سرویس پیازی Cloudflare، ابزاری برای مهاجمان یا مدافعان سایبری؟

Cloudflare یکی از شرکت‌های فعال در دنیای وب است که دارای خدمات و محصولات زیادی می‌باشد. یکی از خدماتی که توسط این شرکت به کاربران ارایه می‌شود، سرویس ابری آن است که به امنیت، بهینه‌سازی و سرعت بارگذاری وب‌سایت‌ها کمک قابل توجهی می‌کند.

مدتی پیش این شرکت از قابلیت رمزنگاری فرصت طلبانه (Opportunistic Encryption) خود که از طریق سرویس ابری و به شیوه مسیریابی پیازی امکان رمزنگاری کانال ارتباطی را بین دو سیستم (مبدأ و مقصد) فراهم می‌کند، رونمایی کرد. این ویژگی از مزایای قابل توجهی برای وب سایت‌هایی که کماکان از پروتکل HTTP به جای HTTPS استفاده می‌کنند، برخوردار است.

پروتکل HTTPS امکان برقراری ارتباط را میان مرورگرها و سرویس‌دهندگان وب فراهم نموده و برای انتقال اطلاعات، از کدهای متنی و قابل مشاهده برای سرورهای میانی استفاده می‌کند. HTTPS با استفاده از گواهینامه های SSL یا TLS، عملیات رمزنگاری متقارن را انجام می دهد. به این ترتیب امکان تغییر اطلاعات تبادلی برای افراد غیرمجازی که به هر شکلی به اطلاعات دسترسی داشته باشند را غیرممکن می‌سازد.

البته این راهکار نیز مانند سایر فناوری ها با چالش‌های امنیتی زیادی مواجه است. تضمین حفاظت از حریم خصوصی، از گذشته تاکنون همواره به عنوان موضوعی چالش برانگیز مطرح بوده است. مسایلی همچون غیرفعال‌سازی روش‌های ثبت اطلاعات کاربر، ابزارهای ردیابی مرورگر و خنثی سازی حملات ارتباط‌دهی که فقط شرکت‌های بزرگ قادر به انجام آن هستند، بر مشکلات و چالش های امنیت سایبری افزوده است.

یکی از روش‌هایی که به ناشناس ماندن کاربران در محیط اینترنت کمک می‌کند، استفاده از مرورگر تور[2] است. این مرورگر با استفاده از روش مسیریابی پیازی، پیام‌ها را رمزنگاری کرده و می‌تواند داده‌های کاربران از جمله موقعیت مکانی و آدرس اینترنتی (IP) آنها را از دید سایر کاربران پنهان کند.

با توجه به اینکه مجرمان سایبری همواره در پی سوءاستفاده‌ و تحقق اهداف خرابکارانه شخصی شان هستند، این ابزار تبدیل به راهکاری برای مخفی کردن مبدأ ترافیک های مخرب برای آنها شده است. بنابراین تشخیص ترافیک سالم از ترافیک مخرب، دیگر کار چندان آسانی برای کاربران نیست.

بسیاری از سازمان‌ها به منظور حفظ امنیت سیستم‌ها و شبکه خود تصمیم به استفاده از کدهای کپچا (CAPTHA) گرفته‌اند. کپچا یک ابزار امنیتی برای شناسایی و تشخیص کاربر انسانی از ربات‌های مخرب در اینترنت است که از آن برای افزایش امنیت وب‌سایت‌ها و سامانه های آنلاین استفاده می شود.

بنابراین یکی از روش‌هایی که برای مقابله با ترافیک های مخرب و حفاظت از حریم خصوصی کاربران می توان از آن استفاده کرد، سرویس پیازی است که توسط مرورگر تور قابل پیاده‌سازی می باشد. در حال حاضر هر کاربری که از مرورگر تور (نسخه 8.0) استفاده کند، بدون امکان مواجه شدن با کدهای کپچا می‌تواند به امنیت و کارایی مورد نظر دست یابد. این قابلیت امکان مقابله با ترافیک های مخرب را نیز برای کاربران فراهم می‌کند.

علاوه بر این با توجه به اینکه هدف از طراحی سرویس‌های پیازی، ناشناس نگهداشتن محتوا است بنابراین بعضی از پیام رسان های ارتباطی و شبکه های اجتماعی همچون فیسبوک از آن برای برقراری ارتباطات امن استفاده می‌کنند.

شیوه عملکرد سرویس پیازی فرصت‌طلبانه که توسط Cloudflare ارایه شده، به این صورت است که به هر ارتباطی که بین سرور و کلاینت و از طریق مرورگر تور برقرار می شود، یک کد یکتا و منحصر به فرد اختصاص داده می‌شود. تمام درخواست‌هایی که از طریق مرورگر تور و یک مکان خروجی مشابه ارسال می شوند؛ در سمت سرور مقصد، دارای آدرس اینترنتی یکسانی هستند. نکته حایز اهمیت این است که با این روش، سرویس‌های پیازی نیز قادر به تشخیص و ردیابی کاربران تور نیستند.

نحوه عملکرد این فرایند، به نوعی شبیه شماره گیری‌های پی در پی رمزنگاری شده است. در این روش مهاجمان می‌توانند تماس‌های متوالی را با سرویس پیازی برقرار کنند. از آنجا که فرایند مبادله کلید در هر تماس مجدداً تکرار می‌شود بنابراین این کار از نظر محاسبات و زمان، بسیار پرهزینه است.

نگرشی متفاوت درباره آدرس‌های پیازی

اکنون می‌خواهیم شیوه عملکرد آدرس‌های پیازی را به بیان ساده‌تر بیان کنیم. زمانی که یک کاربر، آدرس cloudflare.com را در مرورگر خود وارد کرده و کلید Enter را فشار می دهد، مرورگر او این نام دامنه را به یک آدرس آی‌پی تبدیل کرده و سپس از سرور تقاضای ارایه یک گواهینامه معتبر را برای وب سایت cloudflare.com می نماید. آنگاه مرورگر کاربر تلاش می‌کند ارتباطی رمزنگاری شده را با سیستم میزبان برقرار کند. البته تا زمانی که یک مرجع صدور گواهی، این گواهینامه را تأیید نکرده باشد نگرانی هایی درباره آن آدرس آی‌پی وجود دارد.

در واقع در سناریوی بالا، آدرس آی‌پی با یک آدرس oinon. تغییر می کند. در صورتی که گواهینامه معتبر باشد و با توجه به اینکه معتبر بودن گواهینامه نشان‌دهنده صحت آدرس oinon. است پس در این صورت دیگر نیازی به وارد کردن آدرس oinon. توسط کاربر یا حتی به خاطر سپردن آن وجود ندارد.

صحبت پایانی و امنیت بیشتر

سرویس پیازی فرصت طلبانه قابلیت حفاظت کامل از داده های کاربران را در برابر مهاجمانی که قادر به حذف هدر سرویس جایگزین هستند، ندارد. بنابراین برای امن‌سازی آن، اولین درخواست استفاده از HTTPS Everywhere مهم است. هنگامی که ارتباطی از طریق مرورگر تور برقرار شد، درخواست‌های بعدی بین سیستم های مبدأ و مقصد نیز باید توسط آن انجام شوند.

 

[1] HTTP Alternative Service

[2] Tor

 

منبع: cloudflare

خروج از نسخه موبایل