Rante kapercayan. CC BY-SA 4.0
Pemeriksaan lalu lintas SSL (dekripsi SSL/TLS, SSL utawa analisis DPI) dadi topik diskusi sing tambah panas ing sektor perusahaan. Gagasan dekripsi lalu lintas katon bertentangan karo konsep kriptografi. Nanging, kasunyatane minangka kasunyatan: luwih akeh perusahaan nggunakake teknologi DPI, nerangake iki kanthi kudu mriksa konten kanggo malware, bocor data, lsp.
Inggih, yen kita nampa kasunyatan sing teknologi kuwi kudu dileksanakake, banjur kita kudu paling sethithik nimbang cara kanggo nindakaken ing cara paling aman lan paling apik bisa ngatur. Paling ora ngandelake sertifikat kasebut, contone, sing diwenehake dening supplier sistem DPI.
Ana siji aspek implementasine sing ora kabeh wong ngerti. Nyatane, akeh wong sing kaget banget nalika krungu babagan iki. Iki minangka otoritas sertifikasi pribadi (CA). Iki ngasilake sertifikat kanggo dekripsi lan enkripsi ulang lalu lintas.
Tinimbang ngandelake sertifikat utawa sertifikat sing ditandatangani dhewe saka piranti DPI, sampeyan bisa nggunakake CA khusus saka panguwasa sertifikat pihak katelu kayata GlobalSign. Nanging pisanan, ayo nggawe ringkesan cilik babagan masalah kasebut.
Apa inspeksi SSL lan kenapa digunakake?
Luwih akeh situs web umum sing pindhah menyang HTTPS. Contone, miturut , ing awal September 2019, pangsa lalu lintas enkripsi ing Rusia tekan 83%.
Sayange, enkripsi lalu lintas saya akeh digunakake dening panyerang, utamane amarga Let's Encrypt nyebarake ewonan sertifikat SSL gratis kanthi otomatis. Mangkono, HTTPS digunakake ing endi wae - lan gembok ing bilah alamat browser wis mandheg dadi indikator keamanan sing bisa dipercaya.
Produsen solusi DPI promosi produk saka posisi kasebut. Padha diselehake ing antarane pangguna pungkasan (yaiku karyawan sampeyan browsing web) lan Internet, nyaring lalu lintas ala. Ana sawetara produk kasebut ing pasar saiki, nanging prosese padha. Lalu lintas HTTPS ngliwati piranti inspeksi sing didekripsi lan dipriksa kanggo malware.
Sawise verifikasi rampung, piranti kasebut nggawe sesi SSL anyar karo klien pungkasan kanggo dekripsi lan enkripsi maneh konten kasebut.
Cara kerja dekripsi/proses enkripsi ulang
Supaya piranti inspeksi SSL bisa dekripsi lan enkripsi maneh paket sadurunge dikirim menyang pangguna pungkasan, kudu bisa ngetokake sertifikat SSL kanthi cepet. Iki tegese kudu duwe sertifikat CA diinstal.
Penting kanggo perusahaan (utawa sapa wae sing ana ing tengah) yen sertifikat SSL iki dipercaya dening browser (yaiku, aja micu pesen peringatan sing medeni kaya ing ngisor iki). Mulane rantai CA (utawa hirarki) kudu ana ing toko kepercayaan browser. Amarga sertifikat kasebut ora ditanggepi saka panguwasa sertifikat sing dipercaya umum, sampeyan kudu nyebarake hirarki CA kanthi manual menyang kabeh klien pungkasan.
Pesen peringatan kanggo sertifikat sing ditandatangani dhewe ing Chrome. Sumber:
Ing komputer Windows, sampeyan bisa nggunakake Active Directory lan Group Policies, nanging kanggo piranti seluler prosedure luwih rumit.
Kahanan dadi luwih rumit yen sampeyan kudu ndhukung sertifikat root liyane ing lingkungan perusahaan, contone, saka Microsoft, utawa adhedhasar OpenSSL. Plus pangayoman lan manajemen kunci pribadi supaya sembarang tombol ora kadaluwarsa ndadak.
Pilihan paling apik: pribadi, sertifikat ROOT darmabakti saka CA pihak katelu
Yen ngatur macem-macem oyod utawa sertifikat sing ditandatangani dhewe ora nyenengake, ana pilihan liyane: gumantung ing CA pihak katelu. Ing kasus iki, sertifikat ditanggepi saka pribadi CA sing disambung ing chain saka dateng kanggo darmabakti, pribadi ROOT CA digawe khusus kanggo perusahaan.
Arsitektur sing disederhanakake kanggo sertifikat root klien khusus
Persiyapan iki ngilangi sawetara masalah sing kasebut sadurunge: paling ora nyuda jumlah akar sing kudu dikelola. Ing kene sampeyan bisa nggunakake mung siji panguwasa root pribadi kanggo kabeh kabutuhan PKI internal, karo sawetara CA penengah. Contone, ing diagram ndhuwur nuduhake hirarki multi-tingkat ngendi siji CA penengah digunakake kanggo verifikasi SSL / dekripsi lan liyane digunakake kanggo komputer internal (laptop, server, desktop, etc.).
Ing desain iki, ora perlu dadi tuan rumah CA ing kabeh klien amarga CA tingkat paling dhuwur dianakake dening GlobalSign, sing ngrampungake masalah proteksi kunci pribadi lan kadaluwarsa.
Kauntungan liyane saka pendekatan iki yaiku kemampuan kanggo mbatalake wewenang inspeksi SSL kanthi alasan apa wae. Nanging, sing anyar mung digawe, sing disambungake menyang root pribadi asli, lan sampeyan bisa langsung nggunakake.
Senadyan kabeh kontroversi, perusahaan saya tambah akeh ngleksanakake pemeriksaan lalu lintas SSL minangka bagΓ©an saka infrastruktur PKI internal utawa pribadi. Panggunaan liyane kanggo PKI pribadi kalebu nerbitake sertifikat kanggo otentikasi piranti utawa pangguna, SSL kanggo server internal, lan macem-macem konfigurasi sing ora diidini ing sertifikat dipercaya umum kaya sing dibutuhake dening Forum CA/Browser.
Browser perang maneh
Perlu dicathet yen pangembang browser nyoba nglawan tren iki lan nglindhungi pangguna pungkasan saka MiTM. Contone, sawetara dina kepungkur Mozilla Aktifake protokol DoH (DNS-over-HTTPS) kanthi gawan ing salah sawijining versi browser sabanjure ing Firefox. Protokol DoH ndhelikake pitakon DNS saka sistem DPI, nggawe inspeksi SSL angel.
Babagan rencana sing padha 10 September 2019 Google kanggo browser Chrome.
Mung pangguna pangguna sing bisa melu survey. nggih.
Apa sampeyan mikir perusahaan duwe hak mriksa lalu lintas SSL karyawan?
-
Ya, kanthi idin
-
Ora, njaluk idin kuwi ilegal lan/utawa ora etis
122 pangguna milih. 15 pangguna abstain.
Source: www.habr.com