Was ist SSL-Inspektion?

Die Verwendung von SSL/TLS in HTTPS bietet Sicherheit für Webverkehr, der vertrauliche Informationen enthält. Dies ist zwar wertvoll für die Privatsphäre der Benutzer, aber auch für Cyberkriminelle nützlich. Malware nutzt zunehmend HTTPS, um ihre Befehls- und Kontrollkommunikation zu verbergen.

 

SSL/TLS ist ein Netzwerkprotokoll, das durch Verschlüsselung zusätzliche Sicherheit gegenüber anderen, unsicheren Protokollen bieten soll. Es wird häufig in HTTPS zur Sicherung des Webverkehrs verwendet, aber die weit verbreitete Verwendung von HTTPS durch Malware macht SSL-Inspektionsfunktionen zu einem wesentlichen Bestandteil der Cybersicherheitsstrategie eines Unternehmens.

Next Generation Firewall – Leitfaden für Käufer

Was ist SSL-Inspektion?

Was ist HTTPS?

HyperText Transfer Protocol Secure (HTTPS) ermöglicht das sichere Web. Beim Surfen im Internet verwendet jede Webseite, die das Schlosssymbol in der Adressleiste hat, HTTPS für die Kommunikation zwischen dem Computer, der die Seite anfordert, und dem Server, auf dem sie gespeichert ist.

HTTP vs. HTTPS

HTTPS ist eine sichere Version des grundlegenden HTTP-Protokolls. HTTP soll das Surfen im Internet ermöglichen, indem es definiert, wie ein Client-Computer und ein Webserver miteinander kommunizieren sollen.

 

Die größte Einschränkung von HTTP besteht darin, dass es völlig unsicher ist. Der gesamte über HTTP übertragene Datenverkehr ist für jeden, der ihn belauscht, lesbar. Da das Internet immer mehr vertrauliche Informationen enthält (aufgrund von E-Commerce, Online-Gesundheitsakten, sozialen Medien usw.), sind die vertraulichen Informationen der Benutzer gefährdet.

 

HTTPS verwendet das Transport Layer Security (TLS)-Protokoll – früher bekannt als Secure Sockets Layer (SSL) – um HTTP mehr Sicherheit zu verleihen. Mit SSL/TLS ist HTTPS in der Lage, die Identität des Webservers zu überprüfen und den gesamten Datenverkehr zu verschlüsseln, der zwischen dem Client und dem Server fließt.

Wie funktioniert HTTPS?

HTTPS ist als zwei zusammenarbeitende Protokolle implementiert. SSL/TLS wird verwendet, um eine verschlüsselte Verbindung zwischen dem Client und dem Server herzustellen. Sobald dies erreicht ist, wird der HTTP-Verkehr durch diesen Tunnel gesendet, indem er verschlüsselt und in den Datenabschnitt von SSL/TLS-Paketen eingebettet wird. Am Zielort entschlüsselt der andere Computer die Daten und verarbeitet sie auf Basis des HTTP-Protokolls.

 

Damit dies möglich ist, müssen Client und Server über einen gemeinsamen geheimen Schlüssel zur Verschlüsselung verfügen. SSL/TLS erstellt dies mithilfe eines Handshake-Protokolls, bei dem sich Client und Server auf die für die Verschlüsselung zu verwendenden Parameter (Algorithmus usw.) einigen und einen geheimen Schlüssel unter Verwendung asymmetrischer oder öffentlicher Schlüsselkryptographie teilen, um ihn vor Abhören zu schützen.

Vorteile von SSL/TLS

Die Verwendung von SSL/TLS macht HTTPS langsamer und weniger effizient als HTTP. Das Protokoll bietet jedoch auch mehrere wichtige Vorteile, darunter:

 

  • Datenschutz: HTTPS verschlüsselt den Webverkehr eines Benutzers und gewährleistet so den Datenschutz. Mit Perfect Forward Secrecy (PFS) schützt es Nachrichten sogar davor, entschlüsselt zu werden, wenn Schlüssel in Zukunft verloren gehen, indem zufällige Werte verwendet werden, die nach Ende einer Sitzung gelöscht werden.
  • Datenintegrität: HTTPS verwendet Nachrichtenauthentifizierungscodes (MACs), um sicherzustellen, dass Daten während der Übertragung nicht verändert wurden. Dies schützt sowohl vor Übertragungsfehlern als auch vor böswilligen Änderungen.
  • Authentifizierung: Die Handshake-Phase von SSL/TLS verwendet das digitale Zertifikat des Webservers, das die Identität des Webservers überprüft. HTTPS kann auch so konfiguriert werden, dass es auch die Identität des Clients nachweist.

