DPI (SSL निरीक्षण) क्रिप्टोग्राफीको दाना विरुद्ध जान्छ, तर कम्पनीहरूले यसलाई लागू गरिरहेका छन्

विश्वासको श्रृंखला। CC BY-SA 4.0 यानपास

SSL ट्राफिक निरीक्षण (SSL/TLS डिक्रिप्शन, SSL वा DPI विश्लेषण) कर्पोरेट क्षेत्रमा चर्चाको बढ्दो तातो विषय बनिरहेको छ। ट्राफिक डिक्रिप्ट गर्ने विचार क्रिप्टोग्राफीको अवधारणाको विरोधाभास जस्तो देखिन्छ। जे होस्, तथ्य यो तथ्य हो: अधिक र अधिक कम्पनीहरूले DPI प्रविधिहरू प्रयोग गरिरहेका छन्, यो मालवेयर, डाटा लीक, आदि को लागि सामग्री जाँच गर्न आवश्यकता द्वारा व्याख्या गर्दै।

ठिक छ, यदि हामीले यो तथ्यलाई स्वीकार गर्छौं कि यस्तो प्रविधि लागू गर्न आवश्यक छ, तब हामीले कम्तिमा यसलाई सुरक्षित र सबैभन्दा राम्रो तरिकाले व्यवस्थित गर्ने तरिकाहरू विचार गर्नुपर्छ। कम्तिमा ती प्रमाणपत्रहरूमा भरोसा नगर्नुहोस्, उदाहरणका लागि, DPI प्रणाली आपूर्तिकर्ताले तपाईंलाई दिन्छ।

कार्यान्वयनको एउटा पक्ष हो जुन सबैलाई थाहा छैन। वास्तवमा, धेरै मानिसहरू यसको बारेमा सुन्दा साँच्चै आश्चर्यचकित हुन्छन्। यो एक निजी प्रमाणपत्र प्राधिकरण (CA) हो। यसले ट्राफिक डिक्रिप्ट र पुन: इन्क्रिप्ट गर्न प्रमाणपत्रहरू उत्पन्न गर्दछ।

DPI यन्त्रहरूबाट स्व-हस्ताक्षरित प्रमाणपत्रहरू वा प्रमाणपत्रहरूमा भर पर्नुको सट्टा, तपाईंले ग्लोबल साइन जस्ता तेस्रो-पक्ष प्रमाणपत्र प्राधिकरणबाट समर्पित CA प्रयोग गर्न सक्नुहुन्छ। तर पहिले, समस्या आफैंको एक सानो सिंहावलोकन गरौं।

SSL निरीक्षण के हो र यो किन प्रयोग गरिन्छ?

अधिक र अधिक सार्वजनिक वेबसाइटहरू HTTPS मा सर्दै छन्। उदाहरणका लागि, अनुसार क्रोम तथ्याङ्क, सेप्टेम्बर 2019 को सुरुमा, रूसमा एन्क्रिप्टेड ट्राफिकको हिस्सा 83% पुग्यो।

दुर्भाग्यवश, ट्राफिक ईन्क्रिप्शन बढ्दो रूपमा आक्रमणकारीहरू द्वारा प्रयोग भइरहेको छ, विशेष गरी चूँकि Let's Encrypt ले हजारौं निःशुल्क SSL प्रमाणपत्रहरू स्वचालित रूपमा वितरण गर्दछ। यसैले, HTTPS जताततै प्रयोग गरिन्छ - र ब्राउजर ठेगाना पट्टीमा प्याडलकले सुरक्षाको भरपर्दो सूचकको रूपमा सेवा गर्न बन्द गरेको छ।

