Die allgegenwärtige Verschlüsselung des Netzwerkverkehrs verhindert die Durchführung tiefergehender Paketinspektionen, und doch können sie zahlreiche Angriffe auf Ihr Netzwerk frühzeitig erkennen. Wir zeigen Ihnen wie. [...]
Sicherheitsexperten schimpfen seit Jahren mit Ihnen, endlich den gesamten Netzwerkverkehr zu verschlüsseln; und damit haben sie sogar Recht: Eine sichere Konfiguration der Standardkonfiguration ist eine offenkundig gute Idee, und das nicht nur, weil die Standards und Produkte, die Verschlüsselung implementieren, heutzutage sehr ausgereift sind. Eigentlich gibt es keinen Grund es nicht zu tun! Oder?
Nun, nicht ganz. Wie alles andere in der Technik bringt auch ein verschlüsselter Datenverkehr unvermeidbare Kompromisse mit sich. Einer dieser Kompromisse wäre es zum Beispiel, dass der Netzwerkverkehr auf diese Weise auch für die eigenen Sicherheitsleute und Überwachungssysteme weniger transparent ist. Wie soll der Netzwerkverkehr so auf Schadprogramme und andere problematische Inhalte überprüft werden?
Die kurze Antwort lautet: gar nicht. „Deep Packet Inspection“ ist im Falle einer Netzwerkverschlüsselung einfach keine Option. Die längere Antwort lautet dagegen, dass Sie den Datenverkehr sehr wohl an den Endpunkten überprüfen können, an denen sowohl die Verschlüsselung als auch die Entschlüsselung stattfindet – und dass Sie dabei viel aus den Metadaten des Netzwerkverkehrs lernen können, wenn Sie die Informationen aus den Kopfzeilen ziehen können, die dem Netzwerk genau sagen, woher ein Paket stammt und wohin es gehen.
Laut Cisco hat sich der verschlüsselte Datenverkehr von insgesamt 21 Prozent im Jahr 2015 auf knapp 40 Prozent im Jahr 2016 beinahe verdoppelt. Der Prozentsatz des verschlüsselten unternehmensinternen Datenverkehrs steigt ebenfalls sehr schnell an, da Unternehmensprodukte wie Microsoft Exchange zunehmend standardmäßig darauf konfiguriert sind, den gesamten Datenverkehr zu verschlüsseln.
Die meisten Netzwerkanalysen zum Auffinden von schädlichem Datenverkehr in einer Menge von legitimem, verschlüsseltem Datenverkehr werden von anständigen Host- oder Netzwerk-basierten Intrusion and Detection Systems (IDS / IPS) durchgeführt. Trotzdem ist es nur gut, über das, was Ihre Tools tun, hinausgehen und den eigenen Datenverkehr besser verstehen zu können.
1. Verwenden Sie Tools zur Erkennung von Netzwerkanomalien
Wenn Sie den tatsächlichen Paketinhalt nicht einsehen können, müssen Sie den Verkehrsfluss auf Netzwerkanomalien überwachen. Was aber ist eine anormale Netzwerkaktivität? Um dies erkennen zu können, müssen Sie zunächst wissen, was normale Aktivität ausmacht. Beispielsweise sind Verbindungen zwischen Geräten, die normalerweise keine Verbindung herstellen, egal ob intern oder zwischen einer internen Maschine und einem unbekannten externen System, von Natur aus verdächtig.
Die ungewöhnliche Verwendung von TCP / UDP-Ports wäre ein weiteres Verhalten, das überwacht werden sollte. Verwenden Sie Dave’s Port List, um bekannte und nicht so bekannte Ports nachzuschlagen. Dabei ist es nicht nur die Verwendung ungewöhnlicher Ports, sondern auch die Verwendung von Ports für ungewöhnliche Anwendungen, wie z.B. reiner Textverkehr auf Port 443, der eigentlich für die Transport Layer Security (TLS) reserviert ist.
Diese Aufgaben sind für die praktische Arbeit zu kompliziert und zu detailliert, und eine Vielzahl von Sicherheitsprodukten versucht, Anomalien im Netzwerkverhalten zu erkennen, darunter QRadar von Juniper, Advanced Threat Protection von Juniper Sky und sogar das Open-Source-Programm Snort IPS. Die fortschrittlichsten Produkte, wie beispielsweise Encrypted Traffic Analytics von Cisco, integrieren die Überwachung mit intelligenten Diensten, die anomales Verhalten in Systemen auf der ganzen Welt verfolgen.
Wenn Sie sich in den Datenverkehr einarbeiten müssen, um die Details einsehen zu können, benötigen Sie ein Netzwerkanalyse-Tool. Wireshark ist dafür definitiv von Bedeutung, aber für HTTP / HTTPS hatte ich mit Fiddler mehr Glück. Ein weiteres interessantes Werkzeugset sind JA3 und JA3S von Forschern bei Salesforce. Es nimmt so etwas wie „Fingerabdrücke“ von einzelnen TLS-Verbindungen, wodurch weitere Details zu den Kommunikationen sowie die TLS-Implementierungen offengelegt werden, die von den Parteien der Verbindung verwendet werden.
