Сенім тізбегі. CC BY-SA 4.0
SSL трафикті тексеру (SSL/TLS шифрын шешу, SSL немесе DPI талдауы) корпоративтік секторда барған сайын қызу талқыланатын тақырыпқа айналуда. Трафиктің шифрын шешу идеясы криптография тұжырымдамасына қайшы келетін сияқты. Дегенмен, бұл факт: DPI технологияларын көбірек компаниялар пайдаланады, мұны зиянды бағдарламалардың, деректердің ағып кетуіне және т.б. бар-жоғын мазмұнды тексеру қажеттілігімен түсіндіреді.
Егер біз мұндай технологияны енгізу қажет екенін мойындайтын болсақ, онда біз оны ең қауіпсіз және ең жақсы басқарылатын жолмен жасау жолдарын қарастыруымыз керек. Кем дегенде, DPI жүйесінің жеткізушісі сізге беретін сертификаттарға сенбеңіз.
Іске асырудың барлығы біле бермейтін бір қыры бар. Шындығында, бұл туралы естігенде көптеген адамдар таңғалады. Бұл жеке сертификаттау орталығы (CA). Ол трафиктің шифрын ашу және қайта шифрлау үшін сертификаттарды жасайды.
Өздігінен қол қойылған куәліктерге немесе DPI құрылғыларының куәліктеріне сенудің орнына GlobalSign сияқты үшінші тарап куәлік органының арнайы CA пайдалануға болады. Бірақ алдымен мәселенің өзіне шағын шолу жасайық.
SSL инспекциясы дегеніміз не және ол не үшін қолданылады?
Барған сайын жалпыға қолжетімді веб-сайттар HTTPS жүйесіне көшуде. Мысалы, сәйкес , 2019 жылдың қыркүйек айының басында Ресейдегі шифрланған трафиктің үлесі 83%-ға жетті.
Өкінішке орай, трафикті шифрлауды шабуылдаушылар көбірек пайдаланады, әсіресе Let's Encrypt мыңдаған тегін SSL сертификаттарын автоматтандырылған түрде тарататындықтан. Осылайша, HTTPS барлық жерде қолданылады - және браузердің мекенжай жолағындағы құлып қауіпсіздіктің сенімді көрсеткіші ретінде қызмет етуді тоқтатты.
DPI шешімдерін өндірушілер осы позициялардан өз өнімдерін алға жылжытады. Олар зиянды трафикті сүзгіден өткізіп, соңғы пайдаланушылар (яғни, сіздің қызметкерлеріңіз интернетті шарлайтын) және Интернет арасында ендірілген. Бүгінгі күні нарықта мұндай өнімдердің бірқатары бар, бірақ процестер негізінен бірдей. HTTPS трафигі тексеру құрылғысы арқылы өтеді, онда оның шифры ашылады және зиянды бағдарлама бар-жоғы тексеріледі.
Тексеру аяқталғаннан кейін құрылғы мазмұнның шифрын шешу және қайта шифрлау үшін соңғы клиентпен жаңа SSL сеансын жасайды.
Шифрды шешу/қайта шифрлау процесі қалай жұмыс істейді
SSL тексеру құралы пакеттерді соңғы пайдаланушыларға жібермес бұрын шифрын шешуі және қайта шифрлауы үшін SSL сертификаттарын жылдам шығару мүмкіндігі болуы керек. Бұл оның CA сертификаты орнатылған болуы керек дегенді білдіреді.
Компания үшін (немесе ортада кім болса да) бұл SSL сертификаттарына браузерлер сенетіні маңызды (яғни, төмендегідей қорқынышты ескерту хабарларын тудырмаңыз). Сондықтан CA тізбегі (немесе иерархиясы) шолғыштың сенімді қоймасында болуы керек. Бұл сертификаттар жалпыға ортақ сенімді сертификат органдарынан берілмейтіндіктен, CA иерархиясын барлық соңғы клиенттерге қолмен тарату керек.
