DPI (инспекция SSL) противоречит смыслу криптографии, но компании её внедряют


    Цепочка доверия. CC BY-SA 4.0 Yanpas

    Инспекция трафика SSL (расшифровка SSL/TLS, анализ SSL или DPI) становится все более горячей темой обсуждения в корпоративном секторе. Идея расшифровки трафика вроде бы противоречит самой концепции криптографии. Однако факт есть факт: всё больше компаний используют технологии DPI, объясняя это необходимостью проверки контента на предмет зловредов, утечек данных и т. д.

    Что ж, если принять за факт, что необходимо внедрять такую технологию, то следует хотя бы рассмотреть способы сделать это наиболее безопасным и хорошо управляемым способом. Хотя бы не полагаться на те сертификаты, например, которые вам даёт поставщик системы DPI.

    Есть один аспект реализации, о котором не все знают. На самом деле многие действительно удивляются, когда слышат о нём. Это частный центр сертификации (ЦС). Он генерирует сертификаты для дешифровки и повторного шифрования трафика.

    Вместо того, чтобы полагаться на самоподписанные сертификаты или сертификаты из устройств DPI, вы можете использовать выделенный ЦС от стороннего центра сертификации, такого как GlobalSign. Но сначала давайте сделаем небольшой обзор самой проблемы.

    Что такое SSL-инспекция и почему она используется?


    Все больше публичных веб-сайтов переходят на HTTPS. Например, по статистике Chrome, в начале сентября 2019 года доля зашифрованного трафика в России достигло 83%.



    К сожалению, шифрованием трафика всё чаще пользуются и злоумышленники, тем более что Let's Encrypt тысячами раздаёт бесплатные SSL-сертификаты в автоматизированном режиме. Таким образом, HTTPS используется повсеместно — и замочек в адресной строке браузера перестал служить надёжным индикатором безопасности.

    С этих позиций и продвигают свой продукт производители решений DPI. Они внедряются между конечными пользователями (т. е. вашими сотрудниками, просматривающими веб-страницы) и Интернетом, отфильтровывая вредоносный трафик. На сегодняшний день на рынке существует ряд таких продуктов, но процессы по сути одинаковые. Трафик HTTPS проходит через устройство проверки, где он расшифровывается и проверяется на наличие вредоносных программ.

    После завершения проверки устройство создаёт с конечным клиентом новую SSL-сессию для расшифровки и повторного шифрования содержимого.

    Как работает процесс расшифровки/повторного шифрования


    Чтобы устройство SSL-инспекции расшифровало и повторно шифровало пакеты перед отправкой конечным пользователям, оно должно иметь возможность выдавать сертификаты SSL на лету. Это означает, что на нём должен быть установлен сертификат ЦС.

    Для компании (или другого человека-в-середине) важно, чтобы эти SSL-сертификаты были доверенными в браузерах (т. е. не вызывали страшных предупреждающих сообщений, подобные приведённому ниже). Поэтому цепочка ЦС (или иерархия) должна быть в хранилище доверия браузера. Поскольку эти сертификаты не выдаются из общедоступных доверенных центров сертификации, необходимо вручную передать иерархии ЦС всем конечным клиентам.


    Предупреждающее сообщение для самоподписанного сертификата в Chrome. Источник: BadSSL.com

    На компьютерах с Windows можно задействовать Active Directory и групповые политики, но для мобильных устройств процедура сложнее.

    Ситуация ещё больше усложняется, если нужно поддерживать в корпоративной среде и другие корневые сертификаты, например, от Microsoft, или на базе OpenSSL. Плюс защита секретных ключей и управление ими, чтобы какой-нибудь из ключей не истёк неожиданно.

    Лучший вариант: частный, выделенный корневой сертификат от стороннего ЦС


    Если управление несколькими корнями или самоподписанные сертификаты не привлекают, то есть и другой вариант: можно положиться на сторонний ЦС. В этом случае сертификаты выдаются из частного удостоверяющего центра, который связан в цепочке доверия с выделенным, частным корневым центром сертификации, созданным специально для компании.


