Blog

Overview

Đây là phần giải đáp thắc mắc thường gặp về HTTPS scanning

Câu hỏi 1: HTTPS là gì ?

HTTPS là các traffic HTTP được gửi qua kết nối mã hoá TLS/SSL. Trước khi các gói tin HTTP đó được gửi, 1 kết nối TLS/SSL sẽ được thiết lập. Vấn đề này liên quan đến việc bắt tay giữa các thuật toán mã hoá và máy chủ server gửi certificate đến client

Nếu cả client và máy chủ server đều đồng ý về 1 thuật toán mã hoá, và khi đó client sẽ xác định được chính xác máy chủ là ai, thì khi đó kết nối sẽ được thiết lập. Sau đó thì tất cả traffic sẽ được mã hoá. Nếu có kẻ xâu nghe lén, họ chỉ có thể thấy được traffic chứ sẽ không thể giải mã được các traffic đó

Cách duy nhất mà kẻ xấu đó có thể giải mã traffic là nếu chúng can thiệp vào quá trình bắt tay và tự đưa mình vào kết nối

Trong tình huống bình thường, HTTPS sẽ cung cấp sự đảm bảo cho trình duyệt và người dùng rằng máy chủ web mà họ đã kết nối là máy chủ mà họ định sử dụng và không có ai đang ngăn chặn, nghe lén lưu lượng truy cập

Câu hỏi 2: Certificate là gì ? Certificate Authority là gì ?

Certificate là một khối dữ liệu bao gồm domain hostname, domain owner và những thông tin khác. Certificate được xác nhận bởi Certificate Authority (Tổ chức phát hình chứng chỉ), Certificate Authority sẽ đảm bảo rằng thông tin trong certificate là chính xác. Việc xác nhận đóng vai trò tổng kiểm tra, vì vậy nếu bất kỳ thông tin nào trong chứng chỉ bị sửa đổi thì việc xác nhận không còn hợp lệ

Trình duyệt sẽ kiểm tra chứng chỉ và tổ chức phát hành chứng chỉ. Nếu chứng chỉ khớp với tên miền mà nó đang kết nối thì nó sẽ trust và hoàn tất bắt tay TLS/SSL

Certificate Authority (CA) là có thể hiểu theo 2 nghĩa, nó có thể là 1 loại chứng chỉ đặc biệt có khả năng ký các chứng chỉ khác hoặc CA có thể được gọi là 1 loại công ty kiểm soát certificate. Có nhiều công ty CA có các certificate được tin tưởng mặc định ở trên các web browser (thường là Trusted Root CA hoặc Public Root CA)

Câu hỏi 3: HTTPS Decrypt and Scan là gì ?

Tính năng này sẽ đứng trung gian để làm 1 máy chủ web giả và 1 máy khách giả khi nó request đến máy chủ web thực. Khi bạn bật decrypt and scan HTTPS, proxy web sẽ bắt đầu thực hiện giải mã trung gian lưu lượng HTTPS

Nếu tính năng decrypt and scan HTTPS không được bật thì khi một trình duyệt máy khách thực hiện request HTTPS tới một trạng web, thì trình duyệt web sẽ bắt đầu kết nối TLS/SSL với thông tin SNI có tên miền của trang web đó. Sau khi kết nối TLS/SSL được thiết lập đầy đủ, khi đó firewall là proxy không thể thấy các request cũng như là response HTTP bên trong nó. Do đó, nó chỉ có thể thực hiện các khối dựa trên danh mục của domain trong SNI khi kết nối vẫn đang được thiết lập. Nó sẽ không thể phân loại hoặc chặn dựa trên đường dẫn và nó không thể quét virus trong bất kỳ tệp nào được tải xuống

Câu hỏi 4: Một số lo ngại về bảo mật khi quét HTTPS là gì ?

HTTPS decryption có nghĩa là proxy web hiện có thể nhìn thấy bên trong lưu lượng HTTPS được mã hoá. Dẫn đến việc bất kỳ ai có quyền truy cập đăng nhập vào tường lửa cũng có thể nhìn thấy lưu lượng truy cập đó. Do đó nếu chúng ta không có mật khẩu đủ mạnh trên thiết bị tường lửa của mình, nếu bạn để tường lửa không an toàn, thì việc quét HTTPS sẽ làm cho các ứng dụng khách kém an toàn. Hacker sẽ có các mục tiêu phong phú hơn nhiều so với lưu lượng truy cập HTTPS

HTTPS decryption nghĩa là proxy web sẽ nhìn thấy và ghi lại các traffic HTTPS. Điều này không ảnh hưởng đến bảo mật nhưng nó sẽ có thể ảnh hưởng đến quyền riêng tư. VD: Quản trị viên có thể xem người dùng của họ đạng tìm kiếm gì trên Google hoặc những URL nào họ đang truy cập

Câu hỏi 5: Việc quét AV trên proxy web có cản trở việc quét AV trên client hay không ?

Sẽ không có vấn đề gì với việc quét hai lần và trên thực tế, bạn có thể bật 2 tính năng quét độc lập. Quét một lần với công cụ Avira trên proxy web và sau đó là Sophos AV trên endpoint, hai nhà cung cấp dịch vụ quét khác nhau sẽ tốt hơn

Có một số ứng dụng, trang web và thiết bị gặp sự cố với quá trình quét virus mà các biện pháp bảo vệ là một phần của quá trình quét virus gây cản trở lưu lượng truy cập. Nếu bạn có các ứng dụng hoặc trang web cụ thể thực hiện yêu cầu web đối với một phần tệp, bạn cần một ngoại lệ tắt quét AV cho lưu lượng truy cập cụ thể đó

Quản trị viên có thể tạo các ngoại lệ ngăn chặn việc quét virus cho một số nguồn hoặc đích nhất định. Hoặc cũng có thể vô hiệu hoá tính năng quét virus trong lưu lượng HTTPS bằng cách tắt giải mã HTTPS cho lưu lượng truy cập cụ thể bằng cách sử dụng các ngoại lệ

Câu hỏi 6: Các tác động của việc bật HTTPS Decrypt and Scan là gì ?

Dưới đây là một số điều cần xem xét khi cố gắng quyết định có sử dụng HTTPS Decrypt and Scan hay không

Một số máy tính và thiết bị sẽ được cài đặt phần mềm endpoint để có thể cung cấp khả năng bảo vệ nhưng HTTPS và virus scanning tại tường lửa là cách duy nhất để đảm bảo rằng tất cả lưu lượng truy cập được quét cho tất cả thiết bị

Câu hỏi 7: Tôi có thể cho phép Decrypt and Scan mà không cần triển khai bất kỳ thứ gì cho client được không ?

Không bạn không thể

Bạn phải sử dụng CA đi kèm với tường lửa hoặc tạo chứng chỉ CA của riêng bạn

Câu hỏi 8: Tôi không bật HTTPS scanning và chưa triển khai certificate hoặc CA, tại sao đôi khi người dùng nhận được cảnh báo về certificates ?

Bạn đang thực hiện block theo category với web filtering

Câu hỏi 9: Các cách khuyến nghị để giảm bớt hoặc xoá các cảnh báo cho các trang là gì ?

Hầu hết khách hàng sẽ sử dụng CA đi kèm với hệ thống theo mặc định