Usalduse ahel. CC BY-SA 4.0
SSL-i liikluskontroll (SSL/TLS-i dekrüpteerimine, SSL- või DPI-analüüs) on muutumas korporatiivsektoris üha tulisemaks aruteluteemaks. Liikluse dekrüpteerimise idee näib olevat vastuolus krüptograafia kontseptsiooniga. Kuid fakt on tõsiasi: üha rohkem ettevõtteid kasutab DPI-tehnoloogiaid, selgitades seda vajadusega kontrollida sisu pahavara, andmelekete jms suhtes.
Noh, kui me nõustume tõsiasjaga, et sellist tehnoloogiat on vaja rakendada, siis peaksime vähemalt kaaluma võimalusi, kuidas seda teha võimalikult ohutul ja hästi juhitud viisil. Ärge lootke vähemalt nendele sertifikaatidele, mille DPI süsteemi tarnija teile annab.
Rakendamisel on üks aspekt, millest kõik ei tea. Tegelikult on paljud inimesed sellest kuuldes tõeliselt üllatunud. See on privaatne sertifitseerimisasutus (CA). See genereerib sertifikaate liikluse dekrüpteerimiseks ja uuesti krüpteerimiseks.
Selle asemel, et tugineda iseallkirjastatud sertifikaatidele või DPI-seadmete sertifikaatidele, saate kasutada kolmanda osapoole sertifitseerimisasutuse (nt GlobalSign) spetsiaalset CA-d. Kuid kõigepealt teeme väikese ülevaate probleemist endast.
Mis on SSL-kontroll ja miks seda kasutatakse?
Üha rohkem avalikke veebisaite liigub HTTPS-ile. Näiteks vastavalt , 2019. aasta septembri alguses ulatus krüpteeritud liikluse osakaal Venemaal 83%-ni.
Kahjuks kasutavad ründajad üha enam liikluse krüptimist, eriti kuna Let’s Encrypt jagab tuhandeid tasuta SSL-sertifikaate automatiseeritud viisil. Seega kasutatakse HTTPS-i kõikjal – ja tabalukk brauseri aadressiribal on lakanud toimimast usaldusväärse turvaindikaatorina.
Nendelt positsioonidelt reklaamivad DPI-lahenduste tootjad oma tooteid. Need on manustatud lõppkasutajate (st teie veebi sirvivate töötajate) ja Interneti vahele, filtreerides välja pahatahtliku liikluse. Tänapäeval on turul mitmeid selliseid tooteid, kuid protsessid on sisuliselt samad. HTTPS-liiklus läbib kontrollseadme, kus see dekrüpteeritakse ja kontrollitakse pahavara suhtes.
Kui kinnitamine on lõpule viidud, loob seade sisu dekrüpteerimiseks ja uuesti krüpteerimiseks lõppkliendiga uue SSL-seansi.
Kuidas dekrüpteerimise/uuesti krüpteerimise protsess töötab
Selleks, et SSL-i kontrolliseade saaks paketid enne lõppkasutajatele saatmist dekrüpteerida ja uuesti krüpteerida, peab see suutma SSL-sertifikaate käigupealt väljastada. See tähendab, et sellel peab olema installitud CA sertifikaat.
Ettevõtte jaoks (või kes iganes on) on oluline, et brauserid usaldaksid neid SSL-sertifikaate (st ei käivitaks selliseid hirmutavaid hoiatussõnumeid, nagu allpool). Seetõttu peab CA kett (või hierarhia) olema brauseri usaldussalves. Kuna neid sertifikaate ei väljasta avalikult usaldusväärsed sertifitseerimisasutused, peate CA-hierarhiat käsitsi levitama kõigile lõppklientidele.
Hoiatussõnum iseallkirjastatud sertifikaadi kohta Chrome'is. Allikas:
Windowsi arvutites saate kasutada Active Directory- ja rühmapoliitikaid, kuid mobiilseadmete puhul on protseduur keerulisem.
Olukord muutub veelgi keerulisemaks, kui teil on vaja ettevõtte keskkonnas toetada muid juursertifikaate, näiteks Microsoftilt või OpenSSL-i baasil. Lisaks privaatvõtmete kaitse ja haldamine, et ükski võti ootamatult ei aeguks.
Parim valik: privaatne spetsiaalne juursertifikaat kolmanda osapoole CA-lt
Kui mitme juur- või iseallkirjastatud sertifikaadi haldamine ei ole ahvatlev, on veel üks võimalus: tugineda kolmanda osapoole CA-le. Sel juhul väljastatakse sertifikaate alates privaatne CA, mis on usaldusahelas lingitud spetsiaalselt ettevõtte jaoks loodud privaatse juur-CAga.
Spetsiaalse kliendi juursertifikaatide lihtsustatud arhitektuur
See seadistus kõrvaldab mõned varem mainitud probleemid: see vähendab vähemalt hallatavate juurte arvu. Siin saate kõigi sisemiste PKI-vajaduste jaoks kasutada ainult ühte privaatset juurasutust koos mis tahes arvu vahepealsete CA-dega. Näiteks ülaltoodud diagrammil on kujutatud mitmetasandiline hierarhia, kus ühte vahepealsetest CA-dest kasutatakse SSL-i kontrollimiseks/dekrüpteerimiseks ja teist sisemiste arvutite jaoks (sülearvutid, serverid, lauaarvutid jne).
Selles konstruktsioonis ei ole vaja kõigi klientide CA-d majutada, kuna tipptasemel CA-d hostib GlobalSign, mis lahendab privaatvõtme kaitse ja aegumise probleemid.
Selle lähenemisviisi teine eelis on võimalus tühistada SSL-i kontrolliasutus mis tahes põhjusel. Selle asemel luuakse lihtsalt uus, mis on seotud teie algse privaatjuurega ja saate seda kohe kasutada.
Kõigist vastuoludest hoolimata rakendavad ettevõtted üha enam SSL-i liikluskontrolli osana oma sisemisest või privaatsest PKI infrastruktuurist. Muud privaatsete PKI kasutusalad hõlmavad sertifikaatide väljastamist seadme või kasutaja autentimiseks, SSL-i sisemiste serverite jaoks ja mitmesuguseid konfiguratsioone, mis ei ole lubatud avalikes usaldusväärsetes sertifikaatides, nagu nõuab CA/brauseri foorum.
Brauserid võitlevad vastu
Tuleb märkida, et brauseri arendajad püüavad sellele suundumusele vastu seista ja lõppkasutajaid MiTM-i eest kaitsta. Näiteks mõni päev tagasi Mozilla Lubage vaikimisi DoH (DNS-over-HTTPS) protokoll ühes järgmistest Firefoxi brauseri versioonidest. DoH-protokoll peidab DNS-päringud DPI-süsteemist, muutes SSL-i kontrolli keeruliseks.
Sarnastest plaanidest 10 Google Chrome'i brauseri jaoks.
Küsitluses saavad osaleda ainult registreerunud kasutajad. palun.
Kas teie arvates on ettevõttel õigus kontrollida oma töötajate SSL-liiklust?
-
Jah, nende nõusolekul
-
Ei, sellise nõusoleku küsimine on ebaseaduslik ja/või ebaeetiline
122 kasutajat hääletas. 15 kasutajat jäi erapooletuks.
Allikas: www.habr.com