请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科服务支持
思科服务支持社区

  
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器

通过加密协议对网络安全的影响 - HTTP / 2

已有 107 次阅读2017-1-5 13:45 |个人分类:原创翻译|系统分类:分享| 网络安全, 加密, 影响

思科博客>安全

Tobias Mayer - 20161230

 

这个帖子论述了一系列计划的开始,即围绕新协议对我们许多人今天处理网络安全的方式产生的影响。

 

我们一直在互联网上使用的协议,主要是TCPHTTP 1.1,但是有数据表明他们已不能处理当今对快速和有效处理内容的要求。随着协议的变化,我们还需要确保我们的网络安全策略是符合要求的。这主要是和网关安全的目标,检查入站和出站流量有关系。这是如何影响的呢?

 

让我们开始谈论一个已经在RFC中规定并正在讯速增长的协议:HTTP / 2

 

https://tools.ietf.org/html/rfc7540

 

HTTP / 2增长的原因主要是HTTP / 1.1是旧的,不再是一种处理现代需求的有效方式。HTTP / 1.1越来越短的一个例子是所谓的“Head-of-Line”阻塞。HTTP / 1.0为每个请求打开一个连接,虽然高效率但是缓慢。HTTP / 1.1引入了一个称为流水线的方法。这意味着我们可以在一个请求中请求多个内容对象。 问题是,所有对象都需要按照发送的顺序提供。


例如:

 

客户:“请给我一张狗、猫和房子的照片!”

 

服务器:“这里是一只狗,一只猫和...(搜索...搜索...等待...)一个房子的图片!


你明白了吧,对不对吧? 这称为“行头”阻塞。类似于你在超市的购物经验,有太少的寄存器打开。 你必须等待...

 

什么是HTTP / 2HTTP / 2做得更好吗?


HTTP / 2使用以下主要功能:

 

标题压缩:

 

HTTP头会占用大量空间。 许多不同的标题,大量的信息被传输。 HTTP / 2具有一种算法,即当它们被发送时对这些报头进行压缩。

 

TCP连接重用和复用:

 

HTTP / 2正在将其自身组织成流和连接。

 


数据在若干个流中发送。 流本身包含不同的信息帧,并且所有这些流在单个连接上运行。较少TCP连接,但这些连接使用得更长。

 

服务器可以推送内容:

 

这是有趣的,因为服务器可以主动地发送尚未被客户端明确请求的信息。

 

流的优先级:

 

使用HTTP / 1.1,如上所述,我们已经按照他们到达的确切顺序发送信息。使用HTTP / 2,我们可以实际上确定某些流的优先级。 因此,我们可以开始显示真正需要的内容,如果其他内容有延迟,我们不会阻止所有信息流动。

 

二进制格式:

 

HTTP / 2不再是需要解析的文本格式,但现在是一个二进制格式。 通常,计算机可以更好地处理二进制格式,但我们作为人类,我们需要有人来解释它。因此,我们的网络设备需要理解这种格式,并以人类可读的方式显示它,例如如果你想调试问题。Wireshark已经更新了它的库并且可以理解HTTP / 2二进制数据。
 

所有这些功能使HTTP / 2成为一个更有效的协议,并向前迈进了一步。

 

所以,现在我们对HTTP / 2有一个基本的了解,是什么影响网络安全呢?

 

RFC允许以明文或加密的方式发送HTTP / 2。但是主要的浏览器厂商喜欢google with chromemozilla with firefox,这已经决定了他们将只支持HTTP / 2加密的方式。 因此,尽管允许和支持以明文形式使用HTTP / 2,但是很可能极少会遇到没有加密的HTTP / 2。 因此,移动到HTTP / 2会显着增加互联网上的加密流量。


有关HTTP / 2使用的良好概述可以在这里找到:

 

https://w3techs.com/technologies/details/ce-http2/all/all

 

使用HTTP / 2的每个网站也将移动到TLS加密,他们以前没有使用TLS。尤其是像facebook.comgoogle.com等热门网站已经转向HTTP / 2
截获网关像NGFW(下一代防火墙)或代理现在已经处理了比以前更多的TLS流量。

 

二进制格式需要通过拦截网关来理解。 没有HTTP / 2的二进制格式的解析器,反病毒或应用程序可见性的签名很可能不会检测太多。

 

反病毒或应用程序可见性的签名很可能不会检测太多。RFC的另一个小的概念,在9.1.1节:连接重用:

 

https://tools.ietf.org/html/rfc7540#section-9.1.1

 

这意味着已建立的连接可以被重新用于在已经建立的连接上请求不同的URI。不是每个URI,只要证书有一个有效的SAN(主体备用名称),URI就可以改变。
 

例如:


news.yahoo.com”可能在您的代理或NGFW中分类为“新闻类别”,但“sports.yahoo.com”可能被归类为“体育类别”。 你如何处理这样的请求在您的代理/ ngfw

 

查看“youtube.com”的证书:

 


如果通过单个TCP连接存在对google.com(搜索引擎)和youtube.com(视频门户)的请求,您的过滤网络设备现在会做什么。 如何处理视频过滤的带宽限制?

所以综上所述,我们的网络安全模型需要通过使用新的并且是加密的协议来改变。

 

我们不再仅仅依赖于网络中的深度包检测,但需要结合考虑其他策略。端点上的安全性,网络中的异常检测,通过分析日志流量的异常和威胁检测等等。

 

想要了解更多方面,请关注CiscoLive

 

柏林2017:使用Web安全工具(WSA)的BRKSEC-3006 TLS解密

 

http://www.ciscolive.com/emea/learn/sessions/content-catalog/?search=BRKSEC-3006

 

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)

路过

鸡蛋

鲜花

握手

雷人

评论 (0 个评论)

facelist

您需要登录后才可以评论 登录 | 立即注册

Archiver | 思科服务支持社区  

GMT+8, 2017-3-26 15:09 , Processed in 0.049334 second(s), 22 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

返回顶部