In Sammlung (en) In der gespeicherten
  1. Ingenieurwissenschaft
  2. Informatik
  3. Datenbank

White Paper - Gronemeyer IT GmbH

Werbung 
White Paper
www.securecomputing.com
Secure Computing® schützt seit über
20 Jahren weltweit die wichtigsten
Netzwerke. Mit umfassenden
Fachkenntnissen im Bereich der
Sicherheitstechnologie entwickeln wir
Netzwerksicherheitsprodukte, mit deren
Hilfe unsere Kunden sowohl innerhalb
als auch außerhalb ihrer Organisation
sichere Umgebungen schaffen können.
Schließen Sie die SSL-Sicherheitslücke:
Die Lösung zur Verwaltung und Sicherung
von HTTPS-Datenverkehr
Inhalt
Übersicht...............................................................................................................................2
Einleitung..............................................................................................................................2
SSL findet immer mehr Zuspruch...........................................................................................2
Einschätzung der Gefährdung – Viren und Malware in verschlüsselten Daten.........................3
Warum sichere Verbindungen nicht “sicher“ sind..............................................................3
Kann man “zuverlässigen“ Zertifikaten vertrauen?.............................................................3
Was wollen Mitarbeiter verbergen?........................................................................................4
SSL-Riskioszenarien: Kann es auch lhr Unternehmen treffen?..................................................4
Die herkömmliche Reaktion...................................................................................................5
Stellen Sie sich der Herausforderung......................................................................................6
Secure Computing Corporation
Corporate Headquarters
4810 Harwood Road
San Jose, CA 95124 USA
Tel +1.800.379.4944
Tel +1.408.979.6100
Fax +1.408.979.6501
European Headquarters
1, The Arena
Downshire Way
Bracknell
Berkshire, RG12 1PU UK
Tel +44.0.870.460.4766
Fax +44.0.870.460.4767
Asia/Pac Headquarters
1604-5 MLC Tower
248 Queen’s East Road
Wan Chai Hong Kong
Tel +852.2520.2422
Fax +852.2587.1333
Japan Headquarters
Shinjuku Mitsui Bldg. 2, 7F
Nishi-Shinjuku 3-2-11
Shinjuku-ku Tokyo, 160-0023
Japan
Tel +81.3.5339.6910
Fax +81.3.4496.4537
For a complete listing of all our global offices,
see www.securecomputing.com/goto/globaloffices
© August 2006 Secure Computing Corporation. All Rights Reserved.
WW-SSL-WP-Aug06vF. Bess, enterprise strong, G2 Firewall, MobilePass, PremierAccess,
SafeWord, Secure Computing, SecureOS, SecureSupport, Sidewinder G2, Sidewinder,
SmartFilter, SofToken, Strikeback, Type Enforcement, CyberGuard, and Webwasher are
trademarks of Secure Computing Corporation, registered in the U.S. Patent and Trademark
Office and in other countries. Application Defenses, G2 Enterprise Manager, On-Box, PowerIt-On!, RemoteAccess, SecureWire, Securing connections between people, applications,
and networks, Sentian, SmartReporter, ZAP, Anti-Virus Multi-Scan, Anti-Virus, PreScan, Live
Reporting, MethodMix, and SnapGear are trademarks of Secure Computing Corporation. All
other trademarks used herein belong to their respective owners.
Überblick über den Webwasher SSL-Scanner..........................................................................6
Wie funktioniert die Entschlüsselung?................................................................................7
Sicherheitskonzept............................................................................................................8
Vorteile des Webwasher SSL-Scanners....................................................................................8
Zusammenfassung.................................................................................................................9
Quellen..................................................................................................................................9
Übersicht
www.securecomputing.com
Verschlüsselung ist für Unternehmen heutzutage ein absolutes Muss, doch Firmen, die in ihrer Firewall einen
offenen Port 443 (HTTPS-Tunnel) haben, lassen eine große Sicherheitslücke in ihrem Netzwerk. Herkömmliche
Firewalls und Virenschutzlösungen für Gateways können verschlüsselten Datenverkehr nicht überprüfen. Somit
kann nicht kontrolliert werden, welche Inhalte über HTTPS vom Netzwerk gesendet und empfangen werden.
Dies stellt ein enormes Risiko für die Unternehmen dar, die vielleicht noch nicht einmal erkannt haben, dass sie
sich bei der Überwachung des HTTPS-verschlüsselten Datenverkehrs nicht auf ihre HTTP-Filter verlassen können.
Auch die Einhaltung rechtlicher Vorschriften wird so gefährdet. Kann ein Unternehmen Vorschriften einhalten,
wenn es über offene SSL-Tunnel verfügt, über die u. U. gerade die vertraulichen Informationen gesendet
werden, die eigentlich gesetzlich überwacht werden sollten?
Sowohl Hacker als auch böswillige Mitarbeiter wissen nur zu gut, dass Daten über HTTPS-Tunnel offen und
ungeschützt übertragen werden. Daher nutzen sie das HTTPS-Protokoll, um die Kontrollmechanismen zu
umgehen und schädliche Inhalte zu verbreiten. Dieser Bericht erörtert, wie Unternehmen diesen Gefahren durch
HTTPS-Filter (SSL-Scanning) entgegenwirken können, indem sie ihre bisherigen Richtlinien zur Internetnutzung
auch auf HTTPS ausweiten und somit aktiv die letzte bekannte große Sicherheitslücke schließen.
