ডিপিআই (এসএসএল পরিদর্শন) ক্রিপ্টোগ্রাফির শস্যের বিরুদ্ধে যায়, কিন্তু কোম্পানিগুলি এটি বাস্তবায়ন করছে

বিশ্বাসের চেইন। CC BY-SA 4.0 ইয়ানপাস

SSL ট্রাফিক পরিদর্শন (SSL/TLS ডিক্রিপশন, SSL বা DPI বিশ্লেষণ) কর্পোরেট সেক্টরে আলোচনার ক্রমবর্ধমান আলোচিত বিষয় হয়ে উঠছে। ট্র্যাফিক ডিক্রিপ্ট করার ধারণাটি ক্রিপ্টোগ্রাফির ধারণার সাথে সাংঘর্ষিক বলে মনে হচ্ছে। যাইহোক, ঘটনাটি একটি সত্য: ম্যালওয়্যার, ডেটা ফাঁস ইত্যাদির জন্য বিষয়বস্তু পরীক্ষা করার প্রয়োজনীয়তার দ্বারা আরও বেশি সংখ্যক কোম্পানি DPI প্রযুক্তি ব্যবহার করছে।

ঠিক আছে, যদি আমরা এই সত্যটি গ্রহণ করি যে এই জাতীয় প্রযুক্তি প্রয়োগ করা দরকার, তবে আমাদের অন্ততপক্ষে এটিকে সবচেয়ে নিরাপদ এবং সবচেয়ে সু-পরিচালিত উপায়ে করার উপায়গুলি বিবেচনা করা উচিত। অন্তত সেই শংসাপত্রগুলির উপর নির্ভর করবেন না, উদাহরণস্বরূপ, DPI সিস্টেম সরবরাহকারী আপনাকে দেয়।

বাস্তবায়নের একটি দিক আছে যা সবাই জানে না। আসলে, অনেকেই এটা শুনে সত্যিই অবাক হয়ে যায়। এটি একটি প্রাইভেট সার্টিফিকেশন অথরিটি (CA)। এটি ট্র্যাফিক ডিক্রিপ্ট এবং পুনরায় এনক্রিপ্ট করার জন্য শংসাপত্র তৈরি করে।

DPI ডিভাইস থেকে স্ব-স্বাক্ষরিত শংসাপত্র বা শংসাপত্রের উপর নির্ভর করার পরিবর্তে, আপনি গ্লোবাল সাইনের মতো তৃতীয় পক্ষের শংসাপত্র কর্তৃপক্ষের কাছ থেকে একটি উত্সর্গীকৃত CA ব্যবহার করতে পারেন। কিন্তু প্রথম, আসুন সমস্যা নিজেই একটু ওভারভিউ করতে.

SSL পরিদর্শন কি এবং কেন এটি ব্যবহার করা হয়?

আরও বেশি করে পাবলিক ওয়েবসাইট HTTPS-এ চলে যাচ্ছে। উদাহরণস্বরূপ, অনুযায়ী ক্রোম পরিসংখ্যান, সেপ্টেম্বর 2019 এর শুরুতে, রাশিয়ায় এনক্রিপ্ট করা ট্রাফিকের ভাগ 83% এ পৌঁছেছে।

দুর্ভাগ্যবশত, ট্রাফিক এনক্রিপশন আক্রমণকারীদের দ্বারা ক্রমবর্ধমানভাবে ব্যবহার করা হচ্ছে, বিশেষ করে যেহেতু Let’s Encrypt একটি স্বয়ংক্রিয় পদ্ধতিতে হাজার হাজার বিনামূল্যের SSL সার্টিফিকেট বিতরণ করে। সুতরাং, HTTPS সর্বত্র ব্যবহৃত হয় - এবং ব্রাউজার ঠিকানা বারে প্যাডলক নিরাপত্তার একটি নির্ভরযোগ্য সূচক হিসাবে কাজ করা বন্ধ করে দিয়েছে।

