האם TLS מסתיר IP?

סיכום:

הצפנת SSL/TLS משמשת להגנה על נתונים המוחלפים בין שני צמתים דרך האינטרנט או רשת מחשבים. זה מבטיח את סודיות הנתונים ושלמותם על ידי שימוש בהצפנה א -סימטרית וגם סימטרית. תהליך לחיצת היד SSL/TLS קובע הפעלה מאובטחת בין הלקוח לשרת, ומאפשר להם להחליף נתונים בצורה מאובטחת. עם זאת, SSL/TLS אינו מסתיר את כתובות ה- IP של המקור ואת היעד, אך הוא מצפן את תוכן התקשורת.

1. כיצד פועלת הצפנת SSL/TLS?

הצפנת SSL/TLS משתמשת בשילוב של הצפנה אסימטרית וסימטרית. זה מתחיל בכך שהלקוח יוצר קשר עם השרת באמצעות כתובת אתר מאובטחת (HTTPS). השרת שולח את תעודתו ואת המפתח הציבורי ללקוח, אשר מאומת על ידי רשות הסמכת שורש מהימנה. הלקוח והשרת מנהלים משא ומתן על ההצפנה החזקה ביותר שהם יכולים לתמוך ולהחליף מפתח הפעלה. מפתח הפעלה זה משמש להצפנה ולפענוח של הנתונים המועברים בין הלקוח לשרת.

2. איך HTTPS/SSL מסוגלים להסתיר את אתר היעד?

HTTPS/SSL לא מסתיר את אתר היעד מתוקפים פוטנציאליים. כאשר לקוח מקים חיבור SSL רגיל, תוקף שיכול לרחרח את התנועה יוכל לראות את החיבור ממכונת הלקוח לשרת היעד ולקבוע את כתובת ה- IP של השרת. עם זאת, SSL/TLS מתמקד באבטחת הנתונים המועברים במקום להסתיר את היעד.

3. מה ההבדל בין אבטחה לפרטיות ב- SSL/TLS?

SSL/TLS מספקת אבטחה לנתונים שהוחלפו בין הלקוח לשרת על ידי הצפנת התוכן, הגנה עליו מפני ריחרון ומניפולציה. עם זאת, זה לא מספק פרטיות מלאה. מטא נתונים כגון כתובות IP של מקור ויעד, שם מארח, גודל עומס ותזמון אינם מוצפנים וניתן להשתמש בהם לבניית פרופיל הגלישה של המשתמש. לקבלת פרטיות טובה יותר, ניתן לשלב SSL/TLS עם כלים כמו TOR, אך אפילו זה לא יכול להבטיח פרטיות מלאה.

4. האם SSL/TLS מסתיר את שם האתר המחובר?

כברירת מחדל, SSL/TLS מסתיר את שם האתר המחובר. שלב לחיצת היד של SSL כולל סיומת בשם “אינדיקציה שם שרת” (SNI), החושפת את שם האתר המחובר ב- Plaintext. עם זאת, תכונה זו לא הוצגה עד מספר שנים לאחר שנשאלת השאלה, ולכן באותה עת התשובה הייתה נכונה.

5. האם ניתן לפענח SSL/TLS על ידי תוקף של גבר בתוך אמצע?

הצפנת SSL/TLS עצמה לא ניתן לפענח על ידי תוקף גבר בתוך אמצע (MITM). עם זאת, התקפת MITM כוללת את התוקף שמנגן את היעד עבור הלקוח ומשחק את הלקוח עבור השרת, באמצעות מפתחות שונים ובמפגשי SSL/TLS שונים. התקפה זו אינה תלויה בפענוח SSL וכרוכה בהתחזות ולא לפענוח.

6. האם SSL/TLS מסתירים את כתובות ה- IP של המקור ואת היעד?

SSL/TLS אינו מסתיר את כתובות ה- IP של המקור ואת היעד. כתובות ה- IP חייבות להיות תקפות לחיבור TCP עובד. בעוד SSL/TLS מצפין את תוכן התקשורת, כתובות ה- IP נשארות גלויות.

7. האם יש טכנולוגיות המשפרות את הפרטיות שמספקת SSL/TLS?

ישנן טכנולוגיות כמו SNI מוצפן (אינדיקציה של שם שרת) ושלום מוצפן המשפרים את הפרטיות המסופקת על ידי SSL/TLS. עם זאת, טכנולוגיות אלה אינן מאומצות באופן נרחב ואינן נפוצות ברוב הדפדפנים או השרתים.

8. האם SSL/TLS יכול להבטיח פרטיות מלאה?

לא, SSL/TLS לא יכולים להבטיח פרטיות מלאה. אמנם הוא מצפן את תוכן התקשורת, אך עדיין נראים מטא נתונים אחרים כמו כתובות IP, גודל עומס ותזמון, מה שמאפשר יצירת פרופילי גלישה והפרות פרטיות פוטנציאליות.

