Sicherheitsgefahren in verschlüsseltem Datenverkehr

Balázs Scheidler

Protokolle wie SSL (Secure Socket Layer) oder SSH (Secure Shell), die den Datenverkehr verschlüsselt durch das Internet übertragen, sind derzeit zunehmend gefragt und beliebt. Versprechen sie doch auf den ersten Blick die Sicherheit und Vertraulichkeit der übertragenen Daten. Erst auf den zweiten Blick stellt sich heraus, dass auch diese kryptografischen Protokolle von Hackern manipuliert werden können. Wie kann das sein?

SSL beispielsweise arbeitet unterhalb der Anwendungsprotokolle wie HTTP oder SMTP aber oberhalb der Transportprotokolle wie TCP. Dieses Verschlüsselungsprotokoll verwendet sozusagen End-to-End-Verschlüsselung und Endpunkt-Authentifizierung für den Server. So gewährt es die Authentizität, Integrität und Vertraulichkeit der übertragenen Daten. SSL verschlüsselt jedoch nur die Kommunikation zwischen den Endpunkten - nicht aber am Endpunkt Client selbst. Eine beidseitige Endpunkt-Authentifizierung erfordert den Einsatz einer kostspieligeren PKI-Lösung (Public Key Infrastructure).

Am Netzwerkperimeter angelangt können die meisten Schutzschilde wie Firewalls den eingehenden, verschlüsselten Datenverkehr wie HTTPS, POP3S oder SMTPS derzeit noch nicht kontrollieren. Je nach Konfiguration durch den IT-Administrator gelangen die Daten also meist entweder unkontrolliert in das Firmennetz oder sie werden abgeblockt. Das ist natürlich wenig sinnvoll. Deshalb sollten Unternehmen im Idealfall eine Gateway-Lösung implementieren. Sie terminiert und kontrolliert die Kommunikation am Netzwerkperimeter und leitet sie erst dann an den Nutzer weiter. Ein Beispiel für die Funktionsweise einer solchen Lösung:

Das meist für Webseiten verwendete Protokoll HTTPS baut für die Datenübertragung zertifikatgestützt einen SSL-gesicherten Kanal zwischen dem Browser/Client und dem Webserver auf. Zur Überprüfung des Datenstroms terminiert ein Application Level Gateway (ALG) oder eine Proxy Appliance diesen Kanal am Rande des Netzes. Sie hält dann die eingehende Verbindung zum Client und baut eine zweite, neue Verbindung zum Server auf. Beide Seiten (Client & Server) bemerken das nicht. Die Überprüfung der verschlüsselten Inhalte findet sozusagen im Hintergrund statt.

Proxybasierte Lösungen - multifunktionale Schnittstelle

Für den Administrator fungieren proxybasierte ALGs sozusagen als Wachmann in der Mitte - zwischen dem Unternehmensnetz und der Außenwelt. Sie bilden eine Art Schaltzentrale für die Umsetzung unterschiedlichster Sicherheitsregelwerke: je nach Anforderung im Unternehmen. Neben den gängigen "Wer-darf-was-Kontrollen" besteht durch gezielte und wirklich tiefgehende Analyse der Protokolle auch Schutz auf Inhaltsebene. Denn obwohl die Implementierung der Protokolle klar definierte Standards erfüllen soll, überprüfen viele Netzwerkgeräte meist "by default" nicht die tatsächliche Übereinstimmung der eingehenden Daten mit dem jeweiligen Protokollstandard. Dies öffnet Hackern eine Vielzahl von Angriffsmöglichkeiten, da viele Anwendungen Sicherheitslöcher aufweisen. Diese Schlupflöcher nutzen potenzielle Angreifer gezielt, indem sie Protokollstandards korrumpieren. So schleusen sie bei fehlerhaften Implementierungen Viren, Würmer oder andere schädliche aktive Inhalte ein.

Beim Einsatz von proxybasierten Gateway-Lösungen ist es wichtig, dass das eingesetzte Produkt die verwendeten Protokolle komplett und umfassend "versteht". Denn nur wenn der Proxy das komplette Protokoll wirklich kennt und erkennt - inklusive aller Kommandos und Eigenschaften - kann er Sicherheitsgefahren in verschlüsseltem Datenverkehr effektiv und gezielt abwehren. Man kann sich den Proxy als diplomierten Übersetzer vorstellen: Um wirklich zwischen zwei Parteien vermitteln zu können, genügt es nicht, die jeweilige Landessprache nur in Bruchstücken zu verstehen. Der Übersetzer muss schon die gesamte Sprache des entsprechenden Landes verstehen. Nur so ist er in der Lage, die jeweiligen Inhalte des Gesprächs oder der Texte sinngemäß und originalgetreu zu übersetzen.

Angriffe auch von innen möglich

Aktuelle Studien und Umfragen beispielsweise von Pricewaterhouse Coopers (PWC) haben inzwischen ergeben, dass Sicherheitsgefahren nicht mehr nur von außen auf die Unternehmen zukommen. Eine weitere Quelle für mögliche Angriffe sind leider auch die eigenen Mitarbeiter. Deshalb implementieren Unternehmen zunehmend Lösungen, die es ermöglichen, ihre individuellen Sicherheitsregelwerke umzusetzen und deren Einhaltung zu kontrollieren. Gesetzliche Richtlinien und Auflagen wie der Sarbanes Oxley Act (SOX) oder Basel II tragen zusätzlich dazu bei, dass die Unternehmensleitung zunehmend die Integrität der Geschäftsdaten gewährleisten muss.

SSH-Protokoll bietet ebenfalls Angriffsfläche

Experten sehen in Zukunft auch die weit verbreitete Nutzung des SSH-Protokolls (Secure Shell) für den Fernzugriff auf Systeme als potenzielle Schwachstelle. Dieses verschlüsselte Protokoll wird meist vom Administrator für die Fernverwaltung verschiedener Systeme genutzt. Ein wesentliches Leistungsmerkmal von SSH besteht darin, dass die komplette Kommunikation zwischen Client und Server verschlüsselt ist. Das umfasst auch die Nutzer-Authentifizierung. Je nach Anwendung auf Client und Server kann SSH die Daten mehrerer Datenströme in einer einzigen Verbindung übertragen.

Die Tatsache, dass dieses Protokoll meist für die Systemverwaltung genutzt wird, macht es attraktiv für Angreifer. Deshalb sollte eine zukunftssichere Lösung die Kontrolle von SSH-Datenverkehr ebenfalls unterstützen. Auf dem Markt gibt es bereits erste Lösungen wie Zorp Professional, die auch den SSH-Datenverkehr transparent beobachten, kontrollieren und loggen können. Dies erleichtert es nicht nur Unternehmen, im Rahmen der gesetzlichen Richtlinien die Integrität ihrer Daten zu gewährleisten. Die Kontrolle von SSH-Datenverkehr wird auch in zunehmendem Maße im Bereich Outsourcing an Bedeutung gewinnen. Denn damit können sowohl die Outsourcing-Anbieter, als auch deren Kunden transparent nachvollziehen, welche Leistungen erbracht wurden und welche Daten wann und wie bearbeitet wurden.

www.balabit.com