當(dāng)前位置:
  1. 首頁(yè)
  2. 業(yè)界資訊

有哪些方法可以監(jiān)視加密網(wǎng)絡(luò)流量?

ice 業(yè)界資訊

普遍的網(wǎng)絡(luò)流量加密阻礙深度包檢測(cè),但仍有方法可以檢測(cè)并阻止很多攻擊。多年來(lái)安全專家一直在敦促用戶加密所有網(wǎng)絡(luò)流量。你該如何檢查網(wǎng)絡(luò)流量以查找惡意程序和有問(wèn)題的內(nèi)容呢?

任何像樣的主機(jī)或網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(IDS/IPS)都會(huì)執(zhí)行網(wǎng)絡(luò)分析,在合法加密流量海洋中查找惡意流量。但深入了解工具運(yùn)行機(jī)制和自身流量特性沒(méi)什么壞處。你可以對(duì)協(xié)議級(jí)加密做些什么。有哪些方法可以監(jiān)視加密網(wǎng)絡(luò)流量?

使用網(wǎng)絡(luò)異常檢測(cè)工具
如果不能觀測(cè)實(shí)際包內(nèi)容,就得監(jiān)視流量找出網(wǎng)絡(luò)異常。那么,異常網(wǎng)絡(luò)行為有哪些特征呢?

TCP/UDP端口的非正常使用也是值得監(jiān)視的一種行為??稍贒ave端口列表上查看知名端口和不那么知名的端口。不僅僅是非正常端口的使用,還要看正常端口是否被非正常應(yīng)用使用,比如為傳輸層安全(TLS)保留的443端口有沒(méi)有用于傳輸明文流量。

這些任務(wù)太過(guò)瑣碎,不適合人工處理,有很多安全產(chǎn)品都嘗試檢測(cè)網(wǎng)絡(luò)行為異常,包括IBM的QRadar、Juniper Sky Advanced Threat Protection,甚至還有開(kāi)源的Snort IPS。需要挖掘流量審查細(xì)節(jié)的時(shí)候,可以借助網(wǎng)絡(luò)分析工具。Wireshark是最基本的,但Fiddler更適用于HTTP/HTTPS流量分析。

使用SSL/TLS代理服務(wù)器
使用安全套接字層(SSL)/TLS代理服務(wù)器能很大程度上令加密流量可審查。包括加密通信在內(nèi)的所有通信都要經(jīng)過(guò)代理服務(wù)器,代理服務(wù)器在一端接受加密連接,解密加密流量,執(zhí)行某些操作,然后重新加密并發(fā)送流量到目的地址。代理服務(wù)器執(zhí)行的操作中就可以包含安全操作,比如惡意軟件掃描和阻止禁用站點(diǎn)。很多第三方安全產(chǎn)品都可以用作SSL/TLS代理。

此類代理服務(wù)器給已經(jīng)很復(fù)雜的網(wǎng)絡(luò)配置又添了一層復(fù)雜度。雖然可以通過(guò)緩存加速流量,但也存在拖慢流量的可能性。2017年,美國(guó)國(guó)土安全部(DHS)計(jì)算機(jī)應(yīng)急響應(yīng)小組(CERT)協(xié)調(diào)中心曾發(fā)出一條警報(bào),稱很多此類產(chǎn)品未進(jìn)行恰當(dāng)?shù)淖C書驗(yàn)證,或者轉(zhuǎn)發(fā)錯(cuò)誤情況。

準(zhǔn)備應(yīng)對(duì)非TLS加密
網(wǎng)絡(luò)包層級(jí)上的流量合法加密通常由SSL/TLS實(shí)現(xiàn)。但你可能遇到其他加密協(xié)議。有些是合法的,有些則不應(yīng)該出現(xiàn)在你的網(wǎng)絡(luò)上。其中最為模棱兩可的協(xié)議就是Secure Shell (SSH)。很多管理和開(kāi)發(fā)工作都通過(guò)SSH完成。問(wèn)題在于,壞人也會(huì)用SSH。你不可能全面禁用SSH,總得為特定網(wǎng)絡(luò)段和特定用戶放行SSH。所以,不符合合法規(guī)程的SSH流量必須要在審查范圍內(nèi)。

如果使用Windows終端,那網(wǎng)絡(luò)上就會(huì)出現(xiàn)很多Windows終端服務(wù)器用的遠(yuǎn)程桌面協(xié)議(RDP)和Citrix服務(wù)器用的獨(dú)立計(jì)算架構(gòu)(ICA)。這些都是加密協(xié)議,通常使用TLS,但也可能在不同的TCP端口上,展現(xiàn)其他的差異。公司應(yīng)設(shè)專人控制這些終端,具備審查其行為的能力。

更隱蔽的是基于用戶數(shù)據(jù)報(bào)協(xié)議(UDP)的快速UDP互聯(lián)網(wǎng)連接(QUIC),這是TLS的低延遲版替代品。HTTP/3標(biāo)準(zhǔn)納入了QUIC,但其基于UDP的特性限制了其應(yīng)用。至于暗網(wǎng)所用的Tor,因?yàn)椴捎枚鄬忧短准用埽怯蓄~外的隱私需求,普通用戶完全有理由封禁。

TLS的好處在于身份驗(yàn)證、加密和消息完整性,這是無(wú)可否認(rèn)的。所有這些加密使一些合法的安全實(shí)踐變得更加困難,但這點(diǎn)困難并不足以讓你的流量保持不加密狀態(tài)裸奔。無(wú)論是通過(guò)元數(shù)據(jù),還是在終端檢查,依然有很多工具可以保護(hù)你的用戶和網(wǎng)絡(luò)。