9. מה קורה למפתחות ההצפנה לאחר שעזב את אתר האינטרנט?

מפתחות ההצפנה המשמשים במהלך הפגישה מושלכים ברגע שהמשתמש עוזב את האתר. כאשר המשתמש מבקר מחדש באתר, לחיצת יד חדשה וייצור קבוצה חדשה של מפתחות מתרחשת כדי ליצור שוב הפעלה מאובטחת.

10. כיצד יכולים בעלי אתרים ליישם הצפנת SSL/TLS?

בעלי אתרים חייבים להיות בעלי תעודת SSL/TLS עבור שרת האינטרנט/שם הדומיין שלהם כדי להשתמש בהצפנת SSL/TLS. לאחר ההתקנה, האישור מאפשר ללקוח ולשרת לנהל משא ומתן על רמת ההצפנה במהלך תהליך לחיצת היד.

איך HTTPS/SSL מסוגלים להסתיר את אתר היעד שאחד מתחבר אליו

אם אתה רוצה להסתיר את החיבור שלך אליו, השתמש ב- TOR, כאמור על ידי Madhatter. כולם עד (ולכלול) צומת הכניסה TOR יכולים לדעת שאתה משתמש ב- TOR, אבל לא למה שאתה מתחבר אליו. כולם אחרי (ולכלול) צומת היציאה TOR יידעו שמשתמש TOR המחובר לשרת שלך, אך לא מי.

מהו הצפנת SSL/TLS?

הצפנת SSL (שכבת שקעים מאובטחים), והחלפתו המודרנית והמאובטחת יותר, TLS (אבטחת שכבת תחבורה), הגנה על נתונים שנשלחו דרך האינטרנט או רשת מחשב. זה מונע מהתוקפים (וספקי שירותי האינטרנט) לצפות או להתחסק עם נתונים שהוחלפו בין שני צמתים – בדרך כלל משתמש’דפדפן אינטרנט ושרת אינטרנט/אפליקציות. לרוב בעלי האתר ומפעילים מחויבים ליישם SSL/TLS להגנה על חילופי נתונים רגישים כגון סיסמאות, מידע תשלום ומידע אישי אחר שנחשב פרטי.

כיצד פועלת הצפנת SSL/TLS?

SSL/TLS משתמש בהצפנה א-סימטרית וגם סימטרית כדי להגן על הסודיות ויושרה של נתונים במעבר. הצפנה א -סימטרית משמשת להקמת הפעלה מאובטחת בין לקוח לשרת, והצפנה סימטרית משמשת להחלפת נתונים במסגרת ההפעלה המאובטחת.

אתר חייב להיות בעל תעודת SSL/TLS עבור שרת האינטרנט/שם הדומיין שלהם כדי להשתמש בהצפנת SSL/TLS. לאחר ההתקנה, האישור מאפשר ללקוח ולשרת לנהל משא ומתן מאובטח על רמת ההצפנה בשלבים הבאים:

  1. הלקוח יוצר קשר עם השרת באמצעות כתובת אתר מאובטחת (https …).
  2. השרת שולח ללקוח את תעודתו ואת המפתח הציבורי.
  3. הלקוח מאמת זאת עם רשות הסמכת שורש מהימנה כדי להבטיח שהאישור לגיטימי.
  4. הלקוח והשרת מנהלים משא ומתן על סוג ההצפנה החזק ביותר שכל אחד מהם יכול לתמוך.
  5. הלקוח מצפן מפתח הפעלה (סוד) עם השרת’מפתח ציבורי, ושולח אותו בחזרה לשרת.
  6. השרת מפענח את תקשורת הלקוח עם המפתח הפרטי שלו, וההפעלה נקבעת.
  7. מפתח ההפעלה (הצפנה סימטרית) משמש כעת להצפנה ולפענוח נתונים המועברים בין הלקוח לשרת.

גם הלקוח וגם השרת משתמשים ב- HTTPS (SSL/TLS + HTTP) לצורך התקשורת שלהם. דפדפני אינטרנט מאמתים זאת עם סמל נעילה בסרגל הכתובות של הדפדפן. פונקציות HTTPS על פני יציאה 443.

ברגע שאתה עוזב את האתר, המפתחות האלה מושלכים. בביקור הבא שלך, לחיצת יד חדשה מתנהלת משא ומתן, ונוצרת קבוצה חדשה של מפתחות.

איך HTTPS/SSL מסוגלים להסתיר את אתר היעד שאחד מתחבר אליו?

אני מבין כיצד הוא מסוגל ליצור חיבור מאובטח באמצעות לחיצת היד, אבל כיצד הוא מסוגל ליזום חיבור מאובטח מבלי לשלוח תחילה לבקשה לא מוצפנת, ובכך לחשוף את אתר היעד (אך לא את הנתונים שנשלחו או התקבלו מהיעד/ליעד. ) לתוקף “אדם באמצע” פוטנציאלי. או שזה לא מסתיר את זה?

