zur Übersicht

Eine Firewall mit Röntgenblick

Firewalls sind aus den heutigen Kommunikationsketten zwischen Firmennetzen und dem Internet nicht mehr wegzudenken und auch den Ruf sie seien reine Paketfilter, haben sie schon lange abgelegt.

In einem früheren Blog-Beitrag wurde die Notwendigkeit der SSL/TLS-Decryption beschrieben, denn bereits heute überwiegt der Anteil an verschlüsseltem Webtraffics und der damit einhergehenden Blindheit vor so eingeschleuster Schadsoftware. Im heutigen Artikel beschäftigen wir uns daher intensiver mit dieser Thematik und den zugrundeliegenden Mechanismen der SSL-/TLS-Inspection (hierbei insbesondere, wie diese auf einer Palo Alto Firewall zur Anwendung kommt).

Verschlüsselung einfach erklärt

Verschlüsselung an sich ist eine sehr alte Technik, deren Entwicklung schon weit vor der Entstehung von Computernetzwerken begann. Schon früh hatten die Kommunikationspartner ein Bedürfnis nach Geheimnisbewahrung, Schutz vor unbefugten Mitlesern und wollten die Authentizität von Nachrichten prüfen können.

In Zeiten der Internet-Kommunikation ist die häufigste Verschlüsselungsmethode die TLS – die Transport Layer Security. Wenn man die Methode möglichst simpel (und dadurch nicht 100 % korrekt) erklären möchte, kann man sagen, dass der Verfasser bzw. Absender seine Klartextbotschaft mit einem individuellen Schlüssel verschließt, zu dem es nur einen passenden Gegenschlüssel gibt.

Damit der Empfänger die Botschaft öffnen bzw. entschlüsseln kann, benötigt er genau den passenden Gegenschlüssel – dies ist die einzige Möglichkeit, an den Inhalt der Nachricht zu kommen, denn nicht mal mehr der Schlüssel des Absenders würde noch passen. Dieses Verfahren nennt man asymmetrisch. Die Schlüssel heißen hierbei Zertifikate. Der Empfänger stellt dem Sender seinen öffentlichen Schlüssel für die Verschlüsselung zur Verfügung, um die Botschaft später mit seinem privaten Schlüssel – dem Gegenstück - wieder entschlüsseln zu können.

Die Aufgabe der Firewall dabei

Ein solcher Ende-zu-Ende verschlüsselter Traffic läuft ebenfalls durch die Firewall eines Unternehmens. Natürlich kann keine Firewall den Inhalt ohne Kenntnis des privaten Schlüssels des Empfängers entschlüsseln (dann wäre das Verfahren ja sinnlos) aber stattdessen kann sie dem Absender ihren eigenen, öffentlichen Schlüssel übermitteln und den Sender so dazu veranlassen, die Botschaft damit zu verschlüsseln.

Denn mit ihrem eigenen, privaten Schlüssel kann die Firewall nun:

  1. die Botschaft entschlüsseln.
  2. prüfen, ob sich Schadsoftware im Datenpaket befindet und wenn nicht,
  3. die Botschaft wieder verschlüsseln – Dieses Mal mit dem echten, öffentlichen Schlüssel des ursprünglichen Empfängers und
  4. die erneut verschlüsselte Botschaft and den Empfänger weiterleiten.

Wird unter Punkt b. Schadsoftware erkannt, wird die Nachricht natürlich nicht an den Empfänger weitergeleitet, sondern umgehend geblockt.

Vertrauen ist gut…

Ein Absender, der von der Empfänger-Firewall dazu aufgefordert wird, ihren öffentlichen Schlüssel zu verwenden, muss dieser vertrauen können. Dies geschieht entweder durch die Nutzung von sog. Self-signed certificate und dem Import des Zertifikats der ausstellenden Stelle (also die Firewall selbst) in den entsprechenden Zertifikatsspeicher des Clients oder über die Nutzung der bereits im Unternehmen vorhandene Zertifizierungsstelle.

