Andrea Danti - Fotolia

F

Wie lassen sich verborgene SSL-Angriffe erkennen und abwehren?

Mit SSL verschlüsselter Traffic lässt sich schlecht analysieren. Administratoren können sich trotzdem gegen verborgene SSL-Angriffe wehren.

Ich habe gehört, dass Angreifer mittels SSL in einem verborgenen Modus operieren können. Wie funktioniert das und was sind die besten Optionen, solche verdeckten SSL-Angriffe zu erkennen?

Regierungen und die Gesellschaft an sich haben in Sachen Verschlüsselung ein kompliziertes Verhältnis. Es gibt viele wertvolle Schutzmaßnahmen, die Verschlüsselung der Gesellschaft und individuellen Personen bietet. Verschlüsselung lässt sich auf der anderen Seite auch für ruchlose Taten nutzen. Man kann damit die Analyse von Netzwerk-Traffic verhindern oder verschleiert die Daten mit SSL, die man entsprechend überträgt.

Die Verteidiger haben in der Vergangenheit von der Tatsache profitiert, dass Verschlüsselung schwierig zu implementieren war. Für Malware-Programmierer war es schwierig, diese zu knacken, um Daten wiederherzustellen. Allerdings verwenden Angreifer zunehmend herkömmliche Entwicklungstechniken – dazu gehören etablierte Verschlüsselungsbibliotheken. Deshalb weicht der eben genannte Vorteil langsam auf. Wird SSL von einem Angreifer korrekt genutzt, dann können die Netzwerk-Tools der Verteidiger die Daten nicht auf Signaturen prüfen und die Tools sind genau genommen nutzlos. Grant Asplund von Blue Coat Labs hat Unternehmen als naiv bezeichnet, die jede Verbindung mit SSL als vertrauenswürdig einstufen.

Verborgene SSL-Angriffe lassen sich erkennen, indem man die Netzwerkverbindungen auf Anomalien untersucht. Dafür wird ein sogenanntes Network-based Anomaly Detection System eingesetzt. Beispiele dafür sind AlienVault Behavioral Monitoring, Arbor Network SP und Lancope Stealthwatch. Wird eine Anomalie gefunden, bekommt der Administrator eine Benachrichtigung und kann der Sache nachgehen. Auch wenn die Daten an sich verschlüsselt sind, finden sich in den IP Headers normalerweise wertvolle Informationen. Zum Beispiel enthält der IP Header Quelle und Ziel der IP-Adresse. Andere Metadaten lassen sich nutzen, um den exakten Zeitpunkt zu bestimmen, wann eine IP-Adresse mit einer anderen kommuniziert hat. Das sind Daten, die sich in einem System zur Entdeckung von Anomalien verwenden lassen. Schickt eine verschlüsselte Verbindung zum Beispiel eine große Menge an Daten zu einer neuen IP-Adresse, dann sollte dieser Vorfall genauer unter die Lupe genommen werden. Man könnte in die Rechnung auch die Art aufnehmen, wie die Verschlüsselung verwendet wird. Kennt man den Algorithmus oder die Blockgröße, erleichtert das möglicherweise eine Erkennung.

Um sich vor SSL-Angriffen zu schützen, möchte ein Unternehmen vielleicht zusätzlich auf ein Netzwerkgerät setzen, das die SSL-Verbindungen entschlüsselt. Auf diese Weise würden sich die Pakete untersuchen lassen. An dieser Stelle sollten Firmen die Risiken solcher Tools aber genau evaluieren und gegen die Vorteile abwiegen. Möglicherweise lässt sich ein äquivalenter Schutz mit anderen Netzwerk-Tools erreichen, ohne die Privatsphäre zu verletzen. Die Unternehmen sollten an die Belegschaft sehr deutlich kommunizieren, welche Kontrollmechanismen bei der Security im Einsatz sind. Ebenso sind Maßnahmen notwendig, die sich um ausreichenden Schutz der Privatsphäre kümmern.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Januar 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Websicherheit: Tools und Best Practice

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close