[Networking] Unlock the SSL Traffic Part 1: เบิกเนตร SSL ตอน 1

ความเดินตอนที่แล้ว
[Networking] SSL Traffic Blind the Security Devices: เมื่อ Security Device โดนปิดตา ด้วย SSL
http://itnewhand.blogspot.com/2015/11/networking-ssl-traffic-blind-security.html

ว่าด้วยเรื่องของ SSL Traffic ที่ปิดหู ปิดตาระบบรักษาความปลอดภัย

มาวันนี้ จะมาว่าด้วยเรื่องการถอดรหัสออก ซึ่งจะแบ่งเป็น 2 ตอน โดย
ตอน 1 จะว่าด้วยการถอดรหัส ของการให้บริการของ Server ภายใน
ตอน 2 จะว่าด้วยการถอดรหัส ของการใช้บริการของ Internet ภายนอก

เอาหล่ะ มาเข้าเรื่องกันเลยนะครับ

ปกติของการให้บริการระบบภายใน ไม่ว่าจะเป็นการใช้งานจากบุคคลภายในเอง หรือจากภายนอกเอง อันนี้ค่อนข้างจะง่าย เพราะ "เรา" เป็นผู้กำหนด "Key" ที่จะใช้งาน (แหงหล่ะ ก็มันเครื่องของเราเองไง)

จากรูป จะเห็นว่า มีการเชื่อมต่อระหว่าง Client กับ Server ซึ่งเป็นแบบ SSL Traffic

จะเห็นว่า เครื่อง Server จะเป็นคนทำหน้าที่ในการ ส่ง"Key"ไปให้ Client รวมถึง เข้ารหัส และถอดรหัสข้อมูลที่รับส่ง ระหว่างกัน
แน่นอนว่า คนอื่น ๆ (รวมถึงอุปกรณ์ เช่น Firewall, IPS, etc. ด้วย) จะไม่สามารถตรวจสอบได้ว่ามีข้อมูลอะไรวิ่งผ่าน เพราะไมมี "Key" นั่นเอง

เพราะฉะนั้นแล้ว การถอด "Key" เราก็แค่ย้าย ออกไปจากเครื่อง Server ซะ ดังรูปข้างล่างนี้ ให้แก่อุปกรณ์ซักตัวที่สามารถทำ SSL Inspection (ชื่อเรียกอื่น ๆ ก็เช่น SSL Acceleration, SSL Offload etc.) ได้มาเป็นคนจัดการเรื่อง "Key" แทน Server และจะเห็นว่า หลังจากอุปกรณ์ดังกล่าวไป ข้อมูลจะเป็น Pain Text แล้วนั่นเอง

ตรงนี้แหละ เราก็สามารถใช้งานอุปกรณ์ Security ต่าง ๆ มาจัดารได้แล้ว Bingo !!!!

สำหรับคำถามว่า อุปกรณ์อะไรทำหน้าที่ SSL Inspection ได้นั้น ในท้องตลาดมีมากมาย (พอดี ไม่ได้ค่า สปอนเซอร์ เลยขอไม่บอกยี่ห้อแล้วกันนะ) มีให้เลือกช๊อปใช้งานหลากหลาย

ขอจบ Part 1 ด้วยประกาลละฉะนี้แล

30-Nov-2015

[Networking] SSL Traffic Blind the Security Devices: เมื่อ Security Device โดนปิดตา ด้วย SSL

[Networking] SSL Traffic Blind the Security Devices: เมื่อ Security Device โดนปิดตา ด้วย SSL

ในทุกวันนี้ เราคงปฏิเสธการใช้งานใน Internet ไม่ได้ว่า Web Site ต่าง ๆ ที่ใช้งาน จะเป็น HTTPS กันเป็นส่วนใหญ่ ลองดูตัวอย่างง่าย ๆ ดังนี้

ซึ่งในมุมมองของผู้ใช้งาน เราจะคิดว่า ถ้ามันแถบเขียว แสดงว่า เป็น Web Site ที่ปลอดภัย เพราะมีการเข้ารหัสในการใช้งาน เมื่อมีการทำธุรกรรมต่าง ๆ จะได้มั่นใจว่า จะไม่ถูกดักจับข้อมูลที่สำคัญ

