Zum Hauptinhalt springen

TLS-Inspektionsleitfaden: Verständnis, Implementierung und Überlegungen

Veröffentlicht am:
.
18 Minuten Lesezeit
.
Für die Englische Version

Jedes Mal, wenn Sie Daten über das Internet senden oder empfangen, durchlaufen sie ein Netzwerk von mehreren Computern, bevor sie ihr endgültiges Ziel erreichen. Da es in der Vergangenheit nicht gesichert wurde, könnten alle diese Maschinen Ihre Daten lesen. Ein großer Teil dieser Informationen ist wertvoll und lohnend für Hacker. Bankdaten, private Nachrichten, die nicht von Ende zu Ende verschlüsselt sind, und sogar Kontoinformationen für Websites können enthalten sein. Forscher im Sicherheitsbereich entwickelten Transport Layer Security (TLS), ein neues branchenübliches Protokoll zum Senden und Empfangen von Internetverkehr, um kritische Daten zu schützen. Secure Sockets Layer (SSL), das davor kam, wurde inzwischen hauptsächlich durch TLS ersetzt.

Transport Layer Security wird als TLS bezeichnet. Daten, die über ein Netzwerk übertragen werden, wie z.B. der Datenverkehr im Internet, werden mit dieser Verschlüsselungsmethodik geschützt. TLS verschlüsselt Informationen, die über das Web übertragen werden, um sicherzustellen, dass Dritte oder Hacker die gesendeten Informationen der Benutzer nicht einsehen oder manipulieren können. Häufige Anwendungsszenarien umfassen den Schutz von E-Mails, VOIP, Online-Zahlungen, Dateiübertragungen und persönlicher Kommunikation sowie die Wahrung der Integrität privater und sensibler Informationen wie Browsing-Muster, Online-Chat, Konferenzgespräche, Anmeldeinformationen, Bankkonten und andere Finanzinformationen. Die Datenübertragung und -übermittlung sind durch TLS geschützt. Es verschlüsselt keine Daten und sichert sie nicht an Endpunkten. Im Gegensatz zu unsicheren HTTP-Verbindungen ist es ein Sicherheitsprotokoll für HTTPS-Verbindungen.

In diesem Artikel werden die folgenden Themen behandelt:

  • Was ist TLS-Inspektion?

  • Wie unterscheidet sich TLS von SSL?

  • Warum ist TLS-Inspektion für die Netzwerksicherheit notwendig?

  • Wie funktioniert die TLS-Inspektion?

  • Welche Schritte sind erforderlich, um TLS-Inspektion einzurichten?

  • Was sind die Vorteile der Implementierung von TLS-Inspektion?

  • Was sind die Risiken und Herausforderungen im Zusammenhang mit TLS-Inspektion?

  • Was sind die häufigsten Anwendungsfälle für TLS-Inspektion in Organisationen?

  • Was sind die besten Praktiken für die Konfiguration der TLS-Inspektion?

  • Wie hilft TLS-Inspektion bei der Erkennung und Verhinderung bösartiger Aktivitäten?

  • Was sind die Compliance-Überlegungen für TLS-Inspektion?

  • Wie beeinflusst die TLS-Inspektion die Leistung des Netzwerkverkehrs?

  • Was sind die zukünftigen Trends und Fortschritte in der TLS-Inspektionstechnologie?

Was ist TLS-Inspektion?

Durch gesicherte TLS-Kommunikationen wird TLS Inspection verwendet, um komplexe Bedrohungen zu identifizieren und zu stoppen. Anspruchsvolle Sicherheitsmaßnahmen wie IDS/IPS, Virenerkennung und URL-Filterung können den entschlüsselten Datenverkehr nutzen, der durch TLS Inspection transparent entschlüsselt wurde. Während die End-to-End-Verschlüsselung beibehalten wird, bietet sie Transparenz über gesicherte Kommunikation. Selbst wenn Sie alle fortschrittlichen Sicherheitsfunktionen der Gateway-Firewall nutzen, werden Sie den verschlüsselten Datenverkehr, der möglicherweise mit Malware versteckte Pakete enthält, nicht durchsetzen oder überwachen können. Angreifer können bösartigen Inhalt in diesen Datenfluss einbetten, weil die echten Daten, die über Ihr Netzwerk laufen, für die Firewall nicht erkennbar sind.

Zum Beispiel sollte eine Netzwerk-Firewall, die diese Angriffssignatur erkennen kann, einem Benutzer den Zugriff auf Ihr Netzwerk verweigern, wenn er auf einen bösartigen Link in einer betrügerischen E-Mail klickt, die zu einer unsicheren Website führt. Wenn der Link jedoch zu einer verschlüsselten Seite führt, kann der Angreifer die Verschlüsselung nutzen, um den Eindringling zu verbergen, was es der Firewall unmöglich macht, ihn zu erkennen oder zu mildern. TLS-Inspektion wird in diesem Szenario nützlich. Administratoren können dank der TLS-Entschlüsselung eine effektivere Kontrolle über Zugänglichkeit, Bedrohungserkennung und Prävention in verschlüsselter Kommunikation haben. Durch die Aktivierung der Firewall, um alle TLS-Kommunikationen, die Ihr Netzwerk betreten und verlassen, zu überprüfen und den Datenverkehr regelmäßig auf bösartige Aktivitäten zu scannen, wird der Schutz und die Verteidigung der Peripherie erheblich verbessert.

Wie unterscheidet sich TLS von SSL?

TLS ist eine modernisierte, sicherere Variante von SSL. Obwohl sowohl TLS als auch SSL Websites eine identische HTTPS-Verbindung bieten, die als ikonisches Emblem für Webschutz bekannt geworden ist, gibt es nicht viele Unterschiede zwischen beiden. Einige Hauptunterschiede zwischen TLS und SSL sind wie folgt:

  • TLS steht für "Transport Layer Security", während SSL für "Secure Socket Layer" steht.

  • Im Jahr 1995 entwickelte Netscape die erste Iteration von SSL. Die Internet Engineering Task Force (IETF) erstellte die erste Version von TLS im Jahr 1999.

  • TLS folgt einem effizienteren Standardisierungsverfahren als das von SSL verwendete Protokoll, was die Definition neuer Cipher-Suiten erleichtert. TLS unterstützt eine Reihe von Cipher-Suites, darunter RC4, Triple DES, AES und IDEA, die sowohl für Verschlüsselungs- als auch für Entschlüsselungstechniken verwendet werden. Das am weitesten verbreitete Satz von Chiffren ist der temporäre Diffie-Hellman (DHE) Schlüsselaustauschalgorithmus, der perfekte Vorwärtssicherheit (PFS) bietet und auf jede Schlüssellänge angewendet werden kann. PFS wird von einigen zusätzlichen Verschlüsselungssuiten unterstützt, aber sie sind weniger populär. Mit PFS erlaubt SSL nur eine Verschlüsselungssuite, die einen 1024-Bit-RSA-Schlüssel verwendet.

  • Warnmeldungen werden vom SSL-Protokoll verwendet, um den Client oder Server über einen spezifischen Fehler zu informieren, der während der Verbindung aufgetreten ist, wie die Warnmeldung "Kein Zertifikat". Es gibt keine analoge Methode im TLS-Protokoll. Die Warnmeldung wird durch eine Reihe anderer Warnungen ersetzt, die vom TLS-Protokoll gesendet werden.

  • In TLS werden Hashes von Daten über eine Handshake-Nachricht erstellt, während im SSL das Master-Secret und das Pad in die Hash-Code-Generierung einbezogen werden.

