Zum Inhalt springen Weiter zur Suche
Testversion
Blog

Vermeidung des nächsten Ausbruchs einer SSL-Sicherheitslücke: Die Investition von A10 in SSL-Sicherheit

A10 Blog / Cybersicherheit / Vermeiden Sie den nächsten Ausbruch einer SSL-Sicherheitslücke: Die Investition von A10 in SSL-Sicherheit
A10 Personal
A10 Personal
|
April 10, 2014

Seit dem 7. AprilthAls die Heartbleed-Schwachstelle öffentlich bekannt wurde, haben sich IT-Administratoren in aller Welt beeilt, Webserver zu patchen und ihre Firewalls und Mailserver zu überprüfen und zu aktualisieren, SSL VPN-Geräte und so gut wie jedes andere Gerät im Netzwerk, das SSL verwendet.

IT-Administratoren hatten zwei gute Gründe, sich zu bemühen. Erstens betrifft die Heartbleed-Schwachstelle laut einer Netcraft-Umfrage einen großen Teil des Internets, nämlich 17 % aller SSL-fähigen Webserver. Und zweitens ist die Sicherheitslücke gefährlich. Sehr gefährlich. Laut Heartbleed.com"kann jeder im Internet den Speicher der Systeme lesen, die durch die anfälligen Versionen der OpenSSL-Software geschützt sind... Dies ermöglicht es Angreifern, die Kommunikation zu belauschen, Daten direkt von den Diensten und Benutzern zu stehlen und sich als Dienste und Benutzer auszugeben."

Wie A10 Networks in einem separaten Blog-Beitrag berichtet, sind die A10-Produkte nicht anfällig für das Heartbleed-Problem. Die SSL-Sicherheitsrisiken beginnen und enden jedoch nicht mit dieser einen Sicherheitslücke. Tatsächlich hat eine einfache Suche in der National Vulnerability Database über 150 OpenSSL-bezogene Schwachstellen aufgedeckt.* Und OpenSSL ist nicht allein; Sicherheitslücken wurden in praktisch jeder weit verbreiteten SSL-Bibliothek entdeckt.

Im Juni 2013 enthüllte der NSA-Whistleblower Edward Snowden, dass die NSA viele verschiedene Möglichkeiten nutzt, um Bürger auszuspionieren, darunter auch die Entschlüsselung verschlüsselter Kommunikation. Tatsächlich zeigen die Snowden-Leaks, dass die NSA Daten entschlüsselte, die mit schwachen oder sogar absichtlich fehlerhaften Verschlüsselungsalgorithmen verschlüsselt worden waren - was einmal mehr zeigt, dass Verschlüsselungsalgorithmen nicht unfehlbar sind. Angesichts von Risiken wie dem Heartbleed-Problem und dem unsicheren Dual_EC_DRBG-Zahlengenerator, der von der NSA entwickelt wurde, müssen Organisationen die SSL-Implementierungen ihrer Server, Netzwerkgeräte und Application Delivery Controller (ADCs) sorgfältig prüfen.

Abschirmung anfälliger Infrastrukturen mit einem ADC

Ein Grund, warum IT-Administratoren mit Heartbleed zu kämpfen haben, ist, dass sie Dutzende, Hunderte oder sogar Tausende von Anwendungen bewerten und patchen müssen. Da viele dieser Anwendungen auf verschiedenen Betriebssystemen mit unterschiedlichen SSL-Bibliotheken laufen, müssen Administratoren unzählige Stunden damit verbringen, ihre Anwendungen zu testen, zu patchen und erneut zu testen.

Eine einfache Möglichkeit für Unternehmen, ihre anfälligen Anwendungen zu schützen und ähnliche Brandherde in Zukunft zu vermeiden, besteht darin, den SSL-Datenverkehr auf ihren ADCs zu beenden. Die Auslagerung des SSL-Verkehrs verringert nicht nur die Belastung der Anwendungsserver, sondern senkt auch die Kosten für die Verwaltung und Aktualisierung der SSL-Bibliotheken. Administratoren können auch die Verwaltung von SSL-Zertifikaten auf jedem einzelnen Server vermeiden. Und im Falle eines Ausbruchs einer SSL-Schwachstelle wie Heartbleed können Administratoren das Patchen aller ihrer individuellen Server vermeiden.

