多年來安全專家一直在敦促用戶加密所有網(wǎng)絡(luò)流量。

他們的觀點(diǎn)是：讓安全配置成為默認(rèn)配置是很明顯的好辦法。

實(shí)現(xiàn)加密的標(biāo)準(zhǔn)和產(chǎn)品都已經(jīng)非常成熟，沒有理由不這么做!然而，事情不完全是這樣。

但凡工程，總有各種利弊權(quán)衡，加密流量也不例外。

其中一大弊端就是安全人員和監(jiān)視系統(tǒng)也看不透你的網(wǎng)絡(luò)流量了。

你該如何檢查網(wǎng)絡(luò)流量以查找惡意程序和有問題的內(nèi)容呢?簡單粗暴地回答的話，答案就是你沒法用深度包檢測找出攻擊了。

更負(fù)責(zé)任一點(diǎn)的話呢，你可以在執(zhí)行加解密的終端上檢測流量，從網(wǎng)絡(luò)流量元數(shù)據(jù)中獲悉各種信息，流量包頭中的信息能告訴你數(shù)據(jù)包的源頭和目的地。

思科《加密流量分析白皮書》指出，2015年加密流量占比21%，2016年占比40%，一年時(shí)間幾乎翻了一倍。

由于微軟Exchange之類企業(yè)產(chǎn)品趨于默認(rèn)加密所有流量，企業(yè)內(nèi)部流量加密的占比無疑在飛速提升。

任何像樣的主機(jī)或網(wǎng)絡(luò)入侵檢測系統(tǒng)(IDS/IPS)都會執(zhí)行網(wǎng)絡(luò)分析，在合法加密流量海洋中查找惡意流量。

但深入了解工具運(yùn)行機(jī)制和自身流量特性沒什么壞處。

微軟Office數(shù)據(jù)文件中支持的應(yīng)用級加密，惡意黑客用來偷渡數(shù)據(jù)的隱寫術(shù)之類混淆技術(shù)不是這篇文章討論的內(nèi)容。

本文要講述的，是你可以對協(xié)議級加密做些什么。

1. 使用網(wǎng)絡(luò)異常檢測工具如果不能觀測實(shí)際包內(nèi)容，就得監(jiān)視流量找出網(wǎng)絡(luò)異常。

那么，異常網(wǎng)絡(luò)行為有哪些特征呢?想知道這一點(diǎn)，你得弄清楚正常行為的構(gòu)成。

比如說，通常不互聯(lián)的主機(jī)之間出現(xiàn)的連接，無論是內(nèi)部主機(jī)互聯(lián)，還是內(nèi)部主機(jī)與未知外部系統(tǒng)相連，都是值得懷疑的。

TCP/UDP端口的非正常使用也是值得監(jiān)視的一種行為。

可在Dave端口列表上查看知名端口和不那么知名的端口。

不僅僅是非正常端口的使用，還要看正常端口是否被非正常應(yīng)用使用，比如為傳輸層安全(TLS)保留的443端口有沒有用于傳輸明文流量。

這些任務(wù)太過瑣碎，不適合人工處理，有很多安全產(chǎn)品都嘗試檢測網(wǎng)絡(luò)行為異常，包括IBM的QRadar、Juniper Sky Advanced Threat Protection，甚至還有開源的Snort IPS。

最高級的產(chǎn)品，比如思科的 Encrypted Traffic Analytics，將監(jiān)視與情報(bào)服務(wù)集成，跟蹤全球系統(tǒng)中的異常行為。

