<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=286961978467565&amp;ev=PageView&amp;noscript=1">
Skip to content

SSL-Inspection - Fluch oder Segen?

SSL-Inspection - Fluch oder Segen?

Bestimmt haben Sie bereits von dem Begriff SSL gehört. SSL (Secure Sockets Layer) wird neuerdings TLS (Transport Layer Security) genannt und ist ein Verschlüsselungsprotokoll. Damit sollen Daten sicher übertragen werden. Im Zusammenhang mit Firewalls findet sich nun der Begriff SSL-Inspection (oft auch SSL-Decryption oder SSL-Interception genannt). Da es sich hierbei um ein umstrittenes Verfahren handelt, will ich Ihnen im folgenden Artikel die Hintergründe von SSL-Inspection erläutern und aufzeigen, welche Folgen sich daraus für Ihr Unternehmen ergeben.

Klassische SSL-Verschlüsselung

Bei einer simplen Client-Server-Verbindung kann man von einer Ende-zu-Ende-Verschlüsselung sprechen, da die übertragenen Daten auf ihrem gesamten Weg verschlüsselt bleiben und nur bei den Endpunkten (also beim Client und beim Server) die Daten entschlüsselt werden. Demnach werden die Daten nur bei den tatsächlich beteiligten Kommunikationspartnern entschlüsselt. Anders sieht die Situation allerdings aus, wenn die Kommunikation nicht mehr ausschließlich zwischen den beiden Kommunikationspartnern, sondern über eine dritte Instanz wie z.B. eine Firewall  stattfindet.

 

SSL-Verschlüsselung bei Kommunikation über eine dritte Instanz

Wie sieht die Situation aus, wenn zwischen den beiden Kommunikationspartnern noch eine Firewall oder ein Proxy mit aktivierter SSL-Inspection involviert ist? Nehmen wir an, ein Client im Unternehmensnetzwerk möchte mit einem Server (z.B. beim Online Banking) kommunizieren, diese Kommunikation läuft aber über die Unternehmens-Firewall die den Internet-Traffic überwacht. Daraus ergibt sich, dass nun Server und Client nicht mehr direkt miteinander kommunizieren, sondern jeweils nur mit der Firewall. Das wiederum heißt, dass sich die Firewall gegenüber dem Banking Server sozusagen wie ein Client verhält und gegenüber dem Client sozusagen wie der Banking Server. Als „Man-in-the-Middleentschlüsselt die Firewall den Traffic und prüft diesen auf Viren und Malware.

Lesen Sie zum Thema Verschlüsselung auch: Diese Verschlüsselungsverfahren sollten Sie kennen

 

SSL-Inspection macht die Firewall zum Man-in-the-middle

Bei dem erklärten Verfahren findet nun auf der Firewall eine Entschlüsselung statt. Die Verbindung zwischen Firewall und Server bzw. zwischen Firewall und Client ist zwar noch SSL-verschlüsselt, die gesamte Verbindung zwischen Server und Client nicht mehr. Die Firewall wird zum sogenannten Man-in-the-Middle. Im Normalfall versucht man so etwas zu vermeiden, da dies ein Angriffspunkt ist, mit dem Cyberkriminelle an sensible Daten (z.B. Passwörter) gelangen könnten. Dadurch, dass die Kommunikation also nicht mehr Ende-zu-Ende-verschlüsselt ist, ergab sich ein Sicherheitsproblem. Lange Zeit gab es zu diesem Verfahren keine Alternative wenn man sicherstellen wollte, dass nicht durch SSL-Verbindungen Malware ins Unternehmensnetz gelangt. Neue Technologien ermöglichen nun wieder die Ende-zu-Ende-Verschlüsselung ohne auf die Sicherheitsscans verzichten zu müssen.

 

Synchronized Security Client

Dem Problem kann man entgegenwirken, indem man den Scan der Nachrichten von der Firewall auf den Client verlagert. Die Firewall an sich verhält sich sozusagen transparent und lässt den SSL-Traffic ohne Scan passieren. Mit der neuen Synchronized Security Technologie von Sophos kann der SSL Scan nun auf dem Client durchgeführt werden. Sobald dort eine potenzielle Bedrohung entdeckt wird, sendet der Endpoint Security Client eine Meldung an die Firewall, dass diese die Verbindungen des Clients ins Internet unterbrechen soll. Die Sophos XG Firewall verhindert daraufhin, dass der SSL-Traffic beim Client weiterhin ankommt und isoliert diesen im Netzwerk. Eine entsprechende Notification an den Administrator oder das SOC weist auf das aufgetretene Sicherheitsproblem hin, so dass dort die entsprechenden Maßnahmen wie z.B. eine Untersuchung des Vorfalls eingeleitet werden können . Damit hat man also sowohl die Sicherheit, dass der SSL Traffic gescannt wird als auch die Sicherheit, dass eine echte  Ende-zu-Ende-Verschlüsselung besteht. Damit wird verhindert, dass die SSL-Inspection die Firewall zum Man-in-the-Middle macht.

 

 

Fazit

SSL-Inspection ist zwar nötig, um Traffic auf Bedrohungen zu scannen, hat aber den Nachteil, dass keine echte Ende-zu-Ende-Verschlüsselung mehr möglich ist, da die Nachrichten auf der Firewall entschlüsselt werden. Die Lösung für dieses Problem ist, den Traffic erst auf dem Client zu scannen und bei Verdacht auf IT Sicherheitsbedrohungen der Firewall zu melden, dass diese die Verbindung unterbrechen und den Client isolieren soll. Somit ist eine Ende-zu-Ende-Verschlüsselung wieder gewährleistet und der SSL Traffic kann dennoch auf Viren und Malware gescannt werden.