Zinxhiri i besimit. CC BY-SA 4.0
Inspektimi i trafikut SSL (deshifrimi SSL/TLS, analiza SSL ose DPI) po bëhet një temë gjithnjë e më e nxehtë diskutimi në sektorin e korporatave. Ideja e deshifrimit të trafikut duket se bie në kundërshtim me vetë konceptin e kriptografisë. Megjithatë, fakti është një fakt: gjithnjë e më shumë kompani po përdorin teknologji DPI, duke e shpjeguar këtë me nevojën për të kontrolluar përmbajtjen për malware, rrjedhje të të dhënave, etj.
Epo, nëse pranojmë faktin që një teknologji e tillë duhet të zbatohet, atëherë duhet të paktën të shqyrtojmë mënyrat për ta bërë atë në mënyrën më të sigurt dhe më të mirë-menaxhuar të mundshme. Të paktën mos u mbështetni në ato certifikata, për shembull, që ju jep furnizuesi i sistemit DPI.
Ekziston një aspekt i zbatimit që jo të gjithë e dinë. Në fakt, shumë njerëz habiten vërtet kur dëgjojnë për të. Ky është një autoritet privat certifikues (CA). Ai gjeneron certifikata për të deshifruar dhe rikriptuar trafikun.
Në vend që të mbështeteni në certifikatat ose certifikatat e vetë-nënshkruara nga pajisjet DPI, mund të përdorni një CA të dedikuar nga një autoritet certifikimi i palës së tretë si GlobalSign. Por së pari, le të bëjmë një përmbledhje të vogël të vetë problemit.
Çfarë është inspektimi SSL dhe pse përdoret?
Gjithnjë e më shumë uebfaqe publike po kalojnë në HTTPS. Për shembull, sipas , në fillim të shtatorit 2019, pjesa e trafikut të koduar në Rusi arriti në 83%.
Fatkeqësisht, kriptimi i trafikut po përdoret gjithnjë e më shumë nga sulmuesit, veçanërisht pasi Let’s Encrypt shpërndan mijëra certifikata SSL falas në një mënyrë të automatizuar. Kështu, HTTPS përdoret kudo - dhe dryni në shiritin e adresave të shfletuesit ka pushuar së shërbyeri si një tregues i besueshëm i sigurisë.
Prodhuesit e zgjidhjeve DPI promovojnë produktet e tyre nga këto pozicione. Ato janë të ngulitura midis përdoruesve fundorë (d.m.th. punonjësve tuaj që shfletojnë ueb) dhe internetit, duke filtruar trafikun me qëllim të keq. Sot ka një sërë produktesh të tilla në treg, por proceset janë në thelb të njëjta. Trafiku HTTPS kalon përmes një pajisjeje inspektimi ku deshifrohet dhe kontrollohet për malware.
Pasi të përfundojë verifikimi, pajisja krijon një seancë të re SSL me klientin fundor për të deshifruar dhe rikriptuar përmbajtjen.
Si funksionon procesi i deshifrimit/rikriptimit
Në mënyrë që pajisja e inspektimit SSL të deshifrojë dhe rikriptojë paketat përpara se t'i dërgojë ato te përdoruesit fundorë, duhet të jetë në gjendje të lëshojë certifikata SSL menjëherë. Kjo do të thotë se duhet të ketë të instaluar një certifikatë CA.
Është e rëndësishme për kompaninë (ose kushdo që është në mes) që këto certifikata SSL të besohen nga shfletuesit (d.m.th., të mos shkaktojnë mesazhe paralajmëruese të frikshme si ky më poshtë). Prandaj zinxhiri CA (ose hierarkia) duhet të jetë në dyqanin e besimit të shfletuesit. Për shkak se këto certifikata nuk janë lëshuar nga autoritete certifikatash të besuara publikisht, ju duhet të shpërndani manualisht hierarkinë CA për të gjithë klientët fundorë.
