DPI (SSL-i kontroll) on vastuolus krüptograafia olemusega, kuid ettevõtted rakendavad seda.

DPI (SSL-i kontroll) on vastuolus krüptograafia olemusega, kuid ettevõtted rakendavad seda.
Usaldusvõrk. CC BY-SA 4.0 Yanpas

SSL-i liikluse kontroll (SSL/TLS-i dekrüpteerimine, SSL-i analüüs või DPI) on üha kuum teema ettevõtete sektoris. Tundub, et liikluse dekrüpteerimise idee on vastuolus krüptograafia enda kontseptsiooniga. Kuid fakt on fakt: üha rohkem ettevõtteid kasutab DPI-tehnoloogiaid, põhjendades seda vajadusega kontrollida sisu pahavara, andmelekkete jne suhtes.

Kui võtta fakti, et sellist tehnoloogiat on tõesti vajalik rakendada, siis tuleks vähemalt kaaluda, kuidas seda kõige turvalisemal ja paremini hallataval viisil teha. Ära tohi toetuda näiteks neile sertifikaatidele, mida annab teile DPI-süsteemi tarnija.

On olemas üks rakenduse aspekt, millest kõik ei tea. Tegelikult üllatab see paljusid, kui nad sellest kuulevad. See on privaatne sertifitseerimiskeskus (PKS). See genereerib sertifikaate liikluse dekrüpteerimiseks ja uuesti krüpteerimiseks.

Kuna selle asemel, et toetuda iseeneslikele sertifikaatidele või DPI-seadmest saadud sertifikaatidele, saate kasutada eraldi CA-d kolmanda osapoole sertifitseerimiskeskusest, nagu GlobalSign. Aga esmalt teeme väikese ülevaate probleemist endas.

Mis on SSL-i ülevaatus ja miks seda kasutatakse?

Üha rohkem avalikke veebisaite liigub HTTPS-i peale. Näiteks Chrome'i statistika, septembri alguseks 2019. aastal oli Venemaa krüptitud liikluse osakaal jõudnud 83%-ni.

DPI (SSL-i kontroll) on vastuolus krüptograafia olemusega, kuid ettevõtted rakendavad seda.

Kahjuks kasutavad kurjategijad üha enam liikluse krüpteerimist, eriti kuna Let’s Encrypt jagab tasuta SSL-sertifikaate automaatrežiimis tuhandeid. Seega kasutatakse HTTPS-i laialdaselt — ja aadressiribal olev lukk ei ole enam usaldusväärne turvalisuse indikaator.

Nendest positsioonidest edendavad oma tooteid DPI lahenduste tootjad. Need paigaldatakse lõppkasutajate (st teie töötajate, kes sirvivad veebilehti) ja Interneti vahele, filtreerides välja pahatahtliku liikluse. Täna on turul mitmeid selliseid tooteid, kuid protsessid on olemuselt sarnased. HTTPS liiklus läbib seadme kontrollimist, kus see dekodeeritakse ja kontrollitakse pahavara suhtes.

Pärast kontrollimise lõpetamist loob seade lõppkasutajaga uue SSL-seansi sisu dekodeerimiseks ja uuesti krüpteerimiseks.

Kuidas töötab dekodeerimise / uuesti krüpteerimise protsess

Kuna SSL-inspektsiooni seade peab dekodeerima ja uuesti krüpteerima pakette enne nende edastamist lõppkasutajatele, peab see olema võimeline välja andma SSL-sertifikaate reaalajas. See tähendab, et sellel peab olema installeeritud CA sertifikaat.

Ettevõtte (või muu isiku) jaoks on oluline, et need SSL-sertifikaadid oleksid brauserites usaldusväärsed (st ei tekitaks hirmuäratavaid hoiatussõnumeid, nagu allpool toodud). Seetõttu peab CA ahel (või hierarhia) olema brauseri usaldusreservis. Kuna need sertifikaadid ei väljastata avalikest usaldusväärsetest sertifitseerimiskeskustest, on vaja hierarhiad käsitsi edastada kõikidele lõppkasutajatele.

DPI (SSL-i kontroll) on vastuolus krüptograafia olemusega, kuid ettevõtted rakendavad seda.
Hoiatussõnum iseseisva sertifikaadi kohta Chromes. Allikas: BadSSL.com

Windowsi arvutites saab kasutada Active Directoryt ja grupipoliitikaid, kuid mobiilsete seadmete puhul on protseduur keerulisem.