  • Das Record-Protokoll ist eine weitere Unterscheidung. Nachdem jede Nachricht verschlüsselt wurde, verwendet SSL einen Message Authentication Code (MAC), während TLS einen hash-basierten Message Authentication Code verwendet. (HMAC). Obwohl selten genutzt, kann in SSL mehr als ein Datensatz pro Paket übertragen werden, während in TLS pro Paket nur ein Datensatz abgerufen werden kann. Zusätzlich verfügt SSL nicht über einige der Optionen zur Komprimierung und Auffüllung, die im Record-Protokoll von TLS zu finden sind.

  • Um Manipulationen von Nachrichten während des Austauschs zu verhindern, fügt die SSL-Nachrichtenauthentifizierung ad-hoc die Schlüsselinformationen und Anwendungsdaten zusammen. Um Manipulation zu verhindern, verlässt sich TLS auf andere Sicherheitsmaßnahmen wie Verschlüsselung und HMAC (Hash-basierter Nachrichten-Authentifizierungscode), anstatt auf MACs.

Abschließend ermöglichen TLS und SSL die sichere Übertragung von Informationen und Authentifizierung im Internet. Das veraltete SSL-Protokoll wird jetzt als TLS bezeichnet, der aktuellen Verschlüsselungsstandard, der von allen Parteien übernommen wurde. Obwohl SSL häufiger verwendet wird, ist TLS technisch gesehen korrekter. Die am häufigsten verwendete Protokollversion ist TLS 1.2.

Warum ist TLS-Inspektion für die Netzwerksicherheit notwendig?

Die TLS-Inspektion entschlüsselt und überprüft den Verkehr, der zwischen dem Benutzer und dem Host verschlüsselt ist, um bösartige Aktivitäten zu identifizieren, die verschlüsselte Kommunikationswege nutzen. Angesichts der Tatsache, dass die Mehrheit der Bedrohungsakteure verschlüsselte Methoden zur Verbreitung von Schadsoftware nutzt, scheint dieser Ansatz den Zweck der Datenverschlüsselung zur Vermeidung von Spionage und Einmischung zu negieren. Wir haben jedoch kaum eine andere Wahl, als den Verkehr zu untersuchen, der durch die Hosting-Plattformen und Clients fließt. Malware kann oft in verschlüsselten Kommunikationen unentdeckt bleiben, da viele traditionelle Netzwerksicherheitslösungen sie nicht erkennen können.

Die meisten herkömmlichen Sicherheitslösungen, einschließlich Zero-Trust-Strategien, funktionieren nur, wenn Sie vollständige Transparenz über Einzelpersonen und deren Verhalten haben. Es gibt keinen Mechanismus, mit dem Sie überprüfen können, ob etwas sicher ist, wenn es nicht sichtbar oder messbar ist, da Verschlüsselung im Bereich der Cybersicherheit weit verbreitet ist, einschließlich des Netzwerkverkehrs. Als Lösung verwenden zahlreiche Sicherheitsanbieter TLS-Inspektion, obwohl dies Nachteile wie Netzwerkverzögerungen, Leistungsprobleme und eine Vergrößerung der Angriffsfläche mit sich bringt. Der Datenverkehr wird zuerst entschlüsselt, untersucht und dann wieder verschlüsselt, bevor er weitergeleitet wird. Die TLS-Inspektion kann sowohl für eingehenden als auch für ausgehenden Datenverkehr eingesetzt werden, da sie zur Untersuchung beider verwendet werden kann.

Wie funktioniert die TLS-Inspektion?

Die SSL/TLS-Inspektion beinhaltet das Abfangen von TLS-Kommunikationen, die in ein Netzwerk eines Unternehmens eintreten oder aus ihm austreten, in einem Man-in-the-Middle-Ansatz. Dies ermöglicht es dem Unternehmen, den Datenfluss auf potenziell gefährliche Daten zu überprüfen. Symmetrische und asymmetrische Verschlüsselung werden beide von TLS verwendet, um die Privatsphäre und Sicherheit der Daten während der Übertragung zu gewährleisten. Ein Client und ein Server stellen eine sichere Sitzung über asymmetrische Verschlüsselung her, und während der sicheren Sitzung werden Informationen mithilfe symmetrischer Verschlüsselung ausgetauscht.

Zwei verschiedene Protokolle werden zur Herstellung von HTTPS-Verbindungen verwendet. Eine gesicherte Verbindung wird zwischen dem Client und dem Server unter Verwendung von SSL/TLS hergestellt. Sobald dies erledigt ist, wird der über HTTP gesendete Datenverkehr durch diesen Tunnel geliefert, indem er verschlüsselt und in den Datenanteil der SSL/TLS-Pakete eingebettet wird. Wenn die Informationen ihren endgültigen Zielort erreichen, decodiert die zweite Maschine sie und verwendet das HTTP-Protokoll, um damit zu arbeiten. Der Endbenutzer und der Host müssen einen geheimen Verschlüsselungsschlüssel austauschen, damit dies funktioniert. Dies wird über SSL/TLS unter Verwendung eines Handshakes erstellt, der ein Vereinbarungsmechanismus ist, bei dem beide Parteien die Parameter wie Verschlüsselungsalgorithmen erkennen. Sie tauschen einen privaten Schlüssel mithilfe asymmetrischer Kryptographie oder Public-Key-Verschlüsselung aus, um ihn vor unbekannten Parteien zu schützen.

Die folgenden sind typische Techniken zur Inspektion von TLS-Verkehr. Diese Methoden können sowohl Vorteile als auch Nachteile haben:

  • Next-Generation-Firewalls (NGFW) überprüfen den Datenverkehr während der Übertragung, wobei die Sichtbarkeit auf Paketebene erfolgt, was eine Einschränkung bei der Erkennung betrügerischer Daten darstellt.

  • TAP-Modus, der den Datenverkehr kopiert, während er sich bewegt, damit er später offline einzeln untersucht werden kann.

  • TLS-Proxys, die separate Client-Server-Verbindungen herstellen. Es bietet eine vollständige Erkennung im gesamten Netzwerkstream und in den Sitzungen. Ein Proxy könnte verwendet werden, um nur den Datenverkehr zu überwachen oder ihn tatsächlich abzufangen.

Welche Schritte sind erforderlich, um TLS-Inspektion einzurichten?

Um SSL/TLS-Verschlüsselung zu verwenden, benötigt eine Internetseite ein SSL/TLS-Zertifikat für ihren Webhost und ihre Domain. Wenn das digitale Zertifikat eingerichtet ist, können der Client und der Server sicher den Grad der Verschlüsselung besprechen, indem sie die folgenden Aktionen ausführen:

  • Der Endbenutzer verbindet sich über eine verschlüsselte HTTPS-URL mit dem Server.

  • Der Endbenutzer erhält den öffentlichen Schlüssel und das Zertifikat des Servers.

  • Der Client überprüft die Gültigkeit des Zertifikats mithilfe einer vertrauenswürdigen Stammzertifizierungsstelle.

  • Die effektivste Verschlüsselungsmethode, die beide bewältigen können, wird sowohl vom Benutzer als auch vom Host vereinbart.

  • Mit dem öffentlichen Schlüssel des Servers verschlüsselt der Client den privaten Schlüssel der Sitzung, bevor er ihn an den Server zurücksendet.

  • Durch die Verwendung seines geheimen Schlüssels entschlüsselt der Server die Client-Kommunikation, und die Sitzung wird dann erstellt.

  • Alles, was über das Gerät des Clients und den Server gesendet wird, wird mit dem Sitzungsschlüssel verschlüsselt und entschlüsselt, was bedeutet, dass symmetrische Verschlüsselung verwendet wird.