HTTPS ist nicht vollständig sicher

HTTPS ist als sichere Alternative zu HTTP konzipiert. Die Sicherheit hat jedoch ihre Grenzen, darunter:

 

  • Protokoll-Schwachstelle: Das SSL/TLS-Protokoll wird kontinuierlich verbessert. Viele der Updates des Protokolls enthielten Korrekturen für zuvor entdeckte Schwachstellen, sodass die Installation dieser Updates aus Sicherheitsgründen unerlässlich ist.
  • Gefälschte Websites: Das Schlosssymbol in HTTPS garantiert lediglich, dass der Webserver über ein für die URL ausgestelltes digitales Zertifikat verfügt. Es bietet keinen Schutz vor Phishing-Seiten, die mit einer URL erstellt wurden, deren Name einer vertrauenswürdigen Domäne ähnelt.
  • SSL/TLS-Abfangen: SSL/TLS überprüft, ob das digitale Zertifikat einer Website von einer Autorität signiert ist, der der Client vertraut. Wenn ein Angreifer ein gefälschtes, vertrauenswürdiges Zertifikat erstellen kann, kann er einen Man-in-the-Middle-Angriff (MitM) durchführen, um den Datenverkehr abzufangen und zu lesen/ändern. Bei diesem Angriff stellt der Angreifer eine SSL/TLS-Verbindung mit dem Client her, entschlüsselt den Datenverkehr, um den Paketinhalt zu sehen, und verschlüsselt das Paket dann an den Webserver. Rücksendungen durchlaufen denselben Prozess. Benutzer bemerken dies möglicherweise nicht, aber es gibt Sicherheitslösungen für Endgeräte, Browser und Mobilgeräte , die MitM-Angriffe erkennen und verhindern können.
  • Verschlüsselte schädliche Inhalte: Die von HTTPS angebotene Verschlüsselung macht es unmöglich, den Inhalt des Datenverkehrs zu überprüfen. Malware und Phishing-Seite machen sich dies zunutze, um die Cyber-Abwehrmaßnahmen eines Unternehmens zu umgehen.

Die Notwendigkeit einer HTTPS-Inspektion

Die Verwendung von SSL/TLS in HTTPS bietet Sicherheit für Webverkehr, der vertrauliche Informationen enthält. Dies ist zwar wertvoll für die Privatsphäre der Benutzer, aber auch für Cyberkriminelle nützlich. Malware nutzt zunehmend HTTPS, um ihre Befehls- und Kontrollkommunikation zu verbergen.

 

Bei der SSL/TLS-Inspektion handelt es sich um das Abfangen von SSL/TLS-Verbindungen im MitM-Stil, die in das Netzwerk einer Organisation eintreten oder dieses verlassen. Dies ermöglicht es der Organisation, den Datenverkehr auf schädliche Inhalte zu untersuchen.

Vorteile der HTTPS-Inspektion

Die HTTPS-Inspektion bietet mehrere Vorteile für die Netzwerkleistung und -sicherheit, darunter:

 

  • Verbesserte Anwendungsidentifikation: Durch die Entschlüsselung des HTTPS-Verkehrs kann ein Unternehmen die Anwendung, die die Verbindung verwendet, besser identifizieren und anwendungsspezifische Sicherheits- und Routingrichtlinien anwenden.
  • Durchsetzung der URL-Filterung: Durch die Überprüfung des HTTPS-Verkehrs kann ein Unternehmen den Verkehr zu unsicheren oder unangemessenen Websites blockieren.
  • Filterung schädlicher Inhalte: Mit der HTTPS-Inspektion können Cybersicherheitslösungen den HTTPS-Verkehr nach schädlichen Inhalten durchsuchen. Inhalte können in einer Sandbox getestet und schädliche Inhalte mithilfe der CDR-Technologie (Content Disarm and Reconstruction) aus Dateien entfernt werden.