需要挖掘流量審查細(xì)節(jié)的時(shí)候，可以借助網(wǎng)絡(luò)分析工具。

Wireshark是最基本的，但Fiddler更適用于HTTP/HTTPS流量分析。

Fiddler作者 Eric Lawrence 寫的一篇文章闡述了怎樣通過元數(shù)據(jù)及其他辦法檢查TLS流量。

另一個(gè)有趣的工具集是來自Salesforce的JA3和JA3S。

該工具集可捕獲TLS連接特征，暴露出此類通信及連接使用方TLS實(shí)現(xiàn)的更多細(xì)節(jié)。

2. 使用SSL/TLS代理服務(wù)器使用安全套接字層(SSL)/TLS代理服務(wù)器能很大程度上令加密流量可審查。

包括加密通信在內(nèi)的所有通信都要經(jīng)過代理服務(wù)器，代理服務(wù)器在一端接受加密連接，解密流量，執(zhí)行某些操作，然后重新加密并發(fā)送流量到目的地址。

代理服務(wù)器執(zhí)行的操作中就可以包含安全操作，比如惡意軟件掃描和阻止禁用站點(diǎn)。

很多第三方安全產(chǎn)品都可以用作SSL/TLS代理。

此類代理服務(wù)器給已經(jīng)很復(fù)雜的網(wǎng)絡(luò)配置又添了一層復(fù)雜度。

雖然可以通過緩存加速流量，但也存在拖慢流量的可能性。

2017年，美國國土安全部(DHS)計(jì)算機(jī)應(yīng)急響應(yīng)小組(CERT)協(xié)調(diào)中心曾發(fā)出一條警報(bào)，稱很多此類產(chǎn)品未進(jìn)行恰當(dāng)?shù)淖C書驗(yàn)證，或者轉(zhuǎn)發(fā)錯誤情況。

很多安全專家，比如卡耐基梅隆大型的 Will Dormann，辯稱SSL檢查反而會引入更多風(fēng)險(xiǎn)。

3. 準(zhǔn)備應(yīng)對非TLS加密網(wǎng)絡(luò)包層級上的流量合法加密通常由SSL/TLS實(shí)現(xiàn)。

但你可能遇到其他加密協(xié)議。

有些是合法的，有些則不應(yīng)該出現(xiàn)在你的網(wǎng)絡(luò)上。

其中最為模棱兩可的協(xié)議就是Secure Shell (SSH)。

很多管理和開發(fā)工作都通過SSH完成。

問題在于，壞人也會用SSH。

你不可能全面禁用SSH，總得為特定網(wǎng)絡(luò)段和特定用戶放行SSH。

所以，不符合合法規(guī)程的SSH流量必須要在審查范圍內(nèi)。

如果使用Windows終端，那網(wǎng)絡(luò)上就會出現(xiàn)很多Windows終端服務(wù)器用的遠(yuǎn)程桌面協(xié)議(RDP)和Citrix服務(wù)器用的獨(dú)立計(jì)算架構(gòu)(ICA)。

這些都是加密協(xié)議，通常使用TLS，但也可能在不同的TCP端口上，展現(xiàn)其他的差異。

公司應(yīng)設(shè)專人控制這些終端，具備審查其行為的能力。

更隱蔽的是基于用戶數(shù)據(jù)報(bào)協(xié)議(UDP)的快速UDP互聯(lián)網(wǎng)連接(QUIC)，這是TLS的低延遲版替代品。

HTTP/3標(biāo)準(zhǔn)納入了QUIC，但其基于UDP的特性限制了其應(yīng)用。

舉個(gè)例子，防火墻通常全面阻止UDP入站。

這仍是相當(dāng)前沿的問題，你可能根本看不到。

至于暗網(wǎng)所用的Tor，因?yàn)椴捎枚鄬忧短准用埽怯蓄~外的隱私需求，普通用戶完全有理由封禁。

TLS的好處在于身份驗(yàn)證、加密和消息完整性，這是無可否認(rèn)的。

所有這些加密使一些合法的安全實(shí)踐變得更加困難，但這點(diǎn)困難并不足以讓你的流量保持不加密狀態(tài)裸奔。

無論是通過元數(shù)據(jù)，還是在終端檢查，依然有很多工具可以保護(hù)你的用戶和網(wǎng)絡(luò)。