HTTPS-Scanning – Warum es auf der Sophos aktiviert sein sollte

Mit dem Thema „Verschlüsselung“ ist es so eine Sache. Habt ihr nicht auch das Gefühl, dass man davon zwar immer wieder was hört, sogar darüber spricht, aber die Verbreitung doch eher schleppend vorankommt? Mit dem Projekt „Let’s Encrypt“ hat zumindest die verschlüsselte Kommunikation im Internet, zwischen einer Webseite und einem Besucher, einen starken Schub bekommen! Dank kostenloser SSL-Zertifikate, möchte „Let’s Encrypt“ eine verschlüsselte Verbindung zum Standard machen.

In diesem Blogartikel möchte ich aufzeigen, was das für eure Sophos Firewall bedeutet, wenn plötzlich die Mehrheit des Web Traffics verschlüsselt daherkommt.

Anfänge von „https://“

Gehen wir in der Geschichte doch ganz kurz ein paar Jahre zurück und schauen uns mal an, wie die ganze Entwicklung hin zu „https://“ im Internet ausgesehen hat. Mit der Avanet haben wir diese Zeit mehrheitlich mit Beiträgen von Google erlebt. Bitte entschuldigt also, dass die folgende kleine Timeline auch sehr „Googlelastig“ ausfällt.

• 2010 – Google verschlüsselt Suchanfragen (BETA)
• 2011 – YouTube wird standardmässig verschlüsselt
• 2013 – Edward Snowden sagt, eine gute Verschlüsselung sei sicher
• 2013 – (März) Die Googlesuche wird nun standardmässig verschlüsselt
• 2014 – Google bevorzugt HTTPS Seiten und rankt diese höher, um User zum Wechsel zu locken
• 2015 – (03.12.2015) Let’s Encrypt geht in die offene Betaphase für alle
• 2016 – (09.03.2016) Let’s Encrypt hab bereits 1 Million Zertifikate ausgestellt
• 2016 – (13.04.2016) Let’s Encrypt beendet Betaphase.
• 2016 – (16.10.2016) HTTPS-Verschlüsselung im Web erreicht erstmals 50 Prozent
• 2017 – (24.10.2017) 71 der 100 meistbesuchten Webseiten setzen auf HTTPS
• 2018 – (Februar) 81 der Top-100-Seiten im Web verwenden standardmässig HTTPS

1,7 Millionen Zertifikate für mehr als 3,8 Millionen Webseiten.

Aus unserer Sicht hat Google mit seiner Macht als Suchgigant, einiges dazu beigetragen, dass Webmaster ihre Webseiten immer häufiger mit einem SSL-Zertifikat ausstatten. Durch ihre Aussage, dass verschlüsselte Verbindungen zukünftig auch einen Einfluss auf das Ranking einer Webseite haben wird, ist man ja quasi gezwungen, ein SSL-Zertifikat zu erstellen. Dank Let’s Encrypt, geht das jetzt sogar auch kostenlos!

*Natürlich haben wir „Let’s Encrypt“ selbst auch schon ausprobiert. Seit Januar 2016 ist dieser Blog mit einem Let’s Encrypt Zertifikat ausgestattet.

Verschlüsselung und Sicherheit

Die vorherige Grafik alleine hat schon deutlich gezeigt, dass verschlüsselte Webseiten wohl zukünftig zum Standard gehören dürften. Eigentlich ist das doch was Gutes, oder? Ja und nein. Für einen Besucher ist das natürlich super, wenn die Kommunikation zwischen ihm und der aufgerufenen Webseite verschlüsselt ist. Gerade bei Onlineshops, wo sensible Daten übermittelt werden müssen, schafft das natürlich zusätzliches Vertrauen. Für eure Firewall, die den Traffic aber scannen möchte, um Schadsoftware zu erkennen, ist das sicherheitstechnisch leider nicht so ideal.

Eine „normale“ Firewall kann verschlüsselten Traffic nicht scannen.

Blindflug eurer Sophos vermeiden

Na gut, eine SOPHOS Firewall ist ja keine „normale“ Firewall. 🙂 Daher werden wohl einige auch wissen, dass die UTM schon seit längerem SSL-Verbindungen scannen kann. Voraussetzung ist natürlich eine gültige Lizenz für die Web Protection.

Wir treffen jedoch noch immer vergleichsweise wenige Konfigurationen an, bei denen das Feature auch aktiviert wurde. Der Nachteil ist somit, dass der gesamte HTTPS-Traffic nicht auf Schadsoftware geprüft wird und auch Botnetverbindungen unbemerkt durch die UTM laufen. Das betrifft sowohl die UTM als auch die XG. An dieser Stelle kann ich also nur empfehlen, das HTTPS-Scanning auf eurer SOPHOS zu aktivieren.

Beispiel aus der Praxis

Schauen wir uns zum Schluss noch kurz an, wie es mit dem HTTPS-Traffic in der Praxis ausschaut. Bei einer unserer Kundenfirewalls sieht es z. B. so aus:

Da ich schon einige Firewalls verwalte, kann ich bestätigen, dass bei einigen der HTTPS-Traffic tatsächlich bereits überwiegt. Das ist natürlich abhängig von der Firma und deren Surfverhalten. Zusammenfassend kann ich aber sagen, dass der HTTPS-Traffic, auf all unseren geprüften Firewalls, durchschnittlich bei über 30% liegt. Das bedeutet also, dass ohne ein HTTPS-Scanning, knapp 1/3 des Traffics ungescannt durch die Firewall gehen würde.

In Zeiten, in denen sich Ransomware in JavaScript Code von gehackten Webseiten versteckt, muss man einfach alle Register seiner Firewall ziehen. Schaut also, dass ihr folgende Punkte auf eure Todo-Liste setzt:

• HTTPS-Scanning aktivieren
• Sandboxing benutzen (Sophos Sandstorm)
• Antivirus mit HIPS und Malicious Traffic Detection einsetzen
• Benutzer ausführlich schulen

Fazit

Während es früher noch eine Seltenheit war, dass Webseiten mit einem SSL-Zertifikat ausgestattet wurden, ist es Dank Let’s Encrypt super einfach und erst noch kostenlos, sich selbst ein solches Zertifikat auszustellen. Die Statistiken zeigen es deutlich, dass es in Zukunft wohl nur noch verschlüsselten Webtraffic geben wird. Wir empfehlen daher unbedingt, das HTTPS-Scanning auf der UTM oder XG zu aktivieren und einzurichten.

Die Zeit steht nicht still und gerade hier zeigt sich wieder wunderbar, dass eine Firewall nicht einfach 5 Jahre in der Ecke stehen kann, ohne etwas daran zu ändern. Regelmässige Wartung und gelegentliche Reviews sind absolut Pflicht, um für neue Bedrohungen bereit zu sein.