  • Infolgedessen wird HTTPS sowohl vom Endbenutzer als auch vom Server für die Verbindung verwendet. Webbrowser überprüfen dies, indem sie das Schlossymbol im URL-Feld anzeigen.

  • Ein neuer Handshake wird hergestellt und ein frisches Schlüsselpaar wird für den nächsten Besuch des Nutzers erstellt, da die generierten Schlüssel nach dem Schließen der Webseite gelöscht werden.

Was sind die Vorteile der Implementierung von TLS-Inspektion?

TLS-Inspektion bietet hauptsächlich eine verbesserte Bedrohungserkennung, Sichtbarkeit und Kontrolle über verschlüsselte Kommunikationen. Heutzutage schützen Unternehmen ihre Endbenutzer, Kunden und Daten durch die Implementierung von TLS-Inspektion im HTTPS-Verkehr, was ihnen die Möglichkeit gibt, die folgenden Vorteile zu nutzen:

  • Verbesserung der Erkennung potenziell schädlicher Benutzer und IP-Adressen, um mögliche DDoS-Angriffe zu stoppen, indem betrügerische Anfragen erkannt und blockiert werden.

  • Bereitstellung der geeigneten Werkzeuge zur Implementierung von KI- und maschinellen Lernlösungen in Ihrer Umgebung, um beispielsweise die Verkehrsströme zu erkennen.

  • Den Verkehr, der das Netzwerk durchquert, im Auge behalten. Verhindern Sie, dass Hacker die Sicherheit durchbrechen, und finden Sie unentdeckte Spyware, um Datendiebstahl zu vermeiden.

  • Erkennen und verstehen Sie alle absichtlichen oder unbeabsichtigten Mitteilungen, die Mitarbeiter außerhalb des Unternehmens erhalten könnten.

  • Einhaltung der Standards für die Einhaltung von Vorschriften sicherstellen und dafür sorgen, dass Mitarbeiter sensible Informationen nicht gefährden.

  • Fördern Sie die Nutzung eines vielschichtigen Verteidigungsansatzes, um die Sicherheit des gesamten Unternehmens zu gewährleisten.

Was sind die Risiken und Herausforderungen im Zusammenhang mit der TLS-Inspektion?

Sie könnten auf Probleme stoßen, wenn Sie mit der Planung der Bereitstellung der SSL-Entschlüsselung beginnen, aufgrund praktischer und technologischer Probleme. Die Herausforderungen der TLS-Inspektion lassen sich in die folgenden Kategorien zusammenfassen:

  • Komplexe Struktur für die Entschlüsselung: Es gibt viele verschiedene Werkzeuge und Ansätze mit unterschiedlichen Sicherheitszielen. Während andere unterschiedliche Anwendungsfälle haben, sind einige von ihnen für die TLS-Dekodierung und -Inspektion gemacht. Organisationen nutzen eine Vielzahl von Produkten, weil sie mit verschiedenen sicherheitsbezogenen Problemen umgehen müssen. Es ist schwierig, TLS-Entschlüsselung anzuwenden, während die Funktionalität der anderen Sicherheitstools beibehalten wird. Das Versäumnis, dies zu tun, kann zu Verzögerungen aufgrund von Engpässen oder Störungen im Netzwerkverkehr führen.

  • Die Leistung der Entschlüsselung: Die Verschlüsselung und Entschlüsselung von Netzwerkaktivitäten kann eine Menge Rechenleistung beanspruchen. Wenn Unternehmen unter solch einer Last stehen, wählen sie gelegentlich einen Teil der Daten zur Untersuchung aus. Zusätzlich variiert die Menge der Netzwerkaktivität innerhalb der Zeitperioden. Es wird schwierig, die richtigen Ressourcen zuzuweisen, wenn man dieses saisonale Muster berücksichtigt. Wann immer Sie die Effizienz verbessern können, sind Sie in der Lage, die Kosten zu senken.

  • Gesetze für Sicherheit: In jedem Bundesstaat und jeder Nation können unterschiedliche Gesetze existieren, die akzeptable Entschlüsselungsmethoden definieren. Die Durchführung einer TLS-Inspektion führt zu einer Verletzung der Privatsphäre ohne das notwendige rechtliche Verständnis. Infolgedessen kann es schwierig sein, das richtige Gleichgewicht zwischen der Einhaltung der Regeln und der Aufrechterhaltung einer sicheren Netzwerkaktivität zu finden.

Welche Risiken sind mit der TLS-Inspektion verbunden?

Neben den Herausforderungen gibt es die folgenden Risiken, die mit der TLS-Inspektion verbunden sind:

  • Ineffektives Management des entschlüsselten Datenverkehrs: Nachdem die Kommunikation verschlüsselt wurde, besteht die Möglichkeit, dass sie unsachgemäß behandelt wird, wenn sie zu einem anderen Standort wie einem externen Server zur Untersuchung übertragen wird. Es besteht die Möglichkeit, dass die Daten fehlgeleitet werden und kritische Informationen an unzuverlässige oder schlecht gesicherte Systeme weitergegeben werden.

  • Reduzierte TLS-Sicherheit: Ein Proxy, der Netzwerkaktivitäten entschlüsselt, um sie zu inspizieren, muss eine neue HTTPS-Sitzung einrichten, bevor er sie an den vorgesehenen Empfänger sendet. Jedoch ist der nachfolgende Link im Link nicht so zuverlässig wie der ursprüngliche. Laut einigen Studien erlauben TLS-Inspektionslösungen häufig einen zweiten Kanal mit weniger robuster Verschlüsselung. Dies führt zu einer inaktiven Ausführung der Sitzung oder zur Manipulation von Schwachstellen, die mit weniger effizienten TLS-Versionen oder Cipher-Suites verbunden sind.

  • Verstoß gegen die Zertifizierungsstelle: TLS-Lösungen enthalten eine integrierte Zertifizierungsstelle (CA), die neue Zertifikate ausstellt, um alle derartigen HTTPS-Kommunikationen zu ermöglichen. Mit der Zertifizierung von TLS besteht die Hauptsorge darin, dass die CA ausgenutzt werden könnte, um illegitime Zertifikate auszustellen, die von TLS-Clients vertraut werden, was es einem Angreifer ermöglichen könnte, illegale Software zu authentifizieren, um Hosting-IDS/IPS zu umgehen oder schädliche Anwendungen zu erstellen, die das Original imitieren.

  • Eine Einzelpunktanfälligkeit: TLS-Inspektionsprodukte sind ein primäres Ziel für Angreifer, einfach weil entschlüsselte Kommunikation vorhanden ist. Angreifer können ihre Zieloperationen auf ein bestimmtes Gerät konzentrieren, wo möglicher wertvoller Verkehr entschlüsselt wird, anstatt zu versuchen, jedes der verschiedenen Datenquellen zu übernehmen.

  • Exposition gegenüber entschlüsseltem Datenverkehr durch Insider: Einige Mitarbeiter mit schlechten Absichten und unabhängige Auftragnehmer mit Erlaubnis, den Dienst auszuführen, könnten an den anfälligen Engpass des TLS-Inspektionsprozesses gelockt werden, anders als die externen Angreifer. Solche autorisierten Personen könnten ihre Privilegien missbrauchen, um Anmeldeinformationen und andere private Informationen zu stehlen, die in der entschlüsselten Kommunikation offengelegt werden.