Einleitung
Die SSL-Produktionsversion wurde 1996 von Netscape veröffentlicht und war darauf ausgelegt, mithilfe
von Verschlüsselung, Authentifizierung und Codes zur Nachrichtenauthentifizierung die Integrität der
Datenübertragung zu gewährleisten. Die Fähigkeit des Protokolls, die Integrität der Informationen
aufrechtzuerhalten und eine sichere Verbindung zwischen zwei Einheiten zu bieten, war sicherlich
ausschlaggebend für die schnelle Akzeptanz des E-Commerce in den späten 90ern. SSL wurde zunächst zum
Schutz der Integrität von Transaktionen eingesetzt und stellte eine Herausforderung für Webserver dar, als der
Abschluss und die Entschlüsselung des Datenverkehrs mit 128-Bit-Verschlüsselung leistungsfähigere Hardware
erforderten. Im Laufe der Zeit sorgten kostengünstigere SSL-Beschleuniger und -Abschlüsse für eine Ausweitung
von HTTPS auf Webservices und herkömmliche Webinhalte.
Heutzutage ist der Anteil verschlüsselter Inhalte im gewöhnlichen HTTP-Datenverkehr mittlerweile so groß, dass
Unternehmen diese Tatsache nicht mehr ignorieren können. Die anhaltende Ausbreitung verschlüsselter Inhalte
im Verhältnis zu verschlüsselten Transaktionen stellt für Unternehmensnetzwerke auch in Zukunft eine große
Herausforderung hinsichtlich der Sicherheit dar. Aus einer Untersuchung von Gateway-Protokollen verschiedener
Unternehmen1 geht hervor, dass zwischen 10 und 50 Prozent aller eingehenden Daten verschlüsselt sind. Das
bedeutet, dass möglicherweise die Hälfte aller Daten, die durch das Gateway eines Unternehmens geleitet
werden, nicht ausreichend auf Viren und die Einhaltung von Sicherheitsrichtlinien geprüft werden kann.
SSL findet immer mehr Zuspruch
Die große Beliebtheit des Internet-Shoppings und der Übergang von Callcentern zu Webportalen für Kunden
sind die deutlichsten Anzeichen für die Zunahme des SSL-Datenverkehrs. Vorbei sind die Zeiten, in denen
Autoversicherer oder große Banken keinen online verfügbaren Kundendienst anboten und die Kunden ihre
Anliegen persönlich oder telefonisch vorbringen mussten – dies wäre heute undenkbar.
SSL ist jedoch nicht nur auf B2C-Transaktionen (Business to Consumer) beschränkt. Z. B. sind Services
von Behörden und Regierungsstellen mittlerweile weitgehend über das Internet verfügbar. Solche
Datenübertragungen müssen natürlich verschlüsselt werden. Dasselbe gilt für den beliebten Service des USamerikanischen Finanzamtes, den so genannten „e-file“-Steuerservice, über den im Jahr 2006 bisher über 60
Millionen Steuererklärungen abgewickelt wurden (Quelle: http://www.irs.gov/efile/article/0,,id=118508,00.html) [I].
Beliebte inhaltsgesteuerte Anwendungen sind u. a. komplett verschlüsselte Webmail-Services wie Freemail von
Web.de, die immer größer werdende Anzahl von Online-Veröffentlichungen, verschlüsseltes Webhosting und
SSL-geschützte Newsgroups. Auch komplette B2B-Angebote wie salesforce.com [II] oder Web-ConferencingTools tragen zur steigenden Beliebtheit von SSL bei.
1
White paper
Secure Computing research
Schließen Sie die SSL-Sicherheitslücke:
Die Lösung zur Verwaltung und Sicherung von HTTPS-Datenverkehr
Einschätzung der Gefährdung – Viren und Malware
in verschlüsselten Daten
www.securecomputing.com
Administratoren wollen natürlich wissen, was in ihren Netzwerken vor sich geht. Daher findet sich heutzutage
kaum noch ein Unternehmen, das nicht über eine Lösung zum Filtern von Webinhalten verfügt. Angesichts der
weltweiten Ausbreitung von Computerwürmern wie Nimda, Code Red, Slammer oder Zotob sind Lösungen
zur Websicherheit bei vielen Unternehmen mittlerweile obligatorisch. Die meisten Unternehmen sind allerdings
nicht so gut geschützt, wie sie meinen, und es gibt alarmierend viele Webaktivitäten, die sich nach wie vor der
Kontrolle durch Administratoren entziehen. Jede Web-Malware breitet sich über HTTPS genauso leicht aus wie
über HTTP – nur ist sie bei der Ausbreitung über HTTPS wesentlich schwieriger zu entdecken. Administratoren
sehen sich außerdem internen Bedrohungen gegenüber, wenn Mitarbeiter heimlich über HTTPS mit externen
Personen kommunizieren und auf diese Weise sämtliche Richtlinien zur Internetnutzung unbehelligt umgehen.
Warum sichere Verbindungen nicht “sicher“ sind
UNIX-Experte Kurt Seifried konstatiert: “Bei sicheren (HTTPS-)Websites ist jegliches Gateway-Scanning nutzlos,
da der Inhalt verschlüsselt ist.“ [III] Für einige Unternehmen sind die Gefahren, die von verschlüsselten Inhalten
ausgehen, nicht so offensichtlich wie für andere, gewährleistet SSL doch schließlich “sichere Verbindungen“.