โดยหลักการง่าย ๆ คือ ใช้ กุญแจ (KEY) นั่นเอง โดยฝั่ง Web Site จะมีกุญแจ และฝั่ง Client เมื่อใช้งานก็จะได้ กุญแจไปคู่กัน เพื่อให้ เมื่อมีการรับส่งข้อมูลกัน จะได้มี กุญแจ ไว้สำหรับ เข้ารหัส และถอดรหัสนั่นเอง

ซึ่งในปัจจุบันนี้ เหล่าบรรดา Web Server ทั่วโลก ก็ได้ทยอยใช้งาน HTTPS กันไปมากแล้ว ด้วยเหตุผลของความปลอดภัยในการให้บริการ และอีกเหตุผลนึงที่สำคัญนั่นก็คือ Google Ranking (ในการ search หา Web site ผ่านทาง Google นั้น ทาง Google จะให้ Ranking แก่ Web Site ที่เป็น HTTPS มากกว่า) ดังนั้น เพื่อให้ผู้ใช้งาน ค้นหา Web Site เจอ จึงไปใช้งาน HTTPS นั่นเอง

ตัวอย่าง SSL Certificate

โดยตัว SSL Certificate นี้ จะต้องเสียเงินในการ "ซื้อ" อย่างในรูปตัวอย่างข้างบนนี้ ออกโดยบริษัท DigiCert และสามารถใช้งานได้ ระหว่าง 28/8/2014 ถึง 31/12/2015 หากพ้นระยะเวลาดังกล่าวแล้ว ไม่ทำการ Renew หรือ ซื้อใหม่ แน่นอนว่า จะเกิดเหตุที่เรียกว่า "หน้าแดง" แบบนี้

ลอง Web Site ที่ขึ้น Certificate Error แบบนี้ ถ้าเป็น Web Site ที่ทำธุรกรรม คงไม่มีใครอยากจะใช้งานแน่ ๆ เพราะไม่สามารถบอกได้ว่า เป็น Web Site ที่เป็นของจริงหรือไม่ จะเป็น Phishing site หรือเปล่า (Phishing site คือ Web Site ปลอม ที่ตั้งขึ้นมาเลียนแบบ Web Site จริง)

โดยเมื่อใช้งาน SSL มากขึ้นนี้ ในมุมผู้ใช้งานมองว่าเป็นข้อดีเรื่องความปลอดภัย แต่ !!!!! ในมุมมองของผู้ที่ดูแลเรื่องระบบความปลอดภัยในระบบเครือข่าย (Network Security) มันเป็นเรื่องที่ไม่ดีเลย เหตุผลคือ Hacker, Cracker ก็อาศัยช่องทางนี้ในการโจมตี คือ โจมตีผ่านทาง SSL เช่นเดียวกัน เพราะมันไม่สามารถตรวจสอบข้อมูลได้ แน่นอนว่า ในทาง Security ก็ไม่สามารถตรวจสอบ และระบุว่าเป็นการใช้งานนั้นเป็นการใช้งานที่ปลอดภัยหรือไม่ เพราะมันถูกเข้ารหัสไว้ 

อุปกรณ์ต่าง ๆ เช่น Firewall, Proxy, IPS, etc... อีกมากกว่า กว่า 95% ไม่สามารถตรวจสอบได้ว่ามี Virus, Malware หรือ APT (Advanced Persistent Threat) แอบแฝงมาด้วยหรือไม่ เพราะไม่มี "Key" ที่ใช้ในการแกะข้อมูลมาอ่าน จึงไม่สามารถตรวจสอบได้ ส่วนใหญ่ก็จะปล่อยผ่านไป แต่ในอีก 15% ที่สามารถแกะออกมาตรวจสอบได้ ก็จะเรียกว่าการทำ SSL Inspection ซึ่ง จะมีอุปกรณ์ไม่กี่รายที่ทำได้ แต่ !!!! สิ่งที่ตามมาคือ โหลด Performance อย่างมาก ซึ่งถ้าหากเปิดใช้งาน อาจจะทำให้อุปกรณ์ถึงกับ Hang ได้

นี่เป็นเหตุผลที่ SSL Traffic Blind the Security Devices ดังชื่อ Topic วันนี้นั่นเอง

แต่ไม่ต้องห่วงไปสำหรับ SSL Inspection จะกล่าวในโอกาสหน้านะครับ