意见

TLS 1.3和DNSSEC可以让您的网络盲目吗?

DNS&ISN加密可能对网络操作,优化和SD-WAN供应商提供许多问题。

网络安全锁挂锁漏洞
盖蒂张照片

域名系统(DNS)在传输层安全(TLS)上添加了额外的加密层,但它以什么方式影响您的IP网络流量?附加的加密层表示控制网络上发生的事情可能变得具有挑战性。

最明显的是它将阻止ISP和企业监控用户的网站活动,并且对两者也会产生负面影响;广域网(WAN)优化和SD-WAN供应商。

在最近的一个电话期间Sorell Slaymaker.,我们及时退回并讨论了我们如何在这里到达一个很快完全加密的世界。我们开始了SSL1.0.,这是HTTPS的原始版本,而不是非安全的HTTP。作为进化的后果,它有许多安全漏洞。因此,我们从SSL 1.1进化到TLS 1.2。

但是,即使我们在正确的方向前进,也可以使用TLS 1.2的重要技术缺点。一个主要缺点是您可以自动协商后向后使用SSL1.0。显然,SSL1.0有许多已知的漏洞和美国PCI 3.1提出了您无法使用SSL1.0的要求。

引入TLS 1.3

上述缺点驱动了TLS 1.3的要求。TLS1.3的含义是它更好的事情。首先,设置更快。它只交换了2个数据包而不是交换5个数据包。这肯定会提高性能并减少延迟。此外,证书名称是加密的,这是另一个额外的优势。总体而言,与以前版本的TLS相比,它提供了良好的隐私和性能。

但是,加密证书涉及许多含义。通常防火墙和网络代理使用证书名称来了解您连接的网站。每个与各种网站的连接都有不同的证书。因此,如果您有证书名称,则可以理解并对会话进行分类。

今天你做了DNS查找,您发送DNS请求。响应最快的DNS服务器给出了将浏览器指向该服务器的IP地址。但是,当正在使用域名系统安全扩展(DNSSEC)时,TLS加密DNS请求查找。

因此,我们最终加密TLS握手并隐藏证书名称。基本上,DNSSEC将加密签名添加到现有的DNS记录。

网络代理将变得无用

常用网络架构专为Web应用程序而设计,以便使用Internet中继到允许或拒绝,日志和理解用户的预期目的地。最终,加密DNS查询将使网络代理无用。

但是,隐私倡导者(如Google)都是为了这个,并将是发货TLS 1.3在Android 8.1中在Google Chrome的即将到来的版本中。在一个BYOD的世界中,它会耗尽来阻止这种过渡。

加密过程正在使我们对网络设计进行不同的思考。谷歌通过铸造站点放大了TLS的使用,该站点在搜索引擎排名中加密比非加密站点更高。因此,出于这个原因,现在估计超过70%的页面在美国,通过加密提供。

加密和相应的网络含义

理想情况下,这对大型网络有影响。作为网络运营商,您是否在企业中工作,或ISP,两个问题经常在思想中;您如何识别会话以及如何对其进行排除呢?TLS在TLS标题之后加密,因此您仍然可以查看TCP会话信息,例如TCP重传和窗口尺寸。但是,这是足够的吗?

您无法识别并控制用户将要哪些网站。这样,您丢失了控制和记录的能力。此外,网络运营商无法排除故障,因为它们无法识别哪些会话正在何处。然而,他们可以通过查看IP地址来通过后门输入,但这完全挑战,特别是如果您在云中的某个地方,喜欢,AWS。

事实上,TLS 1.3的引入将引入缓存的局限性。许多ISP和企业使用广域的应用程序服务或内容分发服务在本地缓存信息。常见的大型电子邮件附件,普通应用程序的屏幕,例如Salesforce可以在本地缓存,但TLS 1.3他们不能是。

正好地,1.3的最具争议的部分是称为服务器名称指示(SNI)的部分以及是否已加密或不加密。其中一个解决方法不加密SNI。第二个潜在的解决方法用于云应用程序和其他方法将其加密密钥与代理和ISP分享。这样,可以解密要确定客户端使用的信息。第3个选项是延迟卷展栏TLS 1.3。

但为什么你会延迟带来这么多好处的东西?TLS 1.3提供标准和强大的安全模型;两者都是设置和加密。TLS 1.2的一个主要缺点是您实际上可以使用不同的加密算法,这不是安全的或者具有已知漏洞。相反,TLS 1.3仅包括对没有已知漏洞的算法的支持。

事实上,我们有一个利益冲突。网络运营商,ISP和企业不希望失去可见性,但谷歌这样的用户和云提供商正在推动TLS1.3。最有可能的TLS 1.3将成为一个现实,预计将为WAN优化和SD-WAN供应商带来许多问题。

对WAN优化和SD-WAN供应商的影响

如今,WAN优化市场通过引入TLS加密流量而受到重创。这种艰难的小道通过网络上的实时语音和视频流量已经迅速增长。最终,这导致了WAN优化市场的下降。因此,许多WAN优化供应商正在进入SD-WAN市场。

但是,SD-WAN市场将受到TLS的引入影响。一些SD-WAN供应商需要使用DNS提供自动应用识别模式。

正品上,自动应用识别是SD-WAN供应商检查TCP / UDP端口号的过程,以识别Web或电子邮件流量的应用程序。然后,使用DNS来使用基础服务识别应用程序。

有效的解决方法,即某些SD-WAN供应商可以执行的是使用TLS设置过程进行应用识别和网络优先级部分。然后,他们可以使用会话状态感知设备在目标IP上执行反向DNS查找。

一旦会话状态感知设备(例如防火墙或代理)都在流量路径中,它就会跟踪并连接流中的所有数据包,而不是简单地将它们转发为第3层设备。

或者,您可以使用TLS安装过程来提取DNS名称。这也需要交通路径中的设备是会话状态感知。基本上,理想的解决方法是拥有一个是会话状态感知的设备。

加入网络世界社区有个足球雷竞技appFacebook.linkedin.评论是最重要的主题。
有关:

马特圆柱拥有19年以上的网络行业与企业家初创企业初创企业,政府组织和其他人。他是一个领导架构师,并成功地交付了全球主要的Greenfield服务提供商和数据中心网络。雷竞技电脑网站

版权所有©2018.Raybet2

IT薪水调查:结果是