[网络协议]内容审计技术

内容审计需求背景

• 网络安全法要求
  • 明确责任人
    • 制定内部安全管理制度和操作规程，落实安全保护责任
  • 采取防范保护措施
    • 防范计算机病毒和网络攻击、网络侵入等
  • 监测、记录并保留日志
    • 采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关网络日志不少于六个月
  • 数据分类、备份和加密
    • 数据分类、重要数据备份和加密等措施
  • 其他法律义务
    • 法律、行政法规规定的其他义务
      

上网行为审计架构

上网行为审计技术

• 日志中心会记录所有的审计行为
• 日志查询包含所有行为查询、访问网站查询、即时聊天日志查询、邮件、发帖、发微博等日志查询，能够追查到各种违反组织规定的行为
  • 可以根据指定时间、用户、组、应用等来查询日志
• 统计分析可以进行流量分析、时长分析、用户行为分析、合规性分析等。并且可以自动生成报表，进行订阅
  

外发邮件审计技术

• 客户端与邮件服务器之间一般使用的是IMAP/POP3协议，网页版与邮件服务器之间一般使用的是HTTP协议
• 邮件服务器与邮件服务器之间使用的是SMTP协议
• 对于不同厂商的邮件，SangFor都了解邮件的封装结构，所以可以清楚的记录邮件的收发邮箱、主题、内容、附件等
  • 只能针对明文方式发送的邮件，可以审计
    

SSL内容解密技术

HTTPS协议

• 基于SSL传输的HTTP协议，使用的端口是TCP的443端口
• 工作流程
  • 客户端向DNS服务器查询目标域名的IP地址
  • 客户端与服务器通过3次握手建立TCP连接
  • 客户端向服务器发起Client-Hello报文
    • 携带本地客户端支持的所有加密算法版本
    • Server-Name：告知服务器要访问的域名
  • 服务器返回客户端Server-Hello报文
    • 服务器会选择双方都支持的加密算法的最高版本，通告给客户端
  • 客户端向服务器索要证书
  • 服务器向客户端发送数字证书
  • 服务器向客户端索要证书（可选，用于双向加密）
  • 客户端向服务器发送数字证书（可选）
  • 客户端在服务器公钥的保护之下，与服务器进行对称密钥的协商
  • 客户端和服务器在对称密钥的保护下，进行HTTP传输
  • 客户端和服务器通过4次挥手，结束TCP连接
• HTTPS身份验证模式
  • 单项验证：客户端需要验证服务器端的身份，但是服务器不需要验证客户端的身份
  • 双向验证：客户端需要验证服务器的身份，服务器也需要验证客户端的身份
    

SSL内容识别原理

• AC抓取客户端的Client-Client包，通过识别数据包中的Server-Name字段，来获取服务器的地址
• AC伪造成服务器，与客户端进行加密协商，并伪造证书，发送给客户端
• AC同时伪造成客户端，与服务器进行加密协商，并请求获取服务器的证书
• AC可以同时对客户端和服务器发送的数据进行解密

• 因为AC发送给客户端的证书是伪造的，所以客户端打开HTTPS网站时，浏览器会出现证书告警
  • 可以在客户端上信任AC的证书，来消除浏览器证书告警

• 对于AC下发的证书，客户端可以手动下载安装，也可以通过AC的配置，使用户访问互联网时，就强制要求安装证书
• 即使是HTTPS进行加密的邮件，也可以通过SSL中间人劫持，审计邮件中的内容
  

Web关键字过滤技术

• 通过上网权限策略的“Web关键字过滤”，来禁止某些关键字的搜索或外发
  • 如果是外发邮件/帖子/微博等中包含过滤关键字，需要开启HTTP上传识别
  • 如果通过搜索引擎搜索关键字，并且是HTTPS的网站，则同样需要开启SSL内容识别，并且需要把网站的域名添加到AC的识别库中
• 除了Web关键字识别过滤，还可以针对上传下载的文件类型进行过滤
  

IM聊天内容审计技术

• 聊天内容因为是使用的私有协议，不会实时的进行抓包审计
• SangFor通过插件方式，会在客户端电脑找到QQ聊天内容的本地缓存数据库，AC会每间隔10s在客户端的数据库中读取聊天内容，写入到AC的日志中心
  • 可以每台PC手动安装准入插件，也可以由AC通过策略统一下发

• 准入程序只支持Windows PC上安装运行，对于非Windows用户，则无法安装客户端插件
  • 可以对不支持准入的终端配置策略，直接允许上网或禁止上网

【AC 内容审计实验】

以上内容均属原创，如有不详或错误，敬请指出。