Problemquelle TLS-Datenverkehr
Verschlüsselung setzt Firewalls schachmatt
Die starke Zunahme verschlüsselten Netzwerkverkehrs hat ein Sicherheitsproblem erzeugt. Denn vielen Firewalls mangelt es an ausreichenden Überprüfungsfähigkeiten für TLS-Verkehr (Transport Layer Security). Dies hat fatale Folgen.
Über 90 Prozent des Datenverkehrs in den Netzwerken ist heute verschlüsselt. Eine durchschnittliche Firewall lässt diesen Traffic ungefiltert durch. Das liegt daran, dass die meisten Firewalls dieser Aufgabe einfach nicht gewachsen sind. Selbst wenn die Firewall in der Lage ist, den verschlüsselten Datenverkehr zu prüfen, ist die TLS-Prüfung (Transport Layer Security) nur allzu oft schlecht implementiert. Die Folge: Viele Websites funktionieren nicht, die Benutzerfreundlichkeit leidet. Es überrascht also nicht, dass Hacker diese Lücke ausnutzen, um Schadcode ins Unternehmensnetzwerk einzuschleusen. Viele IT- und Security-Administrationsteams stellt dies vor eine große Herausforderung.
Tücken der TLS-Inspektion
TLS ist heute der gängige Verschlüsselungsstandard im Internet, auch wenn ihn viele mit SSL (Secure Sockets Layer) verwechseln. Tatsächlich handelt es sich bei SSL um einen alten Standard, den TLS längst verdrängt hat. TLS soll Vertraulichkeit und Authentizität gewährleisten. Dies geschieht einerseits durch Verschlüsselung der Daten und andererseits durch eine Zertifikatsüberprüfung. TLS-Verschlüsselung bietet aber keine Gewähr dafür, dass der Website-Inhalt sicher ist. Eine Website, die Schadprogramme beherbergt, kann eine gültig verschlüsselte und damit scheinbar sichere Verbindung aufweisen. Wenn jemand behauptet, seine Verbindung zu einem Web-Server sei sicher, meint er eigentlich nur, dass sie abhörsicher ist – obwohl selbst das nicht immer zutrifft. Deshalb ist es wichtig, den verschlüsselten Verkehr zu überprüfen.
Die Herausforderung bei der TLS-Überprüfung besteht darin, dass TLS ein sehr komplexes Protokoll ist. Es umfasst den Austausch verschiedener Zertifikate sowie das Aushandeln der zu verwendenden Chiffrensammlungen (Cipher Suites), die bestimmen, wie die Verbindung zu verschlüsseln ist. Erschwerend kommt hinzu, dass es mehrere TLS-Versionen gibt. Daher kann es trotz strenger Standards zu Kompatibilitätsproblemen kommen. Dies stellt enorme Herausforderungen an jede Sicherheitslösung, die versucht, sich in den Prozess einzuschleusen, um die Inhalte zu prüfen. Ein grundlegender Bestandteil von TLS ist auch die Zertifikatsüberprüfung. Sie versetzt den Client oder ein Prüfsystem im Netzwerk wie die Firewall in die Lage, die Identität des Servers, von dem die Kommunikation ausgeht, zu überprüfen. Damit die Zertifikatsvalidierung funktioniert, muss sie richtig implementiert sein, um sicherzustellen, dass die Firewall und somit die Endpunkte mit einem validierten Server kommunizieren.
TLS 1.3 und das Ausräumen einiger Mythen
Der aktuelle TLS-Standard ist TLS 1.3. Er bietet eine Reihe von Vorteilen gegenüber seinen Vorgängern hinsichtlich Leistung, Datenschutz und Behebung von Sicherheitslücken. Alle wichtigen Browser unterstützen inzwischen diesen Standard, aber die Einführung von TLS 1.3 auf Servern steckt noch in den Kinderschuhen. Auch die meisten derzeit verfügbaren Firewalls mit TLS-Inspektion unterstützen den aktuellen Standard nicht vollständig. Stattdessen erzwingen sie ein Downgrade auf TLS 1.2 und bieten damit Angreifern die Möglichkeit, durch das Ausnutzen von Schwachstellen in dieser veralteten TLS-Version die Verbindungen anzugreifen und als Einfallstor zu nutzen.
Wie bei vielen neuen Technologien gibt es auch bei der Prüfung von TLS 1.3 eine Reihe von Mythen und Missverständnissen. Dazu gehört beispielsweise die pauschale Aussage, TLS 1.3 ließe sich nicht inspizieren. Das ist falsch. Es stimmt zwar, dass die passive TLS-Inspektion nicht möglich ist, aber mit einem kooperierenden Endpunkt – wie in einem Unternehmensnetzwerk – ist eine Überprüfung möglich. Eine weitere Behauptung: Die Überprüfung verschlüsselter Datenströme beeinträchtige die Sicherheit. Dies trifft zu, wenn die Security-Lösung eine TLS-1.3-Verbindung zu Zwecken der Überprüfung auf TLS 1.2 herunterstuft. Die Schwachstellen in TLS 1.2 öffnen Tür und Tor für einen MITM-Angriff (Man in the Middle).
TLS 1.3 dient dem Zweck, diese Schwachstelle zu beheben, sodass die Überprüfung des Datenverkehrs ohne Herabstufung kein Risiko darstellt. Auch die Behauptung, das Zertifikats-Pinning mache eine TLS-Überprüfung unmöglich, trifft nur bedingt zu. Sie gilt zwar für einige Anwendungen mit „fest verdrahteten” Zertifikaten, aber die meisten Anwendungen verwenden einen Zertifikats-Pinning-Ansatz, der weiterhin mit SSL-Prüflösungen funktioniert.
Zusätzlich zur technischen Komplexität bei TLS-verschlüsselten Datenströmen gilt es, rechtliche Vorgaben wie Compliance-Anforderungen, IT-Sicherheit und unternehmenspolitische Aspekte gleichermaßen zu berücksichtigen. Ein großer Teil des TLS-verschlüsselten Datenverkehrs entsteht bei Unternehmensanwendungen und beim Einsatz von Streaming-Medien. Bei der Prüfung dieses Datenverkehrs ist zu beachten, dass die IT-Infrastruktur nicht jeden verschlüsselten Datenverkehr gleichbehandeln kann oder sollte.
Es gilt, eine Balance zwischen Datenschutz, Sicherheit, Compliance und Datendurchsatz herzustellen. Leider zwingen die Einschränkungen der TLS-Inspektionslösungen der meisten Firewalls Unternehmen zu einem sehr unausgewogenen Ansatz: Man opfert Sicherheits- und Compliance-Anforderungen im Kampf um Datendurchsatz und Interoperabilität.
- Verschlüsselung setzt Firewalls schachmatt
- Firewalls überflüssig?
Lesen Sie mehr zum Thema
