Drucken


Mehr Sicherheit auf dem Transportweg mit TLS 1.3


Sechs Tipps von Keysight für die verschlüsselte Datenübertragung mit dem neuen Standard


Böblingen, 22. Januar 2019

Die IETF hat den RFC 8446 im Sommer verabschiedet, und damit ist TLS 1.3 nun ein offizieller Standard für die Verschlüsselung auf dem Transportweg im Internet. Wenn Browser, Sicherheitstools und Dienstanbieter diesen neuen Verschlüsselungsstandard unterstützen, sollten Unternehmen und Anwender bereit sein, ihnen zu folgen. Die neue Version, die für das "moderne Internet" entwickelt wurde, bietet bezüglich Sicherheit, Leistung und Datenschutz wesentliche Verbesserungen gegenüber früheren Verschlüsselungsprotokollen. Insbesondere ist die in 1.2 optionale Verwendung von Perfect Forward Secrecy (PFS) in 1.3 nun eine zwingende Anforderung für alle Sitzungen.

PFS erfordert die Verwendung einer Kryptographie mit Ephemeral Keys, die für jede Client/Server-Interaktion einen neuen Schlüssel erzeugt. Vorherige und zukünftige Sitzungen unterliegen so der Geheimhaltung, da kein Schlüssel zweimal verwendet wird. Das bedeutet, dass es für einen Hacker deutlich schwieriger wird, den gesamten sensiblen Datenverkehr in einem Netzwerk zu entschlüsseln, selbst wenn er es schafft, eine Sitzung zu kompromittieren - sofern dieses Ephemeral Keys unterstützt. Nachfolgend sechs Tipps zur Überwachung und Verarbeitung verschlüsselter Daten mit PFS.

1. Schlechten Traffic vor der Entschlüsselung entfernen. Ein Threat Intelligence Gateway ist eine Vorrichtung, die bekannten bösartigen Datenverkehr erkennen und blockieren kann, bevor er entschlüsselt wird. Durch die Querverweise auf eine Datenbank mit bekannter Malware kann das Gateway einschlägige IP-Adressen im Header eines Pakets erkennen und die Übertragung der Daten dieses Pakets blockieren. Da der Header eines Pakets im Klartext übertragen wird, ist hierfür keine Entschlüsselung erforderlich. Eine Threat Intelligence-Lösung reduziert die Zahl von Fehlalarmen, blockiert bösartigen Traffic effizienter als andere Sicherheitstools und erfordert keine manuelle Regelerstellung bei sich ändernden Bedingungen. Die Blockierung von Malware vor der Entschlüsselung ermöglicht es anderen Tools, effizienter zu arbeiten und zusätzlichen Schutz zu bieten.

2. Verwenden aktiver SSL-Verschlüsselung. Der verschlüsselte Datenverkehr nimmt zu, ebenso wie verschlüsselte Malware. Jede Sicherheitsimplementierung sollte daher mindestens eine passive SSL-Verschlüsselung beinhalten. Es wird jedoch empfohlen, auf eine aktive SSL-Verschlüsselung umzusteigen. Die aktive Entschlüsselung von Daten im Netzwerk ermöglicht es Sicherheitssystemen, bösartige Aktivitäten in Echtzeit zu erkennen und Sicherheitsrisiken zu reduzieren.

3. Nutzung eines Stand-alone-Geräts. Die Einführung von aktivem SSL in die Sicherheitsimplementierung kann eine erhebliche Umstrukturierung der Netzwerkinfrastruktur erfordern. Einige vorhandene Überwachungsgeräte wie Next Generation Firewalls können eine aktive SSL-Entschlüsselung unterstützen, aber die Netzwerkleistung negativ beeinflussen. Aktives SSL in vorhandenen Sicherheitstools kann die Gesamtleistung beeinträchtigen sowie die Latenzzeit erhöhen und so zusätzliche Verarbeitungskapazität erfordern. Allerdings können manche Firewalls, IPS-Lösungen oder andere Sicherheitsvorrichtungen den Datenverkehr möglicherweise überhaupt nicht entschlüsseln. Eine dedizierte aktive SSL-Lösung, die den Datenverkehr für alle Tools ent- bzw. verschlüsselt, erhöht die Effizienz während der Verarbeitung und reduziert die Belastung der Sicherheitstools.

4. Klartextdaten schützen. Sobald die Daten entschlüsselt sind, wird der Klartext an Out-of-Band Überwachungs- und Analysewerkzeuge gesendet. Dies stellt ein neues Risiko dar, da sensible Klartextdaten bei der Übertragung abgefangen oder über das empfangende Tool gelesen werden können. Ein Gerät mit Datenmaskierungsfunktionen kann zusätzliche Sicherheit für sensible Informationen wie Passwörter, Kreditkartennummern, Sozialversicherungsnummern, E-Mail-Adressen und Gesundheitsdaten bieten. Intelligente Datenmaskierungssysteme können Datenpakete nach Mustern durchsuchen, die den Datenschutzbestimmungen entsprechen, und alle bis auf die letzten Zeichen einer Zeichenkette blockieren.

5. Geräte und ihre Fähigkeiten überprüfen. Um sicherzustellen, dass alle Sicherheitsgeräte wie erwartet funktionieren, sollten Validierungstests im Netzwerk zur Routine gehören. Eine Testlösung, die verschlüsselte Malware und andere IT-Angriffe erzeugen kann, hilft, Schwachstellen bei der Bereitstellung von Sicherheitssystemen aufzudecken. Darüber hinaus helfen solche Tests dabei, potenzielle Lösungen bewerten, Konfigurationen zu verfeinern und die Leistung bestehender Tools zu messen.

6. Auslagerung des Projekts. Da es oft an IT- und Sicherheitsexperten mangelt, ist das Outsourcing der logistischen Planung und Umstrukturierung der Infrastruktur möglicherweise der kostengünstigste Weg zur Implementierung von TLS 1.3. Zusätzlich zur Aktualisierung der Webserver-Software müssen möglicherweise Geräte, die den neuen Standard nicht unterstützen, ausgetauscht und der Datenverkehr umgeleitet werden. Die Möglichkeit, dass ein vertrauenswürdiger Dritter Pläne entwickeln, neue Anbieter auswählen, Konfigurationen optimieren und Änderungen verwalten kann, reduziert die Implementierungszeit und die mit der Netzwerkumstellung verbundenen Risiken erheblich.

In manchen Netzen ist es schon heute der Fall, doch auch in vielen anderen wird schon bald der größte Teil des Datenverkehrs verschlüsselt sein. Die Unterstützung von PFS und TLS 1.3 wird daher zunehmend zur Notwendigkeit, um Hacker vom eigenen Netzwerk fernzuhalten.