דניאל וולנד

שאל 7 בפברואר 2015 בשעה 20:19

דניאל וולנד דניאל וולנד

235 2 2 תגי כסף 6 6 תגי ברונזה

בעיקרון זה לא. עם חיבור SSL רגיל, תוקף שיכול לרחרח את התנועה יוכל לראות חיבור ממכונת הלקוח לשרת היעד וממנה יוכל לדעת לאיזו כתובת IP של שרת מחוברת ל.

7 בפברואר 2015 בשעה 20:22

3 תשובות 3

אל תטעו באבטחה בפרטיות.

המשימה של SSL/TLS היא אבטחה ולא פרטיות. המשמעות היא שהנתונים עצמם מוצפנים אך נתוני מטא כמו מקור ויעד IP, שם מארח (עם SNI כפי שמשתמשים בכל הדפדפנים המודרניים), גודל העומס והתזמון וכו ‘אינם. וכל אלה יכולים לשמש לייצור פרופיל גלישה שלך הכולל את האתרים שאתה מבקר ולפעמים אפילו באילו דפים אתה מבקר באתר (בהתבסס על תזמון וגודל עומס). אבל SSL/TLS מוודא שהתוכן הלא-ציבורי (כמו עוגיות, נתוני טופס וכו ‘) מוגן מפני ריחרון ומניפולציה.

אם אתה רוצה פרטיות טובה יותר אתה צריך לשלב SSL/TLS עם משהו כמו TOR, אבל אפילו זה לא יכול להבטיח פרטיות מלאה.

ענה 7 בפברואר 2015 בשעה 20:49

Steffen Ullrich Steffen Ullrich

193K 29 29 תגי זהב 386 386 תגי כסף 439 439 תגי ברונזה

SNI מוצפן ומוצפן שלום הם דבר, אם כי הם בכלל לא נפוצים. אתה יכול לבדוק אם אתה מוגדר להשתמש בו כאן. חפש sni = מוצפן .

5 באפריל בשעה 20:23

@9072997: אתה צודק – אבל:: הגרסה הראשונה של טיוטת ה- ESNI היא משנת 2018 ובסביבות הזמן הזה תמיכה ניסיונית הוסיפה לדפדפנים. השאלה כאן והתשובה הם משנת 2015, אני.ה. 3 שנים לפני כן. אז בזמן שנשאלת השאלה התשובה הזו כאן הייתה צודקת.

5 באפריל בשעה 20:30

SSL/TLS לא מסתירים את המקור ואת כתובות ה- IP של היעד. זה בלתי אפשרי (לפחות, עם פיתרון SSL/TLS גרידא), מכיוון שכתובות SRC/DST חייבות להיות תקפות לחיבור TCP עובד.

ה שֵׁם של האתר המחובר, מוסתר כברירת מחדל – או, לפחות, זה היה עד כמה השנים האחרונות.

מאז, יש הרחבה של ה- TLS בשם “אינדיקציה של שם השרת”, שנותנת את שם האתר המחובר לא מוצפן, ובכל זאת בשלב לחיצת היד.

אתר Man-in-Middle הוא דבר אחר. עם MITM, תוקף יכול לשחק יעד עבור הלקוח, ולשחק לקוח עבור השרת, באמצעות מפתחות שונים ומפגשי SSL/TTLS שונים. אבל זה לא קשור לפענוח SSL.

ענה 7 בפברואר 2015 בשעה 20:41

2,978 6 6 תגי זהב 26 26 תגי כסף 33 33 תגי ברונזה

כפי שאמר האחר, החיבור הראשוני אינו מאובטח ומכיל לפחות כתובת IP (אם כי גם שם שרת יותר ויותר בזכות SNI). שרת היעד מגיב עם תעודת מפתח ציבורית והם מנהלים משא ומתן על הפעלת SSL/TLS.

המפתח להימנעות מאדם בהתקפות האמצעיות הוא האישור והעובדה שהוא אושר על ידי רשות תעודה שלך נאמני הדפדפן שלך.

נניח שיש לך האקר המיירט תקשורת בין לקוח לשרת. הלקוח ביקש חיבור מאובטח לאתר https: // www.דוגמא.com (למשל). ההאקר יכול לשלוח בבקשה לאתר האמיתי ולהעביר את התגובות. ההאקר יוכל גם לקרוא את התגובה הראשונה בחזרה משרת ללקוח מכיוון שזה טקסט רגיל. עם זאת היא לא יכולה לקרוא את ההודעה הבאה מלקוח לשרת שכן היא מוצפנת עם המפתח הציבורי של האתר ולכן ניתן לפענח רק עם המפתח הפרטי (שאין להאקר). מכיוון שהודעות עוקבות אלה משמשות לניהול משא ומתן על המפתח שישמש לחיבור SSL/TLS בפועל, ההאקר בעצם נעול אחרי אותה הודעה ראשונה.

