تفاوت SSL Offloading و SSL Inspection
همانطور که میدانید پروتکل HTTPS حاصل رمزنگاری پروتکل HTTP توسط پروتکل دیگری به نام SSL است که در نتیجه آن هدر و دیتای پروتکل HTTP رمزنگاری می شود که این رمزنگاری بر روی لایه 7 شبکه انجام میگیرد. با نگاهی امنیتی، این حرف بدان معناست که تجهیزات امنیتی شبکه مانند WAF و یا UTM ها امکان بررسی محتوای پروتکل HTTPS را ندارند زیرا رمزنگاری انجام شده بر روی این پروتکل امکان بررسی Content یا محتوای آن را غیرممکن میسازد که در نتیجه آن ماژولهای امنیتی این تجهیزات(مانند IPS & Antivirus) امکان بررسی صحت و سلامت بستهها ندارند. این ضعفی آشکار و بزرگ برای امنیت سامانهها در سازمانها و شرکتها میباشد.
تصور کنید که وبسایت خود را در اینترنت پابلیش نمودهاید اما از آنجائیکه از پروتکل HTTPS بهره میبرید این امکان را ندارید که محتوای آنچه بین کاربر و وبسرور شما مبادله میشود را کنترل و نظارت کنید.تنها راه رفع این مشکل آن است که Private Key گواهینامه دیجیتال یا همان SSL Certificate وب سایت را در اختیار داشته باشیم و آن را به تجهیز امنیتی Import کنیم. با فرض در اختیار داشتن کلید خصوصی، تجهیز امنیتی WAF را به دو صورت میتوانیم در شبکه مستقر کنیم که در نتیجه آن کنترل کاملی بر روی این پروتکل بدست آید.با عنایت به توضیحات بالا، دو سناریو برای استفاده از Private Key جهت رمزگشایی ترافیک پروتکل HTTPS وجود دارد:
نکته مهم در ارتباط با این سناریو آن است که پس از پایان بررسیهای امنیتی و احیانا تغییر در محتوای یک بسته توسط WAF آن بسته مجددا رمزنگاری شده و طی یک TCP Connection جدید تحویل وبسرور داده خواهد شد.
نامگذاری Offloading برای این روش حاکی از برداشتن بار سنگین محاسباتی پروتکل SSL از روی وبسرور میباشد لذا تمامی این محاسبات توسط WAF انجام میگیرد و در پایان بستهها بصورت رمزگشایی شده تحویل وبسرور داده میشوند. تجهیزات خانواده WAF مجهز به پردازندههای تخصصی (ASIC) می باشند که قادرند محاسبات سنگین رمزنگاری و رمزگشایی بستهها را بصورت بسیار سریعتر و موثرتری انجام دهند.
منبع
همانطور که میدانید پروتکل HTTPS حاصل رمزنگاری پروتکل HTTP توسط پروتکل دیگری به نام SSL است که در نتیجه آن هدر و دیتای پروتکل HTTP رمزنگاری می شود که این رمزنگاری بر روی لایه 7 شبکه انجام میگیرد. با نگاهی امنیتی، این حرف بدان معناست که تجهیزات امنیتی شبکه مانند WAF و یا UTM ها امکان بررسی محتوای پروتکل HTTPS را ندارند زیرا رمزنگاری انجام شده بر روی این پروتکل امکان بررسی Content یا محتوای آن را غیرممکن میسازد که در نتیجه آن ماژولهای امنیتی این تجهیزات(مانند IPS & Antivirus) امکان بررسی صحت و سلامت بستهها ندارند. این ضعفی آشکار و بزرگ برای امنیت سامانهها در سازمانها و شرکتها میباشد.
تصور کنید که وبسایت خود را در اینترنت پابلیش نمودهاید اما از آنجائیکه از پروتکل HTTPS بهره میبرید این امکان را ندارید که محتوای آنچه بین کاربر و وبسرور شما مبادله میشود را کنترل و نظارت کنید.تنها راه رفع این مشکل آن است که Private Key گواهینامه دیجیتال یا همان SSL Certificate وب سایت را در اختیار داشته باشیم و آن را به تجهیز امنیتی Import کنیم. با فرض در اختیار داشتن کلید خصوصی، تجهیز امنیتی WAF را به دو صورت میتوانیم در شبکه مستقر کنیم که در نتیجه آن کنترل کاملی بر روی این پروتکل بدست آید.با عنایت به توضیحات بالا، دو سناریو برای استفاده از Private Key جهت رمزگشایی ترافیک پروتکل HTTPS وجود دارد:
SSL Inspection Mode چیست؟
در این سناریو کلید خصوصی یک سامانه مبتنی بر وب در اختیار WAF قرار می گیرد تا امکان رمزگشایی و همچنین رمزنگاری بستههای اطلاعاتی -Packet- را داشته باشد که در نتیجه آن امکان بررسی محتوای ترافیک یعنی Header & Body فراهم می شود. رمزگشایی یک بسته توسط کلید خصوصی این امکان را فراهم میکند تا ماژولهای امنیتی نظیر Antivirus و IPS بتوانند صحت و پاک بودن بستهها را بررسی نمایند ضمن اینکه در این شرایط قابلیت تغییر محتوای بستهها نیز فراهم میشود بعنوان مثال WAF میتواند هدرهایی که منجر به نشت اطلاعات وبسرور میشوند را از بسته حذف نموده و سپس آن را برای کاربر ارسال نماید لذا مانع از افشای اطلاعات یا Information Disclosure می شود.نکته مهم در ارتباط با این سناریو آن است که پس از پایان بررسیهای امنیتی و احیانا تغییر در محتوای یک بسته توسط WAF آن بسته مجددا رمزنگاری شده و طی یک TCP Connection جدید تحویل وبسرور داده خواهد شد.
SSL Offloading Mode چیست؟
این سناریو که شباهت زیادی با SSL Inspection دارد تمامی قابلیتهای مشاهده، بررسی و تغییر ترافیک پروتکل HTTPS را در اختیار قرار میدهد با این تفاوت که ارتباط بین WAF تا وبسرور بصورت Clear Text میباشد. از آنجائیکه دراین روش بستههای اطلاعاتی در بخشی از مسیر بصورت Clear Text منتقل میشوند لذا مغایر با Best Practice ها و توصیه های امنیتی میباشد بنابراین اغلب از آن استفاده نمیشود.نامگذاری Offloading برای این روش حاکی از برداشتن بار سنگین محاسباتی پروتکل SSL از روی وبسرور میباشد لذا تمامی این محاسبات توسط WAF انجام میگیرد و در پایان بستهها بصورت رمزگشایی شده تحویل وبسرور داده میشوند. تجهیزات خانواده WAF مجهز به پردازندههای تخصصی (ASIC) می باشند که قادرند محاسبات سنگین رمزنگاری و رمزگشایی بستهها را بصورت بسیار سریعتر و موثرتری انجام دهند.
منبع