Klärung der Verwirrung bei der SSL-Inspektion

Bei A10 Networks nehmen wir Ihre Sicherheit sehr ernst. Aus diesem Grund ist es unsere Pflicht, einige Unklarheiten zu beseitigen, die in einer aktuellen Warnung des US-CERT(Alert TA17-075A) über die Verwendung der SSL-Prüfung (Secure Sockets Layer) aufgeworfen wurden.

Die Warnung wurde nicht durch ein bestimmtes Ereignis ausgelöst, sondern vom US-CERT als allgemeine Warnung auf der Grundlage zuvor veröffentlichter Informationen herausgegeben. In der US-CERT-Warnung wurde auf drei Quellen verwiesen: The Risks of SSL Inspection (ein CERT/CC Blog); The Security Impact of HTTPS Interception ein Forschungspapier; und https://badssl.com/, eine SSL-Test-Website.

Jede dieser Quellen erwähnt Schwachstellen, von denen sie behaupten, dass sie SSL-Inspektionslösungen, einschließlich A10 Thunder SSLi, beeinträchtigen können. Die Berichte enthalten einige ungenaue Informationen, die wir an dieser Stelle gerne korrigieren möchten.

Im Folgenden finden Sie eine Aufschlüsselung der einzelnen in der US-CERT-Warnung erwähnten Papiere:

• In "The Risks of SSL Inspection" wird versucht zu erklären, wie eine SSL-Inspektionslösung die Sicherheit eines Netzwerks schwächen kann. Der Autor stellt eine Liste von verschiedenen Schwachstellen vor, die in einem SSL-Inspektionssystem vorhanden sein können. Viele der in dem Bericht aufgeführten Schwachstellen sind für die A10 SSL Insight (SSLi)-Lösung nicht relevant und können mit den AppCentric Templates von A10 leicht behoben werden (siehe unten).
• In "The Security Impact of HTTPS Interception" wird erläutert, wie die SSL-Inspektion zu Schwachstellen führen kann, die die allgemeine Sicherheit eines Netzwerks beeinträchtigen können. Dieses Papier konzentriert sich auf die Verwendung schwacher Chiffren durch bestimmte SSL-Inspektionslösungen. Die Autoren haben verschiedene Lösungen bewertet und eingestuft. Vor einigen Wochen hat A10 zahlreiche Ungenauigkeiten in diesem Dokument festgestellt, die Thunder SSLi falsch darstellen. Die Forscher testeten nicht Thunder SSLi; sie testeten ein völlig anderes Produkt, eine veraltete Version von vThunder ADC, die mehr als ein Jahr alt war. A10 beauftragte die Forscher, die einige technische Ungenauigkeiten und Versäumnisse einräumten, aber nicht alle, einschließlich der richtigen Produktwahl. Die Forscher nahmen jedoch geringfügige Änderungen an dem Papier vor und erwähnten den AppCentric Templates Wizard und wie dieser die richtige Konfiguration und Anwendung stärkerer Chiffren ermöglicht. A10 hat eine Antwort auf diese spezielle Forschungsarbeit in unserem Blog veröffentlicht, in der beschrieben wird, wie alle Bedenken der Autoren mit ein paar einfachen Schritten ausgeräumt werden können.
• badssl.com ist eine HTTPS-Test-Website, auf der Benutzer das Sicherheitsniveau ihrer SSL-Inspektionslösungen und WAF überprüfen können.

Auf der Grundlage der in diesen Berichten enthaltenen Informationen finden Sie hier die von A10 empfohlenen optimalen Konfigurationsverfahren von SSLi, die Sie befolgen können, um die bestmögliche Sicherheit zu gewährleisten:

AppCentric-Vorlagen

AppCentric Templates ist ein assistentenbasiertes Konfigurationstool, mit dem ein Unternehmen Best Practices auf seine SSL Insight-Lösung anwenden kann, um die Bereitstellung mit minimalem Aufwand zu sichern. Die meisten der nachfolgenden Punkte können über AppCentric Templates einfach konfiguriert werden.

Signierende CA und Schlüssel

• Generieren Sie einen signierenden CA-Schlüssel von Ihrer Firmen-Root-CA mit 2K-Schlüssel und SHA-256.
• Erneuern Sie die signierende CA/den signierenden Schlüssel in regelmäßigen Abständen.
• Schützen Sie den privaten Schlüssel mit einem nicht-trivialen Passwort.