Bedenkt man jedoch, dass Viren verschlüsselt und unentdeckt per SSL-Verbindungen verschickt werden können,
so wird deutlich, dass diese Verbindungen trotz allem nicht unbedingt sicher sind. Beim Thema SSL wimmelt
es nur so von unglücklichen Fehlannahmen; so vermittelt z. B. das im Browser des Benutzers dargestellte
Vorhängeschloss ein falsches Gefühl von Sicherheit.
Ein Bericht des australischen Verteidigungsministeriums beschreibt das Problem wie folgt: “Die Sicherheit von
SSL beruht ausnahmslos auf der Integrität der beiden kommunizierenden Parteien.“ [IV]
HTTPS-Verbindungen stellen eine eindeutige Gefahr dar, wenn böswillige Dritte in der Lage sind, die
Schutzvorrichtungen Ihres Netzwerks zu umgehen. Dem Portal für IT-Sicherheit WindowSecurity.com zufolge
“wird sich ein Angreifer, der die Wahl zwischen Port 80 (HTTP) und Port 443 (HTTPS) hat, immer für Port 443
entscheiden.“ [V] Selbst wenn keine der Parteien, die eine sichere Verbindung nutzen, böswillige Absichten
hat, ist dies keine Garantie dafür, dass alle Inhalte sicher sind, denn Viren und Würmer werden normalerweise
unwissentlich ausgetauscht. Zudem haben Mitarbeiter womöglich eigene Gründe für den Zugriff auf bestimmte
Inhalte über HTTPS, unabhängig davon, ob diese Inhalte den internen Richtlinien entsprechen. Ist der Zugriff auf
Porno-Websites über eine “sichere, verschlüsselte Verbindung“ für Ihr Unternehmen weniger gefährlich als über
eine unverschlüsselte Verbindung? Mit Sicherheit nicht.
Kann man vertrauenswürdigen Zertifikaten “vertrauen“?
Zertifizierungen stellen einen weiteren gut gemeinten Aspekt im Rahmen der SSL Verschlüsselung dar, haben
jedoch auch ihre Nachteile. Internet Explorer wird mit mehr als 100 vorinstallierten und im Voraus gesicherten
Zertifizierungsstellen geliefert, die die Microsoft-Entwickler “als zuverlässig erachten“. Noch schlimmer ist die
Tatsache, dass Mitarbeiter bei jedem neuen Zertifikat die volle Entscheidungsgewalt darüber haben, ob sie
die denjenigen, der hinter dem Zertifikat steht, in ihre Liste der zuverlässigen Partner aufnehmen wollen. Dies
ist insofern problematisch, als der durchschnittliche Mitarbeiter über zu wenige Kenntnisse verfügt, um diese
Entscheidung mit der notwendigen Sorgfalt zu treffen.
Die Gefahr reicht jedoch weit über den unwissenden Mitarbeiter hinaus. Im australischen
Verteidigungsministerium ist man der Ansicht, dass “es für Viren, Trojaner, Würmer, schädliche Websites oder
E-Mails sowie andere Angreifer ein Leichtes ist, einer Liste zuverlässiger Zertifikatsstellen (CAs, Certification
Authorities) ein schädliches SSL-Zertifikat hinzuzufügen“ [IV]. Doch dies ist nicht das einzige Problem: Zertifikate
können gestohlen werden – Schätzungen von Secure Computing zufolge sind etwa 5 bis 10 Prozent aller
Zertifikate ungültig. Anfängliche Authentifizierungen stellen für Zertifikate keine größeren Probleme dar, doch
es ist nie gewährleistet, dass der Inhaber des Zertifikats immer vertrauenswürdig ist oder dass die gesendeten
Inhalte “sauber“ sind und unternehmensinternen Richtlinien entsprechen.
White paper
Schließen Sie die SSL-Sicherheitslücke:
Die Lösung zur Verwaltung und Sicherung von HTTPS-Datenverkehr
Was wollen Mitarbeiter verbergen?
Verschlüsselung bietet Mitarbeitern, die Richtlinien zur Internetnutzung umgehen wollen, eine ideale Möglichkeit
zur Verschleierung ihrer Aktivitäten. Doch was haben sie zu verbergen?
www.securecomputing.com
Aus Untersuchungen geht hervor, dass 60 Prozent der Internetnutzung während der Arbeitszeit auf nicht
geschäftsbezogene Inhalte entfällt [VI] und über 50 Prozent aller pornografischen Inhalte während der
Arbeitszeit heruntergeladen werden. Wenn Mitarbeiter nicht über normale Kanäle Zugriff auf solche Daten
haben, werden es zumindest einige von ihnen mit HTTPS versuchen. Als Reaktion auf die Penetrierung von URLFiltern in Unternehmen sind SSL-Tunnel-Tools wie Bouncer [VII] und Guardster [VIII] als effektive Workarounds für
Mitarbeiter entstanden, die sich nicht an interne Richtlinien zur Internetnutzung halten.
Webbasierte E-Mailer-Services wie Freemail von WEB.DE bieten eine bequeme Möglichkeit zur Umgehung der
unternehmensinternen Spam- und Virusfilter, denn hier wird der Datenverkehr durch HTTPS getunnelt und
umgeht auf diese Weise alle Filter und Scanner. Während solche Services legitimen, „gutwilligen“ Datenverkehr
fördern, ist es für jemanden, der Böswilliges im Sinn hat, sehr einfach, einen SSL-verschlüsselten Web-E-Mailer als
Tunnel für den Zugriff auf vertrauliche oder geschützte Daten zu missbrauchen. Dafür ist noch nicht einmal die
Installation spezieller Software erforderlich.
