Navigation
 
Technologien »

HTTPS-Scanning

Fragen und Antworten zum HTTPS-Scanning

Die Fragen und Antworten adressieren häufige Anfragen, die Organisationen und Netzwerkadministratoren über HTTPS Scanning und die CSG stellen.
Fragen, die beantwortet werden, sind:

  • Was versteht man unter HTTPS?
  • Wie funktioniert SSL?
  • Was ist Verschlüsselung?
  • Wie verbinde ich mich mit einem sicheren Server?
  • Warum muss man den SSL-Verkehr überprüfen, obwohl er sicher ist?
  • Wie arbeiten HTTPS-Verbindungen?
  • Was sind Sicherheitszertifikate?
  • Warum erscheinen bei der Verwendung von Sicherheitszertifikaten Warnhinweise?
  • Wie kann man das Erscheinen von Zertifikatswarnungen vermeiden?
  • Kann ich die CSG so konfigurieren, damit sie den SSL-Verkehr von bestimmten sicheren Webseiten nicht untersucht?
  • Wie kann ich sicherstellen, dass SSL-Daten, die die CSG scannt sicher und vertraulich behandelt werden?
  • Bleiben Informationen in der CSG bestehen?
  • Wo kann ich weitere Informationen über die CSG finden?

Überblick:

Was ist HTTPS?

HTTPS ist eine sichere Version des Hypertext Transfer Protocol (http), das Webseiten benutzen, die sichere Verbindungen erfordern (z.B. für das Online Banking). Anstelle von Klartextkommunikation verschlüsselt HTTPS die Daten bei einer Übertragung mittels dem Secure Sockets Layer (SSL) Protokoll. SSL basiert auf einer Kombination aus Programmen und Ver- und Entschlüsselungsroutinen, die auf sicheren Webseiten und in Webbrowsern wie Microsoft Internt Explorer, Mozilla Firefox und Netscape existieren.

Wie funktioniert SSL?

SSL schützt Daten, die verschlüsselt über ein serverseitiges SSL-Zertifikat via HTTP übertragen werden. Ein SSL-Zertifikat beinhaltet einen öffentlichen und einen privaten Schlüssel. Ein öffentlicher Schlüssel verschlüsselt die Daten bevor sie gesendet werden, während der private Schlüsselt Daten entschlüsselt, die empfangen werden. Zwischen Client und Server ist ein „Handschlag“ erforderlich, um Sender und Empfänger gegenseitig zu authentifizieren bevor sie private Schlüssel austauschen und eine sichere Sitzung beginnen können, die Privatsphäre und Vertraulichkeit beim Datenaustausch garantiert. Die Nutzung von SSL bei HTTPS-Verbindungen bietet Schutz vor Lauschangriffen und Man-in-the-Middle-Attacken, indem es Angreifern erschwert wird, die übertragenen Daten abzufangen und zu lesen.

Was ist Verschlüsselung?

Verschlüsselung ist ein methodisches Vermischen von Daten (egal ob E-Mail oder Datei), die jemand, der die Methode nicht kennt, nicht wieder zusammensetzen kann. Durch Verschlüsselung wird alles Verschlüsselte für jeden nicht festgesetzten Adressat unzugänglich, was eine Privatsphäre im Internet ermöglicht. Wie verbinde ich mich mit einem sicheren Server? Um sich mit einem sicheren Server zu verbinden muss man https:// anstelle von http:// vor dem Hostnamen eingeben. Ein Schlosszeichen in der rechten unteren Ecke des Browsers weist darauf hin, dass eine SSL-Verbindung erfolgreich aufgebaut wurde.

Warum muss man den SSL-Verkehr überprüfen, obwohl er sicher ist?

Die Grundvoraussetzung für SSL ist, dass beide involvierte Parteien einer sicheren Transaktion vertrauensvoll sind und keiner von beiden dem anderen schadhaften Code senden würde. Die Vertraulichkeit beider Parteien wird mit einem Sicherheitszertifikat überprüft, dass normalerweise ein renommierter Drittanbieter oder eine Zertifizierungsstelle ausstellt, die wiederum weit reichende Überprüfungen durchführen bevor sie den Beteiligten das Sicherheitszertifikat gewähren.

