有防火牆可以分析通過的流量並在不需要時阻止它。這些防火牆處理加密流量(例如基於 SSL 的 HTTPS 或 IMAP)的效果如何?
舉個例子:防火牆能否區分連接埠 443 上的 HTTPS 流量和 443 上的安全遠端桌面流量?
答案1
在你的具體例子中,是的,這是可能的。
HTTPS 啟動與遠端的 TLS 會話。
TLSv1 Client Hello
安全性 RDP 啟動 RDP 會話,協商會話兩端之間的 TLS 安全連線。
X.224 Connection Request (0xe0)
由於會話啟動協定不同,狀態防火牆應該能夠區分 HTTPS 連線啟動和其他連線。
對於一般情況,防火牆將無法偵測到 SSH-over-HTTPS 之類的內容,因為 SSH 流量隱藏在 HTTPS 流量內。它檢測到它的唯一方法是透過流量模式的啟發式分析,但我不知道有什麼可以做到這一點。
對於 IMAP,有兩種保護它的模式。一種是透過 SSL,另一種是透過 TLS。 SSL 方法看起來就像是在不同連接埠上的 HTTPS 連接,如果遠端連接埠相同,則它無能為力。另一方面,TLS 是在會話兩端協商的,因此會話啟動明顯不同且很容易檢測到。
要記住的關鍵一點是 SSL 創建了一個 TCP 包裝器,流量透過該包裝器傳遞。許多協定在協定本身內部包含一種協商安全性的方法,該方法利用與包裝器使用的技術大致相同的技術,但使用不同的會話啟動方法,這使其具有可區分性。
答案2
某些防火牆/代理產品可以對 TLS 連線執行「授權的中間人攻擊」;例如,Squid 將此功能稱為“SSL 衝擊」。執行此操作的代理伺服器將具有對 TLS 會話內傳輸的明文資料的完全存取權。但是,此類代理程式後面的用戶端將獲得不同的伺服器憑證(由代理本身而不是真實伺服器提供),這將導致 TLS 錯誤或警告,除非客戶端配置為期望此類憑證(透過新增代理 CA 憑證)到受信任的根憑證清單)。