防止数据加密劫持网络
2017-03-09IxiaLoraHaver
■Ixia Lora O'Haver
加密能保护网络流量免遭黑客侵害,却阻止了安全及监测工具探知网络中传递的数据包的内部情况。事实上,许多企业未对加密流量进行全面检查就任其流经自己的网络,黑客往往利用加密来隐藏恶意软件并发起攻击,从而劫持用户网络。为保持强健的防御能力以及降低安全漏洞和数据丢失的风险,我们必须对所有的网络流量进行解密、检查并重新加密。
解密带来的负担
解密设备必须保证功能强大。为抵御数据劫持,加密算法也日益变得越来越长且逾加复杂。多年前,NSS实验室的测试表明,密码从1024位变为2048位后,8款领先的防火墙平均性能下降81%。事实上,针对SSL的解密无需在防火墙处完成。而现在,一些新策略已支持Offload解密工作,并向工具发送明文,从而让其高效工作并处理更多流量。以下四项策略可让解密变得更加轻松、快速且经济高效。
策略一:在解密前移除恶意流量
曾用于网络攻击的许多IP地址会被重新使用,并被公布于安全社区内。相关组织每天都会跟踪并确认已知的网络威胁,并将此类信息保存在情报数据库内。通过该数据库对流入及流出的数据包进行比对,可辨别出恶意流量并加以阻止。由于对比是通过明文的包头完成的,该策略无需对数据包进行解密。提前将与已知攻击者相关的流量过滤掉可以减少需要解密的数据包数量。此外,对这部分将会引发安全警报的流量进行剔除也有助于安全团队提高效率。
部署此项策略的最快方法是在防火墙前端安装威胁情报网关的专用硬件设备。其旨在快速、大量地阻止恶意流量,通过综合威胁情报源对其自身进行不间断的更新。安装后,该网关将无需人工干预,也无需创建或维护相应的过滤器。恶意流量要么被立即丢弃,要么被发送至沙箱接受进一步的分析。根据所处的行业以及被恶意攻击的频率,可以因此可减少达80%的安全警报。
另外,也可以在防火墙上配置自定义的过滤器以阻止特定IP地址。但防火墙过滤器必须手动配置与维护,并且在能创建的过滤器数量方面也存在限制。联网设备与遭受攻击IP地址的爆炸性增长令防火墙能力捉襟见肘。此外,在防火墙一类高级设备上进行循环处理只为完成简单对比的操作,而并不是阻止流量的经济高效方式。
策略二:寻求高级解密功能
对来往于恶意源头的加密数据包进行移除后,余下部分数据亦需由解密设备处理。许多安全工具,如下一代防火墙或入侵防御系统均具有SSL解密功能。但某些安全工具可能未包含最新密钥,从而导致在非标准端口上发生SSL通信丢失,还可能无法按吞吐率完成加密、甚至会在完全未实施解密情况下快速建立某些连接。
密码学依赖于先人一步的预防措施。安全解决方案必须支持最新加密标准,结合各式的密钥与算法,并拥有使用更大2048位与4096位密钥以及更新Elliptic Curve密钥解密流量的能力。随着安全技术复杂度攀升,解决方案必须能够有效且经济高效地处理解密,即避免丢包、引发错误或未能完成全面检查。
随着SSL流量的增加,为实现完全的网络可视性,解密解决方案质量将日渐重要。此外,纵深防御也成为公认的最佳实践,其通常需要使用多项同类最佳的安全设备(如独立防火墙与IPS)。而让这些设备全部经历一遍流量解密与再加密将导致安全工具效率低下,不仅会增加网络延迟,还会降低策略效力及端到端的可视性。
策略三:选择操作简单的工具
另一项关键特性是管理员可以通过简单操作来创建并管理解密相关策略。杰出的解决方案可提供基于拖放式的用户操作界面来完成过滤器的创建,从而有能力实现选择性的数据转发或针对基于内容识别的数据脱敏。这些解决方案还可以很容易为每个被使用的SSL密钥以及通信过程中产生的所有异常(如丢失的会话、SSL故障、无效证书)保存完整记录。对于审计、取证、网络故障排除以及容量规划而言,这些详细的日志都非常宝贵。
策略四:规划经济高效的可扩展性
随着加密流量数量的增加,解密将对安全基础架构的性能带来更大的影响,因此提前规划十分必要。虽然简单地“开启”防火墙中的SSL解密功能,或一体化威胁管理(UTM)解决方案似乎合情合理,但解密是一项需要在过程中进行大量处理的功能。由于SSL流量增加以及解密需要的更多周期,整体性能将会受到影响,工具同时也可能出现丢包。为了增强多功能设备中流量的流动能力,唯一的选项就是扩大整体容量。扩容会带来大量资本支出,同时为了确保设备能够承担解密,某些功能还将产生额外成本。
更好的一个选项是通过采用具有SSL解密功能的网络可视性解决方案或网络数据包中转设备(NPB)来实现SSL解密从而实现针对安全工具的SSL卸载。许多企业机构利用网络数据包中转设备汇聚网络流量、识别相关数据包并将其高速分发给安全工具。使用硬件加速的网络数据包中转设备可以在零丢包的情况下以线速处理流量,并实现自动化负载均衡。另外,它们无需多种串联设备来进行各自独立的解密/再加密。扩展网络数据包中转设备的成本低于扩展大部分安全设备的成本,并可以提供快速的投资回报。