打印本文 打印本文  关闭窗口 关闭窗口  
用Webwasher防止恶软利用HTTPS通信
作者:陈鹏  文章来源:eNet  点击数  更新时间:2009/9/11 23:30:33  文章录入:陈鹏  责任编辑:陈鹏

Webwasher如何通过SSL扫描器模块,防止恶意软件利用HTTPS通信。它还可以防止用户通过流行的CGI代理绕过传统的Web内容过滤器。这对于阻止敏感数据离开公司网络是很重要的。除了其SSL扫描器,Webwasher还提供了其它几个模块,如URL过滤、反恶意软件、传统的反病毒、反垃圾邮件、内容报告器、IM过滤器等,你可以根据需要选择。

  我们将讨论恶意软件(和用户)如何利用SSL绕过你的其它控制,以及Webwasher如何解决这个问题。

  公司存在着哪些SSL问题?

  Web加密对于今天的企业来讲是非常重要的,不过对于防火墙上开放着端口443(HTTPS通道)的企业来说,在其网络中存在着一个严重的安全漏洞。传统的防火墙和网关反病毒方案并不能扫描加密的通信,因此也就不能控制哪些内容通过HTTPS进入和流出企业网络。这向企业提出了一种风险,企业可能并没有认识到,它们不能依靠其HTTP过滤器来保护HTTPS的加密通信。

  风险还存在于规章制度的一致性上。如果一个组织允许开放SSL通道(它包含规章制度极力控制的机密信息),它还能保持一致性吗?此外,黑客们和恶意的雇员等都知道通过HTTPS通道进行的通信完全开放并未加保护,因此他们就会继续利用HTTPS协议来绕过内容过滤机制,用以传播潜在的恶意内容。

  如今,有很多URL过滤避绕代理可以利用HTTPS连接。当前,没有一个已确定的防火墙或Web网关反病毒解决方案能够进入其中查看这种通信。此外,我们看到一些流行的广告软件和间谍软件从IRC和HTTP转换到了HTTPS协议,其目的是避开已确立的网关过滤器。

  Webwasher如何解决这个问题

  我们认为唯一可行的方案是临时对SSL通信解密,扫描,然后再重新加密。

  这种方法与现在流行的代理服务器防火墙的做法不同。后者仅是解密(换句话说,即“终止”),运用病毒扫描,然后转发到终端用户或Web应用程序。这种安全措施不能用于今天的Web环境,因为它会使端到端的加密需求无效,并会使浏览器产生混乱。

  SSL安全代理,如Webwasher就如同一个“黑盒子”一样动作。SSL的加密通信进入,然后SSL的加密通信流出。任何人都不能加密的部分或在网络上嗅探它,这完全是在内存中处理的。现在有几个方案能够在一个单独的机器上提供SSL解密,将解密的通信转发到一个扫描器,扫描器将此通信返回到SSL方案,SSL方案对其重新加密。此外,典型情况下,你需要调整策略,例如,允许上层管理人员执行在线业务而无需扫描,但要对其他任何人的通信都要扫描。在多数情况下,这会要求双倍的管理成本,不过用Webwasher实现则轻松得多。

  WebwasherSSL扫描器如何精确地工作?

  基本说来,我们要做的是要将浏览器与服务器之间的一个SSL连接分为两个独立的SSL连接。对于浏览器连接到加密的Web站点的请求,WebwasherSSL扫描器实际上为浏览器执行此操作。这样的一个好处是具备了执行SSL证书检查的能力,而不是将它留给终端用户。我们都清楚这种弹出窗口,它问我们说,我们启动了一个与加密Web站点的会话,你是否想接受证书?我们看到,许多情况下,90%的或更多的终端用户只是单击“接受”,并不关心证书的合法性,是否自签名,是否到期等。一旦Webwasher确认了证书的合法性,我们就启动了一个SSL会话,然后终止之。

  对于Web服务器来说,Webwasher充当着一个正常的浏览器。这样我们拥有了加密的通信,而且能够运用内容安全、反病毒、反恶意软件和转出的内容过滤器等机制。记住,所有的这一切者都是在同样的机器上和内存中进行的,因此这里并不存在什么私密问题。一旦我们搞定了过滤问题,我们就充当了真实终端用户的一个Web服务器。Webwasher用客户公司证书或一个拥有Web服务器名字的自签名证书重新加密通信。如果你连接到了自己的服务器账户上,授权证书还会描述其它内容。客户需要做的是展示其自身的正式证书或自签名证书,终端用户将不会再收到授权证书的消息弹出窗口。

  IT部门需要维持证书的优良者名单吗?用户们是否会抱怨?

  我们能够使管理成本接近于零。Webwasher部件或软件在日常的活动基础上检查已撤消的证书,因此你总能保持最新。Webwasher还采用了一种培训模式。因此,用户可以启动WebwasherSSL的扫描器,基本上它会接受提供的所有证书,并加以存储。在培训结束之后,管理人员就可以进入并查看有请求了哪些证书,并放弃那些不正常的证书。Webwasher提供了一套工具,借此管理人员并不需要成为一个事件专家。一旦这个培训阶段结束,管理成本就微乎其微了。

  Webwasher如何防止用户利用SSL代理服务器避开Web内容过滤器?

  如前所述,现在有大量的用户上网冲浪是依靠SSL的加密通信的。典型情况下,URL的过滤器厂商会将应用程序试图连接的服务器列入黑名单,设法阻止其访问。不过,这是一场没有结束的战斗,总会有一个厂商建立一个新的服务器而你没有对其阻止。而且还涉及到数据丢失问题。我们可以看到典型的间谍软件和广告软件从IRC和HTTP后端通道转向了HTTPS后端通道,因为黑客们已经断定这个通道并没有阻止或加以控制。这方面的两个流行的例子即是Gator和CoolWebSearch。

  举例来说,可以对Webwasher进行配置,只允许某些合法的信用卡号码,以及属于于银行和购物站点种类的已知站点。即使你用一个特洛伊木马试图窃取PC机上的一个信用卡号码,它也不可能将这个信息返回;更不用说通过HTTPS进行了。用户还可以采用针对即时通信和点对点的方案,只是这些方案不在同一台机器上而已。

【责任编辑 王凡】

打印本文 打印本文  关闭窗口 关闭窗口