Главная / О компании / Новости / Может ли работать Flow-мониторинг с зашифрованным трафиком?

Может ли работать Flow-мониторинг с зашифрованным трафиком?

« Назад

Может ли работать Flow-мониторинг с зашифрованным трафиком?  19.12.2018 08:53

Использование зашифрованного трафика становится почти повсеместным. При этом содержание коммуникаций является закрытым для просмотра. Какое значение это имеет для мониторинга сетевого трафика?

Объемы зашифрованного трафика растут. В 2016 году NSS Labs [1] обнаружили, что 97% предприятий заметили увеличение объемов зашифрованного трафика. В настоящее время компании Let's Encrypt [2] и Google [3] сообщают соответственно о том, что 70% и 90% трафика составляет HTTPS (это HTTP, зашифрованный SSL/TLS). Google сейчас обращает внимание на HTTPS. Еще в 2014 году они начали учитывать, использует ли сайт HTTPS для ранжирования страниц, а в 2017 году браузер Google Chrome начал показывать предупреждение «Не безопасно» в адресной строке при посещении веб-сайтов без HTTPS. В августе 2018 года Скотт Хельм (Scott Helme), аналитик по безопасности, проанализировал 1 миллион самых популярных сайтов и выявил, что более 51% уже используют HTTPS [4]. По прогнозам Gartner, к 2019 году 80% трафика будет зашифровано.

Какое значение это имеет для мониторинга сетевого трафика?

При использовании шифрования, становится невозможным проверить содержимое сообщения. Давайте посмотрим на скриншоты из популярного инструмента по пакетному захвату – Wireshark. Перейдем на сайт example.com. Сначала без шифрования (просто по HTTP) - http://example.com. В Wireshark мы можем посмотреть подробнее и исследовать HTML код передачи содержимого сайту с сервера – клиенту. Кто угодно может перехватить такую коммуникацию и посмотреть:

wireshark-plaintext

Это особенно проблематично в случае с онлайн-банкингом, медицинскими и страховыми услугами, и другими чувствительными онлайн-транзакциями. Именно здесь уместно использование HTTPS (HTTP с SSL/TLS шифрованием). как это работает?

Во-первых, клиент и сервер принимают условия использования алгоритма шифрования, и затем осуществляется передача зашифрованных данных. Это очень упрощенное описание процесса, надеюсь, технические специалисты, которые есть среди читателей, меня простят.

Как данная коммуникация с сайтом example.com  выглядит в случае использования HTTPS? Вот скриншот из Wireshark при посещении https://example.com:

wireshark-encrypted

Содержимое коммуникации больше не читаемо. И это плохие новости для тех, кто хотел бы нас взломать. Теперь они уже не смогут получить данные наших кредитных карт, или другую значимую информацию. Именно поэтому Let's Encrypt и другие компании настаивают на HTTPS. Это делает нашу жизнь более защищенной.

Теперь мы все можем согласиться с тем, что шифрование – это замечательно, давайте все использовать HTTPS и всё, верно?

Да, но не совсем. Что если вам нужно получить информацию о том, что происходит в вашей сети? Что вы собираетесь делать, если возникает проблема с критическим бизнес-приложением? Ваши сетевые администраторы все еще полагаются на решение по пакетному захвату для решения проблем и мониторинга? Что вы можете сделать, когда посмотреть содержимое коммуникации невозможно?

Если вкратце, то возьмите для примера обнаружение трафика BitTorrent в сети. В прошлом это был лишь вопрос проверкт номера TCP порта (для BitTorrent это ряд 6881-6889). Тем не менее, сегодня клиентские приложения определяют номера портов как случайные числа. Заболокировать указанные порты с помощью firewall было очень легко. Достаточно просто выполнить глубокую проверку пакетов (deep packet inspection - DPI), когда пакеты незашифрованы. Примерами сигнатур BitTorrent являются "GET /announce?info_hash", "GET / request" и "GET /torrents/".  Инструмент DPI ищет эти строки в выгрузке и когда обнаруживает, то определяет активность трафика BitTorrent. К сожалению, большинство клиентских приложений по умолчанию шифруют трафик BitTorrent. Пользователи могут отключить шифрование, но они по-прежнему принимают зашифрованный трафик со своих peers (других клиентов BitTorrent) и тем самым снижают частоту обнаружения.

К счастью, мы можем использовать данные flow-потока для обнаружения трафика BitTorrent. По дизайну клиент BitTorrent делает много соединений с одноранговыми узлами за короткий промежуток времени, а одноранговые узлы расположены по всему миру, и многие соединения терпят неудачу, потому что одноранговые узлы находятся в автономном режиме. Короче говоря, мы можем обнаружить зашифрованную связь BitTorrent с данными flow, поскольку она основана на поведении клиента, а не на содержании сообщения. Узнайте больше об источниках flow данных в нашем предыдущем посте: Откуда берутся flows?

Таким образом, при повышении уровня шифрования уже не имеет смысла контролировать вашу сеть с помощью решений по пакетному захвата. Посмотрите на простое сравнение между пакетным анализом и flow-мониторингом с Flowmon. В случае flow неважно, зашифрован ли содержимое коммуникации или нет. Мы используем информацию и показатели из более низких сетевых уровней, которые не зашифрованы. Благодаря такому подходу, наше решение для мониторинга и обеспечения безопасности сети работает даже с зашифрованным трафиком. Итак, ответит на вопрос в заголовке (Может ли flow-мониторинг работать с зашифрованным трафиком?) – Да, может!

Источники:

[1] 
https://www.nsslabs.com/company/news/press-releases/nss-labs-predicts-75-of-web-traffic-will-be-encrypted-by-2019/
[2] https://letsencrypt.org/stats/ 
[3] https://transparencyreport.google.com/https/overview?hl=en
[4] https://scotthelme.co.uk/alexa-top-1-million-analysis-august-2018/
[5] https://www.gartner.com/doc/3542117/predicts--network-gateway-security

Оригинал статьи ►