Chrome жүйесінде өздігінен қол қойылған сертификат туралы ескерту хабары. Дереккөз:
Windows компьютерлерінде Active Directory және Топтық саясаттарды пайдалануға болады, бірақ мобильді құрылғылар үшін бұл процедура күрделірек.
Корпоративтік ортада, мысалы, Microsoft корпорациясынан немесе OpenSSL негізіндегі басқа түбірлік сертификаттарды қолдау қажет болса, жағдай одан да күрделене түседі. Оған қоса, кілттердің кез келгенінің мерзімі күтпеген жерден аяқталмауы үшін жеке кілттерді қорғау және басқару.
Ең жақсы нұсқа: үшінші тарап CA-дан жеке, арнайы түбірлік сертификат
Бірнеше түбірлерді немесе өздігінен қол қойылған куәліктерді басқару тартымды болмаса, басқа нұсқа бар: үшінші тарап CA-ға сүйену. Бұл жағдайда сертификаттар беріледі жеке компания үшін арнайы жасалған арнайы, жеке түбірлік CA сенім тізбегінде байланыстырылған CA.
Арнайы клиенттің түбірлік сертификаттары үшін жеңілдетілген архитектура
Бұл орнату бұрын айтылған мәселелердің кейбірін жояды: кем дегенде, басқару қажет түбірлердің санын азайтады. Мұнда сіз кез келген аралық CA саны бар барлық ішкі PKI қажеттіліктері үшін бір ғана жеке түбірлік өкілеттікті пайдалана аласыз. Мысалы, жоғарыда келтірілген диаграмма көп деңгейлі иерархияны көрсетеді, онда аралық CA-лардың бірі SSL тексеру/шифрын шешу үшін, ал екіншісі ішкі компьютерлер үшін (ноутбуктар, серверлер, жұмыс үстелдері және т.б.) пайдаланылады.
Бұл дизайнда барлық клиенттерде CA орналастырудың қажеті жоқ, себебі жоғарғы деңгейлі CA жеке кілтті қорғау және жарамдылық мерзімінің аяқталу мәселелерін шешетін GlobalSign арқылы орналастырылған.
Бұл тәсілдің тағы бір артықшылығы - кез келген себеппен SSL тексеру органының күшін жою мүмкіндігі. Оның орнына бастапқы жеке түбірге байланған жаңасы жай ғана жасалады және оны бірден пайдалануға болады.
Барлық қарама-қайшылықтарға қарамастан, кәсіпорындар өздерінің ішкі немесе жеке PKI инфрақұрылымының бөлігі ретінде SSL трафикті тексеруді көбірек енгізуде. Жеке PKI үшін басқа пайдалануларға құрылғы немесе пайдаланушы аутентификациясы үшін сертификаттар беру, ішкі серверлер үшін SSL және CA/Browser форумы талап ететін жалпыға ортақ сенімді сертификаттарда рұқсат етілмеген әртүрлі конфигурациялар кіреді.
Браузерлер кері күресуде
Браузер әзірлеушілері бұл үрдіске қарсы тұруға және соңғы пайдаланушыларды MiTM-ден қорғауға тырысатынын атап өткен жөн. Мысалы, бірнеше күн бұрын Mozilla Firefox шолғышындағы келесі нұсқалардың бірінде әдепкі бойынша DoH (HTTPS бойынша DNS) протоколын қосыңыз. DoH протоколы DPI жүйесінен DNS сұрауларын жасырады, бұл SSL тексеруін қиындатады.
Ұқсас жоспарлар туралы 10 қыркүйек 2019 ж Chrome браузеріне арналған Google.
Сауалнамаға тек тіркелген пайдаланушылар қатыса алады. , өтінемін.
Сіздің ойыңызша, компания өз қызметкерлерінің SSL трафигін тексеруге құқылы ма?
-
Иә, олардың келісімімен
-
Жоқ, мұндай келісімді сұрау заңсыз және/немесе әдепсіз
122 қолданушы дауыс берді. 15 пайдаланушы қалыс қалды.
Ақпарат көзі: www.habr.com