Sicherstellen, dass SSL-Implementierungen sicher sind

Bei A10 Networks hat die Sicherheit höchste Priorität. Um sicherzustellen, dass wir die sicherste, getestete und validierte SSL-Verschlüsselung auf dem Markt anbieten, wenden wir bei jedem Schritt unseres Produktdesigns, unserer Entwicklung und unserer Testverfahren die besten Sicherheitsverfahren an.

Um zu zeigen, dass unsere Produkte anerkannte Maßstäbe für Sicherheit und Funktionalität erfüllen, haben wir unsere Produkte den führenden Standardisierungslabors zur Bewertung vorgelegt. Die Produkte von A10 haben erfolgreich die Zertifizierungen nach Federal Information Processing Standard (FIPS), Common Criteria und Joint Interoperability Command (JITC) erhalten. Siebzehn Hardware-Modelle der A10 Thunder und AX Serie haben die FIPS 140-2 Level 2 Zertifizierung erhalten. Praktisch alle A10-Produkte sind entweder FIPS-zertifiziert oder befinden sich im Prozess der Zertifizierung.

Die FIPS-Zertifizierung verhindert zwar nicht, dass Produkte einer Zero-Day-SSL-Schwachstelle zum Opfer fallen - einschließlich der Heartbleed-Schwachstelle -, sie stellt jedoch sicher, dass zertifizierte Produkte strenge kryptografische Design- und Implementierungsanforderungen erfüllen. Dieser Bewertungsprozess verringert das Risiko, dass Angreifer herstellerspezifische Schwachstellen in unserer Software und Hardware aufdecken.

Die FIPS-Zertifizierung umfasst eingehende Tests der SSL-Schlüsselverwaltung, der SSL-Rollen, -Dienste und -Authentifizierung, des Schutzes vor Angriffen und vieler anderer Software- und Hardwareanforderungen. Durch das Erreichen der FIPS-Konformität können Kunden sicher sein, dass A10-Hardware-Appliances die anspruchsvollen SSL-Sicherheitsanforderungen erfüllen.

Optionale Hardware-Sicherheitsmodule (HSMs) zur Verhinderung von Manipulationen

Neben Cyberangriffen und Software-Schwachstellen müssen Unternehmen auch physische Bedrohungen in Betracht ziehen, z. B. Diebe oder böswillige Insider, die versuchen könnten, sich physisch an Geräten zu schaffen zu machen, um an digitale Schlüssel zu gelangen.

Zum Schutz der A10-Hardware-Appliances vor physischen Angriffen wie Manipulationen und Bussondierung bietet A10 HSM-Karten für ausgewählte A10-Hardware-Appliances an. Diese HSM-Karten schützen private SSL-Schlüssel und bieten eine physische Zugangskontrolle. Die HSM-Karten von A10 bieten Leistung und sind nach FIPS 140-2 Level 2 und 3 zertifiziert.

Neben der Unterstützung von manipulationssicheren HSM-Karten bieten ausgewählte A10-Hardwaremodelle auch Manipulationssicherheit, so dass Administratoren erkennen können, ob eine A10-Appliance kompromittiert oder ein- oder ausgeschaltet wurde. Durch die Kombination von HSM-Karten für die sichere SSL-Schlüsselverwaltung mit manipulationssicheren Hardware-Appliances bietet A10 den physisch sichersten ADC auf dem Markt.

* Eine Stichwortsuche nach OpenSSL auf der National Vulnerability Database Website ergab 152 CVEs. Einige dieser Schwachstellen sind jedoch möglicherweise auf benutzerdefinierte Implementierungen oder Erweiterungen von OpenSSL zurückzuführen und nicht auf Schwachstellen in OpenSSL selbst.

Teilen Sie diesen Beitrag:

Auf LinkedIn teilen
Kategorien:
Cyber-Sicherheit
Vorheriger Beitrag
Nächster Beitrag
A10 Personal
A10 Personal
|
April 10, 2014

Weiterlesen

Sehen ist Glauben.
Vereinbaren Sie noch heute eine Live-Demo.

Produkt-Demo anfordern

Verwandte Ressourcen

  1. Neueste Sicherheitslücke löst rekordverdächtige DDoS-Attacken aus
  2. Schutz von Systemen vor der neuen HTTP/2 Rapid Reset-Schwachstelle
  3. Mehrheit der indischen Unternehmen beschleunigt Investitionen in Cybersicherheit im Jahr 2020: A10 Networks Studie