Um die in den vorherigen Abschnitten genannten Risiken zu reduzieren, sollte das Entschlüsseln und Analysieren von TLS-Kommunikationen nur einmal innerhalb des Unternehmensnetzwerks erfolgen. Es ist nicht ratsam, wiederholte TLS-Inspektionen zu verwenden, bei denen ein Client-Server-Kommunikationspfad zuerst von einem fortschrittlichen Proxy entschlüsselt, untersucht und erneut verschlüsselt wird, bevor er an einen nachfolgenden fortschrittlichen Proxy zur Durchführung desselben Verfahrens weitergeleitet wird. Mehrfache Inspektionen könnten es sehr schwierig machen, Netzwerkprobleme mit TLS-Netzwerkaktivitäten zu diagnostizieren. Bei der Bestimmung, ob ein Server vertrauenswürdig ist, verschleiert die Multi-Inspektion erheblich die Zertifizierungen. In diesem Szenario ist der äußerste Proxy der einzige Ort, an dem Vertrauen und Überprüfung der externen Zertifikate durchgeführt werden können, und er entscheidet, welche Serverzertifikate oder CAs autorisiert werden sollen. Anstatt zahlreiche Inspektionsabschnitte einzuführen, von denen jeder getrennt, bewacht und überwacht werden müsste, fügen Sie alle zusätzlichen Inspektionsfähigkeiten in den einzigen separierten Prüfungsbereich ein.

Der letzte Punkt ist, dass nur eine TLS-Inspektionsinstallation erforderlich ist, um Gefahren aus codierten Daten zu identifizieren; weitere TLS-Inspektionen erhalten Zugang zum identischen Netzwerkdatenfluss. Weitere TLS-Inspektionsinstallationen würden sinnlos werden, da ihnen der verworfene Datenverkehr für eine weitere Untersuchung nicht einmal zur Verfügung gestellt würde, wenn die ursprüngliche TLS-Inspektionsinstallation eine Bedrohung entdeckt, die Sitzung beendet und die Kommunikation verworfen hat. Doppelte TLS-Inspektion hat keine zusätzlichen Vorteile und erweitert den Bedrohungsperimeter, während sie Angreifern mehr Möglichkeiten gibt, die Kommunikation abzufangen und entschlüsselt zu sehen.

Was sind die häufigsten Anwendungsfälle für TLS-Inspektion in Organisationen?

TLS-verschlüsselte Kommunikation kann sowohl fortschrittliche Malware als auch weniger bekannte, aber entscheidende Indikatoren für mögliche Angriffe auf Unternehmen verbergen. Das Netzwerk eines Unternehmens bleibt öffentlich zugänglich, aber ständig im Wachstum. Das Potenzial für Angriffe, die im verkapselten Informationsfluss verborgen sind, steigt mit der Menge an SSL-Kommunikation. Systeme innerhalb von Unternehmen werden durch aufkommende Technologien und Apps, den steigenden Bedarf an mobiler Konnektivität und bandbreitenhungrige Nutzer enorm belastet. Um Leistungsprobleme schnell zu identifizieren und zu beheben, ist eine vollständige Sichtbarkeit aller Datenflüsse erforderlich. Ein erhebliches Blindgelenk entsteht durch nur einen begrenzten Mangel an Zugang und Überwachung eines Teils des Datenflusses, wodurch die Infrastruktur anfällig für feindliche Angriffe, Verstöße und Effizienzprobleme wird. Gefahren, die direkt erlebt werden können, bestehen in TLS-verschlüsselter Übertragung, einschließlich bösartiger Software und neutralem Verkehr, der mit SSL verschlüsselt und durch Verschlüsselung verborgen wurde. Zusätzlich gibt es Bedrohungsindikatoren, die Hinweise darauf sind, dass eine böswillige Entität das Netzwerk auf Schwachstellen untersucht oder analysiert hat. Sie sind ein Beweis für mögliche Hacks oder Versuche, in das Netzwerk einzudringen. Sie beinhalten Unregelmäßigkeiten in der Art und Weise, wie sich der Netzwerkverkehr verschiebt, wie zum Beispiel ungewöhnlich hohe oder niedrige Verkehrsvolumina. Einige häufige Anwendungsfälle für TLS-Inspektion in Organisationen sind wie folgt:

  • Um den mit TLS verschlüsselten Verkehr zu entschlüsseln, um die Funktionalität verschiedener Sicherheitsinstrumente zu verbessern, indem er ihnen als autonome Klartextkommunikation bereitgestellt wird.

  • Um den Datenverkehr an das effektivste Werkzeug zum Schutz eines bestimmten Anwendungstyps zu liefern, identifizieren Sie Apps, die eine gründliche Paketinspektion verwenden, anstatt sich nur auf Protokolle und Portinformationen zu verlassen, die leicht gefälscht werden können.

  • Datenströme zu verarbeiten, um redundante Daten zu eliminieren, ohne dabei die ursprünglichen Daten zu opfern, wie z.B. doppelte Datenpakete, die häufig bei der Verwendung mehrerer Abgriffe in einem Netzwerk auftreten, was Leistungsengpässe verringert.

  • Um die sichere Integration mehrerer Sicherheitswerkzeuge in eine einzige Konfiguration zu fördern, um die Sicherheit zu verbessern und die Leistung verschiedener Geräte auszugleichen.

Durch die Verwendung von TLS-Interception kann eine Middlebox, wie eine Firewall oder ein Proxy-Gerät, die sichere Kommunikation zwischen einem Endbenutzer und dem Server selbst untersuchen und ändern. Dies kann vorteilhaft für die Netzwerkzuverlässigkeit, Sicherheit und Konformität sein, bringt jedoch Schwierigkeiten und Risiken für verschiedene Verkehrsarten sowie Anwendungsformen mit sich. Hier sind einige Tipps, wie man die TLS-Inspektion für das Internet, E-Mails und VPN-Verbindungen verwalten kann, sowie einige häufige Gefahren und optimale Wege, sie zu verhindern.

Für Internetverkehr ist aufgrund der Notwendigkeit von HTTPS zum Schutz vertraulicher Informationen und der Anonymität der Benutzer sowie der Websicherheitsmaßnahmen, die TLS-Proxy und -Inspektion zur Überwachung von Gefahren erfordern, Internetkommunikation häufig anfällig für TLS-Inspektion. Doch der unsachgemäße Einsatz von TLS-Interception könnte die Sicherheit und die End-to-End-Integrität der HTTPS-Kommunikation gefährden. Verwenden Sie eine vertrauenswürdige Zertifizierungsstelle (CA), um Zertifikate für den Proxy-Server zu erstellen, und installieren Sie das Root-Zertifikat der CA auf den Komponenten des Kunden, um die TLS-Inspektion für Internetverkehr zu verwalten. Die Kunden wären nun in der Lage, die Authentizität des Proxy-Servers zu bestätigen und Vertrauen in dessen Zertifizierungen zu setzen. Darüber hinaus sollte der Proxy-Server so eingerichtet werden, dass er den Optionen des Hosts für die Verschlüsselungssuite und die Zertifikatsüberprüfung entspricht und alle Zertifikatsprobleme oder Warnungen an den Kunden weiterleitet. Durch diese Maßnahme wird die Interoperabilität und Sicherheit der primären Verbindung gewährleistet. Abschließend müssen Sie die Protokolldaten und Aktivitäten Ihres Proxy-Servers überwachen und überprüfen, während Sie geeignete Regeln und Vorschriften implementieren, die den Datenfluss blockieren und ändern, um sicherzustellen, dass die Datenauthentizität oder -sicherheit nicht gefährdet wird oder dass geltende Gesetze oder Standards nicht verletzt werden.

