用Webwasher解决SSL安全问题

　　【IT专家网独家】Webwasher如何通过SSL扫描器模块，防止恶意软件利用HTTPS通信。它还可以防止用户通过流行的CGI代理绕过传统的Web内容过滤器。这对于阻止敏感数据离开公司网络是很重要的。除了其SSL扫描器，Webwasher还提供了其它几个模块，如URL过滤、反恶意软件、传统的反病毒、反垃圾邮件、内容报告器、IM过滤器等，你可以根据需要选择。

　　我们将讨论恶意软件(和用户)如何利用SSL绕过你的其它控制，以及Webwasher如何解决这个问题。

　　公司存在着哪些SSL问题?

　　Web加密对于今天的企业来讲是非常重要的，不过对于防火墙上开放着端口443(HTTPS通道)的企业来说，在其网络中存在着一个严重的安全漏洞。传统的防火墙和网关反病毒方案并不能扫描加密的通信，因此也就不能控制哪些内容通过HTTPS进入和流出企业网络。这向企业提出了一种风险，企业可能并没有认识到，它们不能依靠其HTTP过滤器来保护HTTPS的加密通信。

　　风险还存在于规章制度的一致性上。如果一个组织允许开放SSL通道(它包含规章制度极力控制的机密信息)，它还能保持一致性吗?此外，黑客们和恶意的雇员等都知道通过HTTPS通道进行的通信完全开放并未加保护，因此他们就会继续利用HTTPS协议来绕过内容过滤机制，用以传播潜在的恶意内容。

　　如今，有很多URL过滤避绕代理可以利用HTTPS连接。当前，没有一个已确定的防火墙或Web网关反病毒解决方案能够进入其中查看这种通信。此外，我们看到一些流行的广告软件和间谍软件从IRC和HTTP转换到了HTTPS协议，其目的是避开已确立的网关过滤器。

　　Webwasher如何解决这个问题

　　我们认为唯一可行的方案是临时对SSL通信解密，扫描之，然后再重新加密。

　　这种方法与现在流行的代理服务器防火墙的做法不同。后者仅是解密(换句话说，即“终止”)，运用病毒扫描，然后转发到终端用户或Web应用程序。这种安全措施不能用于今天的Web环境，因为它会使端到端的加密需求无效，并会使浏览器产生混乱。

　　SSL安全代理，如Webwasher就如同一个“黑盒子”一样动作。SSL的加密通信进入，然后SSL的加密通信流出。任何人都不能加密的部分或在网络上嗅探它，这完全是在内存中处理的。现在有几个方案能够在一个单独的机器上提供SSL解密，将解密的通信转发到一个扫描器，扫描器将此通信返回到SSL方案，SSL方案对其重新加密。此外，典型情况下，你需要调整策略，例如，允许上层管理人员执行在线业务而无需扫描，但要对其他任何人的通信都要扫描。在多数情况下，这会要求双倍的管理成本，不过用Webwasher实现则轻松得多。

　　Webwasher SSL扫描器如何精确地工作?

　　基本说来，我们要做的是要将浏览器与服务器之间的一个SSL连接分为两个独立的SSL连接。对于浏览器连接到加密的Web站点的请求，Webwasher SSL扫描器实际上为浏览器执行此操作。这样的一个好处是具备了执行SSL证书检查的能力，而不是将它留给终端用户。我们都清楚这种弹出窗口,它问我们说，我们启动了一个与加密Web站点的会话，你是否想接受证书?我们看到，许多情况下，90%的或更多的终端用户只是单击“接受”，并不关心证书的合法性，是否自签名，是否到期等。一旦Webwasher确认了证书的合法性，我们就启动了一个SSL会话，然后终止之。对于Web服务器来说，Webwasher充当着一个正常的浏览器。这样我们拥有了加密的通信，而且能够运用内容安全、反病毒、反恶意软件和转出的内容过滤器等机制。记住，所有的这一切者都是在同样的机器上和内存中进行的，因此这里并不存在什么私密问题。一旦我们搞定了过滤问题，我们就充当了真实终端用户的一个Web服务器。Webwasher用客户公司证书或一个拥有Web服务器名字的自签名证书重新加密通信。如果你连接到了自己的服务器账户上，授权证书还会描述其它内容。客户需要做的是展示其自身的正式证书或自签名证书，终端用户将不会再收到授权证书的消息弹出窗口。

　　IT部门需要维持证书的优良者名单吗?用户们是否会抱怨?

　　我们能够使管理成本接近于零。Webwasher部件或软件在日常的活动基础上检查已撤消的证书，因此你总能保持最新。Webwasher还采用了一种培训模式。因此，用户可以启动Webwasher SSL的扫描器，基本上它会接受提供的所有证书，并加以存储。在培训结束之后，管理人员就可以进入并查看有请求了哪些证书，并放弃那些不正常的证书。Webwasher提供了一套工具，借此管理人员并不需要成为一个事件专家。一旦这个培训阶段结束，管理成本就微乎其微了。

　　Webwasher如何防止用户利用SSL代理服务器避开Web内容过滤器?

　　如前所述，现在有大量的用户上网冲浪是依靠SSL的加密通信的。典型情况下，URL的过滤器厂商会将应用程序试图连接的服务器列入黑名单，设法阻止其访问。不过，这是一场没有结束的战斗，总会有一个厂商建立一个新的服务器而你没有对其阻止。而且还涉及到数据丢失问题。我们可以看到典型的间谍软件和广告软件从IRC和HTTP后端通道转向了HTTPS后端通道，因为黑客们已经断定这个通道并没有阻止或加以控制。这方面的两个流行的例子即是Gator和 Cool WebSearch。

　　举例来说，可以对Webwasher进行配置，只允许某些合法的信用卡号码，以及属于于银行和购物站点种类的已知站点。即使你用一个特洛伊木马试图窃取PC机上的一个信用卡号码，它也不可能将这个信息返回;更不用说通过HTTPS进行了。用户还可以采用针对即时通信和点对点的方案，只是这些方案不在同一台机器上而已。

      IT专家网原创文章，未经许可，严禁转载！