Kein Schlupfloch lassen für die Bösen

Scannen im SSL-Tunnel

8. März 2006, 0:25 Uhr | Dr. Horst Joepen/wj Dr. Horst Joepen ist Vice President Strategic Alliances bei Secure Computing.

SSL-Verbindungen als moderne VPN-Variante oder Sicherheitselement beim Webzugriff erfreuen sich rapide wachsender Beliebtheit. Will man allerdings ausschließen, dass auch unerwünschte Elemente den Schutz des verschlüsselten Tunnels nutzen, ist einiger Aufwand vonnöten.

Die Übertragung vertraulicher Daten über das Internet nimmt kontinuierlich zu. Unternehmen
können heute nicht mehr auf das hierfür gern genutzte HTTPS-Protokoll verzichten. Die
unbestreitbaren Vorteile der Verschlüsselung sollten aber nicht über die mit ihnen verbundenen
Gefahren hinweg täuschen. Denn verschlüsselte Dateien gelangen ungefiltert ins Unternehmensnetz,
weil sie jede Firewall und jeden Virenscanner umgehen. Damit sind sie potenzielle Überträger von
Schädlingen aus dem Internet. Das Content Security Management (CSM) muss deshalb auch
SSL-Verbindungen abdecken können.

Sicherheitsrisiko HTTPS

HTTPS wird gleich durch mehrere Eigenschaften des Protokolls zum beliebten Angriffspunkt für
Hacker, Viren, und bösartige oder unbedarfte Mitarbeiter. Dies ist eine nicht zu vernachlässigende
Gefahr für die Netzsicherheit. Viren-Scans und Content Filtering können nicht auf verschlüsselte
Inhalte angewendet werden.

Zertifikate sind ein weiterer Aspekt von SSL, der einige Unwägbarkeiten birgt.
Web-Server-Zertifikate können gestohlen, gefälscht, abgelaufen oder widerrufen sein. Obwohl
Zertifikatswiderrufslisten, so genannte "Revocation-Lists", normalerweise regelmäßig auf dem
neuesten Stand gehalten sind, werden sie doch nur selten von Anwendern eingesehen. Für Hacker ist
es bei vielen populären Browsern ein Leichtes, falsche Zertifikate einzubauen, mit denen Dritte "
vertrauenswürdige" Verbindungen durch das Unternehmensnetz etablieren können. In Firmen ohne
umfassende Content Protection für SSL entscheiden die Mitarbeiter, ob ein Zertifikat
vertrauenswürdig ist. Meist fehlen diesen aber Informationen für eine qualifizierte Entscheidung.
Legitim erscheinende Zertifikate können ohne große Probleme von Kriminellen erworben werden und
genügen, Webbenutzer von der scheinbaren Sicherheit eines Internet-auftritts zu überzeugen. Somit
ist es für Kriminelle ein leichtes, die gefälschte Webseite einer Bank im Rahmen einer
Phishing-Attacke über ein vermeintlich legitimes Zertifikat als sicher und vertrauenswürdig
erscheinen zu lassen.

Herkömmliche Gegenmaßnahmen

Da es bisher nur wenige Lösungen auf diesem Gebiet gibt, können Administratoren den
Sicherheitsgefahren durch HTTPS kaum begegnen. Einige Unternehmen haben sich daher entschieden, auf
SSL zu verzichten. Dahinter steckt die Ansicht, dass die meisten verschlüsselten Inhalte nicht
geschäftsrelevant sind. Die Unternehmen schätzen die Risiken durch SSL so hoch ein, dass sie lieber
auf den verschlüsselten Transfer einiger geschäftsrelevanter Inhalte verzichten, als sich dem
potenziellen SSL-Risiko auszusetzen.

Andere Unternehmen haben die Risiken von SSL erkannt und sperren ebenfalls das Protokoll –
allerdings nicht konsequent. Stattdessen versuchen sie, dem Problem durch ungeeignete Maßnahmen zu
begegnen, beispielsweise durch das Blockieren von URLs.

Zwar können HTTPS-Seiten auf Hosts bezogen blockiert werden. Auf dem Level des Inhalts von
Seiten funktioniert dieses allerdings nicht, sodass ein großer Teil der verschlüsselten Inhalte
unblockiert bleibt. Hinzu kommt, dass jeden Tag neue URL-Tunneling-Channels eröffnet werden. Daher
können URL-Datenbanken keine 100-prozentige Lösung sein.

