Hlavní navigace

Analýza šifrovaného provozu pomocí síťových toků

30. 11. 2021
Doba čtení: 6 minut

Sdílet

 Autor: Depositphotos
Šifrovaná komunikace může posloužit pro ukrytí škodlivé komunikace před monitorovacími a bezpečnostními systémy. To s sebou přináší větší výzvy spojené s monitorováním a detekcí na koncových zařízeních, tedy u uživatelů i služeb.

Šifrování je všude

Šifrovaná komunikace se v dnešní době stává výchozím způsobem přenosu dat, a proto většina komunikace na internetu již probíhá šifrovaně. Velký rozmach zabezpečené komunikace spustila aktivita kolem automatizace vydávání certifikátů pro TLS především pro webové služby a to zdarma (iniciativa Let's Encrypt) – pomocí protokolu ACME standardizovaného komunitou IETF.

Šifrovací protokoly slouží k důležitému zabezpečení komunikace a řeší důvěrnost, integritu a ověření identity přenášeného obsahu. S každým novým zabezpečeným protokolem se většinou ochrana soukromí dále zvyšuje.

Aktuálně se aktivita cílená na posílení soukromí uživatelů celosvětově ubírá směrem k šifrovanému DNS provozu a vzniká tak řada alternativních komunikačních protokolů jako je DNS-over-TLS, DNS-over-HTTPS, DNS-over-QUIC. Šifrovaná komunikace nepochybně zvyšuje soukromí uživatelů a zaručuje obranu například proti odposlechnutí hesla či podvržení webové stránky.

Na druhou stranu snížená viditelnost může představovat značné komplikace pro zajištění bezpečnosti síťové infrastruktury a připojených zařízení. Kupříkladu doménová jména byla historicky využívána pro bezpečnostní analýzu a detekci podezřelé komunikace se škodlivými servery (například sloužícími jako Command-and-Control infrastruktura pro ovládání malware).

Úkryt pro útočníky

Šifrovaná komunikace ve výsledku může posloužit pro ukrytí podobné škodlivé komunikace před monitorovacími a bezpečnostními systémy. To s sebou přináší větší výzvy spojené s monitorováním a detekcí na koncových zařízeních, tedy u uživatelů i serverů (služeb). Mnohé bezpečnostní hrozby však tento přístup těžko odhalí, a to především v situacích, kdy původce škodlivého provozu (útočník) nechce být snadno odhalen.

Proto je monitorování síťového provozu užitečné a velkou naději představuje využití statistických vlastností monitorované komunikace a nešifrovaných informací ze síťových paketů, například z navazování bezpečného TLS spojení. Aktuální vývoj využití šifrovacích mechanismů na síti ovlivňuje i směřování celosvětového výzkumu a vývoje v této oblasti.

Potenciálního nebezpečí, které představuje nedostatečná viditelnost do situace na síti s šifrovaným provozem, jsou si přirozeně vědomi i velké společnosti a významní výzkumníci u nás i v zahraničí. Mezi průkopníky v oblasti analýzy šifrovaného provozu bezesporu patří například David McGrew a Blake Anderson z Cisco Systems, kteří publikovali v posledních letech výsledky výzkumu s použitím strojového učení pro analýzu provozu a detekci bezpečnostních hrozeb. Na základě tohoto výzkumu vznikl i první komerční produkt Cisco Encrypted Traffic Analytics (ETA). 

Monitorování síťového provozu pomocí IP Flows

Na vysokorychlostních sítích je dnes běžné používat nástroje pro monitorování provozu založené na tzv. IP tocích (angl. IP flows), což je v zásadě agregovaná informace o přenesených paketech a bajtech mezi dvěma IP adresami. V praxi to znamená, že je do sítě zapojená jedna nebo více monitorovacích sond (může to být buď samostatné nezávislé zařízení a nebo software provozovaný na stávajících síťových prvcích), které extrahují informace z nešifrovaných paketových hlaviček a počítají množství paketů a bajtů přenesených mezi dvěma službami. Tyto informace se sbíhají na tzv. kolektoru, kde se běžně provozuje i bezpečnostní analýza pomocí softwarových detekčních systémů.

IP toky jsou většinou reprezentovány ve formátech NetFlow nebo IPFIX a vedle základních informací (IP adresy, transportní protokol, TCP/UDP porty, časové značky začátku a konce, součet paketů, součet bajtů) jsou tyto technologie připraveny na rozšiřující políčka, která umožní pojmout třeba i doménové jméno cílové služby (např. ze SNI) nebo rozšiřující statistiky, které charakterizují průběh komunikace. Současný výzkum a vývoj ukazuje, že jsou tyto podrobnější informace využitelné pro klasifikaci provozu a detekci bezpečnostních hrozeb nebo podezřelého chování zařízení. Z toho důvodu je tato oblast klíčovým bodem zájmu mnohých vědců zabývajících se síťovou bezpečností v mezinárodním prostředí.