Um den E-Mail-Verkehr zu besprechen: Da viele E-Mail-Anbieter SMTPS oder STARTTLS verwenden, um E-Mails und deren Anhänge zu sichern, und da zahlreiche E-Mail-Sicherheitsmechanismen auf TLS-Interceptierung zur Filterung unerlaubter Inhalte angewiesen sind, ist der elektronische Mailverkehr häufig für TLS-Inspektionen offen, insbesondere bei eingehenden Nachrichten. Doch wenn sie unsachgemäß verwendet wird, behindert die TLS-Inspektion die Validierung und Verschlüsselung von E-Mails. Die Verwendung eines geeigneten Zertifikats für den Zwischenhost, die Konfiguration des Proxy-Servers, um das digitale Zertifikat und die Domain des E-Mail-Servers an den Kunden weiterzuleiten, sowie die Überwachung und Prüfung der Protokolle und Aktivitäten des Proxy-Servers sind erforderlich, um die TLS-Inspektion für E-Mails zu verwalten. Auf diese Weise können Sie sicher sein, dass der Proxy-Server alle geltenden Regeln und Vorschriften einhält und nicht in die Header oder den Inhalt der Nachricht eingreift.

Da die VPN-Kommunikation darauf abzielt, Netzwerkbeschränkungen zu überwinden und einen sicheren Kanal zwischen dem Endbenutzer und dem Server, der das VPN hostet, herzustellen, handelt es sich um eine Art der Übertragung, die typischerweise nicht anfällig für TLS-Abfangung ist. Doch zu Zwecken wie Bandbreitenverwaltung, Netzwertransparenz oder der Durchsetzung von Richtlinien möchten bestimmte Netzwerkbetreiber möglicherweise TLS-Inspektion für VPN-Aktivitäten verwenden. TLS-Inspektion kann die Geschwindigkeit und Privatsphäre von VPN-Verbindungen beeinträchtigen, wenn sie unsachgemäß verwendet wird.

Die notwendigen Schritte zur ordnungsgemäßen Handhabung der TLS-Abfangung für VPN-Verkehr, um sicherzustellen, dass der Proxy-Server allen relevanten Vorschriften und Standards entspricht und die Verbindung des virtuellen privaten Netzwerks nicht stört oder Daten preisgibt, sind wie folgt:

  • Verwendung einer geeigneten Proxy-Server-Zertifizierung und Konfiguration des VPN-Clients, um diese zu erkennen

  • Konfigurieren des Proxy-Hosts, um die Lizenz und die Domain des VPN-Servers an den Endbenutzer weiterzuleiten

  • Unterstützung des Übertragungsprotokolls und der Sicherheitsoptionen des VPN-Clients

  • Überwachung und Prüfung der Proxiserver-Protokolldateien und Aktivitäten

  • Implementierung relevanter Richtlinien und Vorschriften zur Einschränkung und Änderung des Verkehrs

Was sind die besten Praktiken zur Konfiguration der TLS-Inspektion?

Bevor Sie die SSL-Inspektion im gesamten Unternehmen aktivieren, wird empfohlen, dies an einer Demonstrationsstation oder an einem kleineren Standort durchzuführen. Dies ermöglicht es Ihnen, die SSL-Inspektionskonfiguration mit einer kleinen Gruppe von Testpersonen zu bewerten.

Stellen Sie die Gruppe von Personen zusammen, die Sie für den SSL-Inspektionstest einsetzen werden, bevor Sie beginnen, wie z.B. IT-Mitarbeiter, Hilfspersonal, das Cybersicherheitsteam, Führungskräfte und Benutzer aus Nicht-IT-Abteilungen. Um einen Test zur TLS-Inspektion durchzuführen, können Sie die folgenden Aufgaben erledigen:

  • Erstellen Sie eine Liste der Internetseiten und Programme, die Ihr Unternehmen täglich nutzt. Vergessen Sie nicht, Websites für Anbieter und Dienstleistungen hinzuzufügen.

  • Konfigurieren Sie die TLS-Inspektionsstrategie, um die TLS-Inspektion für die Anwendungen und Internetseiten auf Ihrer ausgewählten Liste zu aktivieren, und bitten Sie dann die Benutzer, diese zu testen.

  • Möglicherweise müssen Sie einige Websites dauerhaft von der SSL-Inspektion ausschließen, oder Sie müssen Websites an Ihren Helpdesk melden, um herauszufinden, was schiefgelaufen ist.

  • Testen Sie die TLS-Inspektion für die URL-Kategorien, nachdem Sie die Liste der Websites und Programme bewertet haben. Als Best Practice sollten Sie die TLS-Inspektion nur für eine Teilmenge von URL-Gruppen gleichzeitig aktivieren und den Rest zur Liste der URL-Gruppen hinzufügen, für die TLS-Sitzungen nicht entschlüsselt werden. Danach, wenn alles bereit ist, aktivieren Sie die TLS-Inspektion für alle URL-Kategorien außer Banking und Healthcare, um Unternehmensbedenken hinsichtlich der Vertraulichkeit zu zerstreuen.

Durch den Einsatz einer TLS-Inspektionslösung werden die über das Netzwerk übertragenen Daten entschlüsselt, untersucht und bereitgestellt, um potenzielle Schadsoftware und unbekannte Bedrohungen zu finden. Wenn eine bestimmte Website von dem Unternehmen als zuverlässig angesehen wird oder mit der Sicherheit der Mitarbeiter in Verbindung steht, einschließlich finanzieller und medizinischer Dienstleistungen, werden einige Netzwerkaktivitäten als bewährte Praxis ignoriert. Zusätzlicher Internetverkehr, der in der Regel von Servern stammt, die Online-Spiele oder bekannte Spyware hosten, wird aus Leistungs- und Sicherheitsgründen eingeschränkt. Einige zusätzliche TLS-Inspektionsbest Practices, die in Organisationen angewendet werden können, um die Anfälligkeit eines Unternehmens für solche Cybergefahren zu verringern, umfassen:

  • Multi-Faktor-Authentifizierung zusammen mit der Nutzung von Firewalls für Webanwendungen, um die Eindringung von bösartiger Software aus dem Internet zu verhindern

  • Verhinderung von Denial-of-Service-Angriffen am Netzwerkperimeter, während die Belegschaft über Cybersicherheitsverfahren unterrichtet wird

  • Weniger privilegierter Zugriff

  • Alternative Methoden wie Hardware-Beschleunigung anwenden, wenn Sie es mit vielen Benutzern zu tun haben und die Daten sicher übertragen müssen, da TLS-Dekodierung und -Neucodierung rechenintensive Verfahren sind, die den allgemeinen Durchsatz beeinträchtigen könnten.

  • Optionen wählen, die die Gesamtzahl der zu überwachenden Endpunkte minimieren und erschwinglich sind, wenn es um die Auswahl der Entschlüsselungsmethoden geht.

  • Wählerisch sein, indem Sie Filterung und sichere Seiten verwenden, um die Entschlüsselung für Websites zu umgehen, die Sie erkennen und als sicher betrachten.

  • Bewertung der Leistungsimplikationen vor der Implementierung der TLS-Inspektion und Ergreifung geeigneter Maßnahmen.

  • Festlegung der Grenzen und Nomenklaturstandards für die Einrichtung beim Erstellen eines TLS-Inspektionsprofils, um es einfach erkennbar zu machen.

  • Die Verwendung legitimer SSL/TLS-Zertifikate ist erforderlich für die Einrichtung der Zertifikate, die für die TLS-Inspektion auf allen Clients verwendet werden.

  • Die richtigen TLS-Inspektionsparameter einrichten, um die übertragenen Daten zu dekodieren.

  • Ältere Protokolle wie TLS 1.0 und frühere einschränken, um die Sicherheit der TLS-Inspektion zu gewährleisten.