Für Hacker, Viren und böswillige und unwissende Mitarbeiter stellt HTTPS also ein leichtes Ziel dar. HTTPS-Tunnel
stellen aus folgenden Gründen eine wesentliche Bedrohung für die Netzwerksicherheit dar:
•
Virenschutz und Inhaltsfilterung können nicht auf verschlüsselte Inhalte angewandt werden.
•
Filter für abgehende Inhalte zur Überwachung der Verbreitung geistigen Eigentums oder geschützter
vertraulicher Daten können nicht auf SSL-verschlüsselte Inhalte angewandt werden.
•
Webserver-Zertifikate können abgelaufen sein bzw. gestohlen, gefälscht oder entzogen werden (Listen
entzogener Zertifikate werden zwar regelmäßig aktualisiert, jedoch nur selten von Benutzern überprüft).
•
Beliebte Browser sind anfällig gegenüber Angriffen mit falschen Zertifikaten, durch die böswillige Dritte
zuverlässige Verbindungen innerhalb von Firmennetzwerke erstellen können.
•
Zugriffsprotokolle zeigen bei HTTP-Anforderungen weder den „User Agent“ noch den „Referrer“ an,
wodurch Überwachungen, Untersuchungen und die Durchsetzung von Richtlinien nahezu unmöglich
werden.
•
Eine Vielzahl von Tunnel-Methoden, -Services und -Tools sind für den durchschnittlichen Mitarbeiter sehr
leicht zugänglich und in verschiedener Form bei den meisten Unternehmen bereits gängig (z. B. Bouncer,
Guardster, CryptoTunnel und Web Mail).
•
Mitarbeiter können allein entscheiden, ob und wann ein Zertifikat zuverlässig ist, verfügen jedoch nur selten
über die Kenntnisse, um diese Entscheidung mit der erforderlichen Sorgfalt zu treffen.
•
Kriminelle könnensich ohne viel Aufwand vermeidlich legitime Zertifikate beschaffen, so dass Webbenutzer
dem Irrtum erliegen können, dass die von ihnen verbreiteten Daten sicher seien.
SSL-Risikoszenarien: Kann es auch Ihr Unternehmen treffen?
Szenario 1: Malicious Mobile Code – Selbst wenn ein URL Filter eingesetzt wird, sind Mitarbeiter normalerweise
zum Zugriff auf geschäftsrelevante Websites wie z. B. personalisierte Planungstools berechtigt, die Finanzinstitute
zur Verwaltung von Pensionskonzepten zur Verfügung stellen. Der Wurm SQL Slammer hat gezeigt, dass selbst
die größten Finanzinstitute, namentlich die Bank of America, nicht vor dem Malicious Mobile Code gefeit sind
(http://news.com.com/2009-1001-983540.html). Auch Nimda und Code Red haben wiederholt bewiesen,
dass schon durch den Aufruf einer infizierten Website ganze Netzwerke befallen werden können. Wodurch ist
Ihr Netzwerk geschützt, wenn einer Ihrer Mitarbeiter das nächste Mal eine scheinbar harmlose, verschlüsselte
Website aufruft? Wie verhindern Sie, dass Viren aus dem Internet in Ihr Netzwerk geraten?
Szenario 2: Website-Spoofing – Bei modernen Unternehmen gehört die Güterbeschaffung über das Internet,
von Bürobedarf bis hin zu Rohstoffen, zum Alltag. Die Firmen sind dabei auf verschlüsselte Verbindungen
angewiesen, die ihre Daten bei der Übermittlung an die Website des Anbieters schützen. Ein bekannter SSLExploit [IV] ermöglicht es Hackern und anderen Kriminellen jedoch, sich als seriöse Anbieter auszugeben (oder
White paper
Schließen Sie die SSL-Sicherheitslücke:
Die Lösung zur Verwaltung und Sicherung von HTTPS-Datenverkehr
sogar als Anbieter, mit denen Sie regelmäßig Geschäfte tätigen) und Transaktionsdaten zu sammeln. Wie können
Sie ohne einen Mechanismus zur Überprüfung von Zertifikaten verhindern, dass Ihr Unternehmen der Gefahr
eines kostspieligen Betrugs ausgesetzt wird, wenn ein Verwaltungsassistent das nächste Mal Toner bestellt?
www.securecomputing.com
Szenario 3: Bedrohung durch Web-E-Mail – Wahrscheinlich werden in Ihrem Unternehmen die beiden großen
Webmail-Services Yahoo und Hotmail blockiert, vielleicht auch Dutzende ähnlicher Services. Das Yahoo Directory
enthält Hunderte von Webmail-Services, und da ständig neue entstehen, kann nicht immer jeder Service
erfasst werden. Da Webmail sich seit einiger Zeit großer Beliebtheit erfreut, haben die meisten Ihrer Mitarbeiter
wahrscheinlich Konten bei mindestens einem dieser Services. Wie können Sie die Viren, die vertraulichen Daten
und die unproduktiven, illegalen oder anstößigen Inhalte überwachen, die sich ihren Weg durch das Datennetz
bahnen, wenn einer Ihrer Mitarbeiter das nächste Mal auf einen unklar verschlüsselten Webmail-Service stößt?