Následující obrázek ilustruje rozšířené IPFIX záznamy vygenerované pomocí open source nástroje – exportéru síťových toků ipfixprobe. Tato data byla převedena pomocí systému NEMEA do formátu pandas Dataframe (vizualizováno v Jupyter notebooku). Záznamy reprezentují obousměrnou komunikaci a kromě tradičních informací obsahují velikosti, časové značky a směr prvních paketů:


Autor: CESNET

Informace o délkách jednotlivých paketů, jejich časových značkách a například i používané TCP příznaky lze získávat i v případě použití šifrování dat. Navíc se ukazuje, že jsou velice důležité pro analýzu šifrovaného provozu a dokážou prozradit překvapivě velké množství informací o přenášených šifrovaných datech. K jejich zpracování a využití jsou ale potřeba značné expertní znalosti daného protokolu či problematiky a nezřídka se k tomu využívá i metod strojového učení, které dokáží extrahovat souvislosti i z velkého množství různorodých dat vedoucí k úspěšné klasifikaci. Klíčovou metodou, které se v analýze šifrovaného provozu využívá, je analýza tzv. postranních kanálů.

Postranní kanály

V kryptografii se používá pojem „postranní kanál“ pro způsob zneužití informací, které unikají z kryptografického systému vlivem reálné implementace. V oblasti hardwaru se může jednat například o odběrovou charakteristiku nebo rozdíly v časové odezvě v závislosti na datech. Podobný princip je teoreticky možné hledat i v oblasti síťové komunikace, která prozrazuje omezené množství informací o činnosti klientské aplikace nebo serverové služby.

Informace postranního kanálu ilustruje následující obrázek. Klient komunikuje se serverem a v modelové interakci se střídají. Ilustrativní časová osa zjednodušeně vyznačuje časy začátků „shluků paketů“ (červené svislé větší čáry) a jednotlivých paketů uvnitř shluků (modré svislé kratší čáry).


Autor: CESNET

Z pohledu rozšířených IPFIX dat můžeme u obousměrných toků sledovat střídání komunikujícího klienta a serveru, shluky paketů přenášející různě velké bloky dat a podobně. Díky analýze chování provozu je možné snáze či obtížněji rozpoznávat různé kategorie komunikace, jako je přehrávání multimediálního obsahu, procházení webových stránek, videokonference apod., jejichž charakteristiky chování jsou (statisticky) významně odlišné od ostatních typů komunikace. Na tomto předpokladu jsou založeny aktuální výzkumné aktivity, které v budoucích letech cílí na detekci anomálií komunikace klientů od normálního stavu, či dokonce na detekci škodlivého provozu např. generovaného malwarem.

Analogický příklad z reálného světa, tedy jakási paralela k popsaným postranním kanálům síťové komunikace, může být posloupnost zaznamenaných GPS souřadnic. Pokud propojíme jednotlivé body a spočítáme dodatečné informace v čase, můžeme odhadovat, zda se pohybovalo auto, chodec, cyklista či letadlo. Podobně, pokud se podrobněji podíváme na posloupnost síťových paketů, můžeme odhadovat, jaká aplikace komunikovala a co přibližně posílala.

skolení ELK

Analýza je věda

Analýza šifrovaného provozu v počítačových sítích patří z pohledu síťové bezpečnosti k významným výzkumným výzvám. Nedávné vědecko-výzkumné výsledky celosvětově ukazují značný pokrok, ale pro praktické použití technologií zbývá ještě spousta práce. Proto je od začátku roku 2022 naplánovaný nový čtyřletý projekt bezpečnostního výzkumu – „Analýza šifrovaného provozu pomocí síťových toků“, který byl vybrán mezi podpořenými projekty v rámci výzvy IMPAKT 1 Ministerstva vnitra ČR. Na projektu budou spolupracovat sdružení CESNET jako koordinátor a hlavní řešitel, Fakulta informačních technologií ČVUT v Praze, Fakulta informačních technologií VUT v Brně.

Toto konsorcium má za sebou nejen aktuální výzkumné výsledky v oblasti analýzy šifrovaného provozu, a tím i předpoklady zvýšit úroveň poznání v této oblasti, ale i mnohaletou spolupráci na podobných výzkumných projektech. Dosahované excelentní výsledky staví na intenzivní spolupráci akademiků (docentů, postdoků, doktorandů i špičkových inženýrů) ze všech tří institucí se studenty již od bakalářského studia. Proto věříme, že i tento projekt bude perfektní příležitostí pro studenty, kteří se chtějí zapojit do vědy, výzkumu a vývoje v oblasti bezpečnosti při studiu.

Autor článku

Specialista v oblastech monitorování vysokorychlostních sítí a síťové bezpečnosti. Již přes 10 let pracuje ve sdružení CESNET a v současné době působí jako vedoucí výzkumný pracovník.

Působí ve sdružení CESNET jako výzkumník a vývojář síťových aplikací, se zaměřením na analýzu šifrovaného provozu.