星融元SSL/TLS解密:高性能计算模块加持,解密监控得心应手
关注星融元
采用模块化设计,提供可选的SSL解密解决方案(NSA解密模块),从而有效的解决了行业或企业用户在访问HTTPS情况下的网络可视化问题。NF2000系列高级业务处理引擎提供基于硬件的加解密引擎,单引擎可以支持高达29K TPS处理能力以及10~20Gbps的流量解密能力。
为什么需要SSL解密?
SSL/TLS是一个安全通信框架,上面可以承载Http协议或者SMTP/POP3协议等。Https经由Http进行通信,但利用SSL/TLS来加密数据包。当前网络环境下,Https的业务已经得到了越来越广泛的应用。
如图所示是来自Chrome所统计到的受Https保护的流量,Https已经成为大势所趋。然而其中隐含的安全问题也日益突出——随着SSL/TLS协议更多地应用在政务信息安全、支付体系加密、企业网站稳定、API接口与APP之间,很多隐藏在Https中的不法行为和安全威胁无法被发现,这使得监管变得更加困难。
业务不可视,埋下安全隐患
某些安全设备可能无法解密和检测SSL/TLS流量,成为企业的安全盲点。导致这些加密流量直接游走在整个网络中,无法被监视到。
以防火墙为例,若客户端与服务器之间使用的是Https,那么任何数据都已经变为加密数据,防火墙上的相关的安全内容的功能可能都不会生效。例如,反病毒功能主要是依靠识别支持的协议,从流量中提取特征在病毒库中进行特征匹配之后,进行相关的安全内容的检查;以及某些IPS生效的原理也与之类似,是靠收集来的巨大的签名特征库去对相关的流量进行审查。所以若数据被SSL层加密,像上述这类安全功能便都形同虚设了。
目前,网络中大约有50%的安全攻击会通过SSL通道进行,很多传统的安全设备都将会面临严重的挑战——只有将这些加密流量解析出来才能让安全设备很好的防御,SSL解密方案的重要性可见一斑。
具体到技术实现的角度上,我们接下来详细看看SSL加密和解密之间的联系。
SSL加密原理
SSL通过握手过程在客户端和服务器之间协商会话参数,并建立会话。会话包含的主要参数有会话ID、双方的证书、加密套件(密钥协商算法、对称加密算法和摘要算法等)以及主密钥(master secret)。通过SSL会话传输的数据,都将采用该会话的预主密钥生成的主密钥和加密套件进行加密、计算MAC等处理。
握手过程如下:
- 客户端给服务器端发送协议版本、客户端支持的加密算法、一个随机数。
- 服务器端选择加密算法,并向客户端发送一个服务器数字证书和一个随机数。
- 客户端使用数字证书中的公钥,将随机数加密发送给服务器。
- 服务器使用私钥对随机数解密。
- 服务器端和客户端通过事先协商好的加密算法,对这三个随机数进行加密生成“主秘钥“即对称加密的秘钥,用于接下来整个对话过程的加密。
如何针对SSL协商进行解密
对应上述SSL协商过程,解密原理如图所示:
首先是要提取到对应位置的数据。比方说在图中所述的协商过程中若能提取到客户端随机数、服务器端的随机数、加密的预主密钥的信息,提取到这三个信息后,如果带有服务器的私钥的话,这时候就可以解析出预主密钥了。
有了预主密钥、客户端随机数、服务器端随机数,我们就可以计算出整个通信过程中所用到的主密钥。
有了主密钥之后,我们便可以对整个SSL加密协商过程进行操作。
星融元智能网络可视交换机,内置高性能计算模块支撑SSL解密,实现网络安全流量解密监控
星融元的智能网络可视交换机系列设备,可将内置的高性能计算模块,定义为NSA模块。NSA模块有多种部署模式,可实现对流量的多种负载均衡处理从而给予后端分析工具定制化的流量。NSA在能够获取到服务器端CA证书的情况下,达到可以解密客户端和服务器端的通信过程,完成解密监控的需要。
1、灵活的部署模式,满足多种场景需求
提供旁路解密部署方案和串接解密部署方案,支持重建解密后的数据流,满足金融、政务、校园等多种实际应用场景。旁路部署模式下,不会对原有通信过程造成任何影响。
2、可进行SSL卸载加速
提供高度稳定、安全、可靠的硬件和软件解决方案。将关键功能(安全、压缩、虚拟化、随机数生成)组合到高性能、低功耗芯片中。
3、性能强大,具备多样功能
吞吐量可达到数万级,高性能处理单元灵活应对大流量场景,提供2Gbps~100Gbps的单机解密监控方案,灵活进行解密后TCP端口设置,并能计算TCP序列并且修复TCP/IP效验和。最新的安全算法支持,满足下一代应用程序的安全加速需求
星融元NF系列智能可视交换机采用模块化设计,提供可选的SSL解密解决方案(NSA解密模块),从而有效的解决了行业或企业用户在访问HTTPS情况下的网络可视化问题。NF2000系列高级业务处理引擎提供基于硬件的加解密引擎,单引擎可以支持高达29K TPS处理能力以及10~20Gbps的流量解密能力。