Verschlüsselte Datenübertragung mit neuem TLS-Standard

Keysight: Tipps für mehr Sicherheit durch TLS 1.3

23. Januar 2019, 7:00 Uhr | Von Dr. Jörg Schröper.

Die IETF hat den RFC 8446 im Sommer verabschiedet. Damit ist TLS 1.3 nun ein offizieller Standard für die Verschlüsselung auf dem Transportweg im Internet. Wenn Browser, Sicherheits-Tools und Dienstanbieter diesen neuen Verschlüsselungsstandard unterstützen, sollten Unternehmen und Anwender bereit sein, ihnen zu folgen. Die neue Version, die für das "moderne Internet" entwickelt wurde, bietet bezüglich Sicherheit, Leistung und Datenschutz wesentliche Verbesserungen gegenüber früheren Verschlüsselungsprotokollen. Insbesondere ist die in 1.2 optionale Verwendung von Perfect Forward Secrecy (PFS) in 1.3 nun eine zwingende Anforderung für alle Sitzungen.

PFS erfordert die Verwendung einer Kryptographie mit Ephemeral Keys, die für jede Client/Server-Interaktion einen neuen Schlüssel erzeugt. Vorherige und zukünftige Sitzungen unterliegen so der Geheimhaltung, da kein Schlüssel zweimal zum Einsatz kommt. Dies bedeutet, dass es für einen Hacker deutlich schwieriger wird, den gesamten sensiblen Datenverkehr in einem Netzwerk zu entschlüsseln, selbst wenn er es schafft, eine Sitzung zu kompromittieren – sofern dieses Ephemeral Keys unterstützt. Nachfolgend haben die Sicherheitsexperten von Keysight sechs Tipps zur Überwachung und Verarbeitung verschlüsselter Daten mit PFS zusammengestellt.

1. Schlechten Traffic vor der Entschlüsselung entfernen

Ein Threat Intelligence Gateway ist eine Vorrichtung, die bekannten bösartigen Datenverkehr erkennen und blockieren kann, bevor er entschlüsselt wird. Durch die Querverweise auf eine Datenbank mit bekannter Malware kann das Gateway einschlägige IP-Adressen im Header eines Pakets erkennen und die Übertragung der Daten dieses Pakets blockieren. Da der Header eines Pakets im Klartext übertragen wird, ist dazu keine Entschlüsselung erforderlich. Eine Threat-Intelligence-Lösung reduziert die Zahl von Fehlalarmen, blockiert bösartigen Traffic effizienter als andere Sicherheitstools und erfordert keine manuelle Regelerstellung bei sich ändernden Bedingungen. Die Blockierung von Malware vor der Entschlüsselung ermöglicht es anderen Tools, effizienter zu arbeiten und zusätzlichen Schutz zu bieten.

2. Verwenden aktiver SSL-Verschlüsselung

Der verschlüsselte Datenverkehr nimmt zu, ebenso wie verschlüsselte Malware. Jede Sicherheitsimplementierung sollte daher mindestens eine passive SSL-Verschlüsselung beinhalten. Es gilt jedoch die Empfehlung, auf eine aktive SSL-Verschlüsselung umzusteigen. Die aktive Entschlüsselung von Daten im Netzwerk ermöglicht es Sicherheitssystemen, bösartige Aktivitäten in Echtzeit zu erkennen und Sicherheitsrisiken zu reduzieren.

3. Nutzung eines Stand-alone-Geräts

Die Einführung von aktivem SSL in die Sicherheitsimplementierung kann eine erhebliche Umstrukturierung der Netzwerkinfrastruktur erfordern. Einige vorhandene Überwachungsgeräte wie Next Generation Firewalls können eine aktive SSL-Entschlüsselung unterstützen, aber die Netzwerkleistung negativ beeinflussen. Aktives SSL in vorhandenen Sicherheitstools kann die Gesamtleistung beeinträchtigen sowie die Latenzzeit erhöhen und so zusätzliche Verarbeitungskapazität erfordern.

Allerdings können manche Firewalls, IPS-Lösungen oder andere Sicherheitsvorrichtungen den Datenverkehr möglicherweise überhaupt nicht entschlüsseln. Eine dedizierte aktive SSL-Lösung, die den Datenverkehr für alle Tools ent- und verschlüsselt, erhöht die Effizienz während der Verarbeitung und reduziert die Belastung der Sicherheits-Tools.

4. Klartextdaten schützen

Sobald die Daten entschlüsselt sind, geht der Klartext an Out-of-Band-Überwachungs- und Analysewerkzeuge. Dies stellt ein neues Risiko dar, da sensible Klartextdaten bei der Übertragung abgefangen oder über das empfangende Tool gelesen werden können. Ein Gerät mit Datenmaskierungsfunktionen kann zusätzliche Sicherheit für sensible Informationen wie Passwörter, Kreditkartennummern, Sozialversicherungsnummern, E-Mail-Adressen und Gesundheitsdaten bieten. Intelligente Datenmaskierungssysteme können Datenpakete nach Mustern durchsuchen, die den Datenschutzbestimmungen entsprechen, und alle bis auf die letzten Zeichen einer Zeichenkette blockieren.

5. Geräte und ihre Fähigkeiten überprüfen

Um sicherzustellen, dass alle Sicherheitsgeräte wie erwartet funktionieren, sollten Validierungstests im Netzwerk zur Routine gehören. Eine Testlösung, die verschlüsselte Malware und andere IT-Angriffe erzeugen kann, hilft, Schwachstellen bei der Bereitstellung von Sicherheitssystemen aufzudecken. Darüber hinaus helfen solche Tests dabei, potenzielle Lösungen bewerten, Konfigurationen zu verfeinern und die Leistung bestehender Tools zu messen.

6. Auslagerung des Projekts

Da es oft an IT- und Sicherheitsexperten mangelt, ist das Outsourcing der logistischen Planung und Umstrukturierung der Infrastruktur möglicherweise der kostengünstigste Weg zur Implementierung von TLS 1.3. Zusätzlich zur Aktualisierung der Web-Server-Software sind möglicherweise Geräte, die den neuen Standard nicht unterstützen, auszutauschen und der Datenverkehr umzuleiten. Die Möglichkeit, dass ein vertrauenswürdiger Dritter Pläne entwickeln, neue Anbieter auswählen, Konfigurationen optimieren und Änderungen verwalten kann, reduziert die Implementierungszeit und die mit der Netzwerkumstellung verbundenen Risiken erheblich.

In manchen Netzen ist es schon heute der Fall, doch auch in vielen anderen wird schon bald der größte Teil des Datenverkehrs verschlüsselt sein. Die Unterstützung von PFS und TLS 1.3 wird daher zunehmend zur Notwendigkeit, um Hacker vom eigenen Netzwerk fernzuhalten.

Weitere Informationen stehen unter www.keysight.com zur Verfügung.

Dr. Jörg Schröper ist Chefredakteur der LANline.

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu MIT-Management Intelligenter Technologien GmbH

Weitere Artikel zu Axians

Weitere Artikel zu FNE Forschungsinstitut für Nichteisen-Metalle Frb. GmbH

Weitere Artikel zu Repair Management

Matchmaker+