعارض DPI (فحص SSL) مع مبدأ التشفير، لكن الشركات تنفذه

يمكن للمستخدمين المسجلين فقط المشاركة في الاستطلاع. تسجيل الدخول، من فضلك.

هل تعتقد أن للشركة الحق في فحص حركة مرور SSL لموظفيها؟

  • نعم بموافقتهم

  • لا، إن طلب هذه الموافقة أمر غير قانوني و/أو غير أخلاقي

صوّت 122 مستخدمًا. امتنع 15 مستخدما عن التصويت.

المصدر: www.habr.com

إضافة تعليق