Wie hilft die TLS-Inspektion bei der Erkennung und Verhinderung bösartiger Aktivitäten?

TLS-Inspektion ist ein Verfahren, das die Analyse von SSL/TLS-Sitzungen umfasst, die in die Netzwerke eines Unternehmens ein- oder ausgehen, mittels eines Man-in-the-Middle (MitM)-Ansatzes. Dies ermöglicht es dem Unternehmen, den Datenverkehr auf schädliche Informationen wie Malware, Phishing und Datenexfiltration zu überprüfen. TLS-Verkehr wird zuerst entschlüsselt, damit er auf bösartige Aktivitäten überprüft werden kann, und dann wird er wieder verschlüsselt, bevor er an sein Ziel gesendet wird.

Die Firewall ist der Ort, an dem die TLS-Inspektion hauptsächlich durchgeführt wird. Die Schutzkomponenten für Server und Clients der TLS-Inspektionsfunktion überprüfen jeweils eingehende Verbindungen zu Servern innerhalb des geschützten Netzwerks und TLS-ausgehende Verbindungen, die von Clients innerhalb des geschützten Netzwerks initiiert werden. TLS-Inspektion bietet eine Reihe von Vorteilen für die Netzwerksicherheit und Effizienz, wie z.B. Compliance, Sichtbarkeit und Schutz. Compliance hilft Unternehmen, die gesetzlichen Anforderungen zur Überprüfung von verschlüsseltem Datenverkehr einzuhalten. Organisationen verwenden TLS-Inspektion, um Kommunikationsdaten auf schädliche Elemente wie Malware, Phishing und Datenausfuhr zu scannen, und sie wird genutzt, um durch den "unsichtbaren Verkehr" zu schauen und schädliche Aktivitäten zu erkennen, die über verschlüsselte Datenströme durchgeführt werden. TLS-Inspektion kann bei der Erkennung fortgeschrittener Bedrohungen, URL-Filterung und Inhaltskontrolle, Erkennung verschlüsselter Tunnel, Bedrohungsintelligenz und Anomalieerkennung eingesetzt werden. Einige Details und Beispiele, wie TLS-Inspektion bösartige Aktivitäten erkennt und verhindert, werden im Folgenden erläutert:

  • Cybersicherheitslösungen untersuchen den Inhalt auf erkannte Malware-Signaturen, ungewöhnliche Aktivitäten oder Indikatoren für Kompromittierung (IOCs), indem sie die Kommunikation entschlüsseln. Dies ermöglicht es Unternehmen, Malware zu identifizieren und zu verhindern, dass sie sich in ihren IT-Systemen ausbreitet.

  • Ein weiteres Beispiel ist die Eindringungserkennung. Schutzwerkzeuge können bösartige Aktivitäten wie SQL-Injection, Cross-Site-Scripting (XSS)-Angriffe oder unbefugte Zugriffsversuche erkennen, indem sie den Datenverkehr entschlüsseln und analysieren und dann die notwendigen Schritte unternehmen, um die Gefahren zu stoppen oder zu neutralisieren.

  • Unternehmen suchen nach privaten Daten wie Kreditkartennummern, Sozialversicherungsnummern oder geistigem Eigentum, indem sie den Datenverkehr entschlüsseln. Die Sicherheitsvorrichtung ergreift Maßnahmen wie das Stoppen der Übertragung oder das Benachrichtigen der entsprechenden Mitarbeiter, wenn regulatorische Verstöße festgestellt werden, im Hinblick auf die Verhinderung von Datenverlust.

  • Schutztechnologien erkennen die verwendeten Anwendungen, überwachen deren Aktivitäten und legen Richtlinien für das Management von Anwendungen fest, indem sie die übermittelten Daten entschlüsseln. Dies hilft bei der Erkennung unzulässiger Anwendungen, der Einschränkung des Zugriffs auf bestimmte Anwendungen oder der Überprüfung der Einhaltung von Vorschriften. Unternehmen erfahren mehr über die Gefahren, Angriffsmethoden und Trends, die in ihrem Netzwerk vorhanden sind, indem sie den entschlüsselten Datenfluss betrachten. Um den sich entwickelnden Bedrohungen einen Schritt voraus zu sein, hilft dieses Wissen, Sicherheitsprotokolle zu verbessern und Verteidigungen zu modernisieren.

Obwohl es einige Nachteile in Bezug auf Kompatibilität, Sicherheit und Kosten mit sich bringt, macht die Fähigkeit, verschlüsselte Kommunikation auf schädliche Inhalte zu überprüfen und potenzielle Bedrohungen zu erkennen, die TLS-Inspektion insgesamt zu einem entscheidenden Bestandteil der Cybersicherheitsstrategie einer Organisation. Um die Sicherheit des Systems zu gewährleisten, ist es entscheidend, alle potenziellen Kosten und Gefahren vor der Einführung der TLS-Inspektion zu berücksichtigen und die notwendigen Sicherheitsmaßnahmen zu ergreifen.

Wie Zenarmor die Inspektion der Transportschichtsicherheit (TLS) durchführt

Es gibt zwei unterschiedliche Ansätze zur TLS-Inspektion, die sich durch Variationen in der Menge der bereitgestellten Informationen und die Einbeziehung oder den Ausschluss der Entschlüsselung auszeichnen.

  1. Leichtgewichtige Inspektion: Im leichten (oder zertifikatbasierten) Inspektionsmodus analysiert Zenarmor die frühen Phasen von TLS-Sitzungen. Die oben genannten Abschnitte bleiben in unverschlüsselter Form und bieten relevante Details wie den Remote-Hostnamen, die Webkategorie und den Typ der Remote-Anwendung.Die Verwaltung von Zertifikaten benötigt keine speziellen Anforderungen, da diese Funktionalität derzeit auf allen Mitgliedschaftsebenen verfügbar ist. Zenarmor umfasst eine grundlegende Transport Layer Security (TLS)-Inspektionsfunktion für alle Editionen, einschließlich der kostenlosen Edition, die das Extrahieren der Server Name Indication (SNI) aus dem Zertifikat beinhaltet. Die Standardeinstellung ermöglicht die Inspektion des TLS-Verkehrs, der im Abschnitt Berichte unter TLS oder im Abschnitt Live-Sitzungen unter TLS angezeigt werden kann.

  2. Vollständige TLS-Inspektion: Der Ansatz der vollständigen TLS-Inspektion beinhaltet, dass Zenarmor die TLS-Verbindung unterbricht, den Inhalt der Pakete entschlüsselt, eine gründliche Paketinspektion durchführt und dann den Inhalt der Pakete erneut verschlüsselt. Eine bedeutende Sicherheitsfunktion, die Full TLS-Inspektionsfähigkeit von Zenarmor verbessert die Sichtbarkeit und Kontrolle über verschlüsselten Netzwerkverkehr. Angreifer nutzen häufig verschlüsselten Datenverkehr, um ihre böswilligen Aktivitäten zu verschleiern, da er weit verbreitet ist.

Die vollständigen Transport Layer Security (TLS) Inspektionsfähigkeiten von Zenarmor verbessern die Fähigkeit, verschlüsselten Netzwerkverkehr zu überwachen und zu kontrollieren, und bieten somit einen erheblichen Sicherheitsvorteil. Böswillige Akteure nutzen oft verschlüsselte Kommunikation, um ihre niederträchtigen Handlungen zu verbergen und machen sich dabei die weitverbreitete Nutzung zunutze. [Zenarmors vollständige TLS-Inspektion]Die Funktionalität (https://www.zenarmor.com/docs/policies/tls-inspection-rules) ermöglicht eine robuste Bedrohungserkennung und -verhinderung durch das Entschlüsseln und Analysieren eingehender und ausgehender TLS-Pakete. Dieser Ansatz verbessert die Netzwerksicherheit, indem umfassende Überwachungs-, Bedrohungserkennungs- und Kontrollsysteme für verschlüsselte Kommunikation eingerichtet werden. Es verhindert effizient das Eindringen gefährlicher Informationen, die in verschlüsselten Datenströmen verborgen sein könnten, und gewährleistet, dass Sicherheitsmaßnahmen nicht umgangen werden.

