DPI(SSL 검사)는 암호화 방식에 어긋나지만 기업에서는 이를 구현하고 있습니다.

신뢰의 사슬. CC BY-SA 4.0 얀파스

SSL 트래픽 검사(SSL/TLS 복호화, SSL 또는 DPI 분석)는 기업 부문에서 점점 더 뜨거운 논의 주제가 되고 있습니다. 트래픽을 해독한다는 아이디어는 암호화 개념 자체와 모순되는 것 같습니다. 그러나 사실은 사실입니다. 점점 더 많은 회사가 DPI 기술을 사용하고 있으며 이를 악성 코드, 데이터 유출 등에 대한 콘텐츠 확인의 필요성으로 설명하고 있습니다.

글쎄요, 그러한 기술을 구현해야 한다는 사실을 받아들인다면 최소한 가능한 가장 안전하고 잘 관리되는 방식으로 구현하는 방법을 고려해야 합니다. 최소한 DPI 시스템 공급업체가 제공하는 인증서에 의존하지 마십시오.

모든 사람이 알지 못하는 구현 측면이 하나 있습니다. 실제로 많은 사람들이 이 이야기를 듣고 정말 놀랐습니다. 이는 사설 인증 기관(CA)입니다. 트래픽을 해독하고 다시 암호화하기 위한 인증서를 생성합니다.

자체 서명된 인증서나 DPI 장치의 인증서에 의존하는 대신 GlobalSign과 같은 타사 인증 기관의 전용 CA를 사용할 수 있습니다. 하지만 먼저 문제 자체에 대해 간략하게 살펴보겠습니다.

SSL 검사란 무엇이며 왜 사용되나요?

점점 더 많은 공개 웹사이트가 HTTPS로 전환되고 있습니다. 예를 들어, 크롬 통계, 2019년 83월 초 러시아의 암호화 트래픽 점유율은 XNUMX%에 도달했습니다.

불행하게도 공격자들은 트래픽 암호화를 점점 더 많이 사용하고 있습니다. 특히 Let's Encrypt가 수천 개의 무료 SSL 인증서를 자동화된 방식으로 배포하기 때문입니다. 따라서 HTTPS는 모든 곳에서 사용되며 브라우저 주소 표시줄의 자물쇠는 더 이상 신뢰할 수 있는 보안 표시 역할을 하지 않습니다.

DPI 솔루션 제조업체는 이러한 위치에서 제품을 홍보합니다. 이는 최종 사용자(예: 웹을 검색하는 직원)와 인터넷 사이에 내장되어 악성 트래픽을 필터링합니다. 오늘날 시장에는 이러한 제품이 많이 나와 있지만 프로세스는 본질적으로 동일합니다. HTTPS 트래픽은 검사 장치를 통과하여 암호가 해독되고 악성 코드가 있는지 확인됩니다.

확인이 완료되면 장치는 최종 클라이언트와의 새 SSL 세션을 생성하여 콘텐츠를 해독하고 다시 암호화합니다.

복호화/재암호화 프로세스 작동 방식

SSL 검사 어플라이언스가 패킷을 최종 사용자에게 보내기 전에 암호를 해독하고 다시 암호화하려면 즉시 SSL 인증서를 발급할 수 있어야 합니다. 이는 CA 인증서가 설치되어 있어야 함을 의미합니다.

브라우저에서 이러한 SSL 인증서를 신뢰하는 것이 회사(또는 중간자)에게 중요합니다(즉, 아래와 같은 무서운 경고 메시지를 트리거하지 마십시오). 따라서 CA 체인(또는 계층 구조)은 브라우저의 신뢰 저장소에 있어야 합니다. 이러한 인증서는 공개적으로 신뢰할 수 있는 인증 기관에서 발급되지 않으므로 CA 계층 구조를 모든 최종 클라이언트에 수동으로 배포해야 합니다.

Chrome의 자체 서명 인증서에 대한 경고 메시지입니다. 원천: BadSSL.com

Windows 컴퓨터에서는 Active Directory 및 그룹 정책을 사용할 수 있지만 모바일 장치의 경우 절차가 더 복잡합니다.

기업 환경(예: Microsoft 또는 OpenSSL 기반)에서 다른 루트 인증서를 지원해야 하는 경우 상황은 더욱 복잡해집니다. 또한 키가 예기치 않게 만료되지 않도록 개인 키를 보호하고 관리합니다.

최선의 옵션: 제XNUMX자 CA의 전용 전용 루트 인증서

여러 루트 또는 자체 서명된 인증서를 관리하는 것이 마음에 들지 않으면 타사 CA에 의존하는 또 다른 옵션이 있습니다. 이 경우 인증서는 다음에서 발급됩니다. 사적인 회사를 위해 특별히 생성된 전용 개인 루트 CA에 신뢰 체인으로 연결된 CA입니다.

전용 클라이언트 루트 인증서를 위한 단순화된 아키텍처

이 설정은 앞서 언급한 문제 중 일부를 제거합니다. 최소한 관리해야 하는 루트 수는 줄어듭니다. 여기서는 모든 내부 PKI 요구 사항에 대해 원하는 수의 중간 CA와 함께 하나의 개인 루트 권한만 사용할 수 있습니다. 예를 들어, 위 다이어그램은 중간 CA 중 하나가 SSL 확인/암호 해독에 사용되고 다른 하나는 내부 컴퓨터(노트북, 서버, 데스크탑 등)에 사용되는 다중 레벨 계층 구조를 보여줍니다.

이 설계에서는 개인 키 보호 및 만료 문제를 해결하는 GlobalSign이 최상위 CA를 호스팅하므로 모든 클라이언트에서 CA를 호스팅할 필요가 없습니다.

이 접근 방식의 또 다른 장점은 어떤 이유로든 SSL 검사 권한을 취소할 수 있다는 것입니다. 대신, 원래 개인 루트에 연결된 새 루트가 생성되어 즉시 사용할 수 있습니다.

모든 논란에도 불구하고 기업에서는 내부 또는 개인 PKI 인프라의 일부로 SSL 트래픽 검사를 점점 더 많이 구현하고 있습니다. 개인 PKI의 다른 용도로는 장치 또는 사용자 인증을 위한 인증서 발급, 내부 서버용 SSL, CA/브라우저 포럼에서 요구하는 대로 신뢰할 수 있는 공개 인증서에서 허용되지 않는 다양한 구성 등이 있습니다.

브라우저가 반격하고 있습니다

브라우저 개발자는 이러한 추세에 대응하고 MiTM으로부터 최종 사용자를 보호하려고 노력하고 있다는 점에 유의해야 합니다. 예를 들어, 며칠 전 Mozilla 결정을 내렸다. Firefox의 다음 브라우저 버전 중 하나에서 기본적으로 DoH(DNS-over-HTTPS) 프로토콜을 활성화합니다. DoH 프로토콜은 DPI 시스템에서 DNS 쿼리를 숨겨 SSL 검사를 어렵게 만듭니다.

유사한 계획에 대해 10년 2019월 XNUMX일 발표했다. Chrome 브라우저용 Google.

등록된 사용자만 설문 조사에 참여할 수 있습니다. 로그인제발

회사가 직원의 SSL 트래픽을 검사할 권리가 있다고 생각하시나요?

• 예, 동의를 받아

• 아니요, 그러한 동의를 구하는 것은 불법적이거나 비윤리적입니다.

122명의 사용자가 투표했습니다. 15명의 사용자가 기권했습니다.

출처 : habr.com