當(dāng)前位置 : 首頁(yè)>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)軟件>正文

用Webwasher防止惡軟利用HTTPS通信

http://www.yibo1263.com　2008/12/9 8:38:59 　來(lái)源:東北IT網(wǎng) 　編輯:葉子

　　Webwasher如何通過(guò)SSL掃描器模塊，防止惡意軟件利用HTTPS通信。它還可以防止用戶通過(guò)流行的CGI代理繞過(guò)傳統(tǒng)的Web內(nèi)容過(guò)濾器。這對(duì)于阻止敏感數(shù)據(jù)離開(kāi)公司網(wǎng)絡(luò)是很重要的。除了其SSL掃描器，Webwasher還提供了其它幾個(gè)模塊，如URL過(guò)濾、反惡意軟件、傳統(tǒng)的反病毒、反垃圾郵件、內(nèi)容報(bào)告器、IM過(guò)濾器等，你可以根據(jù)需要選擇。

　　我們將討論惡意軟件(和用戶)如何利用SSL繞過(guò)你的其它控制，以及Webwasher如何解決這個(gè)問(wèn)題。

　　公司存在著哪些SSL問(wèn)題？

　　Web加密對(duì)于今天的企業(yè)來(lái)講是非常重要的，不過(guò)對(duì)于防火墻上開(kāi)放著端口443(HTTPS通道)的企業(yè)來(lái)說(shuō)，在其網(wǎng)絡(luò)中存在著一個(gè)嚴(yán)重的安全漏洞。傳統(tǒng)的防火墻和網(wǎng)關(guān)反病毒方案并不能掃描加密的通信，因此也就不能控制哪些內(nèi)容通過(guò)HTTPS進(jìn)入和流出企業(yè)網(wǎng)絡(luò)。這向企業(yè)提出了一種風(fēng)險(xiǎn)，企業(yè)可能并沒(méi)有認(rèn)識(shí)到，它們不能依靠其HTTP過(guò)濾器來(lái)保護(hù)HTTPS的加密通信。

　　風(fēng)險(xiǎn)還存在于規(guī)章制度的一致性上。如果一個(gè)組織允許開(kāi)放SSL通道(它包含規(guī)章制度極力控制的機(jī)密信息)，它還能保持一致性嗎？此外，黑客們和惡意的雇員等都知道通過(guò)HTTPS通道進(jìn)行的通信完全開(kāi)放并未加保護(hù)，因此他們就會(huì)繼續(xù)利用HTTPS協(xié)議來(lái)繞過(guò)內(nèi)容過(guò)濾機(jī)制，用以傳播潛在的惡意內(nèi)容。

　　如今，有很多URL過(guò)濾避繞代理可以利用HTTPS連接。當(dāng)前，沒(méi)有一個(gè)已確定的防火墻或Web網(wǎng)關(guān)反病毒解決方案能夠進(jìn)入其中查看這種通信。此外，我們看到一些流行的廣告軟件和間諜軟件從IRC和HTTP轉(zhuǎn)換到了HTTPS協(xié)議，其目的是避開(kāi)已確立的網(wǎng)關(guān)過(guò)濾器。

　　Webwasher如何解決這個(gè)問(wèn)題

　　我們認(rèn)為唯一可行的方案是臨時(shí)對(duì)SSL通信解密，掃描，然后再重新加密。

　　這種方法與現(xiàn)在流行的代理服務(wù)器防火墻的做法不同。后者僅是解密(換句話說(shuō)，即“終止”)，運(yùn)用病毒掃描，然后轉(zhuǎn)發(fā)到終端用戶或Web應(yīng)用程序。這種安全措施不能用于今天的Web環(huán)境，因?yàn)樗鼤?huì)使端到端的加密需求無(wú)效，并會(huì)使瀏覽器產(chǎn)生混亂。