ডিপিআই সলিউশনের নির্মাতারা এই অবস্থান থেকে তাদের পণ্যের প্রচার করে। এগুলি শেষ ব্যবহারকারীদের (যেমন আপনার কর্মচারীরা ওয়েব ব্রাউজ করছে) এবং ইন্টারনেটের মধ্যে এম্বেড করা হয়েছে, ক্ষতিকারক ট্র্যাফিক ফিল্টার করে৷ বাজারে আজ এই ধরনের অনেক পণ্য আছে, কিন্তু প্রক্রিয়াগুলি মূলত একই। HTTPS ট্র্যাফিক একটি পরিদর্শন ডিভাইসের মধ্য দিয়ে যায় যেখানে এটি ডিক্রিপ্ট করা হয় এবং ম্যালওয়্যারের জন্য পরীক্ষা করা হয়।

যাচাইকরণ সম্পূর্ণ হলে, ডিভাইসটি শেষ ক্লায়েন্টের সাথে বিষয়বস্তুকে ডিক্রিপ্ট এবং পুনরায় এনক্রিপ্ট করতে একটি নতুন SSL সেশন তৈরি করে।

ডিক্রিপশন/রি-এনক্রিপশন প্রক্রিয়া কীভাবে কাজ করে

শেষ ব্যবহারকারীদের কাছে পাঠানোর আগে প্যাকেটগুলিকে ডিক্রিপ্ট এবং পুনরায় এনক্রিপ্ট করার জন্য SSL পরিদর্শন যন্ত্রের জন্য, এটি অবশ্যই ফ্লাইতে SSL শংসাপত্র জারি করতে সক্ষম হবে। এর মানে হল যে এটিতে একটি CA সার্টিফিকেট ইনস্টল থাকতে হবে।

কোম্পানির (অথবা মধ্যম যে কেউ) জন্য এটা গুরুত্বপূর্ণ যে এই SSL সার্টিফিকেটগুলি ব্রাউজার দ্বারা বিশ্বস্ত (অর্থাৎ, নিচের মত ভয়ঙ্কর সতর্কবার্তা ট্রিগার করবেন না)। তাই CA চেইন (বা অনুক্রম) অবশ্যই ব্রাউজারের ট্রাস্ট স্টোরে থাকতে হবে। যেহেতু এই শংসাপত্রগুলি সর্বজনীনভাবে বিশ্বস্ত শংসাপত্র কর্তৃপক্ষের কাছ থেকে জারি করা হয় না, তাই আপনাকে অবশ্যই সমস্ত শেষ ক্লায়েন্টদের কাছে CA অনুক্রমটি ম্যানুয়ালি বিতরণ করতে হবে।

Chrome-এ স্ব-স্বাক্ষরিত শংসাপত্রের জন্য সতর্কতা বার্তা৷ উৎস: BadSSL.com

На компьютерах с Windows можно задействовать Active Directory и групповые политики, но для мобильных устройств процедура сложнее.

আপনার যদি কর্পোরেট পরিবেশে অন্যান্য রুট সার্টিফিকেট সমর্থন করার প্রয়োজন হয়, উদাহরণস্বরূপ, Microsoft থেকে, বা OpenSSL-এর উপর ভিত্তি করে পরিস্থিতি আরও জটিল হয়ে ওঠে। এছাড়াও ব্যক্তিগত কীগুলির সুরক্ষা এবং পরিচালনা যাতে কোনও কী অপ্রত্যাশিতভাবে মেয়াদোত্তীর্ণ না হয়।

সর্বোত্তম বিকল্প: তৃতীয় পক্ষের CA থেকে ব্যক্তিগত, উত্সর্গীকৃত মূল শংসাপত্র

যদি একাধিক রুট বা স্ব-স্বাক্ষরিত শংসাপত্রগুলি পরিচালনা করা আবেদনময় না হয়, তবে আরেকটি বিকল্প রয়েছে: তৃতীয় পক্ষের CA-এর উপর নির্ভর করা। এই ক্ষেত্রে, থেকে সার্টিফিকেট জারি করা হয় ব্যক্তিগত একটি CA যা কোম্পানির জন্য বিশেষভাবে তৈরি করা একটি উত্সর্গীকৃত, ব্যক্তিগত রুট CA-এর সাথে বিশ্বাসের একটি শৃঙ্খলে যুক্ত।

