Die Inspektion des Traffics kann Unternehmen bei der Erkennung von Malware helfen, aber die Sicherheitsrisiken der HTTPS-Prüfung müssen sorgfältig abgewogen werden.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Sicherheit von Webanwendungen?
Was ist eine Datenschutzverletzung?
Was ist Meltdown/Spectre?
Firewall
Man-in-the-Middle-Angriff
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
Die HTTPS-Inspektion prüft den verschlüsselten Web Traffic mit der gleichen Technik wie ein On-Path-Angriff auf die Netzwerkverbindung. Es handelt sich dabei um ein Feature einiger Netzwerkgeräte, Firewalls und Produkten zur Bedrohungsverwaltung für Unternehmen.
Vielleicht möchte ein Unternehmen den HTTPS-Traffic auf Malware untersuchen, Versuche der Datenexfiltration erkennen und den Zugriff auf bestimmte Websites blockieren. Malware ist ein Sicherheitsrisiko, da sie den Geschäftsbetrieb lahmlegen, Daten stehlen oder Dateien unzugänglich machen kann.
Die HTTPS-Prüfung hat viele Namen, darunter SSL-Inspektion, TLS Inspection, TLS-Break and Inspect und HTTPS Interception.
Wenn ein Unternehmen sich mit HTTPS-Prüfung vor Malware schützt, setzt es ein Produkt ein, das zwei separate verschlüsselte Verbindungen aufbaut und sich sowohl als Client als auch als Server ausgibt. Das Produkt sucht nach böswilligen Bedrohungen, die es zu blockieren gilt, ohne dass der Client erfährt, dass es nicht nur eine durchgängig validierte Verbindung gibt.
Stellen Sie sich zum Beispiel vor, dass ein Schüler einem Klassenkameraden einen Zettel zukommen lässt, ohne zu wissen, dass die Person, die zwischen ihnen sitzt, den Inhalt der Nachricht lesen kann. In diesem Szenario glaubt der Absender, dass die Nachricht während des Transports versiegelt ist, ohne zu wissen, dass sie ohne offensichtliche Spuren geöffnet und geschlossen werden kann. Die HTTPS-Prüfung unterscheidet sich jedoch in einem wichtigen Punkt von diesem Beispiel – der Absender weiß nicht einmal von der Anwesenheit eines Mittelsmannes.
Wenn eine Website TLS verwendet, verbindet sich das Client-Gerät (der Computer oder das Smartphone eines Nutzers) normalerweise direkt mit dem Host-Server der Website und baut eine verschlüsselte Verbindung auf. Sobald die verschlüsselte Verbindung hergestellt ist, ist der Traffic zwischen dem Client und dem Server vollständig verschlüsselt, und niemand dazwischen kann den Traffic einsehen.
Während der HTTPS-Prüfung baut das Produkt zwei SSL-Verbindungen auf – eine zum Server und eine zum Client. Aus der Sicht des Clients stellt er eine direkte Verbindung zum Server her, ohne dass ein Vermittler dazwischengeschaltet ist. Der Traffic wird stattdessen an das Inspektionsprodukt umgeleitet, das sich als die Website ausgibt. Es kann die Inhalte anzeigen, ändern und blockieren.
In den früheren Tagen des Internetswurde der Traffic über HTTP im Klartext gesendet. Nichts war verschlüsselt, und wenn jemand den Traffic abfing, lagen sämtliche Daten offen.
Mit HTTPS – der sicheren Version von HTTP – wird der Traffic verschlüsselt. Der Client und der Server stellen über eine Hin- und Her-Kommunikation eine sichere Verbindung her.
HTTPS schützt den Internet-Traffic vor der Überwachung durch Unbefugte. Es kann aber auch Übeltätern helfen, ihre Spuren zu verwischen. HTTPS verschlüsselt und verbirgt jede Art von Daten, egal ob es sich um die Bankdaten einer Privatperson oder um Malware eines Angreifers handelt.
Das Vorhängeschloss im Browser für eine HTTPS-Verbindung bedeutet, dass die Daten zwischen einem Nutzer und einem Server verschlüsselt sind. Es bedeutet nicht, dass alles auf der Website garantiert vor Angriffen oder Schnüfflern geschützt ist. Eine Website, die von einem vertrauenswürdigen Unternehmen, z. B. einem Finanzinstitut, betrieben wird, könnte ihre Nutzer unwissentlich durch eine Sicherheitslücke in Gefahr bringen. Ebenso könnte ein Angreifer eine böswillige Website einrichten, die durch ein SSL-Zertifikat und die Verschlüsselung des Traffics scheinbar sicher ist.
Wenn die HTTPS-Prüfung nicht korrekt durchgeführt wird, kann sie Sicherheitslücken schaffen. Bei normalem, nicht überprüftem Traffic kann ein Browser die Verbindung Ende-zu-Ende validieren – die Überprüfung der Gültigkeit des Zertifikats stellt sicher, dass der Client tatsächlich mit dem Server kommuniziert, dem die Domain gehört.
Wenn dieser Prozess unterbrochen wird, kann die Prüfung bei fehlender Sorgfalt verschiedene Probleme verursachen:
Die HTTPS-Prüfung bietet:
Es gibt keine allgemein akzeptierte Methode zur Bekämpfung von im HTTPS-Traffic versteckter Malware. Einige Maßnahmen, die helfen können, sind:
Erfahren Sie, wie Cloudflare Gateway Malware und andere Risiken blockiert und den Traffic nahezu in Echtzeit überwacht.