Sicherheitsanalyse des HTTPS-Datenverkehrs

Nicht nur eitel Sonnenschein

20. Januar 2016, 7:00 Uhr | Michael Haas/pf, Area Sales Director Central EMEA bei Watchguard Technologies, www.watchguard.de,

Die Informationsübertragung via HTTPS wird mehr und mehr zum Standard. Zahlreiche Web-Dienste setzen bereits konsequent auf die zusätzliche Verschlüsselung mithilfe des SSL/TLS-Protokolls (Secure Sockets Layer/Transport Layer Security) und sorgen so dafür, dass der jeweilige Datenverkehr abhörsicher ist. Zwar scheint sich damit der Wunsch vieler Datenschutzaktivisten, die bereits seit Jahren eine breite Verwendung von HTTPS fordern, zu erfüllen - aber es gibt auch Schattenseiten dieser Technik.Laut dem in diesem Zusammenhang sehr interessanten Beitrag "The Cost of ?S? in HTTPS" [1] basiert inzwischen die Hälfte des gesamten Internet-Verkehrs auf HTTPS. Gerade die großen Online-Angebote wie Google, Facebook und Youtube setzen beim Datenaustausch bereits standardmäßig auf dieses sichere Kommunikationsprotokoll. Erste Browser-Anbieter erwägen darüber hinaus, Seiten, die nicht auf HTTPS zurückgreifen, als unsicher auszuweisen - was die Etablierung von HTTPS als Standardprotokoll zusätzlich begünstigt. Es gibt vermutlich viele Faktoren, die zur momentanen Ausbreitungswelle von HTTPS beitragen. Einer der Hauptauslöser ist jedoch mit Sicherheit der "Snowden-Effekt": Während die Technikaffinen schon lang verstanden haben, wie einfach es für Angreifer ist, die klassische Online-Kommunikation abzuhören, hat der Fall Edward Snowden dafür gesorgt, dass auch die Masse der Anwender das Risiko von Man-in-the-Middle-Attacken erkennt. Und damit nicht genug: Zudem wurde allen bewusst, dass sich Regierungen die Lauschmöglichkeiten seit Jahren aktiv zunutze machen. Jetzt, da öffentlich bekannt ist, dass uns jemand beobachtet, nehmen wir die Privatsphäre viel ernster.   "Schwarzes Loch" der Netzwerksicherheit Vor diesem Hintergrund ist der Anstieg des HTTPS-Datenverkehrs durchaus positiv zu bewerten. Gleichzeitig gilt es im Rahmen des Netzwerkschutzes, zwei wichtige Stolpersteine zu beachten: auch Angreifer nutzen HTTPS, und Sicherheit geht in diesem Zusammenhang stark zulasten der Netzwerk-Performance. Wer dies ausblendet, begibt sich auf dünnes Eis. Denn HTTPS bringt Hackern die gleichen Vorteile wie allen anderen. Auch Cyberkriminelle können die Inhalte ihrer Kommunikation auf diese Weise verbergen - gleichgültig ob es sich um einen Malware-Download oder um die anschließenden Command-and-Control-Aktivitäten zwischen Malware und Server handelt. Das Protokoll bietet Hackern sehr effektive Möglichkeiten, um unerkannt zu bleiben. Diese können ihre schädlichen Absichten in die Tat umzusetzen, ohne sofort in die Schusslinie zu geraten. Somit verwundert es kaum, dass Angreifer dieses "schwarze Loch" im Rahmen der Netzwerksicherheit und -visualisierung zunehmend ausnutzen. Folglich ist es für Unternehmen wichtiger denn je, entsprechende Vorkehrungen zu treffen. Diese benötigen passgenaue Werkzeuge, die hinter den Vorhang der HTTPS-Kommunikation blicken und alle erforderlichen Security Scans durchführen (Antivirus, Intrusion Prevention Services etc.). Passende Lösungen gibt es glücklicherweise zuhauf. Viele moderne Netzwerksicherheitsprodukte - von UTM-Appliances (Unified Threat Management) über Next Generation Firewalls (NGFW) bis hin zu weiteren spezifischen Sicherheits-Proxies - bieten heute integrierte HTTPS Application Layer Gateways oder sogenannte Deep Packet Inspection. Im Grunde genommen nutzen all diese Plattformen das Man-in-the-Middle-Prinzip, um die Kommunikation via HTTPS zeitweise zu entschlüsseln und die notwendigen Sicherheitsprüfungen auszuführen. Anschließend wird der Datenverkehr automatisch wieder verschlüsselt und weitergeleitet. Dieses Vorgehen setzt voraus, dass die einzelnen Clients ein digitales Zertifikat unterstützen, das die Integrität und Authentizität der Prüfung im Rahmen der vorhandenen HTTPS-Verbindung sicherstellt. Letztlich ist es dadurch möglich, Schadcode im sonst nicht entzifferbaren Datenverkehr auf die Schliche zu kommen, ohne dabei die Privatsphäre der Kommunikation selbst zu verletzen.   