一、 SSL应用现状
目前,许多重要的Web服务都使用了SSL和TLS协议对通信进行保护。我们知道,http协议是使用明文进行传输的,但是像网络银行、电子商务之类的web应用如果使用http协议的话,那么所有的机密信息都会暴露在网络连接中,这就像银行用一个透明的信封给我们邮寄信用卡帐号和密码一样,在从银行到达用户之间任何接触过这封信的人,都能看到我们的帐号和密码。为了提高其安全性,经常需要通过SSL或者TLS隧道传输这些明文,这样就产生了https通信流量。
对于企业而言,SSL也常常被用于敏感信息的加密来穿越公共网络,如:企业建立自己的SSL VPN网络,用于为企业异地分部或者移动用户提供内部网络的接入访问能力。
正是由于SSL所能带来的高安全性、灵活性以及与现有网络和应用的兼容性,SSL在Internet和企业内部网络应用上取得了飞跃的发展,调查显示目前25%到35%的企业流量是基于SSL加密的,在某些领域更是高达70%。
二、 SSL应用风险
SSL已经变成了基于Web进行安全传输的第一选择,但随之而来的基于SSL的一些非法访问、攻击行为、病毒传播、机密信息流失等,用传统的安全手段已经无法解决。许多IT管理者已经意识到,SSL加密所能带来的安全上的好处可能会被其给企业内部网络所带来的风险所掩盖。 在SSL加密提供安全、私密的同时,它也能使得网络管理者很难或者说无法对这些SSL流量实施企业安全策略。如果不能检测SSL流量的内容,企业内部机密信息将面临泄漏、偷窃等可能性。在大部分场合下,这里就存在着两个冲突的需求:加密数据,在企业内部检查数据。
在原有典型的案例中,这两个需求无法在满足性能要求的前提下融合在一起。一些特殊行业和政府组织明确需要部署入侵保护与检测系统以确保只有授权的用户和组织能够访问网络内部的软、硬件资源,另外一些政策、法规也要求企业或者组织能够提供公共网络访问流量的镜像,以便记录、分析,这也要求流量是非加密的,这些需求和政策、法规与SSL加密也形成了冲突。
三、 现有SSL检测方案
网络管理者已经部署了一系列的网络安全设备来保护他们的企业内部网络,执行内部用户安全策略同时满足政府的规范。 这些设备为检测流氓软件、控制无度的web,冲浪、检测网路流量、VPN、网络访问控制、入侵检测(IDS)、入侵保护(IPS)、UTM、病毒检测、垃圾邮件过滤等提供了解决方案。 这些网路设备通常提供完整的深度报文分析和流分析,检测出那些恶意行为,阻止并记录它。然而,不幸的是,这些网络安全设备在大部分情况下仅仅能够检测明文数据,而不能检测SSL加密数据流。随着SSL流量的急剧增加,这些解决方案变得越来越无法满足需求。网络管理者不得不面对两个极端,要么禁止所有的SSL通信,要么允许所有的SSL通信而不做任何检测,但这样对极大的降低网络安全设备的执行效果,无法处理加密数据流。显然,这两个极端都是企业所真正需要的。
除了简单了允许所有SSL加密流量通过或者完全阻止加密流量外,还有几个其他的方法被网络管理员所采用,这些方法能够解密SSL流量,然后对其做明文检测,并对不符合策略的数据流丢弃或者记录并告警。这些方法能否成功的检测SSL流量,但通常都会遇到各种各样的问题而影响他们的效率。
