ProHoster > وبلاگ > اداره > DPI (بازرسی SSL) برخلاف دانه رمزنگاری است، اما شرکت ها آن را اجرا می کنند

DPI (بازرسی SSL) برخلاف دانه رمزنگاری است، اما شرکت ها آن را اجرا می کنند

DPI (بازرسی SSL) برخلاف دانه رمزنگاری است، اما شرکت ها آن را اجرا می کنند
زنجیره اعتماد. CC BY-SA 4.0 یانپاس

بازرسی ترافیک SSL (رمزگشایی SSL/TLS، تجزیه و تحلیل SSL یا DPI) در حال تبدیل شدن به موضوع داغ بحث در بخش شرکتی است. به نظر می رسد ایده رمزگشایی ترافیک با مفهوم رمزنگاری در تضاد است. با این حال، واقعیت یک واقعیت است: شرکت‌های بیشتری از فناوری‌های DPI استفاده می‌کنند و این را با نیاز به بررسی محتوا برای بدافزار، نشت داده‌ها و غیره توضیح می‌دهند.

خوب، اگر این واقعیت را بپذیریم که چنین فناوری نیاز به پیاده سازی دارد، حداقل باید راه هایی را برای انجام آن به ایمن ترین و مدیریت شده ترین راه ممکن در نظر بگیریم. حداقل به آن گواهی هایی که به عنوان مثال تامین کننده سیستم DPI به شما می دهد اعتماد نکنید.

یک جنبه از پیاده سازی وجود دارد که همه آن را نمی دانند. در واقع، بسیاری از مردم با شنیدن این موضوع واقعا شگفت زده می شوند. این یک مرجع صدور گواهینامه خصوصی (CA) است. گواهی هایی برای رمزگشایی و رمزگذاری مجدد ترافیک تولید می کند.

به‌جای تکیه بر گواهی‌های خودامضا یا گواهی‌های دستگاه‌های DPI، می‌توانید از یک CA اختصاصی از یک مرجع گواهی شخص ثالث مانند GlobalSign استفاده کنید. اما ابتدا اجازه دهید یک بررسی کلی از خود مشکل داشته باشیم.

بازرسی SSL چیست و چرا استفاده می شود؟

وب سایت های عمومی بیشتر و بیشتری به سمت HTTPS می روند. به عنوان مثال، با توجه به آمار کروم، در ابتدای سپتامبر 2019، سهم ترافیک رمزگذاری شده در روسیه به 83٪ رسید.

DPI (بازرسی SSL) برخلاف دانه رمزنگاری است، اما شرکت ها آن را اجرا می کنند

متأسفانه، رمزگذاری ترافیک به طور فزاینده ای توسط مهاجمان مورد استفاده قرار می گیرد، به خصوص که Let’s Encrypt هزاران گواهینامه رایگان SSL را به صورت خودکار توزیع می کند. بنابراین، HTTPS در همه جا استفاده می شود - و قفل در نوار آدرس مرورگر دیگر به عنوان یک شاخص قابل اعتماد از امنیت عمل نمی کند.

تولید کنندگان راه حل های DPI محصولات خود را از این موقعیت ها تبلیغ می کنند. آنها بین کاربران نهایی (یعنی کارمندان شما که در حال مرور وب هستند) و اینترنت جاسازی شده اند و ترافیک مخرب را فیلتر می کنند. امروزه تعدادی از این محصولات در بازار وجود دارد، اما فرآیندها اساساً یکسان است. ترافیک HTTPS از یک دستگاه بازرسی می گذرد و در آنجا رمزگشایی شده و برای بدافزار بررسی می شود.

پس از تکمیل تأیید، دستگاه یک جلسه SSL جدید با مشتری نهایی ایجاد می کند تا محتوا را رمزگشایی و دوباره رمزگذاری کند.

فرآیند رمزگشایی/رمزگذاری مجدد چگونه کار می کند

برای اینکه دستگاه بازرسی SSL بتواند بسته ها را قبل از ارسال به کاربران نهایی رمزگشایی و رمزگذاری مجدد کند، باید بتواند گواهینامه های SSL را در لحظه صادر کند. این بدان معناست که باید گواهینامه CA نصب شده باشد.

برای شرکت (یا هر کسی که در وسط قرار دارد) مهم است که این گواهی‌های SSL مورد اعتماد مرورگرها باشد (یعنی پیام‌های هشدار ترسناک مانند زیر را راه‌اندازی نکنید). بنابراین زنجیره CA (یا سلسله مراتب) باید در فروشگاه اعتماد مرورگر باشد. از آنجایی که این گواهی‌ها از مقامات گواهی مورد اعتماد عمومی صادر نمی‌شوند، باید سلسله مراتب CA را به صورت دستی بین همه مشتریان نهایی توزیع کنید.

