Kaj je dešifriranje SSL/TLS?
Dešifriranje SSL, znano tudi kot dešifriranje SSL/TLS, se nanaša na postopek prestrezanja in dešifriranja omrežnega prometa, šifriranega s protokolom Secure Sockets Layer (SSL) ali Transport Layer Security (TLS). SSL/TLS je široko uporabljen šifrirni protokol, ki varuje prenos podatkov prek računalniških omrežij, kot je internet.
Dešifriranje SSL-ja običajno izvajajo varnostne naprave, kot so požarni zidovi, sistemi za preprečevanje vdorov (IPS) ali namenske naprave za dešifriranje SSL-ja. Te naprave so strateško nameščene v omrežju za pregled šifriranega prometa zaradi varnosti. Glavni cilj je analizirati šifrirane podatke glede morebitnih groženj, zlonamerne programske opreme ali nepooblaščenih dejavnosti.
Za izvajanje dešifriranja SSL varnostna naprava deluje kot posrednik med odjemalcem (npr. spletnim brskalnikom) in strežnikom. Ko odjemalec vzpostavi povezavo SSL/TLS s strežnikom, varnostna naprava prestreže šifriran promet in vzpostavi dve ločeni povezavi SSL/TLS – eno z odjemalcem in eno s strežnikom.
Varnostna naprava nato dešifrira promet odjemalca, pregleda dešifrirano vsebino in uporabi varnostne pravilnike za prepoznavanje morebitnih zlonamernih ali sumljivih dejavnosti. Lahko izvaja tudi naloge, kot so preprečevanje izgube podatkov, filtriranje vsebine ali zaznavanje zlonamerne programske opreme v dešifriranih podatkih. Ko je promet analiziran, ga varnostna naprava ponovno šifrira z novim potrdilom SSL/TLS in ga posreduje strežniku.
Pomembno je omeniti, da dešifriranje SSL sproža pomisleke glede zasebnosti in varnosti. Ker ima varnostna naprava dostop do dešifriranih podatkov, si lahko potencialno ogleda občutljive podatke, kot so uporabniška imena, gesla, podatki o kreditnih karticah ali drugi zaupni podatki, ki se prenašajo po omrežju. Zato se dešifriranje SSL običajno izvaja v nadzorovanih in zavarovanih okoljih, da se zagotovi zasebnost in celovitost prestreženih podatkov.
Dešifriranje SSL ima tri običajne načine, in sicer:
- Pasivni način
- Dohodni način
- Odhodni način
Kakšne pa so razlike med tremi načini dešifriranja SSL?
| Način | Pasivni način | Dohodni način | Odhodni način |
| Opis | Preprosto posreduje promet SSL/TLS brez dešifriranja ali spreminjanja. | Dešifrira zahteve odjemalcev, analizira in uporabi varnostne pravilnike, nato pa zahteve posreduje strežniku. | Dešifrira odgovore strežnika, analizira in uporabi varnostne pravilnike, nato pa odgovore posreduje odjemalcu. |
| Pretok prometa | Dvosmerno | Od odjemalca do strežnika | Strežnik do odjemalca |
| Vloga naprave | Opazovalec | Človek v sredini | Človek v sredini |
| Lokacija dešifriranja | Brez dešifriranja | Dešifrira na omrežnem obodu (običajno pred strežnikom). | Dešifrira na omrežnem obodu (običajno pred odjemalcem). |
| Vidljivost prometa | Samo šifriran promet | Dešifrirane zahteve odjemalcev | Dešifrirani odgovori strežnika |
| Sprememba prometa | Brez sprememb | Promet se lahko spremeni zaradi analitike ali varnostnih razlogov. | Promet se lahko spremeni zaradi analitike ali varnostnih razlogov. |
| SSL-potrdilo | Ni potrebe po zasebnem ključu ali potrdilu | Zahteva zasebni ključ in potrdilo za strežnik, ki ga prestrežejo | Zahteva zasebni ključ in potrdilo za stranko, ki jo prestrežejo |
| Varnostni nadzor | Omejen nadzor, saj ne more pregledovati ali spreminjati šifriranega prometa | Lahko pregleda in uporabi varnostne politike za zahteve odjemalcev, preden dosežejo strežnik | Lahko pregleda in uporabi varnostne politike za odgovore strežnika, preden dosežejo odjemalca |
| Pomisleki glede zasebnosti | Ne dostopa do šifriranih podatkov ali jih ne analizira | Ima dostop do dešifriranih zahtev strank, kar vzbuja pomisleke glede zasebnosti | Ima dostop do dešifriranih odgovorov strežnika, kar vzbuja pomisleke glede zasebnosti |
| Premisleki o skladnosti | Minimalen vpliv na zasebnost in skladnost s predpisi | Lahko zahteva skladnost s predpisi o varstvu podatkov | Lahko zahteva skladnost s predpisi o varstvu podatkov |
V primerjavi s serijskim dešifriranjem platforme za varno dostavo ima tradicionalna tehnologija serijskega dešifriranja omejitve.
Požarni zidovi in omrežni varnostni prehodi, ki dešifrirajo promet SSL/TLS, pogosto ne uspejo poslati dešifriranega prometa drugim orodjem za spremljanje in varnost. Podobno uravnoteženje obremenitve odpravi promet SSL/TLS in popolnoma porazdeli obremenitev med strežnike, vendar prometa ne porazdeli več verižnim varnostnim orodjem, preden ga ponovno šifrira. Nenazadnje te rešitve nimajo nadzora nad izbiro prometa in bodo nešifriran promet distribuirale s hitrostjo žice, običajno pa celoten promet pošljejo mehanizmu za dešifriranje, kar ustvarja izzive za zmogljivost.
Z dešifriranjem SSL Mylinking™ lahko rešite te težave:
1. Izboljšajte obstoječa varnostna orodja s centralizacijo in razbremenitvijo dešifriranja in ponovnega šifriranja SSL;
2. Razkrijte skrite grožnje, kršitve podatkov in zlonamerno programsko opremo;
3. Spoštujte skladnost z zasebnostjo podatkov z metodami selektivnega dešifriranja, ki temeljijo na politikah;
4 - Storitvena veriga z več aplikacijami za obveščanje o prometu, kot so rezanje paketov, maskiranje, deduplikacija in prilagodljivo filtriranje sej itd.
5. Vplivajte na delovanje omrežja in ustrezno prilagodite, da zagotovite ravnovesje med varnostjo in zmogljivostjo.
To so nekatere ključne uporabe dešifriranja SSL v omrežnih posrednikih paketov. Z dešifriranjem prometa SSL/TLS posredniki omrežnih paketov (NPB) izboljšajo vidnost in učinkovitost orodij za varnost in spremljanje, kar zagotavlja celovito zaščito omrežja in zmogljivosti spremljanja delovanja. Dešifriranje SSL v omrežnih posrednikih paketov (NPB) vključuje dostop do šifriranega prometa in njegovo dešifriranje za pregled in analizo. Zagotavljanje zasebnosti in varnosti dešifriranega prometa je izjemnega pomena. Pomembno je omeniti, da bi morale imeti organizacije, ki uvajajo dešifriranje SSL v NPB, jasne politike in postopke, ki urejajo uporabo dešifriranega prometa, vključno s politikami nadzora dostopa, ravnanja s podatki in hrambe. Skladnost z veljavnimi zakonskimi in regulativnimi zahtevami je bistvenega pomena za zagotovitev zasebnosti in varnosti dešifriranega prometa.
Čas objave: 4. september 2023
