当一个黑客不想努力了,VPN加密险些成为神助攻?

阅读量    14485 | 评论 2

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

在游戏业务、支付业务、在线教育等应用场景中,由于其特殊的业务属性,和较高的数据保护要求,企业通常采用 VPN 技术对传输的数据进行加密,以增加核心业务和数据的安全等级,尤其在今年全球爆发的疫情之下,企业陡增了远程办公的需求,VPN加密传输一时间成为必要条件。

但在这个过程中出现了一个问题: 应用层的安全产品——WAF无法检测VPN加密数据!

WAF失效之谜

为什么WAF无法解析VPN加密数据?要从数据的加密传输开始说起。

我们都知道HTTPS协议可对传输数据进行加密,那为什么还需要用VPN技术对传输数据进行再次加密呢?是因为VPN实现从客户端到业务服务器的端到端加密,承载在通用标准或国密算法标准的https上,能够进一步加强对关键用户数据和信息的安全保护。

VPN 加密作用于数据包中的数据载荷,由数据包头实现其在互联网络上的传输,诸如防火墙(FW)、下一代防火墙(NGFW)、入侵防御系统(IPS)等以协议栈为主的安全产品,因为其只对数据传输包中的包头进行检测,所以VPN 加密措施对这些安全产品不产生影响。但对主要检测应用层数据的安全防护产品——WAF而言,它所面对的就是经过HTTPS和VPN技术两层加密的数据载荷

在数据 解密过程中:

第一层 HTTPS解密:因为HTTPS协议采用的是国际通用标准,不同企业会根据自身情况部署 SSL 服务器进行数据解密,WAF检测时只需企业上传对应的 SSL 证书即可实现检测;

第二层 VPN 解密:对于企业自研的VPN加密模式,则需要对应算法和密码协议才可解密,但因为很多企业通常将应用端和业务服务器端进行配套开发,与客户端APP配套使用的加解密终端软件被直接部署在业务服务器中,因此数据的解密与使用都在一个服务器内完成,这使得在传输链路中,没有任何一段数据使用明文传输

这会带来什么影响呢?

WAF在数据传输链路中无处可部署,或部署无效。

如果企业仍按常规方式将安全产品部署在数据传输的链路上:

就会带来 如同开篇的漫画场景,黑客只需在此类具有自定义加密协议的APP中输入任意渗透 攻击语句,即可通过APP的VPN加密算法轻松绕过WAF,从而渗透到服务器,使得原本为增加安全等级设置的数据加密措施,带来了新的安全问题。

雷池(SafeLine)的应对之道

服务器引流部署解决方案

只要能够解决WAF面对加密数据失效的问题,就可以消除 VPN 加密带来的安全隐患,打通整个加密数据的防护链路。

长亭的解决思路很明朗,因为WAF只能检测经过解密的明文数据,所以只要找到解密后的数据流量,并将其在进入业务应用之前导入WAF,就可以让WAF正常的实现应用层数据的检测,因此诞生了雷池(SafeLine)下一代Web应用防火墙的服务器引流部署解决方案。

雷池(SafeLine)具备灵活的容器系统架构,可将引擎接口进行适当开放,并在服务器中安装专属 SDK (Software Development Kit)插件,通过自定义配置建立双方数据交换机制,将服务器中完成解密但还未进入业务应用之前的数据导出给雷池(SafeLine)完成检测。

在雷池(SafeLine)独创的服务器引流部署解决方案中,保持了雷池(SafeLine)精准检测、低误报/漏报、高稳定、低延迟等优质特性,企业无需改变现有网络和应用部署,即可随时按需配置bypass,完成快速部署和移除。方案有效解决了WAF面对VPN加密流量失效而导致服务器暴露的安全隐患,可满足不同企业多样的数据加密传输的应用场景。

应用部署案例

1、某股份制商业银行

特点:传输数据包含大量支付交易等重要信息,需采用VPN加密措施增加安全等级。

方案优势:有效应对大量应用层攻击,提升银行交易业务的安全等级。

雷池(SafeLine)服务器引流部署示意图

2、某大型互联网公司

特点:业务体系庞大,员工数量万余人,疫情期间急增大量远程办公需求,使用VPN专线,需要完善加密数据的防护链路。

方案优势:雷池(SafeLine)容器化系统架构支持快速配置部署,帮助企业快速实现VPN专线通信。

雷池(SafeLine)服务器引流部署示意图

3、某大型国有企业

特点:数据安全等级高,业务数据交互量大,信息通信需满足商密算法要求。

方案优势:在服务器集群内部署SDK,与雷池(SafeLine)软件集群通信,满足大流量数据检测需求。

雷池(SafeLine)服务器引流部署示意图

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多