Abbildung 1. Wie die vollständige TLS-Inspektion von Zenarmor funktioniert

Die zertifikatsbasierte Inspektion, auch als leichte Inspektion bekannt, steht Zenarmor-Nutzern sowohl über kostenpflichtige als auch über kostenlose Mitgliedschaftsoptionen zur Verfügung. Andererseits bieten die SSE/SASE/ZTNA-Mitgliedschaften den Nutzern die Möglichkeit, eine umfassende TLS-Inspektion zu nutzen.

Was sind die Compliance-Überlegungen für die TLS-Inspektion?

Die sichere und verantwortungsvolle Anwendung der TLS-Inspektion erfordert eine Vielzahl von Voraussetzungen, wie eine vorherige Bewertung von Datenschutzfragen, die ordnungsgemäße Konfiguration und Sicherheit des TLS-Proxys sowie die kontrollierte Einführung von Zertifikaten. Die Einführung der TLS-Inspektion sollte Teil eines größeren Maßnahmenpakets zur Anwendung von Informationssicherheitsrichtlinien sein, anstatt unabhängig durchgeführt zu werden. Die TLS-Inspektion muss eine Vielzahl von entscheidenden Voraussetzungen erfüllen und muss sorgfältig unter Berücksichtigung weiterer Bedrohungen bewertet werden. Es ist wichtig zu überprüfen, ob die regulatorischen Verpflichtungen eingehalten werden, zumindest im Umgang mit privaten Informationen. Zusätzlich ist eine vollständige Bewertung der Notwendigkeit und Nützlichkeit der Verwendung von TLS-Inspektion im Lichte zusätzlicher Sicherheitsvorkehrungen erforderlich. Der TLS-Proxy muss mit zusätzlichen Sicherheitsverfahren verknüpft werden und ordnungsgemäß verschlüsselte Verbindungen herstellen. Letztendlich, da der TLS-Proxy tatsächlich ein begehrenswertes Ziel ist, ist es entscheidend, ihn angemessen zu schützen.

  • Verwenden Sie die TLS-Inspektion weise und nicht willkürlich.

  • Verhindern Sie Angriffe direkt auf das TLS-Proxy-Gerät.

  • Ergänzen Sie den TLS-Proxy mit einer breiteren Palette von Sicherheitsfunktionen.

  • Führen Sie eine Bewertung durch, um die Einhaltung der regulatorischen Verpflichtungen, zumindest in Bezug auf die Verarbeitung personenbezogener Daten, vor der Implementierung der TLS-Intercept-Funktion sicherzustellen.

  • Stellen Sie sicher, dass ausreichend Unterstützung verfügbar ist, um unvorhergesehene Probleme nach der Installation zu beheben.

  • Stellen Sie sicher, dass der TLS-Proxy-Anbieter Upgrades bereitstellt, sobald Schwächen im TLS-Proxy entdeckt werden.

  • Setzen Sie den TLS-Proxy gemäß den Empfehlungen ein, nachdem er gegen die relevanten Informationssicherheitskriterien getestet wurde.

  • Verwendung von Perfect Forward Secrecy, die die Vertraulichkeit früherer TLS-Transaktionen schützt, wenn der private Schlüssel eines Zertifikats vom Server entnommen wird. Ein zweiter, flüchtiger temporärer Schlüssel, der nur während dieser Sitzung verwendet wird und nach der Nutzung zerstört wird. Der geheime Schlüssel des Zertifikats kann nicht verwendet werden, um den verwendeten temporären Schlüssel abzuleiten.

  • Berücksichtigung von Verschlüsselungsschwachstellen bei Sitzungstickets in alten TLS-Versionen.

  • Es könnte besondere Regeln geben, die bei der Durchführung von TLS-Inspektionen je nach Sektor und Region beachtet werden müssen. Die Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union oder das California Consumer Privacy Act (CCPA) beispielsweise schreibt vor, dass Unternehmen Kundendaten mit geeigneten organisatorischen und technischen Maßnahmen schützen müssen, zu denen auch die TLS-Inspektion gehören kann.

  • Verschiedene Organisationen könnten einzigartige Vorschriften in Bezug auf die Einhaltung haben. Die Finanzindustrie unterliegt Regeln wie dem Payment Card Industry Data Security Standard (PCI DSS), während der Gesundheitssektor verpflichtet ist, dem Health Insurance Portability and Accountability Act zu folgen. (HIPAA).

  • Ein weiteres Beispiel für Richtlinien sind die NCSC IT-Sicherheitsrichtlinien für Transport Layer Security. (TLS). Diese Empfehlungen bieten Definitionen und weitere Erklärungen zu den Einstellungen Gut, Ausreichend, Abgeschafft und Unzureichend.

  • Der TLS-Proxy sollte alle Überprüfungen durchführen und alle Sicherheitsmaßnahmen in Bezug auf die Authentifizierung des Servers sowie die Vertraulichkeit, Integrität und Authentizität der übertragenen Daten anbieten.

  • Der Grad der Kontrolle und die Optionen, die einzelnen Benutzer haben sollten, sollten berücksichtigt und ausgewogen sein, wenn eine Verbindung eingerichtet wird, die potenziell unsicher sein könnte.

  • Prüfung, Berichterstattung, Aufbewahrung, Protokollierung, Zustimmung, Benachrichtigung und Schwachstellenmanagement sind weitere Teile der Compliance-Anforderungen.

Wie beeinflusst die TLS-Inspektion die Leistung des Netzwerkverkehrs?

TLS-Inspektion ist entscheidend, um Risiken zu erkennen und zu verhindern, bevor sie ein Unternehmensnetzwerk erreichen, und um Informationslecks zu stoppen, bevor sie zu einem Sicherheitsvorfall führen. Zum Beispiel kann die Deep Packet Inspection, die notwendig ist, damit Sicherheitsmaßnahmen funktionieren, mithilfe der TLS-Inspektion durchgeführt werden. Entschlüsselung, ist jedoch ein mühsamer und kostspieliger Rechenprozess in Bezug auf Hardwareleistung, Rechenintensität, Durchsatz und Netzwerkverzögerung. Es kommt mit erheblichen Kosten, die einen Kompromiss zwischen Netzwerkleistung und Sicherheit erzwingen. Die Entschlüsselungsfähigkeiten in Sicherheitsgeräten haben das Potenzial, Netzwerke erheblich zu verlangsamen, da die Menge des verschlüsselten Datenverkehrs zunimmt.

Die Deep Packet Inspection verbraucht viel Rechenleistung, da sie neben einzelnen Paketen auch Datenströme, die Sammlungen verbundener Pakete sind, untersucht. Darüber hinaus muss die Inspektion in Echtzeit mit minimaler Latenz durchgeführt werden. Zusätzlich erhöht die Hinzufügung von DPI den Grad der Komplexität des Gesamtsystems und hat einen Einfluss auf die Systemeffizienz, da zahlreiche Firewalls andere anspruchsvolle Aktivitäten wie Malware-Bedrohungsschutz, autonome Paketbewertung, NAT und VPN durchführen.