לחלופין, במקום להתנהג כמו ממסר ישר, ההאקר יכול לתת אישור מזויף (אליו הוא יודע את המפתח הפרטי) עבור חיבור האקר של הלקוח ואז הוא יכול להגדיר חיבור שרת האקר משלו ולהעביר הודעות בין השניים. עם זאת בתרחיש זה, אלא אם כן הם הצליחו לפגוע באחד ממנפיקי התעודה העיקריים שדפדפן הלקוח מקבל אוטומטית, יהיה מנעול אדום גדול שאומר שהתעודה שהאקר נשלח חזרה ללקוח הוא 1) לא אמיתי או 2) לא עבור אתר זה.

האם SSL הצפין את ה- IP [סגור]

קשה לדעת מה נשאל כאן. שאלה זו היא דו משמעית, מעורפלת, לא שלמה, רחבה מדי או רטורית ולא ניתן לענות עליה באופן סביר במתכונתה הנוכחית. לקבלת עזרה בהבהרת שאלה זו כך שניתן יהיה לפתוח אותה מחדש, בקרו במרכז העזרה.

סגור לפני 10 שנים .

אני בונה שרת אישי. אני רוצה להיות מסוגל לגשת לשרת זה מכל מקום, ואני לא רוצה שהשרת הזה ייחסם. ההבנה שלי היא ש- HTTP. שמעתי שאם אתה הולך לאתר עם דומיין, מבוצע בדיקת DNS ללא הצפנה, ולכן ספק שירותי האינטרנט יכול היה להבין באיזה תחום השרת האישי שלי נמצא (ומה זה ה- IP הוא). אבל מה אם הייתי ניגש לשרת שלי מכתובת ה- IP שלו? שְׁאֵלָה: אם אני ניגש לשרת על ידי מעבר לכתובת ה- IP שלו, ואני משתמש ב- HTTPS (כך שכתובת האתר תהיה משהו כמו https: // ###.###.###.###/), האם זה אפשרי כֹּל אֶחָד (כולל אינטרנט ואנשים “מאחורי אותו נתב כמוני”) כדי להבין את כתובת ה- IP של השרת אליו אני ניגש? אם כן, האם עלי להשתמש ב- SSL1/SSL2/SSL3 או שעלי להשתמש ב- TLS1/TLS1.1/TLS1.2 או שזה לא משנה? אגב, תעודת השרת תהיה חתימה על עצמה, ושרת זה יגשה רק ביציאה 443 (HTTPS).

שאל 13 באוגוסט 2012 בשעה 16:05

Jamescostian Jamescostian

45 1 1 תג כסף 3 3 תגי ברונזה

EN.ויקיפדיה.org/wiki/osi_model שימו לב לעמדות היחסיות של IP, TCP ו- SSL. אם אתה חושב מבחינת מעטפות, המעטפה הפנימית ביותר היא SSL. מחוץ לזה נמצא TCP, שיפרט דברים כמו מספר היציאה, מספר הרצף וכו ‘. החיצוני ביותר הוא מעטפת ה- IP, שתהיה לו כתובת ה- IP. שים לב שלא ניתן להצפין TCP ו- IP, אחרת המעטפה המכילה את עומס ה- SSL לא תועבר. לא ניכנס כאן ל- Proxies ו- VPN.

13 באוגוסט 2012 בשעה 18:05

אנלוגיה פשוטה. איך חברת הטלפונים תוכל לחבר ממך שיחה אם קידוד את מספר הטלפון עם מערכת קידוד אקראית שהרמתם?

13 באוגוסט 2012 בשעה 19:59

3 תשובות 3

תשובה: כן. הדפדפן שלך עדיין יעסוק מייד בלחיצת היד TPCP בתלת כיוונים עם השרת בטלפון ###.###.###.###, וספק האינטרנט שלך יכול לראות את זה. לאחר הגדרת החיבור, הדפדפן שלך יהיה לחיצת יד של SSL עם השרת, וספק האינטרנט שלך יכול לראות את זה. לאחר ניהול משא ומתן על מפתחות הפעלה, הדפדפן שלך ימשיך להחליף מנות מוצפנות של SSL עם השרת, והספק שלך יכול לראות אותם. זה לא יכול לראות מה יש בהם, אבל המקור וכתובת היעד הם – וצריכים להישאר – לא מוצפנים.

אם אתה רוצה לגלוש את זה באופן פרטי, בדוק את Privoxy + Tor.

ענה 13 באוגוסט 2012 בשעה 16:07

79.4K 20 20 תגי זהב 183 183 תגי כסף 231 231 תגי ברונזה

שניהם חושפים את כתובת ה- IP עד שתכה בשרת ה- Proxy או בצומת TOR.

11 באוגוסט 2013 בשעה 7:36

זה נכון, אבל הם לא חושפים את כתובת ה- IP של השרת שאתה מבקש תוכן מ, מכאן מה ה- OP ביקש להגן על עצמו.

