Kaj je dešifriranje SSL/TLS?
Dešifriranje SSL, znano tudi kot dešifriranje SSL/TLS, se nanaša na postopek prestrezanja in dešifriranja šifriranega omrežnega prometa s plastjo varnih vtičnic (SSL) ali varnostjo transportne plasti (TLS). SSL/TLS je široko uporabljen šifrirni protokol, ki varuje prenos podatkov prek računalniških omrežij, kot je internet.
Dešifriranje SSL običajno izvajajo varnostne naprave, kot so požarni zidovi, sistemi za preprečevanje vdorov (IPS) ali namenske naprave za dešifriranje SSL. Te naprave so strateško nameščene v omrežju za pregledovanje šifriranega prometa za varnostne namene. Primarni cilj je analizirati šifrirane podatke za morebitne grožnje, zlonamerno programsko opremo ali nepooblaščene dejavnosti.
Za izvedbo dešifriranja SSL varnostna naprava deluje kot posrednik med odjemalcem (npr. spletnim brskalnikom) in strežnikom. Ko odjemalec vzpostavi povezavo SSL/TLS s strežnikom, varnostna naprava prestreže šifriran promet in vzpostavi dve ločeni povezavi SSL/TLS – eno z odjemalcem in eno s strežnikom.
Varnostna naprava nato dešifrira promet od odjemalca, pregleda dešifrirano vsebino in uporabi varnostne pravilnike za prepoznavanje kakršnih koli zlonamernih ali sumljivih dejavnosti. Izvaja lahko tudi naloge, kot je preprečevanje izgube podatkov, filtriranje vsebine ali odkrivanje zlonamerne programske opreme na dešifriranih podatkih. Ko je promet analiziran, ga varnostna naprava ponovno šifrira z novim SSL/TLS certifikatom in ga posreduje strežniku.
Pomembno je omeniti, da dešifriranje SSL povzroča pomisleke glede zasebnosti in varnosti. Ker ima varnostna naprava dostop do dešifriranih podatkov, si lahko potencialno ogleda občutljive informacije, kot so uporabniška imena, gesla, podatki o kreditni kartici ali drugi zaupni podatki, ki se prenašajo po omrežju. Zato se dešifriranje SSL na splošno izvaja v nadzorovanih in varovanih okoljih, da se zagotovi zasebnost in celovitost prestreženih podatkov.
Dešifriranje SSL ima tri običajne načine, to so:
- Pasivni način
- Dohodni način
- Izhodni način
Toda kakšne so razlike med tremi načini dešifriranja SSL?
| Način | Pasivni način | Dohodni način | Odhodni način |
| Opis | Preprosto posreduje promet SSL/TLS brez dešifriranja ali spreminjanja. | Dešifrira zahteve odjemalcev, analizira in uporablja varnostne politike, nato pa zahteve posreduje strežniku. | Dešifrira odzive strežnika, analizira in uporablja varnostne politike, nato pa posreduje odgovore odjemalcu. |
| Pretok prometa | Dvosmerno | Odjemalec do strežnika | Od strežnika do odjemalca |
| Vloga naprave | Opazovalec | Človek v sredini | Človek v sredini |
| Lokacija dešifriranja | Brez dešifriranja | Dešifrira na obodu omrežja (običajno pred strežnikom). | Dešifrira na obodu omrežja (običajno pred odjemalcem). |
| Vidnost prometa | Samo šifriran promet | Dešifrirane zahteve strank | Dešifrirani odgovori strežnika |
| Sprememba prometa | Brez sprememb | Lahko spremeni promet za analizo ali varnostne namene. | Lahko spremeni promet za analizo ali varnostne namene. |
| SSL potrdilo | Ni potrebe po zasebnem ključu ali potrdilu | Zahteva zasebni ključ in potrdilo za strežnik, ki ga prestrežejo | Zahteva zasebni ključ in potrdilo za odjemalca, ki ga prestrežejo |
| Varnostni nadzor | Omejen nadzor, saj ne more pregledati ali spremeniti šifriranega prometa | Lahko pregleda in uporabi varnostne pravilnike za zahteve odjemalcev, preden dosežejo strežnik | Lahko pregleda in uporabi varnostne pravilnike za odzive strežnika, preden doseže odjemalca |
| Pomisleki glede zasebnosti | Ne dostopa do šifriranih podatkov ali jih analizira | Ima dostop do dešifriranih zahtev strank, kar povzroča pomisleke glede zasebnosti | Ima dostop do dešifriranih odzivov strežnika, kar povzroča pomisleke glede zasebnosti |
| Premisleki glede skladnosti | Minimalni vpliv na zasebnost in skladnost | Lahko zahteva skladnost s predpisi o zasebnosti podatkov | Lahko zahteva skladnost s predpisi o zasebnosti podatkov |
V primerjavi s serijskim dešifriranjem platforme za varno dostavo ima tradicionalna tehnologija serijskega dešifriranja omejitve.
Požarni zidovi in omrežni varnostni prehodi, ki dešifrirajo promet SSL/TLS, pogosto ne pošljejo dešifriranega prometa drugim orodjem za nadzor in varnost. Podobno uravnoteženje obremenitve odpravi promet SSL/TLS in popolnoma porazdeli obremenitev med strežnike, vendar ne uspe porazdeliti prometa na več verižnih varnostnih orodij, preden ga znova šifrira. Nazadnje, tem rešitvam primanjkuje nadzora nad izbiro prometa in bodo distribuirale nešifriran promet po žični hitrosti, kar bo običajno poslalo celoten promet mehanizmu za dešifriranje, kar bo povzročilo izzive glede zmogljivosti.
Z Mylinking™ SSL dešifriranjem lahko rešite te težave:
1- Izboljšajte obstoječa varnostna orodja s centralizacijo in razbremenitvijo dešifriranja in ponovnega šifriranja SSL;
2- Razkrijte skrite grožnje, kršitve podatkov in zlonamerno programsko opremo;
3- Spoštujte skladnost z zasebnostjo podatkov s selektivnimi metodami dešifriranja, ki temeljijo na pravilniku;
4 - Storitvena veriga več aplikacij za prometno obveščanje, kot so rezanje paketov, maskiranje, deduplikacija in prilagodljivo filtriranje sej itd.
5- Vplivajte na delovanje omrežja in naredite ustrezne prilagoditve, da zagotovite ravnovesje med varnostjo in zmogljivostjo.
To je nekaj ključnih aplikacij dešifriranja SSL v posrednikih omrežnih paketov. Z dešifriranjem prometa SSL/TLS NPB-ji povečajo vidnost in učinkovitost orodij za varnost in spremljanje, kar zagotavlja celovito zaščito omrežja in zmogljivosti spremljanja delovanja. Dešifriranje SSL v posrednikih omrežnih paketov (NPB) vključuje dostopanje in dešifriranje šifriranega prometa za pregled in analizo. Zagotavljanje zasebnosti in varnosti dešifriranega prometa je izjemnega pomena. Pomembno je omeniti, da morajo imeti organizacije, ki uvajajo dešifriranje SSL v NPB, jasne pravilnike in postopke za urejanje uporabe dešifriranega prometa, vključno z nadzorom dostopa, ravnanjem s podatki in politikami hrambe. Skladnost z veljavnimi pravnimi in regulativnimi zahtevami je bistvena za zagotavljanje zasebnosti in varnosti dešifriranega prometa.
Čas objave: sep-04-2023