　　SSL安全代理，如Webwasher就如同一個(gè)“黑盒子”一樣動(dòng)作。SSL的加密通信進(jìn)入，然后SSL的加密通信流出。任何人都不能加密的部分或在網(wǎng)絡(luò)上嗅探它，這完全是在內(nèi)存中處理的�，F(xiàn)在有幾個(gè)方案能夠在一個(gè)單獨(dú)的機(jī)器上提供SSL解密，將解密的通信轉(zhuǎn)發(fā)到一個(gè)掃描器，掃描器將此通信返回到SSL方案，SSL方案對(duì)其重新加密。此外，典型情況下，你需要調(diào)整策略，例如，允許上層管理人員執(zhí)行在線業(yè)務(wù)而無(wú)需掃描，但要對(duì)其他任何人的通信都要掃描。在多數(shù)情況下，這會(huì)要求雙倍的管理成本，不過(guò)用Webwasher實(shí)現(xiàn)則輕松得多。

　　WebwasherSSL掃描器如何精確地工作？

　　基本說(shuō)來(lái)，我們要做的是要將瀏覽器與服務(wù)器之間的一個(gè)SSL連接分為兩個(gè)獨(dú)立的SSL連接。對(duì)于瀏覽器連接到加密的Web站點(diǎn)的請(qǐng)求，WebwasherSSL掃描器實(shí)際上為瀏覽器執(zhí)行此操作。這樣的一個(gè)好處是具備了執(zhí)行SSL證書檢查的能力，而不是將它留給終端用戶。我們都清楚這種彈出窗口，它問(wèn)我們說(shuō)，我們啟動(dòng)了一個(gè)與加密Web站點(diǎn)的會(huì)話，你是否想接受證書？我們看到，許多情況下，90%的或更多的終端用戶只是單擊“接受”，并不關(guān)心證書的合法性，是否自簽名，是否到期等。一旦Webwasher確認(rèn)了證書的合法性，我們就啟動(dòng)了一個(gè)SSL會(huì)話，然后終止之。

　　對(duì)于Web服務(wù)器來(lái)說(shuō)，Webwasher充當(dāng)著一個(gè)正常的瀏覽器。這樣我們擁有了加密的通信，而且能夠運(yùn)用內(nèi)容安全、反病毒、反惡意軟件和轉(zhuǎn)出的內(nèi)容過(guò)濾器等機(jī)制。記住，所有的這一切者都是在同樣的機(jī)器上和內(nèi)存中進(jìn)行的，因此這里并不存在什么私密問(wèn)題。一旦我們搞定了過(guò)濾問(wèn)題，我們就充當(dāng)了真實(shí)終端用戶的一個(gè)Web服務(wù)器。Webwasher用客戶公司證書或一個(gè)擁有Web服務(wù)器名字的自簽名證書重新加密通信。如果你連接到了自己的服務(wù)器賬戶上，授權(quán)證書還會(huì)描述其它內(nèi)容�？蛻粜枰龅氖钦故酒渥陨淼恼阶C書或自簽名證書，終端用戶將不會(huì)再收到授權(quán)證書的消息彈出窗口。

　　IT部門需要維持證書的優(yōu)良者名單嗎？用戶們是否會(huì)抱怨？

　　我們能夠使管理成本接近于零。Webwasher部件或軟件在日常的活動(dòng)基礎(chǔ)上檢查已撤消的證書，因此你總能保持最新。Webwasher還采用了一種培訓(xùn)模式。因此，用戶可以啟動(dòng)WebwasherSSL的掃描器，基本上它會(huì)接受提供的所有證書，并加以存儲(chǔ)。在培訓(xùn)結(jié)束之后，管理人員就可以進(jìn)入并查看有請(qǐng)求了哪些證書，并放棄那些不正常的證書。Webwasher提供了一套工具，借此管理人員并不需要成為一個(gè)事件專家。一旦這個(gè)培訓(xùn)階段結(jié)束，管理成本就微乎其微了。

本新聞共2頁(yè),當(dāng)前在第1頁(yè) 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费