Andererseits darf der Client nicht blind jeder verschlüsselten Verbindung vertrauen. Daher benutzt die Firewall für nicht vertrauenswürdige Verbindungen ein zweites, nicht-vertrauenswürdiges Zertifikat, welches demnach nicht in den Zertifikatsspeicher des Clients importiert wird. Auf einer Palo Alto-Firewall sieht das Ganze dann wie folgt aus:

pa_certs

Die Zertifikate werden dann in SSL/TLS Services Profiles verwendet, mit deren Hilfe letztendlich Decryption Policies angelegt werden, die der Firewall sagen, welcher Traffic entschlüsselt werden soll. Denn aufgrund gesetzlicher Bestimmungen in Deutschland, darf nicht jeder Datenverkehr entschlüsselt werden.

palo_decryption_policies

Sobald die einzelnen Zahnräder ineinandergreifen, kann die Firewall den entsprechenden Traffic dekryptieren, analysieren und bei Funden von Schadsoftware diese blocken und die Aktivität loggen.

palo_threatlog

In der Spalte „Decrypted“ ist erkennbar, dass die Firewall den Traffic tatsächlich entschlüsselt hat – der Zielport 443 ist ebenfalls ein entsprechender Hinweis.

Fazit

Firewalls müssen heutzutage https-/SSL- und TLS-Traffic entschlüsseln, um die Bedrohungen für das Unternehmen auch über diesen Kanal abwehren zu können. Bei Palo Alto ist bereits das kleinste Modell hierzu fähig. Die Konfiguration muss darüber hinaus die Möglichkeit bieten, selektiv zu entschlüsseln und je nach Vertrauensstellung der Internetserver, auch mit unterschiedlichen Zertifikaten zu arbeiten.

Verfasser: Kai Krebber

Gerne unterstützen wir Sie bei der sicheren Konfiguration Ihrer Firewall.

Vereinbaren Sie einen Beratungstermin mit uns!

zur Übersicht

Kai Krebber

Sie haben Fragen?

Gerne beantworten wir Ihre Fragen und informieren Sie über unsere Referenzprojekte!

Nehmen Sie Kontakt auf

Das könnte Sie auch interessieren

Moderner Schutz fürs Data Center: Trend Micro Hybrid Cloud Security

Im Lauf der letzten Jahrzehnte konnten wir innerhalb der IT-Welt bei einer Art Transformation zusehen. Das Wort Transformation steht dafür, dass ein grundlegender Wandel stattfindet. Es treten sprunghafte Veränderungen z.B. bei technologischen Entwicklungen auf, die daraus resultieren, dass es sowohl neue Möglichkeiten, also auch veränderte Bedürfnisse gibt. Dabei ist dieser Entwicklungsprozess auch immer mit vielen Unsicherheiten verbunden.

30.04.21 09:30

Eine Firewall mit Röntgenblick

Firewalls sind aus den heutigen Kommunikationsketten zwischen Firmennetzen und dem Internet nicht mehr wegzudenken und auch den Ruf sie seien reine Paketfilter, haben sie schon lange abgelegt.

16.04.21 09:13

Sicher & performant – immer & überall, mit Citrix

Weltweit arbeiten mehrere Millionen Anwender aus dem Mittelstand, Konzernen und auch aus der öffentlichen Verwaltung mit den Technologien von Citrix. Im letzten Jahr ist die Nutzung sprunghaft angestiegen – kein Wunder, denn wir sorgen mit unseren Lösungen dafür, dass Mitarbeiter*innen ihre tägliche Arbeit unabhängig von Zeit und Ort ausführen können. New Work ist im Alltag angekommen.

09.04.21 10:36

Robert F. Krick

Geschäftsführer

Starten Sie jetzt
eine Anfrage

In unseren Stellenausschreibungen nicht den passenden Job gefunden? Macht nichts. Unser Team wächst stetig, deshalb sind wir immer auf der Suche nach Teamplayern und freuen uns über Deine Initiativbewerbung. Sende uns diese an: bewerbung@krick.net