DPI (بازرسی SSL) برخلاف دانه رمزنگاری است، اما شرکت ها آن را اجرا می کنند
پیام هشدار برای گواهی خودامضا در Chrome. منبع: BadSSL.com

در رایانه‌های ویندوز، می‌توانید از Active Directory و Group Policies استفاده کنید، اما برای دستگاه‌های تلفن همراه این روش پیچیده‌تر است.

اگر نیاز به پشتیبانی از سایر گواهینامه های ریشه در یک محیط شرکتی، به عنوان مثال، از مایکروسافت یا مبتنی بر OpenSSL داشته باشید، وضعیت حتی پیچیده تر می شود. به علاوه حفاظت و مدیریت کلیدهای خصوصی به طوری که هیچ یک از کلیدها به طور غیر منتظره منقضی نمی شوند.

بهترین گزینه: گواهی ریشه خصوصی و اختصاصی از یک CA شخص ثالث

اگر مدیریت چندین ریشه یا گواهینامه های خودامضا جذاب نیست، گزینه دیگری وجود دارد: تکیه بر یک CA شخص ثالث. در این صورت گواهینامه ها از خصوصی یک CA که در یک زنجیره اعتماد به یک CA ریشه اختصاصی و خصوصی که به طور خاص برای شرکت ایجاد شده است مرتبط است.

DPI (بازرسی SSL) برخلاف دانه رمزنگاری است، اما شرکت ها آن را اجرا می کنند
معماری ساده شده برای گواهی های ریشه مشتری اختصاصی

این راه‌اندازی برخی از مشکلاتی را که قبلاً ذکر شد حذف می‌کند: حداقل تعداد ریشه‌هایی را که باید مدیریت شوند کاهش می‌دهد. در اینجا می‌توانید تنها از یک مرجع خصوصی ریشه برای تمام نیازهای PKI داخلی، با هر تعداد CA میانی استفاده کنید. به عنوان مثال، نمودار بالا یک سلسله مراتب چند سطحی را نشان می دهد که در آن یکی از CA های میانی برای تأیید / رمزگشایی SSL و دیگری برای رایانه های داخلی (لپ تاپ، سرور، دسکتاپ و غیره) استفاده می شود.

در این طراحی، نیازی به میزبانی CA برای همه مشتریان نیست، زیرا CA سطح بالا توسط GlobalSign میزبانی می شود، که حفاظت از کلید خصوصی و مشکلات انقضا را حل می کند.

مزیت دیگر این رویکرد امکان لغو مجوز بازرسی SSL به هر دلیلی است. در عوض، یک مورد جدید به سادگی ایجاد می شود که به ریشه خصوصی اصلی شما گره خورده است و می توانید بلافاصله از آن استفاده کنید.

علیرغم همه بحث‌ها، شرکت‌ها به طور فزاینده‌ای بازرسی ترافیک SSL را به عنوان بخشی از زیرساخت PKI داخلی یا خصوصی خود پیاده‌سازی می‌کنند. سایر کاربردهای PKI خصوصی شامل صدور گواهینامه برای احراز هویت دستگاه یا کاربر، SSL برای سرورهای داخلی و پیکربندی‌های مختلفی است که طبق نیاز انجمن CA/Browser در گواهی‌های مورد اعتماد عمومی مجاز نیستند.

مرورگرها در حال مبارزه هستند

لازم به ذکر است که توسعه دهندگان مرورگر در تلاش برای مقابله با این روند و محافظت از کاربران نهایی در برابر MiTM هستند. مثلا چند روز پیش موزیلا تصمیم گرفت پروتکل DoH (DNS-over-HTTPS) را به طور پیش فرض در یکی از نسخه های مرورگر بعدی در فایرفاکس فعال کنید. پروتکل DoH پرس و جوهای DNS را از سیستم DPI پنهان می کند و بازرسی SSL را دشوار می کند.

درباره برنامه های مشابه 10 سپتامبر 2019 اعلام کرد گوگل برای مرورگر کروم.

DPI (بازرسی SSL) برخلاف دانه رمزنگاری است، اما شرکت ها آن را اجرا می کنند

فقط کاربران ثبت نام شده می توانند در نظرسنجی شرکت کنند. ورود، لطفا.

آیا فکر می کنید یک شرکت حق دارد ترافیک SSL کارکنان خود را بازرسی کند؟

  • بله با رضایت آنها

  • خیر، درخواست چنین رضایتی غیرقانونی و/یا غیراخلاقی است

122 کاربر رای دادند. 15 کاربر رای ممتنع دادند.

منبع: www.habr.com

اضافه کردن نظر