當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)軟件>正文

用Webwasher防止惡軟利用HTTPS通信

http://m.yibo1263.com　2008/12/9 8:38:59 　來源:東北IT網(wǎng) 　編輯:葉子

　　Webwasher如何通過SSL掃描器模塊，防止惡意軟件利用HTTPS通信。它還可以防止用戶通過流行的CGI代理繞過傳統(tǒng)的Web內(nèi)容過濾器。這對于阻止敏感數(shù)據(jù)離開公司網(wǎng)絡(luò)是很重要的。除了其SSL掃描器，Webwasher還提供了其它幾個模塊，如URL過濾、反惡意軟件、傳統(tǒng)的反病毒、反垃圾郵件、內(nèi)容報告器、IM過濾器等，你可以根據(jù)需要選擇。

　　我們將討論惡意軟件(和用戶)如何利用SSL繞過你的其它控制，以及Webwasher如何解決這個問題。

　　公司存在著哪些SSL問題？

　　Web加密對于今天的企業(yè)來講是非常重要的，不過對于防火墻上開放著端口443(HTTPS通道)的企業(yè)來說，在其網(wǎng)絡(luò)中存在著一個嚴(yán)重的安全漏洞。傳統(tǒng)的防火墻和網(wǎng)關(guān)反病毒方案并不能掃描加密的通信，因此也就不能控制哪些內(nèi)容通過HTTPS進(jìn)入和流出企業(yè)網(wǎng)絡(luò)。這向企業(yè)提出了一種風(fēng)險，企業(yè)可能并沒有認(rèn)識到，它們不能依靠其HTTP過濾器來保護(hù)HTTPS的加密通信。

　　風(fēng)險還存在于規(guī)章制度的一致性上。如果一個組織允許開放SSL通道(它包含規(guī)章制度極力控制的機密信息)，它還能保持一致性嗎？此外，黑客們和惡意的雇員等都知道通過HTTPS通道進(jìn)行的通信完全開放并未加保護(hù)，因此他們就會繼續(xù)利用HTTPS協(xié)議來繞過內(nèi)容過濾機制，用以傳播潛在的惡意內(nèi)容。

　　如今，有很多URL過濾避繞代理可以利用HTTPS連接。當(dāng)前，沒有一個已確定的防火墻或Web網(wǎng)關(guān)反病毒解決方案能夠進(jìn)入其中查看這種通信。此外，我們看到一些流行的廣告軟件和間諜軟件從IRC和HTTP轉(zhuǎn)換到了HTTPS協(xié)議，其目的是避開已確立的網(wǎng)關(guān)過濾器。

　　Webwasher如何解決這個問題

　　我們認(rèn)為唯一可行的方案是臨時對SSL通信解密，掃描，然后再重新加密。

　　這種方法與現(xiàn)在流行的代理服務(wù)器防火墻的做法不同。后者僅是解密(換句話說，即“終止”)，運用病毒掃描，然后轉(zhuǎn)發(fā)到終端用戶或Web應(yīng)用程序。這種安全措施不能用于今天的Web環(huán)境，因為它會使端到端的加密需求無效，并會使瀏覽器產(chǎn)生混亂。

　　SSL安全代理，如Webwasher就如同一個“黑盒子”一樣動作。SSL的加密通信進(jìn)入，然后SSL的加密通信流出。任何人都不能加密的部分或在網(wǎng)絡(luò)上嗅探它，這完全是在內(nèi)存中處理的。現(xiàn)在有幾個方案能夠在一個單獨的機器上提供SSL解密，將解密的通信轉(zhuǎn)發(fā)到一個掃描器，掃描器將此通信返回到SSL方案，SSL方案對其重新加密。此外，典型情況下，你需要調(diào)整策略，例如，允許上層管理人員執(zhí)行在線業(yè)務(wù)而無需掃描，但要對其他任何人的通信都要掃描。在多數(shù)情況下，這會要求雙倍的管理成本，不過用Webwasher實現(xiàn)則輕松得多。

　　WebwasherSSL掃描器如何精確地工作？

　　基本說來，我們要做的是要將瀏覽器與服務(wù)器之間的一個SSL連接分為兩個獨立的SSL連接。對于瀏覽器連接到加密的Web站點的請求，WebwasherSSL掃描器實際上為瀏覽器執(zhí)行此操作。這樣的一個好處是具備了執(zhí)行SSL證書檢查的能力，而不是將它留給終端用戶。我們都清楚這種彈出窗口，它問我們說，我們啟動了一個與加密Web站點的會話，你是否想接受證書？我們看到，許多情況下，90%的或更多的終端用戶只是單擊“接受”，并不關(guān)心證書的合法性，是否自簽名，是否到期等。一旦Webwasher確認(rèn)了證書的合法性，我們就啟動了一個SSL會話，然后終止之。

　　對于Web服務(wù)器來說，Webwasher充當(dāng)著一個正常的瀏覽器。這樣我們擁有了加密的通信，而且能夠運用內(nèi)容安全、反病毒、反惡意軟件和轉(zhuǎn)出的內(nèi)容過濾器等機制。記住，所有的這一切者都是在同樣的機器上和內(nèi)存中進(jìn)行的，因此這里并不存在什么私密問題。一旦我們搞定了過濾問題，我們就充當(dāng)了真實終端用戶的一個Web服務(wù)器。Webwasher用客戶公司證書或一個擁有Web服務(wù)器名字的自簽名證書重新加密通信。如果你連接到了自己的服務(wù)器賬戶上，授權(quán)證書還會描述其它內(nèi)容�？蛻粜枰龅氖钦故酒渥陨淼恼阶C書或自簽名證書，終端用戶將不會再收到授權(quán)證書的消息彈出窗口。

　　IT部門需要維持證書的優(yōu)良者名單嗎？用戶們是否會抱怨？

　　我們能夠使管理成本接近于零。Webwasher部件或軟件在日常的活動基礎(chǔ)上檢查已撤消的證書，因此你總能保持最新。Webwasher還采用了一種培訓(xùn)模式。因此，用戶可以啟動WebwasherSSL的掃描器，基本上它會接受提供的所有證書，并加以存儲。在培訓(xùn)結(jié)束之后，管理人員就可以進(jìn)入并查看有請求了哪些證書，并放棄那些不正常的證書。Webwasher提供了一套工具，借此管理人員并不需要成為一個事件專家。一旦這個培訓(xùn)階段結(jié)束，管理成本就微乎其微了。

本新聞共2頁,當(dāng)前在第1頁 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费