Mesazh paralajmërues për certifikatën e vetë-nënshkruar në Chrome. Burimi:
Në kompjuterët me Windows, mund të përdorni Active Directory dhe Group Policies, por për pajisjet celulare procedura është më e ndërlikuar.
Situata bëhet edhe më e ndërlikuar nëse keni nevojë të mbështetni certifikata të tjera rrënjësore në një mjedis të korporatës, për shembull, nga Microsoft, ose bazuar në OpenSSL. Plus mbrojtjen dhe menaxhimin e çelësave privatë në mënyrë që asnjë nga çelësat të mos skadojë papritur.
Opsioni më i mirë: certifikatë private, e dedikuar rrënjë nga një CA e palës së tretë
Nëse menaxhimi i shumë rrënjëve ose certifikatave të vetë-nënshkruara nuk është tërheqës, ekziston një mundësi tjetër: mbështetja në një CA të palës së tretë. Në këtë rast, certifikatat lëshohen nga private një CA që është e lidhur në një zinxhir besimi me një CA të dedikuar, rrënjë private të krijuar posaçërisht për kompaninë.
Arkitekturë e thjeshtuar për certifikatat e dedikuara rrënjësore të klientit
Ky konfigurim eliminon disa nga problemet e përmendura më parë: të paktën zvogëlon numrin e rrënjëve që duhen menaxhuar. Këtu mund të përdorni vetëm një autoritet privat rrënjësor për të gjitha nevojat e brendshme të PKI-së, me çdo numër CA-sh të ndërmjetme. Për shembull, diagrami i mësipërm tregon një hierarki me shumë nivele ku një nga CA-të e ndërmjetme përdoret për verifikimin/deshifrimin e SSL dhe tjetri përdoret për kompjuterët e brendshëm (laptopë, serverë, desktop, etj.).
Në këtë dizajn, nuk ka nevojë të presë një CA për të gjithë klientët, sepse CA e nivelit të lartë është pritur nga GlobalSign, i cili zgjidh çështjet e mbrojtjes së çelësit privat dhe skadimit.
Një avantazh tjetër i kësaj qasjeje është aftësia për të revokuar autoritetin e inspektimit SSL për çfarëdo arsye. Në vend të kësaj, thjesht krijohet një e re, e cila është e lidhur me rrënjën tuaj origjinale private dhe mund ta përdorni menjëherë.
Përkundër të gjitha polemikave, ndërmarrjet po zbatojnë gjithnjë e më shumë inspektimin e trafikut SSL si pjesë e infrastrukturës së tyre të brendshme ose private PKI. Përdorime të tjera për PKI private përfshijnë lëshimin e certifikatave për vërtetimin e pajisjes ose të përdoruesit, SSL për serverët e brendshëm dhe konfigurime të ndryshme që nuk lejohen në certifikatat e besuara publike siç kërkohet nga Forumi CA/Browser.
Shfletuesit po luftojnë
Duhet të theksohet se zhvilluesit e shfletuesve po përpiqen të kundërshtojnë këtë prirje dhe të mbrojnë përdoruesit fundorë nga MiTM. Për shembull, disa ditë më parë Mozilla Aktivizo protokollin DoH (DNS-mbi-HTTPS) si parazgjedhje në një nga versionet e ardhshme të shfletuesit në Firefox. Protokolli DoH fsheh pyetjet DNS nga sistemi DPI, duke e bërë të vështirë inspektimin SSL.
Rreth planeve të ngjashme 10 shtator 2019 Google për shfletuesin Chrome.
Vetëm përdoruesit e regjistruar mund të marrin pjesë në anketë. , te lutem
A mendoni se një kompani ka të drejtë të inspektojë trafikun SSL të punonjësve të saj?
-
Po, me pëlqimin e tyre
-
Jo, kërkesa për një pëlqim të tillë është e paligjshme dhe/ose joetike
122 përdorues kanë votuar. 15 përdorues abstenuan.
Burimi: www.habr.com