    Упрощённая архитектура для выделенных клиентских корневых сертификатов

    Такая настройка устраняет некоторые из проблем, упомянутых ранее: хотя бы уменьшает количество корней, которыми нужно управлять. Здесь можно использовать только один частный корневой центр для всех внутренних потребностей PKI с любым количеством промежуточных центров сертификации. Например, на приведённой выше диаграмме показана многоуровневая иерархия, в которой один из промежуточных центров сертификации используется для проверки/расшифровки SSL, а другой — для внутренних компьютеров (ноутбуков, серверов, настольных компьютеров и т. д.).

    В этой схеме не нужно размещать ЦС на всех клиентах, потому что ЦС верхнего уровня размещается у GlobalSign, что решает проблемы с защитой закрытого ключа и сроком действия.

    Ещё одно преимущество этого подхода в возможности отзыва удостоверяющего центра SSL-инспекции по любой причине. Вместо него просто создаётся новый, который привязывается к вашему исходному частному корню, и можно использовать его немедленно.

    Несмотря на все противоречия, предприятия всё чаще внедряют SSL-инспекцию трафика как часть внутренней или частной инфраструктуры PKI. Другие варианты использования частной PKI — выпуск сертификатов для аутентификации устройств или пользователей, SSL для внутренних серверов, а также разные конфигурации, которые не разрешены в общедоступных доверенных сертификатах в соответствии с требованиями CA/Browser Forum.

    Браузеры сопротивляются


    Нужно заметить, что разработчики браузеров пытаются противостоять этой тенденции и защитить конечных пользователей от MiTM. Например, несколько дней назад Mozilla приняла решение включить по умолчанию протокол DoH (DNS-over-HTTPS) в одну из следующих версий браузера в Firefox. Протокол DoH скрывает DNS-запросы от DPI-системы, затрудняя SSL-инспекцию.

    Об аналогичных планах 10 сентября 2019 года объявила компания Google для браузера Chrome.




    СПЕЦИАЛЬНЫЕ УСЛОВИЯ на PKI-решения для предприятий действуют до 30.11.2019 г. по промо-коду AL002HRFR для новых клиентов. Подробности уточняйте у менеджеров +7 (499) 678 2210, sales-ru@globalsign.com.

    Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

    Как вы думаете, компания имеет право инспектировать SSL-трафик своих сотрудников?

    GlobalSign
    152,73
    Компания
    Поделиться публикацией

    Комментарии 17

      0
      А почему для мобил сложнее? Hotspot 2.0 вроде как работает, что с ним не так?
        +1
        Ну так профиль надо устанавливать на устройство, незаметно для пользователя это уже не сделать
          0
          Зачем вам это делать «незаметно»? Вы работодатель или преступник, однако?
        0
        с рабочего места — рабочий трафик. Котиков в ютубе можно посмотреть и с телефона
        ИМХО, согласие сотрудников не требуется. достаточно запретить вести частную переписку с рабочей машины.
          +2
          Требование отсутствия личной жизни в рабочие часы и не реально и не этично — их разумное сосуществование просто организовывается.
          В цивилизованном мире подобные запреты вообще в общем случае незаконны (в Европе не так давно засудили компанию как раз за такой запрет и попытку увольнения на основании его нарушения). В вашей логике работодателю и телефоны следует запретить: мало-ли каких фотографий сотрудники там могут сделать (как запрет на мобильники в аэрофлоте).
            0
            В цивилизованном мире подобные запреты вообще в общем случае незаконны (в Европе не так давно засудили компанию как раз за такой запрет и попытку увольнения на основании его нарушения).
            В Японии такое до сих пор практикуются. Видимо это нецивилизованная страна.