Viele größere Unternehmen müssen inzwischen mit SSL arbeiten, um konkurrenzfähig zu bleiben. Sie
sind dabei auf Anwendungen wie Clientless VPNs, E-Procurement und Web-Services angewiesen. Einige
Organisationen haben sich mit den Risiken abgefunden, die durch einen unkontrollierten
HTTPS-Verkehr entstehen. Viren oder unachtsame Mitarbeiter bleiben für Unternehmen ohne
Sicherheitsfilter für SSL-Verkehr daher auch in Zukunft ein Risiko.

Der Gefahr entgegentreten

Die Entschlüsselung erfolgt folgendermaßen: Wenn eine SSL-Verbindung aufgebaut wird, gleicht der
HTTPS-Proxy das Zertifikat gegen eine Liste "verbotener" unvertrauenswürdiger Zertifikate ab und
prüft auf weitere Irregularitäten. Vor dem Weiterleiten an die Content-Security-Filter wird der
SSL-Inhalt vom HTTPS-Proxy dann entschlüsselt. Dabei funktioniert ein installierter SSL-Scanner als
"Terminating und Forwarding Proxy". Er terminiert den SSL-Datenstrom als wäre er der Endpunkt der
geschützten Verbindung und reicht die Informationen daraufhin zu den Antivirus- und
Content-Filter-Engines weiter. Danach wird der Datenstrom vor dem Verlassen der Demilitarized Zone
(DMZ) erneut verschlüsselt und an den Nutzer weitergeleitet, der das Ziel der Verbindung
darstellt.

Die Fähigkeit, HTTPS-Inhalte zu entschlüsseln, stützt sich auf die Interaktion zwischen den drei
Instanzen, die mit Kommunikation befasst sind: den Client-Browser, den Gateway Proxy und die
Website. Die Kommunikationsstruktur ähnelt einem "Mittelsmann"-Szenario, ist aber einzigartig, da
die Behandlung verschlüsselter Inhalte vollständig innerhalb des geschützten Unternehmensnetzwerks
stattfindet. Aus Sicherheitsgründen wird jegliches Filtern innerhalb der Demilitarized Zone (DMZ)
des Netzes durchgeführt. Die Daten werden außerhalb dieses Bereichs in jedem Fall wieder
verschlüsselt, um eine sichere Passage durch das Netz zum Browser des eigentlichen Adressaten zu
gewährleisten.

Entschlüsseln ohne Sicherheitslücke

Die Architektur, die für einen SSL-Scanner empfohlen wird, zielt darauf ab, die Integrität
ursprünglich verschlüsselter Daten für den Zeitraum, in dem sie unverschlüsselt sind, zu
garantieren. In den meisten Szenarien geschieht der Austausch zwischen dem HTTPS Proxy und der
Filter-Engine ausschließlich auf einem einzigen Rechner im Hauptspeiche. Deshalb sind im Netz zu
keiner Zeit entschlüsselte Inhalte abgreifbar.

Eine SSL-Filterlösung sollte sich durch folgende, wichtige Eigenschaften auszeichnen:

Gateway Antivirus Scanning ist von Bedeutung, da Viren und Malicious Mobile
Code aufgehalten werden, bevor sie in Ihr Netzwerk eintreten. Erfahrene Administratoren wissen, das
Desktop-Antivirenfilter nicht immer auf dem letzten Stand sind, so dass die Virenabwehr an der
Frontlinie besonders wichtig ist. Wenn HTTPS am Gateway entschlüsselt und gefiltert werden kann,
erhalten Unternehmen für HTTPS den gleichen Schutz, der für HTTP verfügbar ist.

Media-Type-Filter: Viele Unternehmen möchten Richtlinien für Media File
Sharing (mp3), das Herunterladen von ausführbaren Dateien und das Versenden von vertraulichen
Dokumenten, Tabellen und Datenbankdateien durchsetzen. Verschiedene Sicherheitslösungen bieten
diese Kontrollmöglichkeit für HTTP. Wie bei allen Arten von Content-Filtern haben sich diese Filter
jedoch als ineffektiv bei verschlüsselten Inhalten erwiesen. Wenn HTTPS-Daten aber zuerst
entschlüsselt werden, können Unternehmen eine Vielzahl von Kanälen kontrollieren, durch die solche
Dateien und Medientypen bisher ungeprüft in ihr Netzwerk eintraten oder daraus versendet wurden.
Ein Media-Type-Filter scannt alle eingehenden und ausgehenden Objekte – sogar Archive, geschachtelt
oder komprimiert – und identifiziert den zugehörigen Medientyp. Um ganz sicher zu gehen, werden
nicht nur Dateinamenserweiterung und gemeldeter MIME-Type des Webservers evaluiert, sondern es
erfolgt auch ein eingehender Scan der Byte-Muster. Somit ist eine Beeinflussung oder eine
Fehlinterpretation ausgeschlossen.

