国产精品人-国产精品人成人免-国产精品人成在线-国产精品人成在线播放-国产精品人成在线播放新网站-国产精品人成在线二区

行業(yè)新聞

您當(dāng)前的位置:首頁 > 新聞資訊 > 行業(yè)新聞

如何監(jiān)視加密網(wǎng)絡(luò)流量

發(fā)布源:深圳維創(chuàng)信息技術(shù)發(fā)布時(shí)間:2020-09-16 瀏覽次數(shù):

多年來安全專家一直在敦促用戶加密所有網(wǎng)絡(luò)流量。

他們的觀點(diǎn)是:讓安全配置成為默認(rèn)配置是很明顯的好辦法。

實(shí)現(xiàn)加密的標(biāo)準(zhǔn)和產(chǎn)品都已經(jīng)非常成熟,沒有理由不這么做!然而,事情不完全是這樣。

但凡工程,總有各種利弊權(quán)衡,加密流量也不例外。

其中一大弊端就是安全人員和監(jiān)視系統(tǒng)也看不透你的網(wǎng)絡(luò)流量了。

你該如何檢查網(wǎng)絡(luò)流量以查找惡意程序和有問題的內(nèi)容呢?簡單粗暴地回答的話,答案就是你沒法用深度包檢測找出攻擊了。

更負(fù)責(zé)任一點(diǎn)的話呢,你可以在執(zhí)行加解密的終端上檢測流量,從網(wǎng)絡(luò)流量元數(shù)據(jù)中獲悉各種信息,流量包頭中的信息能告訴你數(shù)據(jù)包的源頭和目的地。

思科《加密流量分析白皮書》指出,2015年加密流量占比21%,2016年占比40%,一年時(shí)間幾乎翻了一倍。

由于微軟Exchange之類企業(yè)產(chǎn)品趨于默認(rèn)加密所有流量,企業(yè)內(nèi)部流量加密的占比無疑在飛速提升。

任何像樣的主機(jī)或網(wǎng)絡(luò)入侵檢測系統(tǒng)(IDS/IPS)都會執(zhí)行網(wǎng)絡(luò)分析,在合法加密流量海洋中查找惡意流量。

但深入了解工具運(yùn)行機(jī)制和自身流量特性沒什么壞處。

微軟Office數(shù)據(jù)文件中支持的應(yīng)用級加密,惡意黑客用來偷渡數(shù)據(jù)的隱寫術(shù)之類混淆技術(shù)不是這篇文章討論的內(nèi)容。

本文要講述的,是你可以對協(xié)議級加密做些什么。

1. 使用網(wǎng)絡(luò)異常檢測工具如果不能觀測實(shí)際包內(nèi)容,就得監(jiān)視流量找出網(wǎng)絡(luò)異常。

那么,異常網(wǎng)絡(luò)行為有哪些特征呢?想知道這一點(diǎn),你得弄清楚正常行為的構(gòu)成。

比如說,通常不互聯(lián)的主機(jī)之間出現(xiàn)的連接,無論是內(nèi)部主機(jī)互聯(lián),還是內(nèi)部主機(jī)與未知外部系統(tǒng)相連,都是值得懷疑的。

TCP/UDP端口的非正常使用也是值得監(jiān)視的一種行為。

可在Dave端口列表上查看知名端口和不那么知名的端口。

不僅僅是非正常端口的使用,還要看正常端口是否被非正常應(yīng)用使用,比如為傳輸層安全(TLS)保留的443端口有沒有用于傳輸明文流量。

這些任務(wù)太過瑣碎,不適合人工處理,有很多安全產(chǎn)品都嘗試檢測網(wǎng)絡(luò)行為異常,包括IBM的QRadar、Juniper Sky Advanced Threat Protection,甚至還有開源的Snort IPS。

最高級的產(chǎn)品,比如思科的 Encrypted Traffic Analytics,將監(jiān)視與情報(bào)服務(wù)集成,跟蹤全球系統(tǒng)中的異常行為。

需要挖掘流量審查細(xì)節(jié)的時(shí)候,可以借助網(wǎng)絡(luò)分析工具。

Wireshark是最基本的,但Fiddler更適用于HTTP/HTTPS流量分析。

Fiddler作者 Eric Lawrence 寫的一篇文章闡述了怎樣通過元數(shù)據(jù)及其他辦法檢查TLS流量。

另一個(gè)有趣的工具集是來自Salesforce的JA3和JA3S。

該工具集可捕獲TLS連接特征,暴露出此類通信及連接使用方TLS實(shí)現(xiàn)的更多細(xì)節(jié)。

2. 使用SSL/TLS代理服務(wù)器使用安全套接字層(SSL)/TLS代理服務(wù)器能很大程度上令加密流量可審查。

包括加密通信在內(nèi)的所有通信都要經(jīng)過代理服務(wù)器,代理服務(wù)器在一端接受加密連接,解密流量,執(zhí)行某些操作,然后重新加密并發(fā)送流量到目的地址。