24 באוגוסט 2013 בשעה 5:57

כן, זה אפשרי לחלוטין ולמעשה נדרש לכל תנועה שתגיע לשרת שלך.

ענה 13 באוגוסט 2012 בשעה 16:07

115K 20 20 תגי זהב 211 211 תגי כסף 294 294 תגי ברונזה

“הצפנה את ה- IP” היא שטויות מבחינה טכנית. זרם HTTPS TCP המוצפן SSL הוא עדיין זרם TCP, ולא ניתן לבצע את החיבור ללא כתובות IP. כל אחד בעמדה לצפות בתנועה יכולה בקלות לרשום את מקור ה- IP, יציאת המקור, IP יעד, יציאת יעד ובתים שנשלחו לכל כיוון. מה נרשם ובמשך כמה זמן תלוי במי צופה, והאם הם נפגעים או פועלים תחת תת -פוניה.

בהנחה שאתה מתחבר לנקודת גישה ל- WiFi אשר בתורו מחוברת לספק שירותי אינטרנט המנתב את התנועה שלך על פני עמוד השדרה לסנן האירוח שלך שמספק מארח וירטואלי או משותף, זה מסתכם עד:

  • נתב ה- wifi שלך (וכולם גם קשורים אליו) יכולים לראות:
    • כתובת ה- MAC שלך, שמזהה את החומרה הפיזית שלך באופן ייחודי.
    • ה- IP, היציאה של השרת שלך וכמה תנועה החלפת איתו.
    • ה- IP הציבורי של הנתב שלך. אם זהו חיבור מגורים בארה”ב, הם ככל הנראה רושמים את ה- IP הציבורי ואת בעל החשבון ושומרים על הרשומות הללו במשך 6 חודשים.
    • ה- IP, היציאה של השרת שלך וכמה תנועה החלפת איתו.
    • ה- IP, היציאה הציבורית של הנתב שלך וכמה תנועה החלפת עם השרת שלך.

    אם אתה רוצה להסתיר את החיבור שלך אליו, השתמש ב- TOR, כאמור על ידי Madhatter. כולם עד (ולכלול) צומת הכניסה TOR יכולים לדעת שאתה משתמש ב- TOR, אבל לא למה שאתה מתחבר אליו. כולם אחרי (ולכלול) צומת היציאה TOR יידעו שמשתמש TOR המחובר לשרת שלך, אך לא מי.

    בנסיבות רגילות, קיימת סכנה מסוימת ברישום צומת יציאה נפגע או שינוי תוכן ההפעלה שלך, אך זה בעיקר מקלה באמצעות SSL.

    סקירה כללית על פרוטוקול VPN

    אבטחת שכבת תחבורה (TLS) היא א פרוטוקול מבוסס דפדפן זה מצפן נתונים העוברים בין אתרים לשרתים. אם אתה צריך לגלוש באינטרנט בצורה מאובטחת, יוצרים אתר מסחר אלקטרוני מאובטח, או להשתמש בדפדפן האינטרנט שלך לגישה מרחוק לרשת חברה, הצפנת TLS עשויה לעזור.

    ספקי VPN רבים כוללים מנהור TLS בשירותיהם. צורה זו של הגנת VPN משתמשת בהצפנת TLS כדי לנעול את נתוני התנועה של משתמשי הדפדפן. זה יכול גם לשמור על פורטלים מבוססי אינטרנט בין עובדי בית לרשתות מקומיות.

    מאמר מילון מונחים זה יבחן את עבודות שירותי ה- VPN של TLS, והאם TLS מספקת מספיק הגנה בסביבת אבטחת הסייבר של ימינו.

    מה זה TLS VPN?

    TLS הוא פרוטוקול VPN החליף את פרוטוקול שכבת השקעים המאובטחים הקיימים (SSL) בשנת 1999. SSL היה פרוטוקול האבטחה הראשון שהנעול תנועה באינטרנט בשכבת ההובלה של מודל רשת OSI (שכבה 4). עם זאת, האקרים מצאו עד מהרה דרכים להתפשר על הצפנת נתוני SSL. כך עדיין לא קרה לפרוטוקול TLS.

    TLS הגיעה כעת לגרסה 1.3. כמו SSL, הוא פועל בשכבת ההובלה. זה הופך את זה שימושי להגנה על נתוני תנועה המועברים על ידי דפדפני אינטרנט, אפליקציות קוליות-על-IP, לקוחות דוא”ל ואפליקציות העברת הודעות.

    השילוב של אימות נתונים והצפנה הופך גם את TLS להתאמה טובה לשירותי VPN, המגנים על נתוני שכבה 4.

