Berücksichtigung des Peter-Parker-Prinzips bei der TLS-Inspektion

„Mit großer Macht geht große Verantwortung einher.“ Das Zitat ist eine Anspielung auf Voltaire und Churchill und ist vor allem aus den „Spider-Man“-Comics bekannt, die Peter Parkers Onkel Ben zugeschrieben werden. Ein Teil der kulturellen Verbreitung dieses Satzes liegt natürlich darin, dass er auf zahlreiche Situationen und Themen angewendet werden kann, darunter – wie der Titel schon andeutet – die TLS-Inspektion.

Vor Kurzem hat die National Security Agency (NSA) der Vereinigten Staaten eine Empfehlung zu möglichen Risiken im Zusammenhang mit der Einführung von Transport Layer Security Inspection (TLSI) veröffentlicht. Die Empfehlung der NSA lieferte außerdem Methoden zur Minderung potenzieller Sicherheitslücken für Organisationen, die TLSI-Produkte einsetzen und verwenden.

Eine kurze Einführung in TLSI: TLSI – auch bekannt als TLS Break and Inspect – ist ein Prozess, der es Organisationen ermöglicht, Netzwerkverkehr, der mit TLS oder sogar Secure Socket Layer (SSL) verschlüsselt ist, zu entschlüsseln und erneut zu verschlüsseln. TLSI ist für Unternehmen unerlässlich, da die meisten Angriffe heutzutage im verschlüsselten Datenverkehr verborgen sind. Aktuellen Untersuchungen zufolge werden beispielsweise mittlerweile über 90 % der Seitenaufrufe mit SSL/TLS verschlüsselt und 71 % der Phishing-Websites nutzen Verschlüsselungszertifikate.

Viele Organisationen verwenden heute ein dediziertes Gerät, beispielsweise ein Proxy-Gerät, eine Firewall oder ein Intrusion Detection System (IDS) bzw. Intrusion Prevention System (IPS), um mit TLS verschlüsselten Datenverkehr zu entschlüsseln und erneut zu verschlüsseln. Andere wiederum leiten TLS-verschlüsselten Datenverkehr immer noch durch eine Daisy-Chain von Geräten in ihrem Sicherheits-Stack und erzwingen so die Entschlüsselung und Neuverschlüsselung durch jedes Sicherheitsgerät. Der gesamte TLSI-Prozess unterstützt Organisationen bei der Überwachung potenzieller Bedrohungen (wie etwa Malware) im eingehenden verschlüsselten Datenverkehr. Darüber hinaus können Organisationen den ausgehenden verschlüsselten Datenverkehr auf Datenexfiltration und aktive Command-and-Control-Kommunikation (C2) mit bösartigen Servern überwachen, die zum Herunterladen weiterer Angriffsmittel bereit sind.

Doch die Methode und die Art und Weise, wie TLSI eingesetzt und genutzt wird, können laut der Warnung der NSA auch ernsthafte Risiken für ein Unternehmen mit sich bringen.

Die NSA empfiehlt in ihrer Empfehlung außerdem, TLS-Verkehr innerhalb des Netzwerks einer Organisation nur einmal zu unterbrechen und zu überprüfen. In der Empfehlung wird eindeutig darauf hingewiesen, dass das Entschlüsseln, Überprüfen und erneute Verschlüsseln von TLS-Datenverkehr durch ein Forward-Proxy-Gerät und das anschließende Senden des Datenverkehrs an ein anderes Forward-Proxy-Gerät für dieselbe Aktion nicht durchgeführt werden sollte. Diese Maßnahme vergrößert die Risikofläche, bietet jedoch keinen zusätzlichen Nutzen.

Wenn eine Organisation ein TLSI-Angebot einsetzt oder verwendet, das TLS-Zertifikate nicht richtig validiert, kann die TLS-Verschlüsselung geschwächt werden, wodurch eine Öffnung für Man-in-the-Middle-Angriffe (MiTM) entsteht.

Die Verwendung eines nicht ordnungsgemäß funktionierenden Forward-Proxy-Geräts für TLSI kann dazu führen, dass entschlüsselter Datenverkehr auf ein nicht autorisiertes Drittgerät umgeleitet wird und vertrauliche Daten gestohlen oder missbraucht werden.

Die Überwachung des Netzwerkverkehrsflusses zum Forward-Proxy kann laut NSA-Warnung dazu beitragen, mögliche Angriffe zu verhindern. Um sicherzustellen, dass TLSI wie vorgesehen funktioniert, empfiehlt die Empfehlung außerdem die Analyse der Protokolle. Diese kann fehlgeleiteten Datenverkehr erkennen und Missbrauch oder Fehlgebrauch – ob absichtlich oder unabsichtlich – durch Administratoren aufdecken.

