Sie sind hier: HomeDatacenter

Verschlüsselung: SSL-Decryption – Fluch oder Segen?

SSL-Inspection, HTTPS-Inspection, SSL-Interception, SSL-Decryption – unter verschiedenen Bezeichnungen findet sich in den Konfigurationsoberflächen von Firewalls eine Funktion, an der sich die Geister scheiden. Worum handelt es sich und sollte man sie nutzen?

Bildquelle: © vege - fotolia.com

SSL (Secure Sockets Layer) beziehungsweise TLS (Transport Layer Security), wie es eigentlich nach Version SSL 3.0 heißt, ist ein Verschlüsselungsprotokoll. Es ist in unterschiedlichsten Formen, wie IMAPS, POP3S, SMTPS, HTTPS, SIPS, im Einsatz und dient der Absicherung von Kommunikation. Dazu baut der Client eine Verbindung zu einem Server auf, der sich dann mit einem Zertifikat gegenüber dem Client authentisiert. Jener wiederum prüft das Zertifikat auf seine Vertrauenswürdigkeit in Hinblick auf den Inhalt, also ob der Server-Name zum Zertifikat passt. Zertifikate und deren Verwendung dienen dazu, eine Vertrauensstellung zu dem Kommunikationspartner aufzubauen und um die zu übertragenden Daten zu verschlüsseln. Leider wird heutzutage aber genau dieser Mechanismus missbraucht, um Malware wie zum Beispiel Ransomware versteckt auf einen Client zu transferieren, ohne dass gängige Sicherheitsmechanismen im Netzwerk diese erfassen können. Malware oder Ransomware nutzen sogar selbst die Verschlüsselung, um mit C&C (Command & Control Server) zu kommunizieren beziehungsweise, um weitere Systeme zu infizieren. Dies führt unweigerlich zu der Frage, wie man die Clients davor schützen kann. Die Antwort ist die eingangs genannte Funktion in Firewall-Produkten.

Bei SSL-Decryption, Inspection oder auch Interception handelt es sich um ein Verfahren, bei dem die Verbindung nicht mehr zwischen Client und Server aufgebaut wird, sondern über einen Dritten. Dies kann ein entsprechender Proxy oder eine Firewall sein. Dabei baut die Firewall zwei Verbindungen auf: Die eine entsteht in Richtung des Servers, bei der sich die Firewall als Client darstellt. Die andere entsteht in Richtung des Clients, wobei die Instanz als Server auftritt. Dies wird auch als MITM (Man in the Middle) bezeichnet. Für ein Unternehmen bedeutet dies: Die Firewall wird in die Lage versetzt, den SSL-verschlüsselten Traffic zu analysieren. Es stehen damit sämtliche Methoden zur Erkennung von Angriffen wie IPS/IDS (Intrusion Prevention/Intrusion Detection) zur Verfügung, sowie das Herausfiltern von Viren durch den eingebauten AV-Scanner. Ein Unternehmen, das sich für SSL-Decryption entscheidet, kann zudem DLP (Data Leak Prevention) einsetzen, um dem Abfluss von sensiblen oder unternehmenskritischen Daten über verschlüsselte Kanäle entgegenzuwirken. Dabei wird auch von Data Exfiltration gesprochen.

Schwächen und Angriffsvektoren

Mit SSL-Ent- und -Verschlüsselung kommt der Firewall als „Man in the Middle“ hohe Verantwortung zu. Ein wesentlicher Nachteil ist, dass sämtliche Verbindungen nur noch mit einem einzigen CA-Zertifikat signiert werden. Der Client kann nicht mehr individuell prüfen, ob es sich um eine valide Verbindung beziehungsweise einen vertrauenswürdigen Kommunikationspartner handelt. Das Verfahren der End-to-End-Beziehung wird an dieser Stelle ausgehebelt. Da in der Regel bei solchen Methoden die eigenen ROOT-CA-Zertifikate zum Einsatz kommen, ergibt sich eine weitere Schwäche beim Trust: Das CA-Zertifikat muss von allen Clients als vertrauenswürdig eingestuft werden, da es sonst zum Beispiel im Browser zu einer Fehlermeldung kommt. In großen Infrastrukturen kann dies unter Umständen zu einer Herausforderung werden. Verfahren wie HPKP (HTTP Public Key Pinning) können nicht genutzt werden.