    תכנית כיצד עובד פרוטוקול VPN TLS

    רשת פרטית וירטואלית (VPN) היא שירות יוצר רשת וירטואלית על גבי זרמי נתונים פיזיים. מנות נתונים עוברות דרך מנהרות מוצפנות זה עוטף עומסים בקוד בלתי ניתן לשבירה. שרתים גם אנונימיזציה של זהות משתמש, הקצאת כתובות IP חדשות לכל מנות. זה מאפשר למשתמשים לשנות את המיקום הדיגיטלי שלהם ולהתחמק מעקב או פושעי סייבר.

    VPNs TLS הם בדרך כלל ללא לקוח. אין צורך בתוכנה נפרדת כדי לקבוע חיבורים ובקרה על גישה. סגנון זה של VPN עובד גם עם HTTP, ומאפשר לו לעבוד בצורה חלקה עם מרבית האתרים המודרניים. זה מתפקד ברקע, ומוסיף מחסום אבטחת סייבר נוסף למשתמשים באינטרנט.

    כיצד עובדת מנהור VPN אבטחת שכבת תחבורה (TLS)?

    TLS VPNS מגן על נתונים על ידי יצירה מנהרות VPN. מנהרות אלה הן חיבורים בין שני מכשירים מוגדרים המציפים נתונים ומאמת העברות אליהם להבטיח שלמות נתונים. סוגי VPN יוצרים מנהרות בדרכים שונות, והטכניקה המשמשת היא כדלקמן:

    1. חיבור

    ראשית, פרוטוקול TLS חייב לקבוע חיבור באמצעות משא ומתן על סוויטת צופן. זה מודיע ללקוח והשרת המעורבים כי פרוטוקול TLS ישמש בהעברת הנתונים. דפדפנים יכולים לבקש בקשה ישירה, או שהם יכולים פשוט לפתוח יציאה המשמשת את TLS. בדרך כלל זהו יציאה 443.

    2. לחיצת יד TLS

    השלב השני בתהליך הוא לחיצת יד TLS. זה כרוך בהחלפת מפתחות בין לקוח VPN לשרת VPN באמצעות תשתית מפתח ציבורית אסימטרית (PKI). חילופי מקשים מאפשרת למכשירים ליצור סוד אמן הייחודי לכל העברה. סוד אדון זה מהווה את הבסיס לקוד ה- MAC, המאמת את כל התהליך. PKI גם יוצר מפתחות הפעלה המשמשים בקריפטוגרפיה סימטרית לנתוני חשיש כשהוא עובר בין שני המכשירים.

    3. תיעוד TLS

    כאשר לחיצת יד של TLS יצרה את מפתחות ההצפנה, תיעוד TLS מיישם הצפנה ושולח נתונים בצורה מאובטחת באמצעות מנהרת TLS. הרשומה מחלקת את העומס למנות ומשתמשת בתעודות דיגיטליות כדי לאמת כל מנות בשני קצות ההעברה. רשומת TLS מיישמת הצפנה חזקה על כל מנות, ומעבדת את ההעברה באמצעות פרוטוקול בקרת ההובלה (TCP).

    תהליך זה חל הצפנה מקצה לקצה (E2ee). נתונים בצורה חשיש אינה ניתנת לקריאה מבחוץ בזמן שהם במעבר. מנהרת ה- VPN מבטיחה גם אם יורט מידע רגיש, התוקפים לא יוכלו להשתמש בו. נקודות התורפה היחידות הן בשני קצוות ההעברה, בהן הנתונים מוצפנים או מפועלים.

    יחד עם זאת, שרת ה- VPN אנונימו את פרטי כתובת ה- IP. נתונים שנשלחו דרך האינטרנט לא יקשרו ישירות למכשיר המשתמש. VPN טוב צריך אפילו להסתיר את אתרי האינטרנט המעורבים. במקום זאת, משקיפים חיצוניים רואים מנות נתונים אנונימיות ויכולים ללמוד מעט מאוד על התנהגותו המקוונת של המשתמש.

    היתרונות והחסרונות של פרוטוקול הצפנת TLS

    אין שיטת העברת נתונים ללא רבב. המשתמשים צריכים לאזן גורמים כמו חוזק הצפנה, יציבות, מהירות ותאימות. אך היכן עומד אבטחת שכבת הובלה בעניין זה? יתרונות TLS רבים הופכים את זה לאפשרות VPN בת -קיימא, אך ישנם גם כמה חסרונות שמשתמשים צריכים לדעת.

    יתרונות

    מתאים היטב ליישומי אינטרנט. אחד היתרונות הגדולים ביותר ב- TLS הוא שהוא עובד עם דפדפן ופורטלי אינטרנט. כל המשתמשים צריכים הוא לקוח מבוסס דפדפן, ולעתים קרובות לקוחות משולבים בדפדפנים כמו Firefox או Chrome. TLS מטפל בהצפנה לרוב אתרי האינטרנט ומשתמש גם בפרוטוקול HTTPS, שלעיתים רחוקות נחסם ב- WiFi ציבורי.