Szenario 4: Das Tunneln vertraulicher Daten – Die Firma Technology Networks LLC verspricht ihren
Kunden, ihr HTTPort-Tunneling-Produkt biete „die ultimative Internet-Verfügbarkeit und Anonymität“ [IX].
HTTPort und andere Anwendungen wie Bouncer [VII] sind darauf ausgelegt, vernetzten Benutzern die
Umgehung von Firewalls und Web-Proxy-Filterung zu erleichtern und gleichzeitig ihre Aktivitäten mithilfe von
Verschlüsselung zu verbergen. Diese Produkte und Services sind oft kostenlos erhältlich und können problemlos
von Mitarbeitern am Arbeitsplatz genutzt werden. Wie können Sie verhindern, dass ein verärgerter oder
unehrlicher Mitarbeiter unter Verwendung solcher Produkte unbemerkt gegen Ihre Richtlinien zur Vertraulichkeit
und Internetnutzung verstößt?
Die herkömmliche Reaktion
Da den meisten Administratoren nur wenige Lösungen zur Verfügung stehen, sind ihre Möglichkeiten zur
Bekämpfung von HTTPS-Sicherheitsrisiken recht begrenzt. Es gibt im Wesentlichen drei herkömmliche
Möglichkeiten zur Bewältigung dieses Problems:
Sperren von Port 443: Einige Unternehmen blockieren SSL oder führen spezielle Regelungen bezüglich
Firewalls ein, nach denen SSL nur für eine begrenzte Anzahl von Websites zugelassen ist. Dabei
wird davon ausgegangen, dass die meisten verschlüsselten Inhalte nicht geschäftsrelevant sind. In solchen
Unternehmen herrscht die Meinung vor, dass die mit SSL verbundenen Risiken so erheblich
sind, dass bei der Übermittlung geschäftsrelevanter, verschlüsselter Inhalte die beträchtlichen Nachteile
einer Nichtverwendung von HTTPS-Tunneln billigend in Kauf genommen wird. Dies ist eine ausgesprochen
konservative Herangehensweise, die angesichts der stetig wachsenden Anzahl von obligatorischen,
SSL-verschlüsselten Geschäftsanwendungen und relevanten Webinhalten immer weniger praktikabel
werden wird.
Workarounds: Unternehmen, die sich den Risiken von SSL bewusst sind, doch für die das vollständige
Blockieren des Protokolls nicht in Betracht kommt, haben versucht, das Problem durch URL Filter zu
beheben und so den Zugriff auf HTTPS-Seiten einzuschränken. Da jedoch täglich neue Tunneling-Kanäle
geöffnet werden, bieten auch URL-Datenbanken keine optimale Lösung. Stößt ein Mitarbeiter auf einen
ungeschützten Kanal oder einen nicht blockierten Webmail-Service, so kann Ihr Tool keine Viren filtern, die
per verschlüsselten Datenverkehr in Ihr Netzwerk eindringen.
Ignorieren: Viele größere Unternehmen sind mittlerweile gesetzlich dazu verpflichtet, bei
Geschäftsabläufen wie Clientless VPNs, eProcurement und anderen Webservices SSL zu verwenden.
Ungeachtet der Vorschriften haben sich einige Unternehmen dazu entschieden, die Risiken
„unbehandelten“ HTTPS-Datenverkehrs in Kauf zu nehmen. Viren und verstimmte Mitarbeiter stellen zwar
keine permanente, doch immerhin eine lauernde Bedrohung dar, und Unternehmen ohne Sicherheitsfilter
für SSL-Datenverkehr sind täglich neuen Gefahren ausgesetzt.
Keine dieser drei Optionen stellt eine Ideallösung dar, doch man kann es weder den Administratoren noch den
Unternehmen übel nehmen, dass sie sich für eine dieser Herangehensweisen entscheiden. Es herrscht vielmehr
ganz einfach ein Mangel an Alternativen.
Unternehmen, die HTTPS nicht auf unerwünschte Inhalte überprüfen und filtern konnten, mussten eingestehen, dass
sie gegen viele der gefährlichsten Bedrohungen aus dem Internet nur schlecht gerüstet waren.
White paper
Schließen Sie die SSL-Sicherheitslücke:
Die Lösung zur Verwaltung und Sicherung von HTTPS-Datenverkehr
Stellen Sie sich der Herausforderung
www.securecomputing.com
Aufgrund der Schwierigkeiten bei der Entschlüsselung von HTTPS-Inhalten war eine Lösung bisher nur schwer
zu finden, trotzdem liegt eine ideale Herangehensweise scheinbar auf der Hand: Wenn man SSL-Inhalte nur
„vorübergehend“ entschlüsseln könnte, wäre die direkte Anwendung herkömmlicher Viren- und Inhaltsfilter
möglich. Eine SSL-Filterlösung zur Behebung der erwähnten Probleme hätte die folgenden entscheidenden
Vorteile:
• Viren- und Spyware-Scanner für Gateways: Das Scannen am Gateway ist deshalb wichtig, weil auf
diese Weise Viren und bösartige Daten aufgehalten werden, bevor sie ins Netzwerk eindringen können.
