A1:https协议,统一在dmz区用NGinx进行ssl加解密,后端业务区流量http,但是别的协议加密难搞,报文加密也难受,最常见是APP的sign加密,现在头疼的是应用级别字段级的加密,完全无解,只能靠rasp来解决。
A2:过,现在有两种方案在测试,一是用商业产品放在在卸载设备后面防护http数据,二是某家免费waf,集成waf和nginx反代理。
A3:我们是第一种,卸载后的流量进出业务区都过waf。如果不考虑拦截,只检测,过了前置,用NTA之类的看就行了。
A4:我们用的某家商业waf,出现了误报但没有记录log的事件,比较离谱,所以没办法才去看其它方案:
-
有条件推荐SSLO,核心就两个功能,流量编排+证书卸载或加载。
-
条件不允许,就在边界负载均衡处做证书卸载。如果边界没有负载均衡产品,就用nginx这类做证书卸载,或者用waf做。如果不是DH这类算法,探针加载证书也行。
A5:国内自主可控产品也有支持SSL卸载的网关/负载均衡产品,我们用了有两三年。
A6:加密流量解密对抗是大家的痛点,以下几种方案供参考:
-
基础组件完备,直接用一套大nginx和根证书解流量。
-
不支持统一架构,但证书相对统一或可收集,可以收集到一些安全产品(waf、nginx等做统一卸载,内网明文)。
-
架构不统一,证书难收集,nids上加载能收集到证书,能覆盖多少是多少。
-
什么都不健全,套用hids探针,能抓一小部分,不过性能问题不会很理想。
A7:技术上有把证书托管到安全设备的做法,产品也都支持。我看到有些安全厂家在预研究通过在主机部署agent方式,去提取https流量密钥,这样避免部分场景无法通过证书解密。
A8:我们目前是互联网边界LTM统一卸载,进来后一方面以代理方式发给WAF检测防护,另一方面由TAP搜集相关流量汇总后发给探针检测。
本地数据中心的加密流量检测好弄一点,云上出站的加密流量检测更不好弄。对于出站,我们做了白名单,能控制一些风险,如果在白名单内的加密流量暂时没有好的办法了。
A9:个人理解和大家都差不多,入的话两个途径。一般是边界卸载解密,上流量检测设备。二是上了云原生那套的,内部一般有个流量劫持代理,在进送容器前检测例如蚂蚁的mson,出向的话,搞代理检测(出向的确没什么好办法,一般都是白名单了)。
Q:国密改造后,我们有部分流量直接从客户端到服务端是报文加密的,服务器端去调密管平台解密,客户端到服务端就确实没法监测,有啥好方法?
A10:看到一些加密流量检测产品方案,没实际使用。
![攻防对抗之如何检测加密流量?]( "攻防对抗之如何检测加密流量?| 总第206周")
Q:这技术的检测能力在日常安全运营上有流量威胁检出率的提升吗?
A11:得实际试试,比较考验主机终端安全的运营能力,要能快速定位排查。
A12:个人觉得这样玩没戏。加密流量的外围检测,一般是用在监管那种,大概率隔靴搔痒。有这个功夫,把流量解密,得到的收益高多了。就是NSA/CIA,也在拼命想办法做解密功夫,旁路加密检测属于有余力的非主要路径。
A13:一些厂商的产品可以拿来测一测,之前了解过一些关于加密流量特征检测技术的学术性,一直比较好奇实际的收益。
A14:可能做的是流量周边特征识别或者类似技术,给出一些可疑告警,而不是密文内容的识别。
感觉加密流量监测,不解开密文,单单靠猜流量的行为,实际效果有限,加密协议随时可能变,例如我们的商密,你原来学习到的那些行为模型完全就失效了。
说白了是发现已知加密流量工具。对那些常见的黑客工具的流量传输特征好像做了检测模型。
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
http://cn-sec.com/archives/2051743.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论