發(fā)布源:深圳維創(chuàng)信息技術發(fā)布時間:2020-09-16 瀏覽次數(shù): 次
他們的觀點是:讓安全配置成為默認配置是很明顯的好辦法。
實現(xiàn)加密的標準和產(chǎn)品都已經(jīng)非常成熟,沒有理由不這么做!然而,事情不完全是這樣。
但凡工程,總有各種利弊權衡,加密流量也不例外。
其中一大弊端就是安全人員和監(jiān)視系統(tǒng)也看不透你的網(wǎng)絡流量了。
你該如何檢查網(wǎng)絡流量以查找惡意程序和有問題的內(nèi)容呢?簡單粗暴地回答的話,答案就是你沒法用深度包檢測找出攻擊了。
更負責任一點的話呢,你可以在執(zhí)行加解密的終端上檢測流量,從網(wǎng)絡流量元數(shù)據(jù)中獲悉各種信息,流量包頭中的信息能告訴你數(shù)據(jù)包的源頭和目的地。
思科《加密流量分析白皮書》指出,2015年加密流量占比21%,2016年占比40%,一年時間幾乎翻了一倍。
由于微軟Exchange之類企業(yè)產(chǎn)品趨于默認加密所有流量,企業(yè)內(nèi)部流量加密的占比無疑在飛速提升。
任何像樣的主機或網(wǎng)絡入侵檢測系統(tǒng)(IDS/IPS)都會執(zhí)行網(wǎng)絡分析,在合法加密流量海洋中查找惡意流量。
但深入了解工具運行機制和自身流量特性沒什么壞處。
微軟Office數(shù)據(jù)文件中支持的應用級加密,惡意黑客用來偷渡數(shù)據(jù)的隱寫術之類混淆技術不是這篇文章討論的內(nèi)容。
本文要講述的,是你可以對協(xié)議級加密做些什么。
1. 使用網(wǎng)絡異常檢測工具如果不能觀測實際包內(nèi)容,就得監(jiān)視流量找出網(wǎng)絡異常。
那么,異常網(wǎng)絡行為有哪些特征呢?想知道這一點,你得弄清楚正常行為的構成。
比如說,通常不互聯(lián)的主機之間出現(xiàn)的連接,無論是內(nèi)部主機互聯(lián),還是內(nèi)部主機與未知外部系統(tǒng)相連,都是值得懷疑的。
TCP/UDP端口的非正常使用也是值得監(jiān)視的一種行為。
可在Dave端口列表上查看知名端口和不那么知名的端口。
不僅僅是非正常端口的使用,還要看正常端口是否被非正常應用使用,比如為傳輸層安全(TLS)保留的443端口有沒有用于傳輸明文流量。
這些任務太過瑣碎,不適合人工處理,有很多安全產(chǎn)品都嘗試檢測網(wǎng)絡行為異常,包括IBM的QRadar、Juniper Sky Advanced Threat Protection,甚至還有開源的Snort IPS。
最高級的產(chǎn)品,比如思科的 Encrypted Traffic Analytics,將監(jiān)視與情報服務集成,跟蹤全球系統(tǒng)中的異常行為。
需要挖掘流量審查細節(jié)的時候,可以借助網(wǎng)絡分析工具。
Wireshark是最基本的,但Fiddler更適用于HTTP/HTTPS流量分析。
Fiddler作者 Eric Lawrence 寫的一篇文章闡述了怎樣通過元數(shù)據(jù)及其他辦法檢查TLS流量。
另一個有趣的工具集是來自Salesforce的JA3和JA3S。
該工具集可捕獲TLS連接特征,暴露出此類通信及連接使用方TLS實現(xiàn)的更多細節(jié)。
2. 使用SSL/TLS代理服務器使用安全套接字層(SSL)/TLS代理服務器能很大程度上令加密流量可審查。
包括加密通信在內(nèi)的所有通信都要經(jīng)過代理服務器,代理服務器在一端接受加密連接,解密流量,執(zhí)行某些操作,然后重新加密并發(fā)送流量到目的地址。
代理服務器執(zhí)行的操作中就可以包含安全操作,比如惡意軟件掃描和阻止禁用站點。
很多第三方安全產(chǎn)品都可以用作SSL/TLS代理。
此類代理服務器給已經(jīng)很復雜的網(wǎng)絡配置又添了一層復雜度。
雖然可以通過緩存加速流量,但也存在拖慢流量的可能性。
2017年,美國國土安全部(DHS)計算機應急響應小組(CERT)協(xié)調(diào)中心曾發(fā)出一條警報,稱很多此類產(chǎn)品未進行恰當?shù)淖C書驗證,或者轉(zhuǎn)發(fā)錯誤情況。
很多安全專家,比如卡耐基梅隆大型的 Will Dormann,辯稱SSL檢查反而會引入更多風險。
3. 準備應對非TLS加密網(wǎng)絡包層級上的流量合法加密通常由SSL/TLS實現(xiàn)。
但你可能遇到其他加密協(xié)議。
有些是合法的,有些則不應該出現(xiàn)在你的網(wǎng)絡上。
其中最為模棱兩可的協(xié)議就是Secure Shell (SSH)。
很多管理和開發(fā)工作都通過SSH完成。
問題在于,壞人也會用SSH。
你不可能全面禁用SSH,總得為特定網(wǎng)絡段和特定用戶放行SSH。
所以,不符合合法規(guī)程的SSH流量必須要在審查范圍內(nèi)。
如果使用Windows終端,那網(wǎng)絡上就會出現(xiàn)很多Windows終端服務器用的遠程桌面協(xié)議(RDP)和Citrix服務器用的獨立計算架構(ICA)。
這些都是加密協(xié)議,通常使用TLS,但也可能在不同的TCP端口上,展現(xiàn)其他的差異。
公司應設專人控制這些終端,具備審查其行為的能力。
更隱蔽的是基于用戶數(shù)據(jù)報協(xié)議(UDP)的快速UDP互聯(lián)網(wǎng)連接(QUIC),這是TLS的低延遲版替代品。
HTTP/3標準納入了QUIC,但其基于UDP的特性限制了其應用。
舉個例子,防火墻通常全面阻止UDP入站。
這仍是相當前沿的問題,你可能根本看不到。
至于暗網(wǎng)所用的Tor,因為采用多層嵌套加密,除非有額外的隱私需求,普通用戶完全有理由封禁。
TLS的好處在于身份驗證、加密和消息完整性,這是無可否認的。
所有這些加密使一些合法的安全實踐變得更加困難,但這點困難并不足以讓你的流量保持不加密狀態(tài)裸奔。
無論是通過元數(shù)據(jù),還是在終端檢查,依然有很多工具可以保護你的用戶和網(wǎng)絡。
Copyright © 2021 深圳市維創(chuàng)信息技術有限公司 版權所有