ジュニパーが128テクノロジー買収の完了を発表

ブログ:職場で「ダイエットピル」のウェブを閲覧する必要がありますか?

Patrick MeLampy、128テクノロジー
パトリック・ミーランピー
November 5, 2018

]大都市の通りを歩いていると、道案内がよく聞かれます。 指示を求められると、場所を探す人たちの秘密がわかります。

  • –ボストン公立図書館はどこですか→その人は読むのが好きです
  • –スターバックスはどこにありますか→その人はまもなくカフェを飲み込むでしょう
  • –四季はどこですか→人はおそらく金持ちです

私たちの結論は常に正しいとは限りませんが、実際、見知らぬ人に指示することによって学びます。

DNSモニタリングは、ネットワークの使用状況を明らかにします。

ドメインネームシステム(DNS)は、インターネット上の場所への道順を提供します。 システムは、人間が読み取れる場所(Uniform Resource LocatorまたはURLと呼ばれる)を取得し、接続に最適なIPアドレス(ネットワークの場所)を返します。 直接またはリンクをクリックして間接的にWebサイトにアクセスするたびに、DNSプロバイダーはあなたについて何かを学習します。 今日のすべてのDNS要求の約78%は、米国では暗号化されていません【1] 使用しているネットワークと情報を共有します。 したがって、グーグルで仕事中に「ダイエットピル」のリンクをクリックすると、ローカルのITスタッフがあなたについて何かを知る可能性があります。

現在、特定のWebサイトが要求されているものをIPアドレスで判別することは非常に困難です。

インターネットが小規模だったとき、各Webサイトには一意のIPアドレスがありました。 これは、IPアドレスが手紙の郵便番号のように宛先を明らかにすることを意味しました。 時間の経過とともに、WebサイトはIPアドレスを共有し始め、代わりにルーティングに実際のリクエスト情報を使用しました。 さらに、Webキャッシングサイトは、多数のWebサイトに代わってコンテンツを配信していました。

DNS盗聴者は、アクセスしている暗号化されたWebサイトを簡単に知ることができます。

今日の信頼できるインターネットサービスはすべて暗号化されています。 残っている暗号化されていないサイトは安全に使用できず、人気のあるブラウザーはユーザーにこれらを回避するよう警告します。 現在、多くの社内サービスは暗号化されていませんが、暗号化される可能性があります。 サービスが暗号化されている場合、要求情報は、情報を非公開にする「キー」を含まない人には利用できません。 しかし、前述のように、DNSリクエストの78%は依然として盗聴者が傍受するために開かれています。  したがって、DNS盗聴者は、アクセスしている暗号化されたWebサイトを簡単に知ることができます。

エンドユーザーはDNSサーバーを選択および制御できるため、ユーザーはDNSプロバイダーを選択できます。

今日販売されているセキュリティサービスがあり、企業はすべてのDNS要求をポルノ、広告トラッカー、およびその他の疑わしいサイトを知っている特別なサーバーに送信し、ポリシー違反を示すWebサーバーにこれらの要求をリダイレクトするだけです。 「無料/妨げられないアクセス」の戦いにおいて、多くの人は、コンピュータのネットワーク設定に行って、DNSサーバーをGoogleのパブリックDNSサーバーにすることを強制する方が良いかもしれないことを学びました。 私たちのほとんどは、会社や携帯通信会社よりもGoogleに秘密を知らせるほうがよいことを受け入れています。

アウトバウンドプロキシは、すべてのインターネット使用および個人情報への100%アクセスを提供します。

誰もがあなたの秘密を知るための終わりのない戦いの中で、今日の企業はセキュリティプロキシ(TLS Man-in-the-middle)を頻繁に利用しています。 ほとんどの人はこれに気づいていませんが、暗号化が使用されている場合でも、インターネットのユーザーが行うすべてのアクティビティは、これらのセキュリティプロキシによって100%監視可能です。 そのため、オンラインバンクにアクセスすると、ブラウザから「グリーン」な信号が表示されますが、中央のプロキシはすべての動作を監視できます。 企業は、この情報に対する権利があり、資産を保護する必要があると主張しています。 企業の盗聴を防ぐために、多くの銀行やWebサイトはモバイルデバイスへのアクセスを奨励しています。 これを克服するために、多くの企業はモバイルデバイス管理ソフトウェアを使用して、これらのモバイルデバイスにもセキュリティプロキシを挿入しています。

アウトバウンドプロキシは、エンドツーエンドのセキュリティアソシエーションとマルチメディアのリアルタイムパフォーマンスに干渉する可能性があります。

ネットワークの専門家は、完全なアウトバウンドプロキシではなく、ポリシーを適用する方法を探すことを長年求めてきました。 アウトバウンドプロキシはクラウドサービスによって検出可能であり、頻繁に推奨されません。 MicrosoftとGoogleは両方とも、発信プロキシに対して積極的に反対する接続に関する現在のベストプラクティスを書いています。