    בקרות גישה גרגיריות. מנהלים יכולים להשתמש בפרוטוקול TLS כדי להגדיר בקרות גישה משובחות בשער האינטרנט. צוותי אבטחה יכולים ליצור מדיניות אבטחה המפרטת אילו אתרי אינטרנט לסינון ויישומי האינטרנט העומדים לרשות כל משתמש. ניתן להתאים את בקרת הגישה לכל משתמש, לכל יישום ואפילו לאובייקטים באינטרנט. קשה להשיג זאת עם סגנונות VPN אלטרנטיביים.

    ניהול שרתים יעיל יותר. לבקרות גישה באמצעות TLS יש גם יתרונות יעילות. לדוגמה, מנהלי רשת יכולים להגדיר מדיניות גישה אחידה עבור כל יישום בשער האינטרנט. עם סגנונות VPN אחרים, המנהלים עשויים להיות צריכים ליצור מדיניות גישה לכל משתמש ברמת מערכת ההפעלה. TLS יכול גם לאבטח שערים לשירותי SaaS – ייעול שימוש במשאבים בשרתי יישומים.

    גישה ללא לקוח. VPNs SSL/TLS משובצים בדפדפני אינטרנט ובאפליקציות מבוססות אינטרנט. משתמשים אינם צריכים לרכוש, להתקין ולהגדיר את התצורה של לקוחות VPN נפרדים. כל העברות דרך האינטרנט מאובטחות באמצעות הצפנה ומשתמשים יכולים בקלות לגשת לשירותים שהם צריכים. עם IPSEC, מנהלי מערכת צריכים ליצור מדיניות לכל חיבור. זה לא המקרה עם TLS.

    ביטחון חזק. TLS 1.2 מסווג כמאובטח מאוד על ידי כלבי השמירה בתעשייה ויש לו מעט פגיעויות אבטחה ידועות. AES 256 סיביות שומרי הצפנת מפתח פרטיים כנגד גניבת נתונים, ואילו הסמכה מספקת אימות אטום למים. התוצאה היא קישור מוצפן שמבטיח שנתונים יגיעו ליעדה ללא יירוט.

    חסרונות

    TLS מאבטח רק משאבי אינטרנט. אחד החסרונות הגדולים ביותר של TLS הוא שהוא מוגבל להקשרים באינטרנט. בניגוד ל- IPSEC, TLS אינה מספקת הגנה מעמיקה בהיקף הרשת מחוץ להקשר זה. במצבים עם תמהיל יישומים מגוון, פערי אבטחה עשויים לסכן נתונים. משתמשים יכולים להתקין סוכני שולחן עבודה כדי לכסות אפליקציות ספציפיות, אך הדבר מוסיף לתקורות תחזוקה. לא כל האפליקציות תואמות את Java לא חתומה, שיכולה גם להוות בעיות תאימות.

    משתמשים עשויים לחוות בעיות מהירות חיבור. כשאתה עוסק ב- TLS בדפדפן אינטרנט, ה- VPN יקבל בקשות גישה בכל פעם שתלחץ על קישור ותשנה אתרים. זה מתחיל את תהליך לחיצת היד וההצפנה, מוסיף חביון. טכניקות חדשות כמו TLS Start Fals.

    היישום יכול להיות מורכב. בעוד השימוש ב- TLS כ- VPN הוא פשוט, הגדרת הגנת VPN יכולה להיות מסובכת. יצירת תעודות TLS היא תהליך מורכב ומגיעה עם עלויות מראש גבוהות. בעלי אתרים חייבים גם להבטיח שכל תחומי המשנה ואפליקציות האינטרנט מוגדרים לאבטחת TLS.

    פגיעות להתקפות DDOS. שלילת התקפות שירות עלולות לגרום לבעיות בפרוטוקול TLS. תוקפים יכולים לעלות על שיטפונות של TCP המסיימים את טבלאות הפעלה לא פעילים ועלולים לגרום לאתר או השבתה של רשת.

    היסטוריה של פרוטוקולי VPN של SSL ו- TLS

    ההיסטוריה של שכבת השקעים המאובטחת נמתחת חזרה ללידת האינטרנט של העולם. חברת הדפדפן Netscape הציגה את SSL בשנת 1994 כדרך להבטיח תנועה באינטרנט באמצעות קישור מוצפן. SSL 2.0 אחריו בשנת 1995 ו- SSL 3.0 בשנת 1996.

    לרוע המזל, SSL הוכיח פגיע להתקפות אדם-אמצע כמו פודל וטבע. בשנת 2011, כוח המשימה להנדסה באינטרנט הושמט SSL 2.0, ו- SSL 3.0 הוחלף בשנת 2015. שניהם נחשבים כעת כמעט לא בטוחים לחלוטין על ידי מומחי ממשלת ארה”ב ותעשייה.

