Home
HTTPS-Scanning - Warum es auf der Sophos aktiviert sein sollte
Security Life

HTTPS-Scanning - Warum es auf der Sophos aktiviert sein sollte

Patrizio - 11. Mai 2016

Mit dem Thema "Verschlüsselung" ist es so eine Sache. Habt ihr nicht auch das Gefühl, dass man davon zwar immer wieder was hört, sogar darüber spricht, aber die Verbreitung doch eher schleppend vorankommt? Mit dem Projekt "Let's Encrypt" hat zumindest die verschlüsselte Kommunikation im Internet, zwischen einer Webseite und einem Besucher, einen starken Schub bekommen! Dank kostenloser SSL-Zertifikate, möchte "Let's Encrypt" eine verschlüsselte Verbindung zum Standard machen.

In diesem Blogartikel möchte ich aufzeigen, was das für eure Sophos Firewall bedeutet, wenn plötzlich die Mehrheit des Web Traffics verschlüsselt daherkommt.

Anfänge von "https://"

Gehen wir in der Geschichte doch ganz kurz ein paar Jahre zurück und schauen uns mal an, wie die ganze Entwicklung hin zu "https://" im Internet ausgesehen hat. Mit der Avanet haben wir diese Zeit mehrheitlich mit Beiträgen von Google erlebt. Bitte entschuldigt also, dass die folgende kleine Timeline auch sehr "Googlelastig" ausfällt.

1,7 Millionen Zertifikate für mehr als 3,8 Millionen Webseiten.

Aus unserer Sicht hat Google mit seiner Macht als Suchgigant, einiges dazu beigetragen, dass Webmaster ihre Webseiten immer häufiger mit einem SSL-Zertifikat ausstatten. Durch ihre Aussage, dass verschlüsselte Verbindungen zukünftig auch einen Einfluss auf das Ranking einer Webseite haben wird, ist man ja quasi gezwungen, ein SSL-Zertifikat zu erstellen. Dank Let's Encrypt, geht das jetzt sogar auch kostenlos!

*Natürlich haben wir "Let's Encrypt" selbst auch schon ausprobiert. Seit Januar 2016 ist dieser Blog mit einem Let's Encrypt Zertifikat ausgestattet.

Verschlüsselung und Sicherheit

Die vorherige Grafik alleine hat schon deutlich gezeigt, dass verschlüsselte Webseiten wohl zukünftig zum Standard gehören dürften. Eigentlich ist das doch was Gutes, oder? Ja und nein. Für einen Besucher ist das natürlich super, wenn die Kommunikation zwischen ihm und der aufgerufenen Webseite verschlüsselt ist. Gerade bei Onlineshops, wo sensible Daten übermittelt werden müssen, schafft das natürlich zusätzliches Vertrauen. Für eure Firewall, die den Traffic aber scannen möchte, um Schadsoftware zu erkennen, ist das sicherheitstechnisch leider nicht so ideal.

Eine "normale" Firewall kann verschlüsselten Traffic nicht scannen.

Blindflug eurer Sophos vermeiden

Na gut, eine SOPHOS Firewall ist ja keine "normale" Firewall. :-) Daher werden wohl einige auch wissen, dass die UTM schon seit längerem SSL-Verbindungen scannen kann. Voraussetzung ist natürlich eine gültige Lizenz für die Web Protection.

Wir treffen jedoch noch immer vergleichsweise wenige Konfigurationen an, bei denen das Feature auch aktiviert wurde. Der Nachteil ist somit, dass der gesamte HTTPS-Traffic nicht auf Schadsoftware geprüft wird und auch Botnetverbindungen unbemerkt durch die UTM laufen. Das betrifft sowohl die UTM als auch die XG. An dieser Stelle kann ich also nur empfehlen, das HTTPS-Scanning auf eurer SOPHOS zu aktivieren.

Beispiel aus der Praxis

Schauen wir uns zum Schluss noch kurz an, wie es mit dem HTTPS-Traffic in der Praxis ausschaut. Bei einer unserer Kundenfirewalls sieht es z. B. so aus:

Da ich schon einige Firewalls verwalte, kann ich bestätigen, dass bei einigen der HTTPS-Traffic tatsächlich bereits überwiegt. Das ist natürlich abhängig von der Firma und deren Surfverhalten. Zusammenfassend kann ich aber sagen, dass der HTTPS-Traffic, auf all unseren geprüften Firewalls, durchschnittlich bei über 30% liegt. Das bedeutet also, dass ohne ein HTTPS-Scanning, knapp 1/3 des Traffics ungescannt durch die Firewall gehen würde.

In Zeiten, in denen sich Ransomware in JavaScript Code von gehackten Webseiten versteckt, muss man einfach alle Register seiner Firewall ziehen. Schaut also, dass ihr folgende Punkte auf eure Todo-Liste setzt:

  • HTTPS-Scanning aktivieren
  • Sandboxing benutzen (Sophos Sandstorm)
  • Antivirus mit HIPS und Malicious Traffic Detection einsetzen
  • Benutzer ausführlich schulen

Fazit

Während es früher noch eine Seltenheit war, dass Webseiten mit einem SSL-Zertifikat ausgestattet wurden, ist es Dank Let's Encrypt super einfach und erst noch kostenlos, sich selbst ein solches Zertifikat auszustellen. Die Statistiken zeigen es deutlich, dass es in Zukunft wohl nur noch verschlüsselten Webtraffic geben wird. Wir empfehlen daher unbedingt, das HTTPS-Scanning auf der UTM oder XG zu aktivieren und einzurichten.

Die Zeit steht nicht still und gerade hier zeigt sich wieder wunderbar, dass eine Firewall nicht einfach 5 Jahre in der Ecke stehen kann, ohne etwas daran zu ändern. Regelmässige Wartung und gelegentliche Reviews sind absolut Pflicht, um für neue Bedrohungen bereit zu sein.

Senden Sie Ihr Feedback

Teilen Sie uns Ihre Gedanken zu diesem Artikel mit, Ihre persönlichen Rückfragen sind immer willkommen und werden sehr geschätzt.

Feedback senden
Alle Informationen sind vertraulich
Newsletter

Auf unserem Blog publizieren wir regelmässig Artikel über diverse Themen rund um Sophos. Damit du keinen Artikel verpasst, kannst du dich in unseren Newsletter eintragen und bekommst einmal pro Monat eine Zusammenfassung aller Artikel der letzten 30 Tage per E-Mail zugestellt.

Knowledge Base

Du brauchst Hilfe zu einem Sophos Produkt? Dann kann dir vielleicht unsere kostenlose Knowledge Base weiterhelfen. Wir versuchen, die meisten Supportanfragen in einem Artikel zu dokumentieren, um möglichst vielen Menschen damit zu helfen.