Auswirkungen der HTTPS-Inspektion auf die Leistung

Für die HTTPS-Inspektion ist eine Firewall der nächsten Generation (NGFW) erforderlich, um eine Verbindung zu entschlüsseln, die darin enthaltenen Daten auf schädliche Inhalte zu überprüfen und sie dann zu verschlüsseln, bevor sie an ihr Ziel weitergeleitet wird. Dies kann zu einer erheblichen Netzwerklatenz führen, insbesondere wenn die NGFW nicht über die Kapazität verfügt, Inspektionen mit Leitungsgeschwindigkeit durchzuführen.

 

Der Einsatz einer skalierbaren Sicherheitslösung ist von entscheidender Bedeutung, um sicherzustellen, dass sich ein Unternehmen an die zunehmende Datenverkehrsbandbreite anpassen kann. Eine Hyperscale-Netzwerklösung ermöglicht es einem Unternehmen, mehr Ressourcen hinzuzufügen, um den Bedarf zu decken, ohne zusätzliche dedizierte Systeme kaufen zu müssen.

Best Practices für die Netzwerk-HTTPS-Inspektion

Die HTTPS-Inspektion kann die Websicherheit eines Unternehmens erheblich verbessern. Implementieren Sie bei der Auswahl und Bereitstellung einer NGFW für die HTTPS-Inspektion die folgenden Best Practices:

 

  • Eingehende vs. ausgehende Inspektion: Die eingehende Inspektion untersucht den zum Client fließenden Datenverkehr, während die ausgehende Inspektion den Datenverkehr zum Server überwacht. Die Eingangsprüfung kann interne Webserver durch die Anwendung von IPS-Schutzmaßnahmen (Intrusion Prevention Systems) schützen.
  • Respektieren Sie berechtigte Datenschutzbedenken: Einige Arten von Daten sind durch Vorschriften wie DSGVO, PCI DSS und HIPAA geschützt. Die HTTPS-Inspektionsregeln sollten so konfiguriert werden, dass Datenverkehr, der diese Art sensibler Daten enthalten könnte (z. B. an Finanzinstitute, Gesundheitsorganisationen usw.), ignoriert wird.
  • Empfohlene Umgehungsliste: Die HTTPS-Überprüfung erhöht die Netzwerklatenz und ist für bestimmte vertrauenswürdige Sites nicht erforderlich. Eine NGFW sollte die Möglichkeit haben, mithilfe einer aktualisierbaren Umgehungsliste zu bestimmen, welcher Datenverkehr nicht überprüft werden soll.
  • Gateway-Zertifikat: Importieren Sie das Gateway-Zertifikat, damit der Endgerät-Browser dem Sicherheits-Gateway-Zertifikat vertraut. Dies ist wichtig, um Browserwarnungen zu eliminieren und ein nahtloses Benutzererlebnis zu schaffen.

 

Eine NGFW sollte diese Funktionen zusätzlich zu den anderen Kernfunktionen unterstützen, die in diesem NGFW-Einkaufsleitfaden beschrieben werden, einschließlich:

 

  • Benutzerfreundliche Verwaltung
  • Threat Prevention
  • PRÜFUNG UND KONTROLLE VON ANWENDUNGEN
  • IDENTITÄTSBASIERTE INSPEKTION UND KONTROLLE
  • Skalierbare Leistung

 

Die NGFWs von Check Point bieten leistungsstarke, skalierbare SSL/TLS-Inspektionsfunktionen. Um sie in Aktion zu sehen, können Sie gerne eine kostenlose Demo anfordern.

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Durch die weitere Nutzung dieser Website erklären Sie sich mit der Verwendung von Cookies einverstanden. Für weitere Informationen lesen Sie bitte unseren Hinweis zu Cookies.
OK