Konfiantza-katea. CC BY-SA 4.0
SSL trafikoaren ikuskapena (SSL/TLS deszifratzea, SSL edo DPI analisia) gero eta eztabaidagai nagusiagoa bihurtzen ari da sektore korporatiboan. Trafikoa deszifratzearen ideiak kriptografiaren kontzeptuarekin kontraesanean dagoela dirudi. Dena den, kontua da: gero eta enpresa gehiagok erabiltzen dituzte DPI teknologiak, eta hori malware, datu-filtrazio eta abarrentzako edukia egiaztatu beharrarekin azaltzen dute.
Beno, teknologia hori ezarri behar dela onartzen badugu, orduan, gutxienez, ahalik eta modu seguruenean eta ondo kudeatuenean egiteko moduak aztertu beharko genituzke. Ez zaitez fidatu, behintzat, DPI sistemaren hornitzaileak ematen dizun ziurtagiri horietan, adibidez.
Bada inplementazioaren alderdi bat denek ezagutzen ez dutena. Izan ere, jende asko harrituta geratzen da horren berri jakitean. Hau ziurtapen-autoritate pribatu bat da (CA). Ziurtagiriak sortzen ditu trafikoa deszifratzeko eta berriro enkriptatzeko.
Norberak sinatutako ziurtagirietan edo DPI gailuen ziurtagirietan oinarritu beharrean, GlobalSign bezalako hirugarrenen ziurtagiri-autoritate baten CA dedikatu bat erabil dezakezu. Baina lehenik eta behin, egin dezagun arazoaren beraren ikuspegi orokorra.
Zer da SSL ikuskapena eta zergatik erabiltzen da?
Gero eta webgune publiko gehiago HTTPSra mugitzen dira. Esaterako, arabera , 2019ko irailaren hasieran, Errusian zifratutako trafikoaren kuota% 83ra iritsi zen.
Zoritxarrez, trafikoaren enkriptatzea gero eta gehiago erabiltzen ari dira erasotzaileek, batez ere Let's Encrypt-ek milaka SSL ziurtagiri doako modu automatizatuan banatzen dituelako. Horrela, HTTPS nonahi erabiltzen da, eta arakatzailearen helbide-barrako giltzarrapoak segurtasunaren adierazle fidagarri gisa balio izateari utzi dio.
DPI soluzioen fabrikatzaileek beren produktuak sustatzen dituzte postu horietatik. Azken erabiltzaileen (hau da, sarean nabigatzen ari diren zure langileen) eta Interneten artean txertatzen dira, trafiko gaiztoa iragazten dute. Gaur egun horrelako produktu ugari daude merkatuan, baina prozesuak berdinak dira funtsean. HTTPS trafikoa ikuskatzeko gailu batetik pasatzen da, non deszifratu eta malwarerik dagoen egiaztatzen da.
Egiaztapena amaitutakoan, gailuak SSL saio berri bat sortzen du azken bezeroarekin edukia deszifratzeko eta berriro enkriptatzeko.
Deszifratze/birzifratze prozesuak nola funtzionatzen duen
SSL ikuskapen-tresnak paketeak deszifratu eta berriro enkriptatzeko azken erabiltzaileei bidali aurretik, SSL ziurtagiriak igortzeko gai izan behar du. Horrek esan nahi du CA ziurtagiria instalatuta izan behar duela.
Garrantzitsua da enpresarentzat (edo erdian dagoenarentzat) SSL ziurtagiri hauek arakatzaileek fidagarriak izatea (hau da, ez abiarazi beheko abisu-mezu beldurgarririk). Beraz, CA katea (edo hierarkia) arakatzailearen konfiantzazko biltegian egon behar du. Ziurtagiri hauek publikoki fidagarriak diren ziurtagiri-autoritateetatik jaulkitzen ez direnez, eskuz banatu behar diezu CA hierarkia amaierako bezero guztiei.
Chrome-n autosinatutako ziurtagiriaren abisu-mezua. Iturria:
Windows-eko ordenagailuetan, Active Directory eta Talde-politikak erabil ditzakezu, baina gailu mugikorretarako prozedura zailagoa da.
Egoera are korapilatsuagoa da beste erro ziurtagiri batzuk onartu behar badituzu ingurune korporatibo batean, adibidez, Microsoft-en edo OpenSSLn oinarrituta. Gainera, gako pribatuen babesa eta kudeaketa, gakoren bat ustekabean iraungi ez dadin.
Aukera onena: hirugarren CA baten erro-ziurtagiri pribatu eta dedikatua
Erro anitz edo autosinatutako ziurtagiriak kudeatzea ez bada erakargarria, badago beste aukera bat: hirugarrenen CA batean fidatzea. Kasu honetan, ziurtagiriak ematen dira pribatua Konfiantza-kate batean lotuta dagoen CA bat, enpresarentzat bereziki sortutako erro pribatuko CA batekin.
Arkitektura sinplifikatua bezeroen erro-ziurtagiri dedikatuetarako
Konfigurazio honek lehen aipatutako arazo batzuk ezabatzen ditu: gutxienez kudeatu behar diren erro kopurua murrizten du. Hemen erro pribatuko autoritate bakarra erabil dezakezu barne PKI behar guztietarako, tarteko edozein CArekin. Adibidez, goiko diagramak maila anitzeko hierarkia bat erakusten du, non tarteko CA bat SSL egiaztatzeko/deszifratzeko erabiltzen den eta bestea barneko ordenagailuetarako (ordenagailu eramangarriak, zerbitzariak, mahaigainak, etab.).
Diseinu honetan, ez dago bezero guztietan CA bat ostatatu beharrik, goi-mailako CA GlobalSign-ek ostatatuta dagoelako, eta horrek gako pribatuen babesa eta iraungitze arazoak konpontzen ditu.
Ikuspegi honen beste abantaila bat edozein arrazoirengatik SSL ikuskatzeko agintaritza baliogabetzeko gaitasuna da. Horren ordez, berri bat sortzen da, zure jatorrizko erro pribatuari lotuta dagoena, eta berehala erabil dezakezu.
Eztabaida guztia izan arren, enpresek gero eta gehiago ezartzen dute SSL trafikoaren ikuskapena beren barneko edo pribatuko PKI azpiegituraren zati gisa. PKI pribatuaren beste erabilera batzuk honako hauek dira: gailu edo erabiltzaileen autentifikaziorako ziurtagiriak igortzea, SSL barne zerbitzarietarako eta ziurtagiri publiko fidagarrietan onartzen ez diren hainbat konfigurazio CA/Browser Forumak eskatzen duen moduan.
Arakatzaileak borrokan ari dira
Kontuan izan behar da arakatzaileen garatzaileak joera horri aurre egiten eta azken erabiltzaileak MiTM-tik babesten saiatzen ari direla. Adibidez, duela egun batzuk Mozilla Gaitu DoH (DNS-over-HTTPS) protokoloa lehenespenez Firefox-en hurrengo arakatzailearen bertsioetako batean. DoH protokoloak DPI sistematik DNS kontsultak ezkutatzen ditu, eta SSL ikuskapena zaila da.
Antzeko planei buruz 10ko irailaren 2019ean Google Chrome arakatzailerako.
Erregistratutako erabiltzaileek soilik parte hartu dezakete inkestan. , mesedez.
Enpresa batek bere langileen SSL trafikoa ikuskatzeko eskubidea duela uste duzu?
-
Bai, haien baimenarekin
-
Ez, baimen hori eskatzea legez kanpokoa eta/edo etikoa ez da
122 erabiltzailek eman dute botoa. 15 erabiltzaile abstenitu ziren.
Iturria: www.habr.com