DPI समाधानका निर्माताहरूले यी पदहरूबाट आफ्ना उत्पादनहरू प्रवर्द्धन गर्छन्। तिनीहरू अन्त प्रयोगकर्ताहरू (अर्थात् वेब ब्राउज गर्ने तपाईंको कर्मचारीहरू) र इन्टरनेटको बीचमा इम्बेड गरिएका छन्, खराब ट्राफिकलाई फिल्टर गर्दै। आज बजारमा यस्ता धेरै उत्पादनहरू छन्, तर प्रक्रियाहरू अनिवार्य रूपमा समान छन्। HTTPS ट्राफिक एक निरीक्षण उपकरण मार्फत जान्छ जहाँ यसलाई डिक्रिप्ट गरिएको छ र मालवेयरको लागि जाँच गरिन्छ।

एक पटक प्रमाणीकरण पूरा भएपछि, यन्त्रले सामग्रीलाई डिक्रिप्ट र पुन: इन्क्रिप्ट गर्न अन्तिम ग्राहकसँग नयाँ SSL सत्र सिर्जना गर्दछ।

कसरी डिक्रिप्शन/रि-इन्क्रिप्शन प्रक्रिया काम गर्दछ

SSL निरीक्षण उपकरणलाई अन्तिम प्रयोगकर्ताहरूलाई पठाउनु अघि प्याकेटहरू डिक्रिप्ट र पुन: इन्क्रिप्ट गर्नको लागि, यो उडानमा SSL प्रमाणपत्रहरू जारी गर्न सक्षम हुनुपर्छ। यसको मतलब यो CA प्रमाणपत्र स्थापना भएको हुनुपर्छ।

यी SSL प्रमाणपत्रहरू ब्राउजरहरूद्वारा विश्वसनीय छन् भन्ने कम्पनी (वा जो-कोही-बीचमा) को लागि महत्त्वपूर्ण छ (अर्थात, तलको जस्तो डरलाग्दो चेतावनी सन्देशहरू ट्रिगर नगर्नुहोस्)। त्यसैले CA चेन (वा पदानुक्रम) ब्राउजरको ट्रस्ट स्टोरमा हुनुपर्छ। किनभने यी प्रमाणपत्रहरू सार्वजनिक रूपमा विश्वसनीय प्रमाणपत्र अधिकारीहरूबाट जारी गरिएको छैन, तपाईंले म्यानुअल रूपमा सबै अन्तिम ग्राहकहरूलाई CA पदानुक्रम वितरण गर्नुपर्छ।

Chrome मा स्व-हस्ताक्षरित प्रमाणपत्रको लागि चेतावनी सन्देश। स्रोत: BadSSL.com

На компьютерах с Windows можно задействовать Active Directory и групповые политики, но для мобильных устройств процедура сложнее.

यदि तपाइँ कर्पोरेट वातावरणमा अन्य रूट प्रमाणपत्रहरू समर्थन गर्न आवश्यक छ भने स्थिति अझ जटिल हुन्छ, उदाहरणका लागि, Microsoft बाट, वा OpenSSL मा आधारित। साथै निजी कुञ्जीहरूको सुरक्षा र व्यवस्थापन ताकि कुनै पनि कुञ्जीहरू अप्रत्याशित रूपमा समाप्त हुँदैन।

उत्तम विकल्प: तेस्रो पक्ष CA बाट निजी, समर्पित रूट प्रमाणपत्र

यदि धेरै रूटहरू वा स्व-हस्ताक्षरित प्रमाणपत्रहरू प्रबन्ध गर्न अपील गर्दैन भने, त्यहाँ अर्को विकल्प छ: तेस्रो-पक्ष CA मा निर्भर। यस अवस्थामा, प्रमाणपत्रहरू बाट जारी गरिन्छ निजी एक प्रमाणपत्र प्राधिकरण जुन कम्पनीको लागि विशेष रूपमा सिर्जना गरिएको समर्पित, निजी मूल प्रमाणपत्र प्राधिकरणसँग विश्वासको श्रृंखलामा जोडिएको छ।

