TCP(傳輸控制協議)長期以來一直是裝置設備和應用程式之間數據傳輸的通信標準。在數十億台設備中使用,事實上它早已成為廣泛使用的網路傳輸層協議,確保數據能盡快到達目的地。
這項事實直到 Google 進入此領域才發生改變。
QUIC — Quick UDP Internet Connections — 是由 Google 設計和實現的一種相對較新的傳輸層網路協議。儘管自 2012 年就以問世,但直到最近才變得無處不在,Google Chrome 瀏覽器與 Google 伺服器之間大多數連線都已採用。由於 Chrome 仍然是世界上最常用的 Internet 瀏覽器,QUIC 通信協定則成為一件重要的事。
由於快速普及和加密級別的提高,Google QUIC 在現有網路安全設備(例如威脅情報工具和防火牆)中製造了一個漏洞。不幸的是,駭客可以利用 QUIC 的額外加密層,這引發了各種網路安全的問題。在此,您可以了解有關 QUIC 及其對網路安全影響的更多資訊。
什麼是 Google QUIC?
Google 開發 QUIC 是出於善意。它最初是作為 TCP+TLS+HTTP/2 的替代方案,以提高 Chrome 瀏覽器上的效能和降低網頁載入的時間。Google 宣稱 QUIC 比 TCP 更有優勢,因為它建立在 UDP 上。在 Multiplex 多工和建立連線時 Handshaking 交握方面,QUIC 的效能優於 TCP。此外,QUIC 能比 TCP 更快地建立安全連接,並減少了建立連接時的 overhead。當需要新增額外 Session 時,QUIC 使用與先前連線相同的加密配置,因此啟動新的 Session 只需要 2 個封包,而不像 TCP 需要用到 6 或 7個封包來完成。這大大降低了整體延遲,並增強了使用者的 Internet 瀏覽體驗(這對 Google 來說也都是好事!)。
為什麼網路安全團隊不喜歡 Google QUIC?
儘管它被認為是正面的發展,但 QUIC 可能會在不經意間對網路安全產生負面影響。這是因為防火牆和網路感測器等安全設備,通常無法像過去依賴於傳統 TCP Session 一樣存取 QUIC Session 內的資訊。這創造了一個可供駭客利用的「黑洞」。
主要的問題在於:標準網路安全設備無法確認使用 QUIC 協議的上層應用程式或服務,只好將其視為第 4 層 UDP 流量。雖然瀏覽器和支持的 Web 伺服器可以分辨 QUIC 流量和其他流量,但防火牆等標準網路安全設備卻不能。
這意味著防火牆在檢測資安威脅的有效性降低,而使網路安全面臨風險。為了使探測網路安全弱點的工作更具挑戰,Google 經常修改其協議,安全威脅檢測工具則必須追上這些不斷變化的標準。
然而,還有其他問題。
QUIC 與 TLS 1.3 類似,將其加密應用於傳輸層而不是更高層。因此,它對所有傳輸訊息進行加密,這實際上可以消除針對 TCP 所發動的攻擊面。此外,傳統使用的報告測量工具和分析 QUIC 流量變得越來越困難,因為防火牆和標準網路感測器也無法識別它。這對消費者的隱私有利,但對那些負責保護我們的通信網路的人造成了重大挑戰。
因此,難怪一些網路安全團隊建議管理員禁用或阻擋 QUIC,回頭使用 HTTPS over TCP。
結語
儘管曾經被吹捧為 TCP 的替代方案,但 QUIC 給網路服務業者帶來了一些安全問題。標準網路安全設備不容易識別 QUIC 流量,這使得 QUIC 協議反倒容易成為網路犯罪活動的目標。
想要提升您的威脅情資?使用 NetQuest 的 Streaming Network Sensors 得到更佳的網路可視化。更多資訊請與我們聯絡。
Source: https://netquestcorp.com/google-quic-and-network-security/ (Google QUIC and Its Impact on Network Security)
Photo Credit: Photo by Pixabay from Pexels