HTTPS-Analyse kostet Ressourcen Dies bringt uns schnell zur zweiten angesprochenen Hürde beim HTTPS-Datenaustausch - der Performance. Einfach gesagt: Informationen zu verschlüsseln verlangt mehr Rechenkapazität und das Gesamtvolumen des Datenverkehrs wächst deutlich (für Details siehe [1]). Dennoch sollte es auf der Basis heutiger, leistungsstarker Netzwerkstrukturen keinerlei Probleme bereiten, den zusätzlichen Ressourcenbedarf effizient abzufedern - zumindest solange dabei nicht die Sicherheitstechnik selbst im Fokus steht. Wie schon angesprochen, sind inzwischen zahlreiche Sicherheitsplattformen in der Lage, die HTTPS-Datenkommunikation zu entschlüsseln. Dadurch erhöht sich der benötigte Rechenbedarf jedoch zusätzlich. Zudem muss die Security-Appliance den Datenverkehr anschließend auch wieder verschlüsseln. Darüber hinaus kommen vor dem Hintergrund der heutigen Bedrohungslandschaft idealerweise gleich mehrere Sicherheits-Scans (zum Beispiel Intrusion Prevention Services, Antivirus sowie der Check auf Command-and-Control-Strukturen) bei der Überprüfung der HTTPS-Kommunikation zum Tragen. Falls dafür separate Sicherheitssysteme im Einsatz sind, ist der Datenverkehr jedes Mal aufs Neue zu durchleuchten, was die Performance entscheidend beeinflusst. Wenn man also davon ausgeht, dass inzwischen 50 Prozent des Datenverkehrs auf HTTPS beruhen, kann dies schnell zu Engpässen bei der sicheren Datenübertragung führen.   Sicherheit auch bei erhöhter Belastung gewährleisten Abhilfe versprechen fortschrittliche All-in-One-Sicherheits-Appliances, die darauf ausgelegt sind, auch bei zunehmender Kommunikation via HTTPS hohe Performance zu gewährleisten. Der Vorteil vieler UTM-Plattformen und Next-Generation Firewalls liegt darin, dass diese alle Sicherheitskontrollen gleichzeitig an einer Stelle ausführen. Das heißt, der HTTPS-Datenstrom muss nur ein Mal entschlüsselt werden. In diesem Zusammenhang sollten Unternehmen allerdings sicherstellen, dass die jeweilige Lösung auch jederzeit mit der starken Belastung umgehen kann. Viele Hersteller von UTM-Systemen und NGFW weisen einzig und allein den Datendurchsatz ihrer Firewall aus. Eine Aussage zur Leistungsfähigkeit bei Aktivierung weiterer Sicherheits-Services wie beispielsweise der Deep Packet Inspection bei der HTTPS-Kommunikation fehlt. Daher sollten Unternehmen in jedem Fall hinterfragen, wie sich der Datendurchsatz einer Appliance verändert, sobald sie weitere verfügbare Sicherheitsfunktionen hinzuschalten. Nur so lässt sich herausfinden, ob das eingesetzte System der Belastung im Zuge des explosionsartig ansteigenden HTTPS-Datenverkehrs standhalten und gleichzeitig kompromisslose Sicherheit garantieren kann. Zusammenfassend lässt sich festhalten, dass die zunehmende Nutzung von HTTPS die Sicherheit im Internet deutlich erhöht. Jedoch sollten Unternehmen vehement darauf achten, dass die von ihnen eingesetzten Security-Techniken in der Lage sind, die damit einhergehenden Bedrohungen jederzeit zu durchdringen. Gleichzeitig sollte der kompromisslose Netzwerkschutz nicht auf Kosten der Geschwindigkeit beim Datenaustausch gehen - selbst wenn die HTTPS-Last künftig weiter ansteigt.

Der analysierte HTTPS-Traffic lässt sich beispielsweise nach Art der Anwendung oder nach Web-Seiten-Kategorie (im Bild) übersichtlich auflisten.

Lösungen wie beispielsweise Watchguard Dimension ermöglichen die Analyse der HTTPS-Verbindungen inklusive Timestamp, IP-Adresse und Häufigkeit des Aufrufs.
LANline.

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Robert Half Technology

Matchmaker+