Bizalmi lánc. CC BY-SA 4.0
Az SSL forgalomellenőrzés (SSL/TLS visszafejtés, SSL vagy DPI elemzés) egyre forróbb vitatéma a vállalati szektorban. Úgy tűnik, hogy a forgalom visszafejtésének ötlete ellentmond a kriptográfia fogalmának. A tény azonban tény: egyre több cég használ DPI technológiát, ami azzal magyarázható, hogy ellenőrizni kell a tartalomban a rosszindulatú programokat, az adatszivárgást stb.
Nos, ha elfogadjuk azt a tényt, hogy egy ilyen technológiát be kell vezetni, akkor legalább meg kell fontolnunk, hogyan tegyük ezt a lehető legbiztonságosabb és legjobban menedzselt módon. Legalább ne hagyatkozzon például azokra a tanúsítványokra, amelyeket a DPI rendszer szállítója ad Önnek.
A megvalósításnak van egy aspektusa, amelyről nem mindenki tud. Valójában sokan meglepődnek, amikor hallanak róla. Ez egy privát hitelesítés-szolgáltató (CA). Tanúsítványokat generál a forgalom visszafejtéséhez és újratitkosításához.
Ahelyett, hogy önaláírt tanúsítványokra vagy DPI-eszközök tanúsítványaira hagyatkozna, használhat egy dedikált CA-t egy harmadik fél hitelesítésszolgáltatójától, például a GlobalSign-től. Először azonban tekintsük át magát a problémát.
Mi az SSL ellenőrzés és miért használják?
Egyre több nyilvános webhely tér át HTTPS-re. Például szerint , 2019. szeptember elején a titkosított forgalom aránya Oroszországban elérte a 83%-ot.
Sajnos a forgalom titkosítását egyre gyakrabban használják a támadók, különösen amióta a Let’s Encrypt ingyenes SSL-tanúsítványok ezreit terjeszti automatizált módon. Így a HTTPS-t mindenhol használják – és a böngésző címsorában lévő lakat már nem szolgált a biztonság megbízható jelzőjeként.
A DPI-megoldások gyártói ezekről a pozíciókról reklámozzák termékeiket. A végfelhasználók (azaz a weben böngésző alkalmazottak) és az internet közé vannak beágyazva, kiszűrve a rosszindulatú forgalmat. Ma már számos ilyen termék van a piacon, de a folyamatok lényegében megegyeznek. A HTTPS-forgalom egy ellenőrző eszközön halad át, ahol visszafejtik, és ellenőrzik, hogy nem tartalmaz-e rosszindulatú programokat.
Az ellenőrzés befejezése után az eszköz új SSL-munkamenetet hoz létre a végklienssel a tartalom visszafejtéséhez és újratitkosításához.
Hogyan működik a visszafejtési/újratitkosítási folyamat
Ahhoz, hogy az SSL-ellenőrző készülék visszafejtse és újratitkosítsa a csomagokat, mielőtt elküldi azokat a végfelhasználóknak, képesnek kell lennie az SSL-tanúsítványok menet közbeni kiadására. Ez azt jelenti, hogy telepíteni kell egy CA-tanúsítványt.
A vállalat (vagy bárki, aki a középpontban van) számára fontos, hogy a böngészők megbízhatóak legyenek ezekben az SSL-tanúsítványokban (azaz ne váltsanak ki olyan ijesztő figyelmeztető üzeneteket, mint az alábbi). Ezért a CA-láncnak (vagy hierarchiának) a böngésző megbízhatósági tárolójában kell lennie. Mivel ezeket a tanúsítványokat nem nyilvánosan megbízható tanúsító hatóságok bocsátották ki, manuálisan kell szétosztania a CA-hierarchiát az összes végügyfél számára.
Figyelmeztető üzenet az önaláírt tanúsítványhoz a Chrome-ban. Forrás:
Windows rendszerű számítógépeken használhatja az Active Directory-t és a csoportházirendeket, de mobileszközök esetén az eljárás bonyolultabb.
A helyzet még bonyolultabbá válik, ha más gyökértanúsítványokat kell támogatnia vállalati környezetben, például a Microsofttól, vagy OpenSSL alapú. Plusz a privát kulcsok védelme és kezelése, hogy valamelyik kulcs ne járjon le váratlanul.
A legjobb lehetőség: privát, dedikált gyökértanúsítvány egy harmadik fél CA-tól
Ha több gyökér vagy önaláírt tanúsítvány kezelése nem vonzó, van egy másik lehetőség: egy harmadik féltől származó CA-ra hagyatkozni. Ebben az esetben az igazolásokat a következő időponttól állítják ki magán olyan CA, amely bizalmi láncban kapcsolódik egy dedikált, privát gyökér CA-hoz, amelyet kifejezetten a vállalat számára hoztak létre.
Egyszerűsített architektúra a dedikált kliens gyökértanúsítványokhoz
Ez a beállítás kiküszöböl néhány korábban említett problémát: legalább csökkenti a kezelendő gyökerek számát. Itt egyetlen privát root jogosultságot használhat az összes belső PKI-szükséglethez, tetszőleges számú köztes hitelesítésszolgáltatóval. Például a fenti diagram egy többszintű hierarchiát mutat be, ahol az egyik köztes CA-t az SSL ellenőrzésére/visszafejtésére, a másikat pedig belső számítógépekre (laptopok, szerverek, asztali számítógépek stb.) használják.
Ebben a kialakításban nincs szükség minden ügyfélen CA-t hosztolni, mivel a legfelső szintű CA-t a GlobalSign üzemelteti, amely megoldja a privát kulcsok védelmével és lejáratával kapcsolatos problémákat.
Ennek a megközelítésnek egy másik előnye az SSL-ellenőrzési jogosultság bármilyen okból történő visszavonása. Ehelyett egyszerűen létrejön egy új, amely az eredeti privát gyökérhez van kötve, és azonnal használhatja.
Minden ellentmondás ellenére a vállalatok egyre gyakrabban alkalmazzák az SSL forgalomellenőrzést belső vagy privát PKI infrastruktúrájuk részeként. A privát PKI egyéb felhasználási területei közé tartozik az eszköz- vagy felhasználó-hitelesítési tanúsítványok kiadása, a belső szerverek SSL-je, valamint a CA/Browser Forum által megkövetelt nyilvános megbízható tanúsítványokban nem engedélyezett különféle konfigurációk.
A böngészők visszavágnak
Meg kell jegyezni, hogy a böngészőfejlesztők igyekeznek szembeszállni ezzel a tendenciával, és megvédik a végfelhasználókat a MiTM-től. Például néhány napja a Mozilla Alapértelmezés szerint engedélyezze a DoH (DNS-over-HTTPS) protokollt a Firefox következő böngészőverzióinak egyikében. A DoH protokoll elrejti a DNS-lekérdezéseket a DPI rendszer elől, megnehezítve az SSL ellenőrzést.
Hasonló tervekről 10. szeptember 2019 Google a Chrome böngészőhöz.
A felmérésben csak regisztrált felhasználók vehetnek részt. , kérem.
Ön szerint egy cégnek joga van ellenőrizni alkalmazottai SSL-forgalmát?
-
Igen, az ő beleegyezésükkel
-
Nem, ilyen hozzájárulás kérése jogellenes és/vagy etikátlan
122 felhasználó szavazott. 15 felhasználó tartózkodott.
Forrás: will.com