Güven zinciri. CC BY-SA 4.0
SSL trafik denetimi (SSL/TLS şifre çözme, SSL veya DPI analizi), kurumsal sektörde giderek daha sıcak bir tartışma konusu haline geliyor. Trafiğin şifresini çözme fikri, kriptografi kavramıyla çelişiyor gibi görünüyor. Ancak gerçek şu ki, giderek daha fazla şirket DPI teknolojilerini kullanıyor ve bunu içeriğin kötü amaçlı yazılım, veri sızıntısı vb. açısından kontrol edilmesi gerekliliğiyle açıklıyor.
Peki, eğer böyle bir teknolojinin uygulanması gerektiği gerçeğini kabul edersek, en azından bunu mümkün olan en güvenli ve en iyi yönetilen şekilde yapmanın yollarını düşünmeliyiz. En azından, örneğin DPI sistem tedarikçisinin size verdiği sertifikalara güvenmeyin.
Uygulamanın herkesin bilmediği bir yönü var. Aslında pek çok kişi bunu duyduğunda gerçekten şaşırıyor. Bu, özel bir sertifika yetkilisidir (CA). Trafiğin şifresini çözmek ve yeniden şifrelemek için sertifikalar üretir.
Kendinden imzalı sertifikalara veya DPI aygıtlarından alınan sertifikalara güvenmek yerine GlobalSign gibi üçüncü taraf bir sertifika yetkilisinden özel bir CA kullanabilirsiniz. Ama önce sorunun kendisine küçük bir genel bakış yapalım.
SSL denetimi nedir ve neden kullanılır?
Giderek daha fazla sayıda halka açık web sitesi HTTPS'ye geçiyor. Örneğin, göre Eylül 2019'un başında Rusya'da şifreli trafiğin payı %83'e ulaştı.
Ne yazık ki, özellikle Let's Encrypt binlerce ücretsiz SSL sertifikasını otomatik bir şekilde dağıttığından, trafik şifrelemesi saldırganlar tarafından giderek daha fazla kullanılıyor. Böylece, HTTPS her yerde kullanılıyor ve tarayıcının adres çubuğundaki asma kilit, güvenilir bir güvenlik göstergesi olarak hizmet etmekten vazgeçti.
DPI çözümleri üreticileri ürünlerini bu konumlardan tanıtmaktadır. Bunlar, son kullanıcılar (yani web'de gezinen çalışanlarınız) ile İnternet arasına yerleştirilmiştir ve kötü niyetli trafiği filtreler. Bugün piyasada bu tür çok sayıda ürün var, ancak süreçler esasen aynı. HTTPS trafiği, şifresinin çözüldüğü ve kötü amaçlı yazılımlara karşı kontrol edildiği bir inceleme cihazından geçer.
Doğrulama tamamlandıktan sonra cihaz, içeriğin şifresini çözmek ve yeniden şifrelemek için son istemciyle yeni bir SSL oturumu oluşturur.
Şifre çözme/yeniden şifreleme işlemi nasıl çalışır?
SSL inceleme cihazının paketleri son kullanıcılara göndermeden önce şifresini çözüp yeniden şifrelemesi için, anında SSL sertifikaları verebilmelidir. Bu, bir CA sertifikasının yüklü olması gerektiği anlamına gelir.
Şirket (veya aradaki kişi) için bu SSL sertifikalarına tarayıcıların güvenmesi önemlidir (yani aşağıdaki gibi korkutucu uyarı mesajlarını tetiklemez). Bu nedenle CA zincirinin (veya hiyerarşisinin) tarayıcının güven deposunda olması gerekir. Bu sertifikalar genel olarak güvenilen sertifika yetkililerinden verilmediğinden, CA hiyerarşisini tüm son istemcilere manuel olarak dağıtmanız gerekir.
Chrome'da kendinden imzalı sertifika için uyarı mesajı. Kaynak:
Windows bilgisayarlarda Active Directory ve Grup İlkelerini kullanabilirsiniz ancak mobil cihazlar için prosedür daha karmaşıktır.
Kurumsal bir ortamda, örneğin Microsoft'tan veya OpenSSL'e dayalı diğer kök sertifikaları desteklemeniz gerekiyorsa durum daha da karmaşık hale gelir. Ayrıca özel anahtarların korunması ve yönetimi sayesinde anahtarlardan herhangi birinin beklenmedik bir şekilde süresinin dolmaması sağlanır.
En iyi seçenek: üçüncü taraf bir CA'dan alınan özel, özel kök sertifika
Birden fazla kökü veya kendinden imzalı sertifikaları yönetmek cazip gelmiyorsa başka bir seçenek daha vardır: üçüncü taraf bir CA'ya güvenmek. Bu durumda sertifikalar şu adresten verilir: özel Şirket için özel olarak oluşturulmuş özel bir kök CA'ya güven zinciriyle bağlı bir CA.
Özel istemci kök sertifikaları için basitleştirilmiş mimari
Bu kurulum daha önce bahsedilen sorunların bazılarını ortadan kaldırır: en azından yönetilmesi gereken kök sayısını azaltır. Burada, tüm dahili PKI ihtiyaçlarınız için istediğiniz sayıda ara CA ile yalnızca tek bir özel kök otoritesini kullanabilirsiniz. Örneğin, yukarıdaki diyagram, ara CA'lardan birinin SSL doğrulama/şifre çözme için kullanıldığı ve diğerinin dahili bilgisayarlar (dizüstü bilgisayarlar, sunucular, masaüstü bilgisayarlar vb.) için kullanıldığı çok düzeyli bir hiyerarşiyi gösterir.
Bu tasarımda, tüm istemcilerde CA barındırmaya gerek yoktur çünkü üst düzey CA, özel anahtar koruması ve süre sonu sorunlarını çözen GlobalSign tarafından barındırılır.
Bu yaklaşımın bir diğer avantajı da SSL denetim yetkisini herhangi bir nedenle iptal edebilmesidir. Bunun yerine, orijinal özel kökünüze bağlı yeni bir tane oluşturulur ve onu hemen kullanabilirsiniz.
Tüm tartışmalara rağmen işletmeler, dahili veya özel PKI altyapılarının bir parçası olarak SSL trafik denetimini giderek daha fazla uyguluyor. Özel PKI'nın diğer kullanımları arasında cihaz veya kullanıcı kimlik doğrulaması için sertifikaların verilmesi, dahili sunucular için SSL ve CA/Tarayıcı Forumunun gerektirdiği şekilde genel güvenilir sertifikalarda izin verilmeyen çeşitli yapılandırmalar yer alır.
Tarayıcılar mücadele ediyor
Tarayıcı geliştiricilerinin bu eğilime karşı koymaya ve son kullanıcıları MiTM'den korumaya çalıştıklarını belirtmek gerekir. Örneğin birkaç gün önce Mozilla Firefox'un sonraki tarayıcı sürümlerinden birinde DoH (DNS-over-HTTPS) protokolünü varsayılan olarak etkinleştirin. DoH protokolü, DNS sorgularını DPI sisteminden gizleyerek SSL denetimini zorlaştırır.
Benzer planlar hakkında 10 Eylül 2019 Chrome tarayıcısı için Google.
Ankete sadece kayıtlı kullanıcılar katılabilir. Lütfen.
Sizce bir şirketin çalışanlarının SSL trafiğini denetleme hakkı var mı?
-
Evet onların rızasıyla
-
Hayır, böyle bir onay istemek yasa dışı ve/veya etik dışıdır
122 kullanıcı oy kullandı. 15 kişi çekimser kaldı.
Kaynak: habr.com