Wie jeder erfahrene Administrator weiß, sind herkömmliche Virenschutzprogramme auf den einzelnen
Clientcomputern nicht immer auf dem neuesten Stand; die Bekämpfung von Viren „an vorderster Front“
wird also besonders wichtig. Allerdings ist es seit jeher unmöglich, verschlüsselte Inhalte am Gateway
zu scannen, wodurch SSL zu einem noch gefährlicheren Virusträger wurde. Durch die Entschlüsselung
von HTTPS-Inhalten am Gateway und die Überprüfung auf Viren wird Unternehmen bei HTTPS dasselbe
Schutzniveau geboten wie bei HTTP, FTP und E-Mail.
• Überwachung vertraulicher Inhalte (Outbound Content Control, OCC) und geistiges Eigentum:
Viele Produkte zur IT-Sicherheit beinhalten solche Prüfmethoden für HTTP, FTP und E-Mail, doch wie
alle Möglichkeiten zur Inhaltsfilterung und OCC versagen auch diese Filter bei verschlüsselten Inhalten.
Unternehmen können eine Vielzahl von Kanälen verwalten, durch die solche Daten und Medien vormals
unbehelligt im Netzwerk ein- und ausgehen konnten, indem sie den HTTP-Datentransfer zunächst
entschlüsseln.
• Medien- und Inhaltsfilterung: Viele Unternehmen wollen Richtlinien hinsichtlich der Nutzung von
Mediendaten (MP3), des Downloads von ausführbaren Programmen, ActiveX-Elementen, JavaScriptDateien oder anderen potentiell schädlichen Inhalten durchsetzen – ungeachtet des Netzwerkprotokolls,
das diese Dateien verwenden. Da das Schonen der Bandbreite und der Schutz vor besagten Dateitypen
so wichtig ist, steht Unternehmen eine breite Palette an Produkten zur Auswahl, die nach solchen
Dateitypen, Skripten, Werbebannern, Pop-up-Fenstern, Web-Bugs oder anderen Abhörmechanismen
suchen können. Doch für Medien- wie für Inhaltsfilter gilt dasselbe: Gegenüber verschlüsselten Daten
aus dem Internet sind sie machtlos. Da das Verhältnis zwischen SSL-Inhalten und -Transaktionen immer
ausgeglichener wird, werden die Faktoren Bandbreite und Datenschutzfilter für HTTPS genauso wichtig
wie für HTTP.
• Zertifikatsverwaltung: Die meisten Unternehmen prüfen andere Unternehmen vor einer geplanten
Partnerschaft eingehend, doch Schwachstellen beim Austausch von SSL-Zertifikaten erschweren diesen
Prozess, wenn solche Transaktionen online stattfinden. Die Zentralisierung der Zertifizierungsrichtlinien am
Gateway nimmt den Mitarbeitern die Last ab, die solche Entscheidungen mit sich bringen (und minimiert
die Wahrscheinlichkeit kostspieliger Fehler) und ermöglicht es Administratoren, einheitliche Richtlinien
durchzusetzen.
• Flexible Durchsetzung von Richtlinien: Zwar ist es empfehlenswert, dass jeglicher SSL-verschlüsselter
Datenverkehr gefiltert wird, doch die meisten Unternehmen möchten flexible Richtlinien implementieren,
die eine exakte Unterscheidung der entschlüsselten Websites und der berechtigten Benutzer ermöglichen.
So kann z. B. die Führungsebene eines Unternehmens vollständig von SSL-Scans befreit werden, während
SSL-Scans für “normale“ Benutzer ausschließlich bei zuverlässigen Banken oder einer bestimmten
Kategorie von Websites deaktiviert werden.
Überblick über den Webwasher SSL-Scanner
Als Reaktion auf all die Herausforderungen hinsichtlich verschlüsselter Inhalte hat Secure Computing® eine
dreiteilige Lösung zur Sicherung des SSL-Datenverkehrs entwickelt, die eine lückenlose Kontrolle über HTTPSInhalte ermöglicht. Bei dieser Lösung handelt es sich um den Webwasher® SSL Scanner, ein optionales
Modul der Webwasher SCM Suite. Dank dem Webwasher SSL-Scanner können Kunden alle anwendbaren
Filter umgehend auf HTTPS-Datenverkehr ausweiten. Der SSL-Scanner kann zusammen mit Virenschutz- und
Webinhaltsanwendungen von Webwasher sowie zusätzlich zu Virenschutzlösungen und Lösungen zur Prüfung
von Webinhalten und Outbound Content Cotrol von Drittanbietern implementiert werden.
Die primären Komponenten des Webwasher SSL-Scanners sind:
1.
Richtlinienmodul: Legt fest, welche Sicherheitsmaßnahmen für die aktuelle Kombination von Benutzer,
Zielgruppe und Uhzeit erforderlich sind:
a. Zertifikatsprüfung, Entschlüsselung, Scanning und Neuverschlüsselung; Client-Zertifizierungen nicht
zugelassen
White paper
Schließen Sie die SSL-Sicherheitslücke:
Die Lösung zur Verwaltung und Sicherung von HTTPS-Datenverkehr
b. Zertifikatsprüfung, Entschlüsselung, Scanning und Neuverschlüsselung; Client-Zertifizierungen zugelassen
c. Nur Zertifikatsprüfung
d. Verbindung nicht zulassen
2.
Entschlüsselung: Im Herzen des Webwasher SSL-Scanners befindet sich der SSL-Proxy zur Entschlüsselung
(Terminierung) und Weiterleitung, der den eigentlichen SSL-Abschluss vornimmt. So wird die Anwendung
normaler Inhalts- und Sicherheitsfilter ermöglicht. Nach dem Scannen wird der Inhalt neu verschlüsselt und
an den Benutzer weitergeleitet.