Außerdem müssen TLSI-Produkte wahrscheinlich TLS-Verbindungen verketten, was zu einer Herabstufung des Verschlüsselungsschutzes führen und zur Ausnutzung einer schwächeren Verschlüsselungssuite oder TLS-Version führen könnte. Einige TLSI-Angebote erlauben schwächere TLS-Versionen und Verschlüsselungssammlungen möglicherweise nur ausnahmsweise.

Die meisten TLSI-Forward-Proxy-Geräte verfügen über eine eigene interne Zertifizierungsstelle (CA) zum Erstellen und Signieren neuer Zertifikate. Allerdings könnte die integrierte Zertifizierungsstelle zum Signieren von Schadcode verwendet werden, wodurch Sicherheitsmechanismen wie IDS und IPS umgangen werden. Auch könnte sie zum Bereitstellen böswilliger Dienste missbraucht werden, die echte Dienste imitieren. Die NSA-Empfehlung empfiehlt Organisationen, Produkte auszuwählen, die Datenfluss, TLS und CA ordnungsgemäß implementieren.

Eine weitere Angriffsfläche kann dort liegen, wo das TLSI-Gerät den Datenverkehr entschlüsselt, unmittelbar bevor dieser an die Sicherheitsgeräte gesendet wird. Der Datenverkehr erfolgt im Klartext und ist anfällig für Angriffe, bei denen Angreifer Zugriff auf Benutzeranmeldeinformationen und andere vertrauliche Daten erlangen könnten.

F5 SSL Orchestrator stellt sicher, dass verschlüsselter Datenverkehr entschlüsselt, durch entsprechende Sicherheitskontrollen überprüft und erneut verschlüsselt wird. Dadurch werden Einblick in den verschlüsselten Datenverkehr ermöglicht und verborgene Bedrohungsrisiken gemindert. SSL Orchestrator maximiert außerdem die Effektivität vorhandener Sicherheitsinvestitionen, indem es Sicherheitsdienste dynamisch verkettet und entschlüsselten Datenverkehr über Richtlinien steuert und kontextbasierte Intelligenz auf verschlüsselten Datenverkehr anwendet. Darüber hinaus verwaltet und verteilt SSL Orchestrator die neuesten Verschlüsselungstechnologien zentral über die gesamte Sicherheitsinfrastruktur eines Unternehmens, zentralisiert die Zertifikate- und Schlüsselverwaltung und bietet gleichzeitig eine robuste Verschlüsselungsverwaltung und -kontrolle. SSL Orchestrator überwacht unabhängig die Integrität aller Sicherheitsdienste. Darüber hinaus wird sichergestellt, dass Sicherheitslösungen mit maximaler Effizienz arbeiten und über die Lastausgleichs- und Skalierungsfunktionen von F5 mit hoher Verfügbarkeit skaliert werden können. Darüber hinaus unterstützt es die strengsten und robustesten Regierungs- und Industriestandards für Sicherheit und Datenschutz.

Der Schwerpunkt der NSA-Empfehlung liegt darauf, die TLS-Entschlüsselung und -Überprüfung sorgfältig und einmal durchzuführen. Obwohl es technisch gesehen so aussehen mag, als würde eine All-in-One-Lösung wie eine Firewall der nächsten Generation (NGFW) dieses Konzept erfüllen, ist sie in der Praxis ziemlich unpraktisch, wenn man versucht, alle Arten von verschlüsseltem Datenverkehr und alle Durchsatzanforderungen zu erfüllen. Was wirklich benötigt wird – und der beste Ansatz für eine gute und einmalige TLS-Entschlüsselung und -Überprüfung – ist ein genau überwachter, sicher verbundener Satz von Produkten mehrerer Anbieter, die in einer Lösung zum einmaligen Entschlüsseln/Überprüfen/Neuverschlüsseln konfiguriert sind, die sich als flexibler, robuster und praktischer erweisen wird.

Mit F5 SSL Orchestrator muss eine Organisation keine Weiterleitungsproxygeräte verketten. Es ist keine unabhängige Verkehrsüberwachung oder zusätzliche Geräteüberwachung erforderlich. Da es sich um eine Vollproxyarchitektur handelt, wird die sicherste Verschlüsselungssammlung bzw. das sicherste Verschlüsselungsverfahren verwendet. Mit anderen Worten: SSL Orchestrator mildert alle in der Warnung der NSA angesprochenen Risiken und hilft Unternehmen gleichzeitig dabei, den gut etablierten Zusammenhang zwischen Verantwortung und Macht zu berücksichtigen.