TLS-Version und Cipher Suites

• SSLv3 ist anfällig für den POODLE-Angriff und ist nicht sicher. Stellen Sie sicher, dass SSLv3 sowohl bei SSLi inside als auch bei SSLi outside deaktiviert ist.
• Beschränken Sie die Cipher-Suites auf die unten empfohlenen und bevorzugen Sie PFS-Suites gegenüber Nicht-PFS-Suites mit höheren Prioritätswerten.
  • TLS1_RSA_AES_128_SHA
  • TLS1_RSA_AES_256_SHA
  • TLS1_RSA_AES_128_GCM_SHA256
  • TLS1_RSA_AES_256_GCM_SHA384
  • TLS1_ECDHE_RSA_AES_128_SHA Priorität 10
  • TLS1_ECDHE_RSA_AES_256_SHA Priorität 10
  • TLS1_ECDHE_RSA_AES_128_SHA256 Priorität 10
  • TLS1_ECDHE_RSA_AES_128_GCM_SHA256 Priorität 10
  • TLS1_ECDHE_ECDSA_AES_128_GCM_SHA256 Priorität 10
  • TLS1_ECDHE_ECDSA_AES_128_SHA256 Priorität 10
  • TLS1_ECDHE_ECDSA_AES_256_GCM_SHA384 Priorität 10
  • TLS1_ECDHE_ECDSA_AES_256_SHA Priorität 10
• Wenn Leistungsoptimierung ein Muss ist, können Sie sich für RSA-Schlüsselaustausch für SSLi intern und PFS für SSLi extern entscheiden.

Herkunft CA Validierung

• Installieren Sie das neueste CA-Bundle aus einer vertrauenswürdigen Quelle sowohl für SSLi inside als auch für SSLi outside.

A10 enthält ein Mozilla CA-Paket in ACOS.

• Aktivieren Sie die Validierung von Serverzertifikaten sowohl für SSLi inside als auch für SSLi outside.
• Aktivieren Sie für SSLi inside die OCSP- und CRL-Validierung für Zertifikatswiderrufsprüfungen.
• Die Aktion bei fehlgeschlagener Validierung sollte sowohl für SSLi inside als auch für SSLi outside auf "DROP" gesetzt werden.
• Wenn ein selbstsigniertes Zertifikat zugelassen werden soll, haben Sie zwei Möglichkeiten:
  • Wenn die Websites zu Ihrer Organisation gehören, können Sie die Prüfung umgehen; der bevorzugte Weg ist jedoch, den Websites ein reguläres Zertifikat von Ihrer Root-CA auszustellen.
  • Andernfalls erstellen Sie einen alternativen Signierschlüssel bei einer Zertifizierungsstelle, der die Browser nicht vertrauen, und signieren damit selbst signierte Ursprungszertifikate; die Browser und API-Clients können dann zumindest eine unterbrochene Zertifikatskette erkennen. Damit dies funktioniert, müssen Sie die CA-Validierung bei SSLi outside deaktivieren.

Richtlinie für SSL-Inspektionen

• Aktivieren Sie die Überprüfung des QUIC-Protokolls (Google) durch Blockieren von UDP 80/443.
• Verwerfen Sie eine Verbindung, wenn ein Zertifikat nicht im Cache ist, anstatt die Prüfung zu umgehen.
• Deaktivieren Sie die Ausfallsicherung, um zu verhindern, dass der Datenverkehr umgangen wird, wenn der Abruf des Ursprungszertifikats fehlschlägt.
• Aktivieren Sie die Entschlüsselung von Nicht-HTTP-Verkehr.
• Wenn ein Domänenname zur Umgehung der Prüfung verwendet wird, verwenden Sie eine exakte Übereinstimmung oder "ends_with", um einen Apex-Domänennamen zu finden.

Zertifikat angeheftete Websites

• Umgehen Sie die Überprüfung nur dann, wenn die Websites für Ihren Geschäftsbetrieb erforderlich sind und positiv bestätigt wurde, dass ihre Zertifikate gepinnt sind.

Um das beste Kundenerlebnis mit unserem Thunder SSLi-Produkt zu erhalten, empfehlen wir Ihnen dringend, unseren AppCentric Templates Wizard zu verwenden, der mit Schwerpunkt auf den von A10 empfohlenen Best Practices entwickelt wurde, die von Sicherheits- und Netzwerkingenieuren bei der Einrichtung der SSL Insight-Lösung in einem Netzwerk angewendet werden sollten.

Wenn Sie die von A10 bereitgestellten Richtlinien befolgen, kann Ihr Unternehmen sicher sein, dass Ihr Netzwerk nicht nur sicher ist, sondern dass die Nutzung von SSL Insight Ihre Sicherheit erhöht.

Wir freuen uns über alle Fragen, die Sie zu dem US-CERT-Alarm und den darin enthaltenen Hinweisen haben.

Für weitere Details zu A10 Thunder SSLi, laden Sie dieses Datenblatt.

Einen Leitfaden für bewährte Verfahren für SSLi erhalten Sie von Ihrem A10-Vertreter oder dem Technical Assistance Center (TAC) von A10.

Teilen Sie diesen Beitrag:

Teilen auf X (Twitter)Auf Facebook teilenAuf LinkedIn teilenPer E-Mail teilen

Kategorien:

Netzwerksicherheit

---

Vorheriger Beitrag

Wie Dienstanbieter gewinnen: Teil 2 - Kosten senken

Nächster Beitrag

Wie man einen Anwendungsangreifer identifiziert und blockiert

---

Andrew Hickey

|

April 26, 2017

Andrew Hickey war der redaktionelle Leiter von A10. Andrew Hickey verfügt über zwei Jahrzehnte Erfahrung in den Bereichen Journalismus und Content-Strategie und berichtet über alles, was mit Kriminalität, Cloud Computing und... Mehr lesen