Zertifikatsverwaltung: Die meisten Unternehmen prüfen Partner, mit denen sie
offline Geschäfte betreiben, sehr genau. Inhärente Schwächen im Zertifikatsaustauschprozess von SSL
erschweren dieses jedoch, wenn Transaktionen online geschehen sollen. Eine zentrale
Zertifikatsrichtlinie am Gateway nimmt die Last der Entscheidung von den Mitarbeitern und erlaubt
es den Administratoren, eine Zertifikatsrichtlinie aus einem Guss durchzusetzen.

Content-Filtering: Wenn es darum geht, Bandbreite einzusparen, oder wenn
Vertraulichkeit ein wichtiges Thema ist, bieten sich eine Handvoll Produkte an, mit denen Skripte,
Banner-Werbung, Pop-ups, Web Bugs und andere Tools für "Lauschangriffe" abgewehrt werden können.
Wie bei den Media-Type-Filtern, können diese Maßnahmen jedoch nicht auf verschlüsselte Webdaten
angewendet werden. Da der Anteil von Inhalten im Verhältnis zu Transaktionen, die über SSL
durchgeführt werden, inzwischen fast gleich ist, werden Bandbreite und Privacy-Filter für HTTPS von
derselben Bedeutung sein, wie dies für HTTP der Fall ist.

URL-Blocking: Da URL-Pfade in verschlüsselten Webinhalten versteckt sind,
können URL-Blocking-Systeme keinerlei Richtlinien durchsetzen, die über die Host-Level hinausgehen.
Dadurch bleiben unzählige nicht-geschäftsrelevante Sites für interessierte Mitarbeiter verfügbar.
Durch Entschlüsselung werden solche Pfade sichtbar gemacht und Unternehmen in die Lage versetzt,
ihre Internetbenutzungsrichtlinien konsistent auf alle Webinhalte anzuwenden.

Einige Anbieter haben ein zweigleisiges Verfahren entwickelt, mit dem der SSL-Verkehr gesichert
und volle Kont-rolle über HTTPS-Inhalte erlangt werden kann. Hierbei können Kunden sofort alle
verfügbaren Filter auf HTTPS-Verkehr ausdehnen. Den Kern dieses Ansatzes bildet die
Entschlüsselungsrichtlinie. Dadurch wird gewährleistet, dass herkömmliche Content- und
Security-Filter auf ursprünglich verschlüsselte Inhalte angewendet werden können.

Dies funktioniert über die bewährte ICAP-Schnittstelle mit jedem ICAP-fähigen Produkt auf dem
Markt. Die Entschlüsselung geschieht am Gateway. Dieses wird durch eine zertifikatsbasierte
Koordination der Browser der Mitarbeiter mit dem Unternehmens-Gateway, beziehungsweise am Proxy,
ermöglicht.

Die Zertifikatsrichtlinien eines SSL-Scanners erlauben es den Administratoren, ihren
Mitarbeitern die kritische Entscheidung über die Vertrauenswürdigkeit eines Zertifikats abzunehmen.
Darüber hinaus wird ein zentralisiertes Verfahren ermöglicht, mit dem Zertifikate am Gateway
akzeptiert werden können. Administratoren können eine unternehmensweite Richtlinie definieren, die
die Vertrauenswürdigkeit einzelner Zertifikate definiert.

Eine Reihe von automatisierten Tests wie zum Beispiel Datumsprüfung und der Abgleich mit
Widerrufslisten hilft dabei, die Gültigkeit von Zertifikaten festzustellen.

Zusammenfassung

Die ungeschützte Verwendung von HTTPS ist riskant. Vertrauliche Dokumente können das Netzwerk
über Webmail Services verlassen. Würmer und Hacker warten nur auf den richtigen Zeitpunkt für einen
Angriff. Benutzer können unbemerkt Pornografie herunterladen. Tools wie URL Blocking oder
Desktop-Antiviren-Programme tragen dabei nur wenig zur Sicherheit von SSL bei. Nur wenn Unternehmen
mit verschlüsselten Daten genauso verfahren wie mit unverschlüsselten, lässt sich eine schlüssige
und konsequente Internetnutzungsrichtlinie durchsetzen. Ist dies möglicht, steigert dies die
Effizienz eines vorhandenen Content Security Tools enorm. Unternehmen erlangen mit seiner Hilfe die
Kontrolle über SSL.


Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Lampertz GmbH & Co. KG

Matchmaker+