Küsimus läheb veel keerulisemaks, kui tuleb hallata ka ettevõtte keskkonnas teisi juureretseptoreid, näiteks Microsoftilt või OpenSSL põhjal. Lisaks on vajalik salajaste võtmete kaitse ja haldamine, et mingi võtme kehtivusaeg ei lõppeks ootamatult.

Parim lahendus: eraldi, spetsiaalne juuresertifikaat kolmandalt osapoolelt.

Kui mitme juure või isesignitud sertifikaatide haldamine ei ole atraktiivne, siis on ka teine võimalus: võite toetuda kolmanda osapoole sertifitseerimisasutusele. Sel juhul väljastatakse sertifikaadid privaatse sertifitseerimisasutuse, mis on usaldusketis seotud spetsiaalselt ettevõtte jaoks loodud eraldiseisva privaatse juure sertifitseerimiskeskusega.

DPI (SSL-i kontroll) on vastuolus krüptograafia olemusega, kuid ettevõtted rakendavad seda.
Lihtsustatud arhitektuur eraldiseisvatele kliendi juuresertifikaatidele

Selline seadistus kõrvaldab mõned varem mainitud probleemid: vähemalt vähendab haldamiseks vajalike juurte arvu. Siin saab kasutada ainult ühte privaatset juure sertifitseerimiskeskust kõigi sisemiste PKI vajaduste jaoks koos mis tahes arvu vahe-sertifitseerimiskeskustega. Näiteks näitab eespool toodud diagramm mitmetasandilist hierarhiat, kus üks vahe-sertifitseerimiskeskus kasutatakse SSL-i kontrollimiseks/dekrüpteerimiseks, ja teine on mõeldud siseruumide arvutitele (nutikatele, serveritele, lauaarvutitele jne.).

Selles skeemis ei pea CA-d paigaldama kõigile klientidele, kuna tipp-taseme CA asub GlobalSign'is, mis lahendab privaatse võtme kaitsmise ja kehtivuse probleeme.

Teine kasu sellest lähenemisest on võimalus tagada SSL-i kontrollimise sertifikaat mis tahes põhjusel. Selle asemel luuakse lihtsalt uus, mis sidub teie algse privaatse juurega, ja seda saab kohe kasutada.

Hoolimata kõigist vastuoludest rakendavad ettevõtted üha enam SSL-i liikluse kontrollimist kui osa sisemisest või privaatsetest PKI infrastruktuuridest. Muud privaatsuse PKI kasutusvõimalused hõlmavad sertifikaatide väljastamist seadmete või kasutajate autentimiseks, SSL-i sisemistele serveritele ning erinevaid konfiguratsioone, mis ei ole avalikes usaldusväärsetes sertifikaatides CA/Browser Forumi nõuete kohaselt lubatud.

Brauserid vastanduvad

Tuleb märkida, et brauseriarendajad üritavad sellele suundumusele vastu seista ja kaitsta lõppkasutajaid MiTM-i eest. Näiteks paar päeva tagasi otsustas Mozilla teha otsuse Aktiveeri vaikimisi DoH (DNS-over-HTTPS) protokoll mõnes järgmistest Firefox'i brauseri versioonidest. DoH protokoll peidab DNS-päringud DPI-süsteemi eest, raskendades SSL-i kontrollimist.

Sarnaste plaanide kohta 10. septembril 2019. teatas ettevõttelt Google Chrome'i brauserile.

DPI (SSL-i kontroll) on vastuolus krüptograafia olemusega, kuid ettevõtted rakendavad seda.

Ainult registreeritud kasutajad saavad küsitluses osaleda. Logige sisse, palun.

Kuidas arvate, kas ettevõttel on õigus kontrollida oma töötajate SSL-liiklust?

  • Jah, nende nõusolekul.

  • Ei, sellise nõusoleku küsimine on ebaseaduslik ja/või ebaeetiline.

Hääletas 122 kasutajat. Kaalusid 15 kasutajat.

Allikas: habr.com

Osta usaldusväärne veebihosting DDoS kaitsega, VPS VDS serverid 🔥 Osta usaldusväärne veebihosting DDoS kaitsega, VPS VDS serverid | ProHoster