समर्पित ग्राहक रूट प्रमाणपत्रहरूको लागि सरलीकृत वास्तुकला

यो सेटअपले पहिले उल्लेख गरिएका केही समस्याहरूलाई हटाउँछ: कम्तिमा यसले व्यवस्थापन गर्नुपर्ने जराहरूको संख्या घटाउँछ। यहाँ तपाईँले सबै आन्तरिक PKI आवश्यकताहरूको लागि केवल एक निजी मूल प्राधिकरण प्रयोग गर्न सक्नुहुन्छ, मध्यवर्ती CA को कुनै पनि संख्याको साथ। उदाहरणका लागि, माथिको रेखाचित्रले बहु-स्तर पदानुक्रम देखाउँछ जहाँ मध्यवर्ती CAs मध्ये एउटा SSL प्रमाणीकरण/डिक्रिप्शनको लागि प्रयोग गरिन्छ र अर्को आन्तरिक कम्प्युटरहरू (ल्यापटप, सर्भर, डेस्कटप, आदि) को लागि प्रयोग गरिन्छ।

यस डिजाइनमा, सबै क्लाइन्टहरूमा CA होस्ट गर्न आवश्यक छैन किनभने ग्लोबलसाइनद्वारा शीर्ष-स्तरको CA होस्ट गरिएको छ, जसले निजी कुञ्जी सुरक्षा र म्याद समाप्त हुने समस्याहरू समाधान गर्दछ।

यस दृष्टिकोणको अर्को फाइदा भनेको कुनै पनि कारणले SSL निरीक्षण प्राधिकरणलाई रद्द गर्ने क्षमता हो। यसको सट्टा, एउटा नयाँ बनाइएको छ, जुन तपाइँको मूल निजी रूटमा बाँधिएको छ, र तपाइँ यसलाई तुरुन्तै प्रयोग गर्न सक्नुहुन्छ।

सबै विवादको बावजुद, उद्यमहरूले उनीहरूको आन्तरिक वा निजी PKI पूर्वाधारको भागको रूपमा SSL ट्राफिक निरीक्षणलाई बढ्दो रूपमा लागू गर्दैछन्। निजी PKI का अन्य प्रयोगहरूमा यन्त्र वा प्रयोगकर्ता प्रमाणीकरणका लागि प्रमाणपत्रहरू जारी गर्ने, आन्तरिक सर्भरहरूको लागि SSL, र CA/ब्राउजर फोरमद्वारा आवश्यक सार्वजनिक विश्वसनीय प्रमाणपत्रहरूमा अनुमति नभएका विभिन्न कन्फिगरेसनहरू समावेश छन्।

ब्राउजरहरू फिर्ता लडिरहेका छन्

यो ध्यान दिनु पर्छ कि ब्राउजर विकासकर्ताहरूले यस प्रवृत्तिलाई काउन्टर गर्न र अन्त प्रयोगकर्ताहरूलाई MiTM बाट जोगाउन प्रयास गरिरहेका छन्। उदाहरण को लागी, केहि दिन पहिले मोजिला निर्णय गरे फायरफक्समा अर्को ब्राउजर संस्करणहरू मध्ये एकमा पूर्वनिर्धारित रूपमा DoH (DNS-over-HTTPS) प्रोटोकल सक्षम गर्नुहोस्। DoH प्रोटोकलले DPI प्रणालीबाट DNS प्रश्नहरू लुकाउँछ, जसले SSL निरीक्षणलाई गाह्रो बनाउँछ।

सेप्टेम्बर 10, 2019 समान योजनाहरू बारे घोषणा गरियो क्रोम ब्राउजरको लागि गुगल।

दर्ता भएका प्रयोगकर्ताहरूले मात्र सर्वेक्षणमा भाग लिन सक्छन्। साइन इन गर्नुहोस्कृपया

के तपाईलाई कम्पनीले आफ्ना कर्मचारीहरूको SSL ट्राफिक निरीक्षण गर्ने अधिकार छ जस्तो लाग्छ?

• हो, उनीहरूको सहमतिमा

• होइन, यस्तो सहमतिको लागि सोध्नु अवैध र/वा अनैतिक हो

122 प्रयोगकर्ताहरूले मतदान गरे। 15 प्रयोगकर्ताहरू रोकिए।

स्रोत: www.habr.com