    TLS הגיעו בשנת 1999 ככל שגדלו חששות אבטחה לגבי SSL. TLS 1.1 הופיע בשנת 2006, ו- TLS 1.2 בשנת 2008, לפני TLS 1.3 הופיע בשנת 2018. פרוטוקולים וצופים מיושנים הוסרו בכל שלב, בעוד שמפתחים ייעלו את הליך לחיצת היד. התוצאה היא פרוטוקול העברה ידידותי לאינטרנט המספק אבטחת מידע ופרטיות, תוך חתירה למהירות מקסימאלית.

    הם SSL ו- TLS זהים?

    בעוד של- SSL ו- TLS יש אותו אילן יוחסין, הם בהחלט לא אותו דבר. ההבדל החשוב ביותר הוא היעילות. SSL נמחק כפרוטוקול העברה מומלץ, ואילו TLS ממשיך להשתפר ולמצוא שימושים חדשים. אבל ישנם הבדלים אחרים שהופכים את ה- TLS לעמידה:

    תְאִימוּת. דפדפנים ואפליקציות רבים חסרים כעת תמיכה ב- SSL 3.0. TLS מוכר באופן נרחב ומשמש לאבטחת תוכן אינטרנט. הסמכת TLS משמשת אפילו על ידי אלגוריתם החיפוש של גוגל כמדד חיובי בעת דירוג אתרים.

    מפתחות הצפנה. SSL תמך בפורמטים של מפתח הצפנה מעט מאוד. זה השתנה עם TLS. משתמשים יכולים לבחור מתוך פורמטים רבים של מפתח שונים, ומספקים גמישות ויכולת פעולה הדדית יותר. SSL השתמש גם בהצפנת קוד אימות הודעות (MAC). TLS משתמש בהצפנת קוד אימות הודעות מבוססת חשיש חזק יותר (HMAC).

    OpenVPN. OpenVPN הפך לבסיס סטנדרטי עבור VPNs ברחבי העולם, אך הוא לא עובד עם SSL. מצד שני, המשתמשים יכולים לשלב OpenVPN עם TLS ליצירת תצורות פרטיות מבוססות אינטרנט.

    חשוב לציין כי המונח “תעודות SSL” עדיין נפוץ. אבל תעודות אלה הן לא מבוסס על הצפנת SSL. כמעט כולם משתמשים ב- TLS במקום. השם “SSL” פשוט נשמר בגלל היכרות.

    מקרי שימוש שכיחים ביותר של SSL/TLS

    SSL/TLS הוא עמוד התווך של עולם אבטחת הסייבר. בטח השתמשת בזה היום כשגלישת באינטרנט מבלי להבין זאת. ישנם מקרי שימוש פוטנציאליים רבים לאבטחת TLS, כולל:

    גישה מרחוק VPN

    חברות עשויות לרצות להבטיח למשתמשים מרוחקים גישה מאובטחת למשאבים ריכוזיים. במקרה כזה, רשת פרטית וירטואלית מבוססת TLS יכולה להיות שימושית. עובדים יכולים לגשת לחיבורים מאובטחים באמצעות דפדפנים סטנדרטיים. ה- VPN עובד כמעט על כל מכשיר ומערכת הפעלה, וההגנה עוקבת אחר המשתמשים ברחבי העולם.

    באמצעות WiFi ציבורי

    לפעמים, עלינו לעבוד מרחוק ברשתות ציבוריות. כיסוי VPN הוא חיוני, מכיוון שרשתות ה- WiFi הציבוריות פגיעות להפליא להתקפות סייבר של אדם-אמצע. עם VPN מבוסס TLS, גלישת המשתמשים תישאר פרטית ותחסום את התוקפים הפוטנציאליים.

    חיבור בין חומות אש

    TLS יכול לחצות בקלות נתבי NAT ​​וחומות אש. יציאה 443 פתוחה כמעט על כל חומות האש הסטנדרטיות, ומאפשרת לתנועת VPN מוצפנת לעבור ללא הפרעה. זה לא המקרה עם VPNs המבוססים על נתוני UDP כמו IPSEC.

    TLS – הצפנת אינטרנט חזקה למשתמשים עסקיים

    אבטחת שכבת תחבורה מספקת הצפנה כמעט בלתי ניתנת לשבירה ואימות אמין למשתמשים באינטרנט. עם VPN של TLS, המשתמשים יכולים לגשת לאתרים ולהחליף מידע סודי עם סיכוני אובדן נתונים מינימליים. חברות יכולות ליצור שערים מאובטחים ליישומי אינטרנט, כולל כלי SaaS.

    ל- TLS יש כמה חולשות. VPNS של TLS אינו רשאי לכסות כל אפליקציה בשימוש ברשת ארגונית. Ipsec יכול לנצח את TLS מבחינת המהירות, והוא גם עמיד יותר באיומים כמו התקפות DDOS. אבל TLS נותרה אפשרות אבטחה מובילה לאבטחת תנועה בשכבה 4.

Related Posts

© racavedigger.com 2024