2. Verwenden Sie SSL / TLS-Proxy-Server
Eine Möglichkeit, das meiste, wenn nicht sogar alles, von Ihrem verschlüsselten Datenverkehr überprüfbar zu machen, wäre ein SSL (Secure Sockets Layer) / TLS-Proxy-Server. Die Kommunikation, einschließlich der verschlüsselten Kommunikation, durchläuft den Proxyserver, der die verschlüsselte Verbindung an einem Ende akzeptiert, den Datenverkehr entschlüsselt, einige Vorgänge ausführt, dann erneut verschlüsselt und den Datenverkehr anschließend an das Ziel übermittelt. Die Befehle, die der Proxyserver ausführt, können auch Sicherheitsvorgänge wie z.B. das Scannen von Malware und das Blockieren verbotener Websites umfassen. Viele Sicherheitsprodukte von Drittanbietern fungieren heute als SSL / TLS-Proxys.
Proxy-Server, die auf diese Weise arbeiten, erhöhen die Komplexität einer bereits komplexen Netzwerkkonfiguration. Sie können zwar den Datenverkehr durch Zwischenspeicherung tatsächlich beschleunigen, bergen aber auch das Risiko, den Datenverkehr gleichermaßen zu verlangsamen. Eine Warnung des CERT-Koordinierungszentrums des US-amerikanischen Heimatschutzministeriums im Jahr 2017 beinhaltete, dass viele der Produkte in diesem Bereich Zertifikate nicht ordnungsgemäß validieren oder fehlerhafte Zustände weiterleiten. Viele Sicherheitsexperten, wie Will Dormann von Carnegie Mellon, sind der Ansicht, dass die SSL-Prüfung deswegen die damit verbundenen Risiken nicht wert ist.
3. Seien Sie auf die Nicht-TLS-Verschlüsselung vorbereitet
Der rechtmäßig verschlüsselte Datenverkehr (auf der Ebene der Netzwerkpakete) wird normalerweise mit SSL / TLS durchgeführt. Möglicherweise stoßen Sie aber auch auf andere verschlüsselte Protokolle. Einige davon mögen vielleicht legitim sein, aber alle anderen haben keinen Platz in Ihrem Netzwerk.
Ganz oben auf der Liste der mehrdeutigen Protokolle steht Secure Shell (SSH). Viele Administrations- und Entwicklungsarbeiten werden über SSH abgewickelt. Das Problem ist, dass SSH auch von den Angreifern selbst genutzt werden könnte. In diesem Fall gibt es keine magische Kugel. Sie müssen SSH zulassen, wenn auch vielleicht nur für bestimmte Benutzer in bestimmten Netzwerksegmenten. Sie müssen außerdem den SSH-Verkehr unter die Lupe nehmen, der nicht den legitimen Profilen entspricht.
Wenn Sie Windows-Terminals verwenden, werden Sie wahrscheinlich eine Menge Remote Desktop Protocol (RDP) für Windows Terminal Server und Independent Computing Architecture (ICA) für Citrix Server in Ihrem Netzwerk sehen. Hierbei handelt es sich um verschlüsselte Protokolle, die normalerweise TLS verwenden, sich aber wahrscheinlich auf verschiedenen TCP-Ports befinden und dadurch andere Unterschiede aufweisen. Jemand in Ihrem Unternehmen sollte die Kontrolle über die Endpunkte haben und die Möglichkeit haben, ihre Aktivitäten genau zu überprüfen.
Auf der zweiten Seite befinden sich die auf UDP (User Datagram Protocol) basierenden Quick UDP Internet Connections (QUIC), die als Ersatz für TLS mit niedrigerer Latenz konzipiert wurden. Der HTTP / 3-Standard enthält QUIC, aber die Ausführung unter UDP schränkt seine Anwendung ein. Beispielsweise blockieren Firewalls UDP normalerweise noch vor dem Eindringen.
Auf der anderen Seite ist dagegen das Tor, das Protokoll des dunklen Netzes. Es verwendet mehrere verschachtelte Verschlüsselungsstufen, und Sie können die Sperrung nur dann durchführen, wenn Sie zusätzlichen Datenschutz benötigen.
Die Vorteile der TLS-Verschlüsselung – Authentifizierung, Verschlüsselung und Nachrichtenintegrität – sind einfach zu gut, um sie zu übersehen. All diese Verschlüsselung macht einige legitime Sicherheitsmaßnahmen schwieriger, aber das daraus entstehende Problem ist vermutlich nicht groß genug, um Ihren Datenverkehr freiwillig unverschlüsselt zu lassen. Ob über Metadaten oder direkt am Endpunkt, Ihnen stehen immer noch zahlreiche Tools zum Schutz Ihrer Benutzer und Ihres Netzwerks zur Verfügung.
*Larry Seltzer ist Redakteur bei CSO.com
Be the first to comment