防止數(shù)據(jù)加密劫持網(wǎng)絡(luò)

■Ixia Lora O'Haver

加密能保護(hù)網(wǎng)絡(luò)流量免遭黑客侵害，卻阻止了安全及監(jiān)測工具探知網(wǎng)絡(luò)中傳遞的數(shù)據(jù)包的內(nèi)部情況。事實(shí)上，許多企業(yè)未對加密流量進(jìn)行全面檢查就任其流經(jīng)自己的網(wǎng)絡(luò)，黑客往往利用加密來隱藏惡意軟件并發(fā)起攻擊，從而劫持用戶網(wǎng)絡(luò)。為保持強(qiáng)健的防御能力以及降低安全漏洞和數(shù)據(jù)丟失的風(fēng)險(xiǎn)，我們必須對所有的網(wǎng)絡(luò)流量進(jìn)行解密、檢查并重新加密。

解密帶來的負(fù)擔(dān)

解密設(shè)備必須保證功能強(qiáng)大。為抵御數(shù)據(jù)劫持，加密算法也日益變得越來越長且逾加復(fù)雜。多年前，NSS實(shí)驗(yàn)室的測試表明，密碼從1024位變?yōu)?048位后，8款領(lǐng)先的防火墻平均性能下降81%。事實(shí)上，針對SSL的解密無需在防火墻處完成。而現(xiàn)在，一些新策略已支持Offload解密工作，并向工具發(fā)送明文，從而讓其高效工作并處理更多流量。以下四項(xiàng)策略可讓解密變得更加輕松、快速且經(jīng)濟(jì)高效。

策略一：在解密前移除惡意流量

曾用于網(wǎng)絡(luò)攻擊的許多IP地址會被重新使用，并被公布于安全社區(qū)內(nèi)。相關(guān)組織每天都會跟蹤并確認(rèn)已知的網(wǎng)絡(luò)威脅，并將此類信息保存在情報(bào)數(shù)據(jù)庫內(nèi)。通過該數(shù)據(jù)庫對流入及流出的數(shù)據(jù)包進(jìn)行比對，可辨別出惡意流量并加以阻止。由于對比是通過明文的包頭完成的，該策略無需對數(shù)據(jù)包進(jìn)行解密。提前將與已知攻擊者相關(guān)的流量過濾掉可以減少需要解密的數(shù)據(jù)包數(shù)量。此外，對這部分將會引發(fā)安全警報(bào)的流量進(jìn)行剔除也有助于安全團(tuán)隊(duì)提高效率。

部署此項(xiàng)策略的最快方法是在防火墻前端安裝威脅情報(bào)網(wǎng)關(guān)的專用硬件設(shè)備。其旨在快速、大量地阻止惡意流量，通過綜合威脅情報(bào)源對其自身進(jìn)行不間斷的更新。安裝后，該網(wǎng)關(guān)將無需人工干預(yù)，也無需創(chuàng)建或維護(hù)相應(yīng)的過濾器。惡意流量要么被立即丟棄，要么被發(fā)送至沙箱接受進(jìn)一步的分析。根據(jù)所處的行業(yè)以及被惡意攻擊的頻率，可以因此可減少達(dá)80%的安全警報(bào)。

另外，也可以在防火墻上配置自定義的過濾器以阻止特定IP地址。但防火墻過濾器必須手動配置與維護(hù)，并且在能創(chuàng)建的過濾器數(shù)量方面也存在限制。聯(lián)網(wǎng)設(shè)備與遭受攻擊IP地址的爆炸性增長令防火墻能力捉襟見肘。此外，在防火墻一類高級設(shè)備上進(jìn)行循環(huán)處理只為完成簡單對比的操作，而并不是阻止流量的經(jīng)濟(jì)高效方式。

策略二：尋求高級解密功能

對來往于惡意源頭的加密數(shù)據(jù)包進(jìn)行移除后，余下部分?jǐn)?shù)據(jù)亦需由解密設(shè)備處理。許多安全工具，如下一代防火墻或入侵防御系統(tǒng)均具有SSL解密功能。但某些安全工具可能未包含最新密鑰，從而導(dǎo)致在非標(biāo)準(zhǔn)端口上發(fā)生SSL通信丟失，還可能無法按吞吐率完成加密、甚至?xí)谕耆磳?shí)施解密情況下快速建立某些連接。

