[Networking] SSL Traffic Blind the Security Devices: เมื่อ Security Device โดนปิดตา ด้วย SSL

[Networking] SSL Traffic Blind the Security Devices: เมื่อ Security Device โดนปิดตา ด้วย SSL

ในทุกวันนี้ เราคงปฏิเสธการใช้งานใน Internet ไม่ได้ว่า Web Site ต่าง ๆ ที่ใช้งาน จะเป็น HTTPS กันเป็นส่วนใหญ่ ลองดูตัวอย่างง่าย ๆ ดังนี้

ซึ่งในมุมมองของผู้ใช้งาน เราจะคิดว่า ถ้ามันแถบเขียว แสดงว่า เป็น Web Site ที่ปลอดภัย เพราะมีการเข้ารหัสในการใช้งาน เมื่อมีการทำธุรกรรมต่าง ๆ จะได้มั่นใจว่า จะไม่ถูกดักจับข้อมูลที่สำคัญ

โดยหลักการง่าย ๆ คือ ใช้ กุญแจ (KEY) นั่นเอง โดยฝั่ง Web Site จะมีกุญแจ และฝั่ง Client เมื่อใช้งานก็จะได้ กุญแจไปคู่กัน เพื่อให้ เมื่อมีการรับส่งข้อมูลกัน จะได้มี กุญแจ ไว้สำหรับ เข้ารหัส และถอดรหัสนั่นเอง

ซึ่งในปัจจุบันนี้ เหล่าบรรดา Web Server ทั่วโลก ก็ได้ทยอยใช้งาน HTTPS กันไปมากแล้ว ด้วยเหตุผลของความปลอดภัยในการให้บริการ และอีกเหตุผลนึงที่สำคัญนั่นก็คือ Google Ranking (ในการ search หา Web site ผ่านทาง Google นั้น ทาง Google จะให้ Ranking แก่ Web Site ที่เป็น HTTPS มากกว่า) ดังนั้น เพื่อให้ผู้ใช้งาน ค้นหา Web Site เจอ จึงไปใช้งาน HTTPS นั่นเอง

ตัวอย่าง SSL Certificate

โดยตัว SSL Certificate นี้ จะต้องเสียเงินในการ "ซื้อ" อย่างในรูปตัวอย่างข้างบนนี้ ออกโดยบริษัท DigiCert และสามารถใช้งานได้ ระหว่าง 28/8/2014 ถึง 31/12/2015 หากพ้นระยะเวลาดังกล่าวแล้ว ไม่ทำการ Renew หรือ ซื้อใหม่ แน่นอนว่า จะเกิดเหตุที่เรียกว่า "หน้าแดง" แบบนี้

ลอง Web Site ที่ขึ้น Certificate Error แบบนี้ ถ้าเป็น Web Site ที่ทำธุรกรรม คงไม่มีใครอยากจะใช้งานแน่ ๆ เพราะไม่สามารถบอกได้ว่า เป็น Web Site ที่เป็นของจริงหรือไม่ จะเป็น Phishing site หรือเปล่า (Phishing site คือ Web Site ปลอม ที่ตั้งขึ้นมาเลียนแบบ Web Site จริง)

โดยเมื่อใช้งาน SSL มากขึ้นนี้ ในมุมผู้ใช้งานมองว่าเป็นข้อดีเรื่องความปลอดภัย แต่ !!!!! ในมุมมองของผู้ที่ดูแลเรื่องระบบความปลอดภัยในระบบเครือข่าย (Network Security) มันเป็นเรื่องที่ไม่ดีเลย เหตุผลคือ Hacker, Cracker ก็อาศัยช่องทางนี้ในการโจมตี คือ โจมตีผ่านทาง SSL เช่นเดียวกัน เพราะมันไม่สามารถตรวจสอบข้อมูลได้ แน่นอนว่า ในทาง Security ก็ไม่สามารถตรวจสอบ และระบุว่าเป็นการใช้งานนั้นเป็นการใช้งานที่ปลอดภัยหรือไม่ เพราะมันถูกเข้ารหัสไว้ 

อุปกรณ์ต่าง ๆ เช่น Firewall, Proxy, IPS, etc... อีกมากกว่า กว่า 95% ไม่สามารถตรวจสอบได้ว่ามี Virus, Malware หรือ APT (Advanced Persistent Threat) แอบแฝงมาด้วยหรือไม่ เพราะไม่มี "Key" ที่ใช้ในการแกะข้อมูลมาอ่าน จึงไม่สามารถตรวจสอบได้ ส่วนใหญ่ก็จะปล่อยผ่านไป แต่ในอีก 15% ที่สามารถแกะออกมาตรวจสอบได้ ก็จะเรียกว่าการทำ SSL Inspection ซึ่ง จะมีอุปกรณ์ไม่กี่รายที่ทำได้ แต่ !!!! สิ่งที่ตามมาคือ โหลด Performance อย่างมาก ซึ่งถ้าหากเปิดใช้งาน อาจจะทำให้อุปกรณ์ถึงกับ Hang ได้

นี่เป็นเหตุผลที่ SSL Traffic Blind the Security Devices ดังชื่อ Topic วันนี้นั่นเอง

แต่ไม่ต้องห่วงไปสำหรับ SSL Inspection จะกล่าวในโอกาสหน้านะครับ