Ranté kapercayaan. CC BY-SA 4.0
Pamariksaan lalu lintas SSL (SSL / TLS dekripsi, SSL atanapi analisis DPI) janten topik diskusi anu beuki panas dina sektor perusahaan. Gagasan ngadekrip lalu lintas sigana bertentangan sareng konsép kriptografi. Nanging, kanyataanna mangrupikeun kanyataan: beuki seueur perusahaan anu nganggo téknologi DPI, ngajelaskeun ieu ku kabutuhan mariksa eusi malware, bocor data, jsb.
Nya, upami urang nampi kanyataan yén téknologi sapertos kitu kedah dilaksanakeun, maka urang sahenteuna kedah mertimbangkeun cara pikeun ngalakukeunana ku cara anu paling aman sareng paling diurus. Sahenteuna ulah ngandelkeun sertipikat eta, contona, nu supplier sistem DPI masihan anjeun.
Aya hiji aspék palaksanaan nu teu sadaya jelema weruh ngeunaan. Kanyataanna, loba jalma bener reuwas lamun maranéhna ngadéngé ngeunaan eta. Ieu mangrupikeun otoritas sertifikasi swasta (CA). Éta ngahasilkeun sertipikat pikeun ngadekrip sareng énkripsi ulang lalu lintas.
Gantina ngandelkeun sertipikat anu ditandatanganan sorangan atanapi sertipikat ti alat DPI, anjeun tiasa nganggo CA khusus ti otoritas sertipikat pihak katilu sapertos GlobalSign. Tapi ke heula, hayu urang ngalakukeun tinjauan sakedik ngeunaan masalahna sorangan.
Naon inspeksi SSL sareng naha éta dianggo?
Beuki loba situs web umum anu pindah ka HTTPS. Contona, nurutkeun , dina awal Séptémber 2019, pangsa lalu lintas énkripsi di Rusia ngahontal 83%.
Hanjakalna, énkripsi lalu lintas beuki dianggo ku panyerang, khususna saprak Let's Encrypt nyebarkeun rébuan sertipikat SSL gratis sacara otomatis. Janten, HTTPS dianggo di mana waé - sareng padlock dina bar alamat browser parantos lirén janten indikator kaamanan anu dipercaya.
Pabrikan solusi DPI ngamajukeun produkna tina posisi ieu. Éta dipasang antara pangguna akhir (nyaéta karyawan anjeun ngotéktak wéb) sareng Internét, nyaring lalu lintas jahat. Aya sajumlah produk sapertos di pasar ayeuna, tapi prosésna dasarna sami. Lalu lintas HTTPS ngalangkungan alat pamariksaan dimana éta didékripsi sareng dipariksa pikeun malware.
Saatos verifikasi parantos réngsé, alat nyiptakeun sési SSL énggal sareng klien tungtung pikeun ngadekrip sareng énkripsi deui eusina.
Kumaha dekripsi / prosés enkripsi ulang jalan
Supados alat inspeksi SSL ngadekrip sareng énkripsi deui pakét sateuacan dikirim ka pangguna akhir, éta kedah tiasa ngaluarkeun sertipikat SSL dina laleur. Ieu ngandung harti yén éta kudu boga sertipikat CA dipasang.
Penting pikeun perusahaan (atanapi saha waé-di-tengah) yén sertipikat SSL ieu dipercaya ku panyungsi (nyaéta, ulah memicu pesen peringatan anu pikasieuneun sapertos di handap). Ku alatan éta, ranté CA (atawa hirarki) kudu aya dina toko trust browser urang. Kusabab sertipikat ieu teu dikaluarkeun ti otoritas sertipikat dipercaya masarakat awam, Anjeun kudu sacara manual ngadistribusikaeun hirarki CA ka sadaya klien tungtung.
Pesen peringatan pikeun sertipikat anu ditandatanganan sorangan dina Chrome. Sumber:
Dina komputer Windows, anjeun tiasa nganggo Active Directory and Group Policy, tapi pikeun alat sélulér prosedurna langkung rumit.
Kaayaan janten langkung pajeulit upami anjeun kedah ngadukung sertipikat akar anu sanés dina lingkungan perusahaan, contona, ti Microsoft, atanapi dumasar kana OpenSSL. Ditambah panyalindungan sareng pangaturan konci pribadi supados salah sahiji koncina henteu kadaluwarsa teu disangka-sangka.
Pilihan pangalusna: swasta, sertipikat root dedicated ti CA pihak katilu
Upami ngatur sababaraha akar atanapi sertipikat anu ditandatanganan nyalira henteu pikaresepeun, aya pilihan sanés: ngandelkeun CA pihak katilu. Dina hal ieu, sertipikat dikaluarkeun tina swasta a CA nu numbu dina ranté kapercayaan ka dedicated, akar swasta CA dijieun husus pikeun pausahaan.
Arsitéktur saderhana pikeun sertipikat akar klien khusus
Setélan ieu ngaleungitkeun sababaraha masalah anu disebatkeun sateuacana: sahenteuna ngirangan jumlah akar anu kedah diurus. Di dieu anjeun bisa make ngan hiji otoritas root swasta pikeun sakabéh kaperluan PKI internal, kalawan jumlah CAs panengah. Contona, diagram di luhur nembongkeun hirarki multi-tingkat dimana salah sahiji CAs panengah dipaké pikeun verifikasi SSL / dekripsi sarta séjén dipaké pikeun komputer internal (laptop, server, desktops, jsb).
Dina desain ieu, teu kudu boga host CA dina sakabéh klien sabab CA tingkat luhur ieu hosted ku GlobalSign, nu solves panyalindungan konci swasta sarta isu kadaluwarsa.
Kauntungan sejen tina pendekatan ieu kamampuhan pikeun nyabut otoritas inspeksi SSL pikeun alesan naon. Gantina, nu anyar ngan saukur dijieun, nu dihijikeun ka akar swasta aslina anjeun, sarta anjeun bisa make eta langsung.
Sanaos sadaya kontrovérsi, perusahaan beuki ngalaksanakeun pamariksaan lalu lintas SSL salaku bagian tina infrastruktur PKI internal atanapi swasta. Mangpaat séjén pikeun PKI swasta kaasup ngaluarkeun sertipikat pikeun alat atawa auténtikasi pamaké, SSL pikeun server internal, sarta sagala rupa konfigurasi nu teu diwenangkeun dina sertipikat dipercaya publik sakumaha diperlukeun ku CA / Forum Browser.
Panyungsi keur gelut deui
Perlu dicatet yén pamekar browser narékahan pikeun ngalawan tren ieu sareng ngajagi pangguna akhir tina MiTM. Contona, sababaraha poé ka tukang Mozilla Aktipkeun protokol DoH (DNS-over-HTTPS) sacara standar dina salah sahiji versi browser salajengna dina Firefox. Protokol DoH nyumputkeun patarosan DNS tina sistem DPI, ngajantenkeun pamariksaan SSL sesah.
Ngeunaan rencana anu sami 10 Séptémber 2019 Google pikeun browser Chrome.
Ngan pamaké nu kadaptar bisa ilubiung dina survey. , Punten.
Naha anjeun pikir perusahaan ngagaduhan hak pikeun mariksa lalu lintas SSL karyawan na?
-
Sumuhun, kalawan idin maranéhanana
-
Henteu, nyuhunkeun idin sapertos kitu haram sareng / atanapi henteu étika
122 pamaké milih. 15 pamaké abstained.
sumber: www.habr.com