Zum Inhalt springen Weiter zur Suche
Testversion
Blog

SSL-Sicherheit Epic Fail: Wenn Ihre SSL-Entschlüsselungslösung eine bessere Sicherheit verhindert

A10 Blog / Netzwerksicherheit / SSL-Sicherheit - ein epischer Fehlschlag: Wenn Ihre SSL-Entschlüsselungslösung eine bessere Sicherheit verhindert
Andrew Hickey
Andrew Hickey
|
August 25, 2015

SSL ist allgegenwärtig. Heute nutzen viele der beliebtesten Websites die Verschlüsselung, um Daten sicher und privat zu halten. Darüber hinaus verwenden andere Anwendungen wie E-Mail, Instant Messaging und FTP SSL oder dessen Nachfolger TLS zur Verschlüsselung des Datenverkehrs. Brauchen Sie einen Beweis dafür, dass SSL allgegenwärtig ist? Nach Angaben von Sandvine werden bis 2016 zwei Drittel des Internetverkehrs verschlüsselt sein.[i]

Wenn Unternehmen mit der Verschlüsselung des Anwendungsverkehrs beginnen, stoßen sie häufig auf Hindernisse wie Leistungseinbußen bei ihren Anwendungsservern. Die Verschlüsselung hat noch andere, schwerwiegendere Auswirkungen: Sie macht Netzwerksicherheitstools für den Anwendungsverkehr blind. Sicherheitslösungen wie Firewalls der nächsten Generation, Intrusion Prevention und Advanced Threat Protection-Plattformen können keine Pakete untersuchen und Bedrohungen abwehren, wenn der Datenverkehr verschlüsselt ist.

Um dieses Problem zu lösen, können Unternehmen SSL-Inspektionsplattformen einsetzen, um den SSL-Datenverkehr zu entschlüsseln und ihn zur Analyse an Sicherheitsgeräte von Drittanbietern weiterzuleiten. Für den ausgehenden Datenverkehr besitzen die Unternehmen zwar die Endpunkte, nicht aber die SSL-Zertifikate und -Schlüssel. Eine SSL-Inspektionsplattform kann den Datenverkehr entschlüsseln, wenn sie als transparenter Forward Proxy oder expliziter Proxy konfiguriert ist[ii].

Schutz von Unternehmensservern

Die Entschlüsselung des an interne Anwendungsserver gerichteten eingehenden Datenverkehrs unterscheidet sich von der Entschlüsselung des ausgehenden Datenverkehrs, da die SSL-Schlüssel im Besitz der Unternehmen sind. Es gibt zwei Hauptmethoden zur Entschlüsselung von eingehendem SSL-Datenverkehr, der an interne Server gesendet wird:

  • Reverse-Proxy-Modus: Der SSL-Verkehr wird auf den SSL-Prüfgeräten beendet und im Klartext an Inline- oder Non-Inline-Sicherheitsgeräte gesendet. Dieser Modus wird auch als "SSL-Offload" bezeichnet.
  • Passiver Nicht-Inline- oder Inline-Modus: Der SSL-Verkehr wird mit einer Kopie der SSL-Schlüssel des Servers entschlüsselt. Der SSL-Verkehr wird von der SSL-Inspektionsplattform nicht verändert, außer möglicherweise zur Abwehr von Angriffen.

Im Reverse-Proxy-Modus kann die SSL-Inspektionsplattform potenziell auch die SSL-Leistung beschleunigen und die Serverlast ausgleichen.

Im passiven Nicht-Inline-Modus kann die SSL-Inspektionsplattform transparent installiert werden, ohne dass die Netzwerkeinstellungen aktualisiert werden müssen. Im passiven Non-Inline-Modus können Unternehmen jedoch nicht ohne weiteres Angriffe abwehren. Auch wenn Unternehmen in der Lage sind, TCP-Resets von Nicht-Inline-Geräten aus zu senden, ist dies nur ein Versuch und kann nicht alle Angriffe, einschließlich Angriffe mit einem einzigen Paket, wirksam blockieren.

Der größte Nachteil des passiven Modus ist jedoch, dass er keine starken Verschlüsselungsmethoden wie Perfect Forward Secrecy unterstützt, da die SSL-Inspektionsplattform nicht aktiv an der SSL-Schlüsselaushandlung teilnimmt.

Warum sollten Sie sich für Perfect Forward Secrecy (PFS) interessieren? Viele Unternehmen stellen auf PFS um, weil:

  • PFS stellt sicher, dass Kriminelle oder staatliche Organisationen die Daten nicht entschlüsseln können, wenn ein SSL-Schlüssel in Zukunft kompromittiert wird. Jede Sitzung hat ihren eigenen, eindeutigen Schlüssel, sodass jede einzelne Sitzung geknackt werden muss - eine nahezu unmögliche Aufgabe.
  • PFS entschärft viele Arten von SSL-Schwachstellen. Wenn zum Beispiel der berüchtigte Heartbleed-Fehler auftritt und ein privater SSL-Schlüssel kompromittiert wird, können Hacker die Kommunikation nicht überwachen und entschlüsseln. Dies liegt daran, dass jede SSL-Sitzung mit einem eindeutigen Sitzungsschlüssel verschlüsselt wird.

Führende SSL-Befürworter wie die Electronic Frontier Foundation (EFF ) fordern die Betreiber von Anwendungen auf, auf Perfect Forward Secrecy umzustellen. Und viele Organisationen folgen diesem Aufruf. Webangebote wie Dropbox, Facebook, Google, LinkedIn, Microsoft Outlook.com, Twitter, Tumblr, Yahoo und viele mehr verwenden jetzt PFS.

Leider können Unternehmen, die eine SSL-Inspektionsplattform einsetzen, die nur den passiven Modus unterstützt, keine starken Sicherheits-Chiffren wie Elliptic Curve Diffie Hellman Exchange (ECDHE) implementieren, ohne ihre SSL-Entschlüsselungsarchitektur zu zerstören. SSL-Inspektionsplattformen, die im passiven Nicht-Inline-Modus eingesetzt werden, sind ein Sicherheitsdebakel.

Um zu erfahren, welche Funktionen bei der Bewertung einer SSL-Inspektionsplattform zu berücksichtigen sind, lesen Sie bitte: Der ultimative Leitfaden zur SSL-Inspektion.

[i] Sandvine Global Internet Phenomena Spotlight, 2015

[ii] Erfahren Sie mehr über ausgehende SSL-Inspektion in der SSL Insight Solution Brief

Teilen Sie diesen Beitrag:

Auf LinkedIn teilen
Kategorien:
Netzwerksicherheit
Vorheriger Beitrag
Nächster Beitrag
Andrew Hickey
Andrew Hickey
|
August 25, 2015

Andrew Hickey war der redaktionelle Leiter von A10. Andrew Hickey verfügt über zwei Jahrzehnte Erfahrung in den Bereichen Journalismus und Content-Strategie und berichtet über alles, was mit Kriminalität, Cloud Computing und... Mehr lesen

Sehen ist Glauben.
Vereinbaren Sie noch heute eine Live-Demo.

Produkt-Demo anfordern

Verwandte Ressourcen

  1. Evaluierung einer TLS/SSL-Entschlüsselungslösung
  2. SSL-Einblick: Mehr als einfache SSL/TLS-Entschlüsselung
  3. SSL-Entschlüsselung: Bewährte Sicherheitspraktiken und Konformität