密碼學(xué)依賴于先人一步的預(yù)防措施。安全解決方案必須支持最新加密標(biāo)準(zhǔn)，結(jié)合各式的密鑰與算法，并擁有使用更大2048位與4096位密鑰以及更新Elliptic Curve密鑰解密流量的能力。隨著安全技術(shù)復(fù)雜度攀升，解決方案必須能夠有效且經(jīng)濟(jì)高效地處理解密，即避免丟包、引發(fā)錯誤或未能完成全面檢查。

隨著SSL流量的增加，為實(shí)現(xiàn)完全的網(wǎng)絡(luò)可視性，解密解決方案質(zhì)量將日漸重要。此外，縱深防御也成為公認(rèn)的最佳實(shí)踐，其通常需要使用多項(xiàng)同類最佳的安全設(shè)備（如獨(dú)立防火墻與IPS）。而讓這些設(shè)備全部經(jīng)歷一遍流量解密與再加密將導(dǎo)致安全工具效率低下，不僅會增加網(wǎng)絡(luò)延遲，還會降低策略效力及端到端的可視性。

策略三：選擇操作簡單的工具

另一項(xiàng)關(guān)鍵特性是管理員可以通過簡單操作來創(chuàng)建并管理解密相關(guān)策略。杰出的解決方案可提供基于拖放式的用戶操作界面來完成過濾器的創(chuàng)建，從而有能力實(shí)現(xiàn)選擇性的數(shù)據(jù)轉(zhuǎn)發(fā)或針對基于內(nèi)容識別的數(shù)據(jù)脫敏。這些解決方案還可以很容易為每個被使用的SSL密鑰以及通信過程中產(chǎn)生的所有異常（如丟失的會話、SSL故障、無效證書）保存完整記錄。對于審計(jì)、取證、網(wǎng)絡(luò)故障排除以及容量規(guī)劃而言，這些詳細(xì)的日志都非常寶貴。

策略四：規(guī)劃經(jīng)濟(jì)高效的可擴(kuò)展性

隨著加密流量數(shù)量的增加，解密將對安全基礎(chǔ)架構(gòu)的性能帶來更大的影響，因此提前規(guī)劃十分必要。雖然簡單地“開啟”防火墻中的SSL解密功能，或一體化威脅管理（UTM）解決方案似乎合情合理，但解密是一項(xiàng)需要在過程中進(jìn)行大量處理的功能。由于SSL流量增加以及解密需要的更多周期，整體性能將會受到影響，工具同時(shí)也可能出現(xiàn)丟包。為了增強(qiáng)多功能設(shè)備中流量的流動能力，唯一的選項(xiàng)就是擴(kuò)大整體容量。擴(kuò)容會帶來大量資本支出，同時(shí)為了確保設(shè)備能夠承擔(dān)解密，某些功能還將產(chǎn)生額外成本。

更好的一個選項(xiàng)是通過采用具有SSL解密功能的網(wǎng)絡(luò)可視性解決方案或網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備（NPB）來實(shí)現(xiàn)SSL解密從而實(shí)現(xiàn)針對安全工具的SSL卸載。許多企業(yè)機(jī)構(gòu)利用網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備匯聚網(wǎng)絡(luò)流量、識別相關(guān)數(shù)據(jù)包并將其高速分發(fā)給安全工具。使用硬件加速的網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備可以在零丟包的情況下以線速處理流量，并實(shí)現(xiàn)自動化負(fù)載均衡。另外，它們無需多種串聯(lián)設(shè)備來進(jìn)行各自獨(dú)立的解密/再加密。擴(kuò)展網(wǎng)絡(luò)數(shù)據(jù)包中轉(zhuǎn)設(shè)備的成本低于擴(kuò)展大部分安全設(shè)備的成本，并可以提供快速的投資回報(bào)。