SNIを使用すると、必要以上にプライバシーを侵害することなく、セキュリティポリシーを適用できます。

ポリシーを適用する別のメカニズムは、サービス名表示です。 暗号化されたトラフィックの場合、サービス名表示と呼ばれるフィールドが2003年に導入されました【2] 暗号化(TLS)の標準。 すべての一般的なWebブラウザーはすぐにそれをサポートし(「オプション」と表示されていましたが)、今日のネットワークでは、3番目のパケット(TLSクライアントHello)は明確に見えるURLです。 洗練されたDPI機器は、XNUMXつを削ることでWebの使用状況に関する情報を収集できるようになりましたrd 保護されたWebリクエストのパケット。 これが、今日のアプリケーションフィンガープリントの実行方法です。 ファイアウォール、セキュリティIPS / DPIデバイス、およびSD-WANルーターは、この情報を取得して、既知のサービスに適切にルーティングしてQoSを提供できます。 ポルノやその他の望ましくないWebサイトへのアクセスをブロックすることも、SNI処理で効率的に実行できます。

SNI情報には他の利点もあります。 SNI情報は、リクエストをルーティングする特定のWebサーバーまたはキャッシュを決定するために使用されます。 また、共有機器を使用するときに、セキュリティアソシエーションの正しいキーを決定するためにも使用できます。 したがって、この情報は、データセンターでの効率的なエッジルーティングに使用されます。 プレーンテキストであるため、効率的です。

現在IETFで作業が行われています【3] SNI情報を非公開にします。

安全なDNSを使用している22%の人は、78番目のパケットのSNIフィールドを暗号化することで、要求をさらにクロークすることができます。 これにより、企業のファイアウォールやネットワーク機器が、アクセスしようとしている特定のWebサイトを学習できなくなります。 DNSSECを使用していない他のXNUMX%にとっては、メリットはありません。 もちろんプライバシーの必要性はありますが、SNIの暗号化によってアウトバウンドプロキシが増えるのではないかと心配しています。 これは明らかに悪が大きい場合です。 インターネットの使用に関するポリシーがあり、ルールを適用したい企業は、はるかに高価なアウトバウンドプロキシ(アプリケーション層ファイアウォール)を使用することを余儀なくされ、接続に関するMicrosoftの推奨事項を無視します。 これにより、コストが高くなり、マルチメディアクラウドサービスのパフォーマンスが低下する可能性があります。

ネットワーク機器にはサービス情報が必要ですか?

ほとんどの人は、ネットワークがアプリケーションに応答することを望んでいます。 音声とビデオをデータと共存させるため。 バックアップを予備の帯域幅でのみ動作させるには、リアルタイムのクライアント/サーバーデータフローに干渉しないでください。 誰もがネットワークをより安全にすることを望んでいます。 私たちは皆、ネットワークが何に使用されているのかを理解したいと思っています。 ITプロフェッショナルは、脆弱性と動作をリアルタイムで評価したいと考えています。 同時に、すべてのユーザーは自分の個人情報のプライバシーに対する権利を持っています。

この質問に答えるには、ネットワークの将来を見なければなりません。 ある時点で、IPv6が使用されるアドレッシングスキームになり、IPv4は非推奨になると考えるのは妥当です。 これはかつてありそうでなかったように思われましたが、今では明らかに可能です。 インターネットの大部分はすでにIPv6を利用しており、多くの企業が内部ネットワークとデータセンターをIPv6に切り替えています。 IPv6の影響は、すべてのサービスが再び独自の一意のアドレスを持つことができることです。 SNIフィールドは不要になり、アプリケーションの識別とポリシーの適用には逆DNSで十分な場合があります。 IPアドレスに基づくACLが再び機能し始めます。 ただし、プライバシーに関して最も重要なのは、IPv6ではアドレスによるプライバシーの難読化が利用できなくなることです。

結論

今日、あなたのネットワークはあなたがそこに行くための道案内を与えるので、あなたのネットワークはあなたがどのウェブサイトを使うかを知っています。 IPv4アドレスだけでは、ネットワークの使用状況を理解するのに十分な情報が得られません。 サービス名表示は、今日のネットワーク使用状況を理解する方法を提供しますが、将来的にはこのフィールドが暗号化され、ネットワークの使用を理解してポリシーを適用するために利用できる唯一の技術ツールとして、完全な送信プロキシになる可能性があります。 最終的には、IPv4が非推奨になると、各固有のサービスが固有のIPアドレスを持つインターネットに戻る可能性があります。 これにより、完全なポリシーの適用と、IPアドレスからサービスへのフォワード/バックワード変換が可能になります。 上記のすべてが当てはまる場合、SNIフィールドはアウトバウンドプロキシよりもはるかに害が少ないため、暗号化しないでおくことをお勧めします。

【1] https://tools.ietf.org/html/draft-ietf-tls-sni-encryption-03

【2] RFC 3546はRFC 4366に置き換えられました

【3] https://stats.labs.apnic.net/dnssec/XA?