3.
Zertifikatsverwaltung: Die Zertifikatrichtlinien des Webwasher SSL-Scanners versetzen Administratoren
in die Lage, Mitarbeitern schwierige Entscheidungen hinsichtlich der Annahme bzw. Ablehnung von
Zertifikaten abzunehmen und ermöglichen die Zentralisierung von Richtlinien hinsichtlich der Annahme
von Zertifikaten am Gateway. Die Erstellung und Durchsetzung von Zertifikatrichtlinien werden durch zwei
automatisierte Prozesse ermöglicht:
www.securecomputing.com
a. Zuverlässige Zertifikatsstellen: Administratoren können mithilfe unternehmensweiter Richtlinien festlegen,
welche Stellen als zuverlässig gelten sollen.
b. Überprüfung von Zertifikaten: Eine Reihe von automatisierten Tests einschließlich Datumsprüfung und
Abfragen von Listen zum Entzug von Zertifikaten gewährleistet die Gültigkeit aller Zertifikate.
Wie funktioniert die Entschlüsselung?
Die Entschlüsselung von HTTPS-Inhalten erfolgt interaktiv zwischen den drei an diesem Kommunikationsprozess
beteiligten Einheiten: dem Client-Browser, dem Gateway-Proxy und dem Webserver. Diese Kommunikation ist
mit der Funktion eines Mittelsmanns vergleichbar – mit dem Unterschied, dass die Erfassung der verschlüsselten
Inhalte vollständig innerhalb des gesicherten Unternehmensnetzwerks stattfindet.
Abbildung 1: Die Wirkweise des SSLScanner Proxies
1
3
2
4
5
7
8
White paper
6
1)
Verbindungsanforderung von Client und SSLHandshake mit SSL-Proxy
5)
Proxy stellt den “GET” -Request für die
angeforderte Webseite
2)
Anforderung der verschlüsselten Webseite beim
SSL-Proxy (http://www.encryptedpage.com/
directory/sample.htm)
6)
Webserver übermittelt verschlüsselte Inhalte
an SSL-Proxy
7)
3)
SSL-Proxy stellt Verbindung zum Webserver her
4)
SSL-Proxy prüft das vom Webserver gelieferte
Zertifkat auf den CRL-Listen auf Gültigkeit und
Entzug
SSL-Proxy terminiert Verschlüsselung,
extrahiert den Namen des Zertifikats (z. B.
encryptedpage.com), führt Inhaltsfilterung
und Virenprüfung durch
8)
SSL-Proxy nimmt neue Verschlüsselung mit
ursprünglichem Namen vor und liefert an
Client
Schließen Sie die SSL-Sicherheitslücke:
Die Lösung zur Verwaltung und Sicherung von HTTPS-Datenverkehr
Sicherheitskonzept
www.securecomputing.com
Aus Sicherheitsgründen finden alle Filterprozesse in der DMZ (Demilitarized Zone) des Netzwerks innerhalb
des Arbeitsspeichers des Webwasher-Servers statt – der einzigen Stelle, an der Inhalte entschlüsselt werden.
Anschließend werden die Daten neu verschlüsselt, wodurch eine sichere Übermittlung durch das Netzwerk und
an den Browser des Mitarbeiters gewährleistet ist. Die für SSL-Scanner empfohlene Implementierungsarchitektur
ist darauf ausgelegt, die Integrität der Daten im entschlüsselten Zustand zu gewährleisten.
In den meisten Szenarien kann der Austausch zwischen dem HTTPS-Proxy und dem Filtermodul von
einem einzigen Server bewältigt werden. Reicht ein Server für die erforderliche Bandbreite nicht aus, so
können das SSL-Entschlüsselungsmodul und das Inhaltssicherungsmodul problemlos auf verschiedenen
Servern implementiert werden. In diesem Fall findet die Entschlüsselung auf dem ersten Server statt und
der entschlüsselte Inhalt wird an den Server mit dem Virenscanner/Inhaltssicherungsmodul weitergeleitet
und anschließend wieder zurückgeleitet und neu verschlüsselt. Um sicherzustellen, dass niemand bei der
Kommunikation zwischen den Servern “mithören“ kann, wird der Datenverkehr über das sichere ICAPSProtokoll verschlüsselt. Auf diese Weise kann die SSL-Sicherheitslösung zur Verwaltung Tausender oder gar
Hunderdtausender von Benutzern aufwärts skaliert werden, indem einfach die erforderliche Anzahl von SSLScannern oder Inhaltssicherungsmodulen hinzugefügt werden.
Abbildung 2: Innere Architektur von Webwasher mit SSL-Scanner
1)
Client/proxy handshake
2)
Proxy/Web server
handshake
3)
Überprüfung der
Zertifizierung
4)
Web site schickt
verschlüsselten Inhalt
5)
Entschlüsselter Inhalt wird
an SCM geschickt
6)
Filtered content sent
to proxy
7)
Neu verschlüsselter Inhalt
wird an Client geschickt
Vorteile des Webwasher SSL-Scanners
Aus folgenden Gründen ist der Webwasher SSL-Scanner die einzige richtige Wahl bei der Filterung verschlüsselter
Inhalte:
White paper
•
Er stellt die einzige Möglichkeit dar, die Defizite von herkömmlichen Virenschutzprogrammen und
Inhaltsfilterung für HTTPS auszugleichen.