代理服務(wù)器執(zhí)行的操作中就可以包含安全操作,比如惡意軟件掃描和阻止禁用站點(diǎn)。

很多第三方安全產(chǎn)品都可以用作SSL/TLS代理。

此類代理服務(wù)器給已經(jīng)很復(fù)雜的網(wǎng)絡(luò)配置又添了一層復(fù)雜度。

雖然可以通過緩存加速流量,但也存在拖慢流量的可能性。

2017年,美國國土安全部(DHS)計(jì)算機(jī)應(yīng)急響應(yīng)小組(CERT)協(xié)調(diào)中心曾發(fā)出一條警報(bào),稱很多此類產(chǎn)品未進(jìn)行恰當(dāng)?shù)淖C書驗(yàn)證,或者轉(zhuǎn)發(fā)錯誤情況。

很多安全專家,比如卡耐基梅隆大型的 Will Dormann,辯稱SSL檢查反而會引入更多風(fēng)險(xiǎn)。

3. 準(zhǔn)備應(yīng)對非TLS加密網(wǎng)絡(luò)包層級上的流量合法加密通常由SSL/TLS實(shí)現(xiàn)。

但你可能遇到其他加密協(xié)議。

有些是合法的,有些則不應(yīng)該出現(xiàn)在你的網(wǎng)絡(luò)上。

其中最為模棱兩可的協(xié)議就是Secure Shell (SSH)。

很多管理和開發(fā)工作都通過SSH完成。

問題在于,壞人也會用SSH。

你不可能全面禁用SSH,總得為特定網(wǎng)絡(luò)段和特定用戶放行SSH。

所以,不符合合法規(guī)程的SSH流量必須要在審查范圍內(nèi)。

如果使用Windows終端,那網(wǎng)絡(luò)上就會出現(xiàn)很多Windows終端服務(wù)器用的遠(yuǎn)程桌面協(xié)議(RDP)和Citrix服務(wù)器用的獨(dú)立計(jì)算架構(gòu)(ICA)。

這些都是加密協(xié)議,通常使用TLS,但也可能在不同的TCP端口上,展現(xiàn)其他的差異。

公司應(yīng)設(shè)專人控制這些終端,具備審查其行為的能力。

更隱蔽的是基于用戶數(shù)據(jù)報(bào)協(xié)議(UDP)的快速UDP互聯(lián)網(wǎng)連接(QUIC),這是TLS的低延遲版替代品。

HTTP/3標(biāo)準(zhǔn)納入了QUIC,但其基于UDP的特性限制了其應(yīng)用。

舉個(gè)例子,防火墻通常全面阻止UDP入站。

這仍是相當(dāng)前沿的問題,你可能根本看不到。

至于暗網(wǎng)所用的Tor,因?yàn)椴捎枚鄬忧短准用埽怯蓄~外的隱私需求,普通用戶完全有理由封禁。

TLS的好處在于身份驗(yàn)證、加密和消息完整性,這是無可否認(rèn)的。

所有這些加密使一些合法的安全實(shí)踐變得更加困難,但這點(diǎn)困難并不足以讓你的流量保持不加密狀態(tài)裸奔。

無論是通過元數(shù)據(jù),還是在終端檢查,依然有很多工具可以保護(hù)你的用戶和網(wǎng)絡(luò)。


  • 上一篇:如何才能做好數(shù)據(jù)安全?
  • 下一篇:Nutanix超融合在桌面虛擬化上的應(yīng)用
  • Copyright © 2021 深圳市維創(chuàng)信息技術(shù)有限公司 版權(quán)所有

    粵ICP備2021016007號

    主站蜘蛛池模板: 壹牛ava在线观看 | 精品视频久久99中文字幕 | 91视频完整版 | 国产极品粉嫩白浆清纯在线 | AV看片亚洲影视 | 久久综合13p| www.狠狠鲁 | 精品国产一级A片免费看奶水多多 | 国产凸凹视频熟女A片 | 熟女18p | 国产精品高潮久久久久久无码 | 一级黄色片网址 | 一级日韩特黄网站 | 亚洲性爱电影 | 你懂的视频免费在线观看网站 | av中 文影院 | 在线国产黄色网址 | 成人,美国,亚洲毛片 | 国产免费足控网站 | 老肥熟自拍视频 | 91精品秘 一区二区耳视频 | 成年免费网站 | 无码AV喷水在线播放 | 国产精品嫩草影院 禁果 | 欧洲美女屁股大AV | 久久精品综合变态 | 无码高清免费a | 老湿机免费福利 | 粉嫩秘 AV一站二站三站 | 日本中文字幕不卡在线观看 | 91福利影院 | 精品久久久久久久久久久国产字幕 | ㊣最新国产の精品bt7086 | av无码网址 | 海外成年人免费视频 | 操操干 | 久久麻豆精品 | 国产成人无码一区二区免费软件 | 午夜电影网极品人妻三区 | 不卡一区 | 少妇被灌醉啪啪内谢 |