監視加密網絡流量的3種方法
普遍的網絡流量加密阻礙深度包檢測,但仍有方法可以檢測并阻止很多攻擊。
多年來安全專家一直在敦促用戶加密所有網絡流量。他們的觀點是:讓安全配置成為默認配置是很明顯的好辦法。實現加密的標準和產品都已經非常成熟,沒有理由不這么做!
然而,事情不完全是這樣。但凡工程,總有各種利弊權衡,加密流量也不例外。其中一大弊端就是安全人員和監視系統也看不透你的網絡流量了。你該如何檢查網絡流量以查找惡意程序和有問題的內容呢?
簡單粗暴地回答的話,答案就是你沒法用深度包檢測找出攻擊了。更負責任一點的話呢,你可以在執行加解密的終端上檢測流量,從網絡流量元數據中獲悉各種信息,流量包頭中的信息能告訴你數據包的源頭和目的地。
思科《加密流量分析白皮書》指出,2015年加密流量占比21%,2016年占比40%,一年時間幾乎翻了一倍。由于微軟Exchange之類企業產品趨于默認加密所有流量,企業內部流量加密的占比無疑在飛速提升。
任何像樣的主機或網絡入侵檢測系統(IDS/IPS)都會執行網絡分析,在合法加密流量海洋中查找惡意流量。但深入了解工具運行機制和自身流量特性沒什么壞處。微軟Office數據文件中支持的應用級加密,惡意黑客用來偷渡數據的隱寫術之類混淆技術不是這篇文章討論的內容。本文要講述的,是你可以對協議級加密做些什么。
1. 使用網絡異常檢測工具
如果不能觀測實際包內容,就得監視流量找出網絡異常。那么,異常網絡行為有哪些特征呢?想知道這一點,你得弄清楚正常行為的構成。比如說,通常不互聯的主機之間出現的連接,無論是內部主機互聯,還是內部主機與未知外部系統相連,都是值得懷疑的。
TCP/UDP端口的非正常使用也是值得監視的一種行為。可在Dave端口列表上查看知名端口和不那么知名的端口。不僅僅是非正常端口的使用,還要看正常端口是否被非正常應用使用,比如為傳輸層安全(TLS)保留的443端口有沒有用于傳輸明文流量。
這些任務太過瑣碎,不適合人工處理,有很多安全產品都嘗試檢測網絡行為異常,包括IBM的QRadar、Juniper Sky Advanced Threat Protection,甚至還有開源的Snort IPS。最高級的產品,比如思科的 Encrypted Traffic Analytics,將監視與情報服務集成,跟蹤全球系統中的異常行為。
需要挖掘流量審查細節的時候,可以借助網絡分析工具。Wireshark是最基本的,但Fiddler更適用于HTTP/HTTPS流量分析。Fiddler作者 Eric Lawrence 寫的一篇文章闡述了怎樣通過元數據及其他辦法檢查TLS流量。
另一個有趣的工具集是來自Salesforce的JA3和JA3S。該工具集可捕獲TLS連接特征,暴露出此類通信及連接使用方TLS實現的更多細節。
2. 使用SSL/TLS代理服務器
使用安全套接字層(SSL)/TLS代理服務器能很大程度上令加密流量可審查。包括加密通信在內的所有通信都要經過代理服務器,代理服務器在一端接受加密連接,解密流量,執行某些操作,然后重新加密并發送流量到目的地址。代理服務器執行的操作中就可以包含安全操作,比如惡意軟件掃描和阻止禁用站點。很多第三方安全產品都可以用作SSL/TLS代理。
此類代理服務器給已經很復雜的網絡配置又添了一層復雜度。雖然可以通過緩存加速流量,但也存在拖慢流量的可能性。2017年,美國國土安全部(DHS)計算機應急響應小組(CERT)協調中心曾發出一條警報,稱很多此類產品未進行恰當的證書驗證,或者轉發錯誤情況。很多安全專家,比如卡耐基梅隆大型的 Will Dormann,辯稱SSL檢查反而會引入更多風險。
3. 準備應對非TLS加密
網絡包層級上的流量合法加密通常由SSL/TLS實現。但你可能遇到其他加密協議。有些是合法的,有些則不應該出現在你的網絡上。
其中最為模棱兩可的協議就是Secure Shell (SSH)。很多管理和開發工作都通過SSH完成。問題在于,壞人也會用SSH。你不可能全面禁用SSH,總得為特定網絡段和特定用戶放行SSH。所以,不符合合法規程的SSH流量必須要在審查范圍內。
如果使用Windows終端,那網絡上就會出現很多Windows終端服務器用的遠程桌面協議(RDP)和Citrix服務器用的獨立計算架構(ICA)。這些都是加密協議,通常使用TLS,但也可能在不同的TCP端口上,展現其他的差異。公司應設專人控制這些終端,具備審查其行為的能力。
更隱蔽的是基于用戶數據報協議(UDP)的快速UDP互聯網連接(QUIC),這是TLS的低延遲版替代品。HTTP/3標準納入了QUIC,但其基于UDP的特性限制了其應用。舉個例子,防火墻通常全面阻止UDP入站。這仍是相當前沿的問題,你可能根本看不到。
至于暗網所用的Tor,因為采用多層嵌套加密,除非有額外的隱私需求,普通用戶完全有理由封禁。
TLS的好處在于身份驗證、加密和消息完整性,這是無可否認的。所有這些加密使一些合法的安全實踐變得更加困難,但這點困難并不足以讓你的流量保持不加密狀態裸奔。無論是通過元數據,還是在終端檢查,依然有很多工具可以保護你的用戶和網絡。
- 思科《加密流量分析白皮書》:https://www.cisco.com/c/dam/en/us/solutions/collateral/enterprise-networks/enterprise-network-security/nb-09-encrytd-traf-anlytcs-wp-cte-en.pdf
- Dave端口列表:http://lists.thedatalist.com/portlist/portlist.php
- Fiddler作者 Eric Lawrence 的文章:https://textslashplain.com/2018/02/14/understanding-the-limitations-of-https/
- JA3和JA3S:https://engineering.salesforce.com/tls-fingerprinting-with-ja3-and-ja3s-247362855967
【本文是51CTO專欄作者“李少鵬”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