            В вашей логике работодателю и телефоны следует запретить: мало-ли каких фотографий сотрудники там могут сделать (как запрет на мобильники в аэрофлоте).
            И это тоже, да.

            На работе человек дожен работать!
              +1
              В Японии такое до сих пор практикуются. Видимо это нецивилизованная страна.
              У вас ссылки не будет, а то гугл не подсказывает? В Европе живу — знаю как тут на практике. В Японии, в академической среде, работал знакомый, вроде ничего такого не упоминал, но восток — дело тонкое, мало-ли…
              На работе человек дожен работать!
              Звучит как лозунг, ну скажем, дровосеков.
              Если этот гипотетический «человек» — охранник на проходной то ему видимо действительно лучше не отвлекаться, а для большинства других сотрудников нужно принести максимум пользы/прибыли своему работодателю. Поинтересуйтесь/вспомните как этого добиваются всякие Google/Amazon/Facebook и прочие…
                0
                В Японии, в академической среде, работал знакомый, вроде ничего такого не упоминал, но восток — дело тонкое, мало-ли…
                В академмческой среде или даже в японском офисе Гугла такого, конечно, нет. Этим в основном банки славятся.

                Поинтересуйтесь/вспомните как этого добиваются всякие Google/Amazon/Facebook и прочие…
                Это разве японские компании?

                а для большинства других сотрудников нужно принести максимум пользы/прибыли своему работодателю.
                Далеко не всегда. Именно потому, несмотря на то, что лет 30-40 назад американцы всерьёз опасались, что японцы, со своим «индустриальным подходом к программированию» их «затопчут» в реальности всё происходит ровно наоборот…
                  +2
                  Ваша точка зрения непонятна. Сначала говорите, что на работе надо работать, не отвлекаясь (и программистов это тоже касается?).
                  А потом признаёте, что такой «промышленный» подход не выдерживает конкуренции с расслабленным режимом гуглов и прочих контор, которые дают чуть ли не игровые комнаты своим сотрудникам.
                    0
                    Ваша точка зрения непонятна.
                    Это не моя точка зрения. Но она очень распространена в определённых кругах. В банках и в Японии, собственно. А уж в банках в Японии…

                    И я не ратую за этот подход — я объясняю откуда он берётся.
                    0
                    Это разве японские компании?
                    Мой комментарий касался вашего лозунга «На работе человек дожен работать!». Я просто привел пример успешных компаний принципы организации труда в которых широко известны.
            +4
            Удивляет меня этот подход к безопасности через DPI. В случае «без DPI» нам надо доверять лишь самому сайту и центру, выдавшему его сертификат, а в случае «с DPI» нам нужно доверять им же плюс ещё разработчику DPI, админам его устанавливающим и центру, выдающему для него сертификат. Т.е. 5 потенциальных точек перехвата/изменения информации вместо двух.

            Что, простите, в этом более безопасного?
              +2
              > Идея расшифровки трафика вроде бы противоречит самой концепции криптографии.
              Совсем нет, задача криптографии сделать так, чтобы трафик расшифровал только тот, кому он предназначен.
                +2

                Это просто вуайеризм какой-то, никакой реальной потребности смотреть содержимое трафика быть не должно.
                Защищайте сами конечные устройства, обучайте сотрудников цифровой гигиене.

                  0
                  Полностью поддерживаю Ваш подход текстовым плюсом.
                  +3
                  Забыли написать что все консольные утилиты в гробу видали этот перехват, прощай обновления пакетов, pip и прочие. Тут скорее подмена понятий самими производителями решений, которые запугивают организации страшилками, что сотрудники вынесут инфу, что вирус скачается, но по факту это создает больше проблем, чем решает.
                    0

                    Мне кажется, что любому сотруднику ощущение того, что его просматривают насквозь, не добавит энтузиазма, а скорее вызовет чувство, что ему не доверяют. Да и бывает такое только в идеальном мире, где работник не смотрит котиков)

                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                    Самое читаемое