•
Er kann sicher implementiert werden – keine entschlüsselten Inhalte im Netzwerk oder außerhalb der DMZ.
•
Er bietet Sicherheit gegenüber Gefahren, die durch typische SSL-Sicherheitsmängel hervorgerufen werden.
•
Er bietet den notwendigen Schutz für Unternehmen, die Webservices nutzen.
•
Er ist hochgradig skalierbar und für große und kleine Unternehmen geeignet.
•
Er entspricht strengen internationalen Datenschutzvorschriften sowie denen der EU.
•
Er bietet als einziges Produkt eine vollständig integrierte Lösung zur SSL-Entschlüsselung und
Inhaltsfilterung.
•
Er bietet als einziges Produkt vollständige Unterstützung von Client-Zertifikaten und ermöglicht so
zweiseitige Verschlüsselungsalgorithmen.
Schließen Sie die SSL-Sicherheitslücke:
Die Lösung zur Verwaltung und Sicherung von HTTPS-Datenverkehr
www.securecomputing.com
•
Er ist das einzige Produkt mit integrierter Unterstützung für Hardware Security Modules (HSM) zur sicheren
Speicherung privater und globaler SSL-Schlüssel und Zertifikaten.
•
Er ist das einzige Produkt, das verschlüsselte Kommunikation zwischen allen Instanzen in einem SSLScanner-Cluster unterstützt.
Zusammenfassung
Eine ungeschützte Nutzung von HTTPS zu geschäftlichen Zwecken birgt viele Risiken. Vertrauliche Dokumente
verlassen Ihr Netzwerk über Webmail-Services und SSL-Tunneling-Anwendungen. Würmer und Hacker warten
auf den richtigen Zeitpunkt für Angriffe über Port 443, während böswillige Mitarbeiter unter dem Schutz
von Tunneling-Anwendungen pornografische Inhalte herunterladen – und all das geschieht außerhalb Ihrer
Kontrolle. Herkömmliche Tools wie URL-Blocking und Virenschutzprogramme reichen für die Gewährleistung
einer vollständigen Sicherheit für SSL nicht aus. Unternehmen können jedoch nur dann wirkungsvolle Richtlinien
zur Internetnutzung durchsetzen, wenn sie in der Lage sind, verschlüsselte Daten so zu kontrollieren, wie bei
HTTP üblich. Dank der Webwasher-Produkte von Secure Computing inklusive des SSL-Scanners ist dies möglich;
Unternehmen haben nunmehr SSL unter Kontrolle – dem bisher unkontrollierbaren Protokoll.
Quellen
[I]
“IRS Announces Jan. 10 First Day of E-file Season“, IR-2003-4, 9. Januar 2003.
http://www.irs.gov/newsroom/article/0,,id=105550,00.html
[II] Siehe http://www.crmondemand.com
[III] “UNIX and viruses“, Kurt Seifried, 14. September 2001.
http://www.seifried.org/security/anti-virus/20010914-unix-and-viruses.html
[IV] “SSL Vulnerabilities“, Bericht des australischen Verteidigungsministeriums (Steven McLeod and
Dr. Michael Cohen).
[V] “Hackers’ Tricks to Avoid Detection“, WindowSecurity, 16. Oktober 2002, Chris Prosise und Saumil Udayan
Shah http://secinf.net/info/misc/tricks.html
[VI] “Internet Use at Work“, Yankeolvich Partners, Juni 2001.
http://www.yankelovich.com
[VII] Bouncer SSL Proxy
http://www.essential-freebies.de/board/viewtopic.php?t=4070&start=0
[VIII]Guardster SSL Proxy, siehe http://www.guardster.com/?Services-Encrypted_SSL_Proxy
[IX] Siehe http://www.htthost.com/
White paper
Schließen Sie die SSL-Sicherheitslücke:
Die Lösung zur Verwaltung und Sicherung von HTTPS-Datenverkehr
Zugehörige Unterlagen
Serieller OmniView Konsolenserver Sichere Kontrolle über
Serieller OmniView Konsolenserver Sichere Kontrolle über
Virotherapie bei Krebs - Medizinische Fakultät Heidelberg
Virotherapie bei Krebs - Medizinische Fakultät Heidelberg
Arbeitsauftrag: Mikrobiologie Viren/Bakterien EBOLA Die
Arbeitsauftrag: Mikrobiologie Viren/Bakterien EBOLA Die
Erkältung - HAK Imst
Erkältung - HAK Imst
Mikrobiologie viren Ab Seite Fasse die Symptome einer Influenza
Mikrobiologie viren Ab Seite Fasse die Symptome einer Influenza
Bedrohung durch neue Viren KIT 2005
Bedrohung durch neue Viren KIT 2005
Entfernt 99,9 % Bakterien, Viren und Pilze von
Entfernt 99,9 % Bakterien, Viren und Pilze von
PowerPoint-Präsentation
PowerPoint-Präsentation
Fachinfo NW10 2015
Fachinfo NW10 2015
Musterseiten 126-127
Musterseiten 126-127
Vorsorge p l u s - Vorsorgeuntersuchung mit dem H P V
Vorsorge p l u s - Vorsorgeuntersuchung mit dem H P V
Stufen_Facher_files/Jahresarbeitsplan Bio 9
Stufen_Facher_files/Jahresarbeitsplan Bio 9
Herunterladen
Werbung