Traustkeðja. CC BY-SA 4.0
SSL umferðarskoðun (SSL/TLS afkóðun, SSL eða DPI greining) er að verða sífellt heitara umræðuefni í fyrirtækjageiranum. Hugmyndin um að afkóða umferð virðist stangast á við hugmyndina um dulmál. Hins vegar er staðreyndin staðreynd: fleiri og fleiri fyrirtæki nota DPI tækni, sem útskýrir þetta með nauðsyn þess að athuga efni fyrir spilliforrit, gagnaleka osfrv.
Jæja, ef við samþykkjum þá staðreynd að slík tækni þarf að innleiða, þá ættum við að minnsta kosti að íhuga leiðir til að gera það á öruggasta og vel stjórnaða hátt og mögulegt er. Að minnsta kosti ekki treysta á þessi vottorð, til dæmis, sem DPI kerfisbirgir gefur þér.
Það er einn þáttur í framkvæmd sem ekki allir vita um. Reyndar verða margir mjög hissa þegar þeir heyra um það. Þetta er einkavottunaryfirvöld (CA). Það býr til skilríki til að afkóða og dulkóða umferð aftur.
Í stað þess að treysta á sjálfundirrituð vottorð eða vottorð frá DPI tækjum geturðu notað sérstakt CA frá þriðja aðila vottorðayfirvöldum eins og GlobalSign. En fyrst skulum við gera smá yfirlit yfir vandamálið sjálft.
Hvað er SSL skoðun og hvers vegna er það notað?
Fleiri og fleiri opinberar vefsíður flytjast yfir á HTTPS. Til dæmis, skv , í byrjun september 2019 náði hlutur dulkóðaðrar umferðar í Rússlandi 83%.
Því miður er dulkóðun umferðar í auknum mæli notuð af árásarmönnum, sérstaklega þar sem Let's Encrypt dreifir þúsundum ókeypis SSL vottorða á sjálfvirkan hátt. Þannig er HTTPS notað alls staðar - og hengilásinn á veffangastikunni í vafranum er hætt að þjóna sem áreiðanlegur vísbending um öryggi.
Framleiðendur DPI lausna kynna vörur sínar frá þessum stöðum. Þau eru innbyggð á milli endanotenda (þ.e. starfsmanna þinna sem vafra á vefnum) og internetsins og sía út skaðlega umferð. Það er fjöldi slíkra vara á markaðnum í dag, en ferlarnir eru í meginatriðum þeir sömu. HTTPS umferð fer í gegnum skoðunartæki þar sem hún er afkóðuð og könnuð fyrir spilliforrit.
Þegar sannprófuninni er lokið býr tækið til nýja SSL lotu með lokabiðlaranum til að afkóða og dulkóða efnið aftur.
Hvernig afkóðunar-/endurdulkóðunarferlið virkar
Til þess að SSL skoðunartækið geti afkóðað og dulkóðað pakka aftur áður en það er sent til endanotenda verður það að geta gefið út SSL vottorð á flugi. Þetta þýðir að það verður að hafa CA vottorð uppsett.
Það er mikilvægt fyrir fyrirtækið (eða hvern sem er í miðjunni) að vafrar treysti þessum SSL vottorðum (þ.e. kveiki ekki á skelfilegum viðvörunarskilaboðum eins og hér að neðan). Þess vegna verður CA keðjan (eða stigveldið) að vera í traustverslun vafrans. Vegna þess að þessi skírteini eru ekki gefin út frá opinberlega traustum vottorðayfirvöldum, verður þú að dreifa CA stigveldinu handvirkt til allra endabiðlara.
Viðvörunarskilaboð fyrir sjálfundirritað vottorð í Chrome. Heimild:
Á Windows tölvum er hægt að nota Active Directory og Group Policies, en fyrir farsíma er málsmeðferðin flóknari.
Staðan verður enn flóknari ef þú þarft að styðja önnur rótarvottorð í fyrirtækjaumhverfi, til dæmis frá Microsoft, eða byggt á OpenSSL. Auk verndar og umsjón með einkalyklum þannig að einhver af lyklunum rennur ekki út óvænt.
Besti kosturinn: einkarekið, hollt rótarvottorð frá þriðja aðila CA
Ef það er ekki aðlaðandi að hafa umsjón með mörgum rótum eða sjálfundirrituðum vottorðum, þá er annar valkostur: að treysta á þriðja aðila CA. Í þessu tilviki eru skírteini gefin út frá einkaaðila CA sem er tengt í keðju trausts við sérstakan, persónulegan rót CA sem er búið til sérstaklega fyrir fyrirtækið.
Einfaldaður arkitektúr fyrir sérstök rótarvottorð viðskiptavina
Þessi uppsetning útilokar sum vandamálin sem nefnd voru áðan: hún dregur að minnsta kosti úr fjölda róta sem þarf að stjórna. Hér geturðu notað aðeins eina einkarótarheimild fyrir allar innri PKI þarfir, með hvaða fjölda millistigs CA sem er. Til dæmis sýnir skýringarmyndin hér að ofan fjölþrepa stigveldi þar sem eitt af millistigum CA er notað fyrir SSL sannprófun/afkóðun og hitt er notað fyrir innri tölvur (fartölvur, netþjónar, borðtölvur osfrv.).
Í þessari hönnun er engin þörf á að hýsa CA á öllum viðskiptavinum vegna þess að efsta stigs CA er hýst af GlobalSign, sem leysir einkalyklavernd og fyrningarvandamál.
Annar kostur við þessa nálgun er hæfileikinn til að afturkalla SSL skoðunarheimildina af hvaða ástæðu sem er. Í staðinn er einfaldlega búið til ný, sem er bundin við upprunalegu einkarótina þína, og þú getur notað hana strax.
Þrátt fyrir allar deilurnar eru fyrirtæki í auknum mæli að innleiða SSL umferðarskoðun sem hluta af innri eða einka PKI innviði þeirra. Önnur notkun fyrir einka PKI felur í sér útgáfu vottorða fyrir auðkenningu tækis eða notenda, SSL fyrir innri netþjóna og ýmsar stillingar sem eru ekki leyfðar í opinberum traustum vottorðum eins og krafist er af CA/Browser Forum.
Vafrar berjast á móti
Það skal tekið fram að vafraframleiðendur eru að reyna að vinna gegn þessari þróun og vernda notendur frá MiTM. Til dæmis, fyrir nokkrum dögum síðan Mozilla Virkja DoH (DNS-over-HTTPS) samskiptareglur sjálfgefið í einni af næstu vafraútgáfum í Firefox. DoH samskiptareglan felur DNS fyrirspurnir frá DPI kerfinu, sem gerir SSL skoðun erfiða.
Um svipaðar áætlanir 10. september 2019 Google fyrir Chrome vafrann.
Aðeins skráðir notendur geta tekið þátt í könnuninni. , takk.
Telur þú að fyrirtæki hafi rétt á að skoða SSL umferð starfsmanna sinna?
-
Já, með þeirra samþykki
-
Nei, að biðja um slíkt samþykki er ólöglegt og/eða siðlaust
122 notendur kusu. 15 notendur sátu hjá.
Heimild: www.habr.com