Die Datenübertragungsrate wird drastisch verringert, wenn die TLS-Inspektion aktiviert ist, was sich auf die Leistung des Netzwerks auswirkt. Die Aktivierung der SSL/TLS-Inspektion wird die Durchsatzrate der Firewall unabhängig von der Marke der Firewall verlangsamen. Dennoch gibt es viele Unterschiede zwischen den Anbietern, wie vergleichbare Modelle betroffen sind. Einige können um bis zu 90% sinken, während andere nur 60-70% des Durchsatzes verlieren könnten. Die durchschnittliche Anwendungsreaktionszeit könnte sogar noch höher sein. Beim Skalieren eines Sicherheitsgeräts ist der Durchsatz der TLS/SSL-Inspektion entscheidend, da er sowohl die Download- als auch die Upload-Leistung beeinträchtigen könnte. Es könnte möglicherweise nicht in der Lage sein, die Internetverbindung voll auszunutzen, wenn der Durchsatz der TLS/SSL-Inspektion geringer ist als die Geschwindigkeit der Verbindung.

Unternehmen, die versuchen, übertragene Informationen zu dekodieren und zu untersuchen, kombinieren häufig sowohl Software- als auch Hardwaresysteme vieler Anbieter, was zu Betriebskosten führt und Schwierigkeiten bei der Ausführung und Bereitstellung in Bezug auf Kapazitätsplanung, Erweiterung und latenzbezogene Probleme mit sich bringt. Infolgedessen sind einige Unternehmen gezwungen, ungünstige Maßnahmen zu ergreifen, um die Inspektion ihres Netzwerkverkehrs zu vereinfachen, einschließlich der Einschränkung des Zugangs zu bekannten Webseiten, um Leistungsprobleme zu beheben. Unternehmen müssen die Nachteile langsamerer Netzwerkgeschwindigkeiten gegen die Vorteile der Sicherheit abwägen, da die TLS-Inspektion einen wichtigen Einfluss auf die Effizienz der Netzwerkverbindungen haben kann. Die TLS-Inspektion hat negative Auswirkungen auf die Netzwerkleistung, aber sie kann durch die Implementierung einer anpassungsfähigen Sicherheitslösung und die Berücksichtigung des TLS/SSL-Inspektionsdurchsatzes sowie durch den Besitz ausreichender Ressourcen wie hoher Gigabit-Bandbreite reduziert werden. Um die Latenz zu reduzieren, ist eine Lösung der Einsatz eines skalierbaren Sicherheitssystems, wie z.B. einer Next-Generation-Firewall. (NGFW). Sie können TLS-Inspektionsgeräte nutzen, die entscheiden können, ob unverschlüsselter Datenverkehr durch eine Firewall oder ein DLP gesendet werden soll, und ihn gleichzeitig an zahlreiche Softwareanwendungen zur Verkehrsfilterung weiterleiten können.

Die Verwaltung und Sicherheit moderner Netzwerke werden stark von modernen Verschlüsselungsstandards wie TLS 1.3, IPsec-Tunneling, DNS-over-TLS und DNS-over-HTTPS beeinflusst, die eine starke und umfassende Netzwerkkonfidenzialität bieten. Die Anzahl der erforderlichen Round-Trips während des ersten Gesprächs zwischen dem Client und dem Server wird durch TLS v1.3 verringert. Dies führt zu schnelleren Verbindungszeiten, die die Funktionalität von Webanwendungen verbessern und die Latenz verringern können. TLS v1.3 bietet die Möglichkeit, das allgemeine Online-Browsing-Erlebnis zu verbessern, indem die Geschwindigkeit, Sicherheit und Einfachheit des Protokolls erhöht und bei der Abwehr der zunehmenden Gefahr von Internetangriffen geholfen wird. Wir erwarten, dass Website-Besitzer TLS v1.3 in Zukunft in größerem Umfang übernehmen werden. Zusätzlich, mit dem Fortschritt der Technologie, erwarten Sie, dass die Online-Sicherheit weiterhin besser wird.

In der Zwischenzeit sind die meisten Sicherheitsorganisationen auf der Suche nach einem besseren Werkzeug, das verschlüsselte Kommunikation bewerten und verfolgen kann, ohne dabei gegen funktionale, staatliche oder Sicherheitsstandards zu verstoßen, aufgrund der derzeit in Inspektionstechniken verwendeten Einschränkungen. Die Anbieter, die an der Studie teilgenommen haben, sind sich einig, dass diese Lösungen flexibel und einfach zu bedienen sein müssen, sowie genau, präzise und langfristig funktionsfähig. Es gibt zwei Hauptansätze zur Verwendung der TLS-Inspektion. Eine Methode ist die Anwendung von heuristischer und statistischer/behavioraler Analyse, bei der Metadaten und andere bereits gesammelte statistische Daten analysiert werden. Die andere sind fortgeschrittene Ansätze des maschinellen Lernens (ML) und des tiefen Lernens (DL), die CNN, RNN, k-NN, LSTM, Entscheidungsbaum-Lernen und DL-basierte Algorithmen nutzen. Zum Beispiel kann ein DL-Modell trainiert werden, um verschlüsselte Verkehrsströme zu erkennen, einschließlich ungewöhnlicher Verkehrsvolumina oder Interaktionen mit unsicheren Domains, die häufig mit bösartiger Software in Verbindung stehen. Für zukünftige Fortschritte können diese durch die Kombination mit fortschrittlicher Deep Packet Inspection (DPI), fortschrittlichen Caching-Mechanismen und aufkommenden Verschlüsselungs-/Entschlüsselungsalgorithmen sowie neuer fortschrittlicher Hardware verbessert werden. DPI ist eine Echtzeit-Verkehrserkennungslösung, die es Netzwerkmanagern ermöglicht, Datenpakete und die durch das Netzwerk fließenden Verkehrsstrom zu identifizieren und deren Herkunft, Aktionen und Effizienz zu verstehen. In Kombination mit DPI-Technologie wird die Klassifizierung von Kernservices und Apps äußerst präzise und vertrauenswürdig. Dies ermöglicht es Netzwerkmanagern, anwendungsorientiertes Nutzungsmanagement und adaptive Verkehrslenkung durchzuführen, während sie bösartige Aktivitäten im Auge behalten.

Quantenresistente Kryptographie ist ein weiterer möglicher Fortschritt in den TLS-Technologien. Während der Einfluss von Quantentechnologien näher rückt, könnte die TLS-Inspektionstechnologie auf quantenresistente Verschlüsselungs- und Entschlüsselungstechniken umsteigen, um fortlaufenden Schutz vor Bedrohungen durch Quantencomputing zu bieten.

Da es die Inspektion in großem Umfang mit geringerer Verzögerung ermöglicht, gewinnt die cloud-basierte TLS-Inspektion an Beliebtheit. Die Methode nutzt die Leistungsfähigkeit der Cloud, um Netzwerkkommunikationen zu überwachen und mögliche Gefahren zu erkennen.

Um über die Entwicklungen und zukünftigen Trends auf dem Laufenden zu bleiben, sollten Sie die Sicherheitswarnungen und Updates regelmäßig von renommierten Organisationen wie dem Computer Emergency Response Team (CERT), dem National Institute of Standards and Technology (NIST) und der Internet Engineering Task Force (IETF) verfolgen, die häufig Empfehlungen, Standards und Verbesserungen im Zusammenhang mit der TLS-Inspektion herausgeben. Ein Auge und Ohr für laufende Open-Source- oder private Projekte offen zu halten, einschließlich der Teilnahme an und Mitwirkung bei Konferenzen sowie das Verfolgen einflussreicher Wissenschaftler und Forscher, ist nützlich.

Letztes Update am von Zenarmor