ডেডিকেটেড ক্লায়েন্ট রুট সার্টিফিকেটের জন্য সরলীকৃত আর্কিটেকচার

এই সেটআপটি আগে উল্লিখিত কিছু সমস্যা দূর করে: কমপক্ষে এটি পরিচালনা করা প্রয়োজন এমন শিকড়ের সংখ্যা হ্রাস করে। এখানে আপনি সমস্ত অভ্যন্তরীণ PKI প্রয়োজনের জন্য শুধুমাত্র একটি ব্যক্তিগত রুট অথরিটি ব্যবহার করতে পারেন, যেকোনো সংখ্যক মধ্যবর্তী CA সহ। উদাহরণস্বরূপ, উপরের চিত্রটি একটি বহু-স্তরের শ্রেণিবিন্যাস দেখায় যেখানে মধ্যবর্তী CAগুলির একটি SSL যাচাইকরণ/ডিক্রিপশনের জন্য ব্যবহৃত হয় এবং অন্যটি অভ্যন্তরীণ কম্পিউটারগুলির (ল্যাপটপ, সার্ভার, ডেস্কটপ, ইত্যাদি) জন্য ব্যবহৃত হয়।

এই ডিজাইনে, সমস্ত ক্লায়েন্টের জন্য একটি CA হোস্ট করার প্রয়োজন নেই কারণ শীর্ষ-স্তরের CA GlobalSign দ্বারা হোস্ট করা হয়, যা ব্যক্তিগত কী সুরক্ষা এবং মেয়াদ শেষ হওয়ার সমস্যাগুলি সমাধান করে৷

এই পদ্ধতির আরেকটি সুবিধা হল যে কোনো কারণে SSL পরিদর্শন কর্তৃপক্ষকে প্রত্যাহার করার ক্ষমতা। পরিবর্তে, একটি নতুন তৈরি করা হয়েছে, যা আপনার আসল ব্যক্তিগত রুটের সাথে আবদ্ধ, এবং আপনি অবিলম্বে এটি ব্যবহার করতে পারেন।

সমস্ত বিতর্ক সত্ত্বেও, উদ্যোগগুলি তাদের অভ্যন্তরীণ বা ব্যক্তিগত PKI অবকাঠামোর অংশ হিসাবে SSL ট্রাফিক পরিদর্শন ক্রমবর্ধমানভাবে বাস্তবায়ন করছে। ব্যক্তিগত PKI-এর অন্যান্য ব্যবহারগুলির মধ্যে রয়েছে ডিভাইস বা ব্যবহারকারীর প্রমাণীকরণের জন্য সার্টিফিকেট প্রদান করা, অভ্যন্তরীণ সার্ভারের জন্য SSL এবং বিভিন্ন কনফিগারেশন যা CA/ব্রাউজার ফোরামের প্রয়োজন অনুযায়ী সর্বজনীন বিশ্বস্ত শংসাপত্রে অনুমোদিত নয়।

ব্রাউজাররা লড়াই করছে

এটা উল্লেখ করা উচিত যে ব্রাউজার ডেভেলপাররা এই প্রবণতাকে মোকাবেলা করার এবং MiTM থেকে শেষ ব্যবহারকারীদের রক্ষা করার চেষ্টা করছে। যেমন কয়েকদিন আগে মজিলা একটি সিদ্ধান্ত নিয়েছে Firefox-এর পরবর্তী ব্রাউজার সংস্করণগুলির একটিতে ডিফল্টরূপে DoH (DNS-over-HTTPS) প্রোটোকল সক্ষম করুন৷ DoH প্রোটোকল DPI সিস্টেম থেকে DNS প্রশ্ন লুকিয়ে রাখে, SSL পরিদর্শনকে কঠিন করে তোলে।

10 সেপ্টেম্বর, 2019-এর অনুরূপ পরিকল্পনা সম্পর্কে ঘোষণা ক্রোম ব্রাউজারের জন্য গুগল।

শুধুমাত্র নিবন্ধিত ব্যবহারকারীরা জরিপে অংশগ্রহণ করতে পারবেন। সাইন ইন করুনকরুন।

আপনি কি মনে করেন একটি কোম্পানির তার কর্মীদের SSL ট্রাফিক পরিদর্শন করার অধিকার আছে?

• হ্যাঁ, তাদের সম্মতিতে

• না, এই ধরনের সম্মতি চাওয়া অবৈধ এবং/বা অনৈতিক

122 জন ব্যবহারকারী ভোট দিয়েছেন। 15 জন ব্যবহারকারী বিরত ছিলেন।

উত্স: www.habr.com