Der Ausdruck `sicher` bezieht sich dabei auf den Kommunikationskanal, der Daten vom Host zum Client überträgt und umgekehrt, jedoch nicht auf den übertragenen Inhalt über die sicheren Verbindungen. So besteht die Möglichkeit, dass Nutzer unbeabsichtigt oder beabsichtigt schadhaften Inhalt oder infizierte Dateien über sichere Verbindungen übertragen können. Server-Zertifikate können aber auch gestohlen und von Hackern missbraucht werden, um sichere Server vorzutäuschen damit sich Kunden damit verbinden.

Der Ansatz, dass keine Probleme entstehen, wenn ein Antvirenscanner am Gateway zur Verfügung steht, ist falsch. Traditionelle Netzwerksicherheitsprodukte - einschließlich Gateway-Antivirenscanner - sind nicht in der Lage, SSL-Verkehr zu entschlüsseln. Diese Produkte können nicht prüfen, was sie nicht sehen, womit Sie und Ihr Netzwerk offen für SSL-typische Malware bleiben.

   Vorgang
   Wie arbeiten HTTPS-Verbindungen?


Abbildung 1: SSL-Zertifiikatsaustausch ohne CSG

Bei einer typischen HTTPS-Verbindung (ohne CSG) kommunizieren und tauschen der Client und die sichere Webseite Zertifikate direkt aus. Wenn man die Adresse einer sicheren Webseite beispielsweise http://www.ebay.com eingibt, initiiert der Client (Webbrowser) die Verbindung. Der Server (Webserver) antwortet dem Client und legt die zu verwendenden Verschlüsselungscodes fest. Anschließend authentifiziert der Client den Server. Ist die Sitzung initiiert und der `Handschlag` erfolgt, werden die Daten verschlüsselt und übertragen.


Abbildung 2: SSL Zertifikatstausch mit CSG

Befindet sich die CSG zwischen Client und Server (und HTTPS-Scanning ist zugelassen), agiert die CSG wie ein Man-in-the-Middle und unterbricht die Client-Server-Verbindung in zwei Teile: a. Client-CSG, b. CSG-Server
Verbindet sich der Client über die CSG mit dem Server, übernimmt die CSG anstelle des Clients die Anfrage beim Server. Antwortet der Server mit seinem Zertifikat, authentifiziert die CSG für den Client das Zertifikat und übergibt dem Client statt dem Zertifikat des Servers sein eigenes Zertifikat.

Tatsächlich `sehen` sich Client und Server nicht gegenseitig. Der Client behandelt die CSG als Server und der Server behandelt die CSG als Client. Bei dieser Konstellation ist die CSG in der Lage, folgende Aufgaben effizient durchzuführen:

  1. Entschlüsseln des ankommenden und weggehenden SSL-Verkehrs am Gateway
  2. Durchführen von Antiviren- und Content Scanning
  3. Wieder-Verschlüsseln des Inhalts und Senden zum eigentlichen Empfänger

Sicherheitszertifikate

Was sind Sicherheitszertifikate?

Sicherheitszertifikate (oder SSL-Zertifikate) sind das Rückgrat der SSL-Kommunikation. Sie enthalten Informationen, die SSL-Protokolle verwenden, um sichere Verbindungen aufzubauen.

Sicherheitszertifikate stellen zwischen einer Identität (entweder eine Person oder eine Organisation) und einem öffentlichen Schlüssel eine Beziehung her. Nur der Zertifikatsinhaber kennt den dazu gehörigen privaten Schlüssel. Der private Schlüssel gestattet dem Besitzer, Informationen zu entschlüsseln, die mit dem korrespondierenden öffentlichen Schlüssel verschlüsselt wurden.

Besucht man eine sichere Webseite, tauscht der Webbrowser mit dem sicheren Webserver Zertifikate aus. Das Zertifikat, das man dem Server schickt, enthält den öffentlichen Schlüssel, der dem Server erlaubt, nur die Informationen zu entschlüsseln, die man nur mit dem privaten Schlüssel entschlüsseln und lesen kann.

Warum erscheinen bei der Verwendung von Sicherheitszertifikaten Warnhinweise?

Wenn der Client (Webbrowser) eine Verbindung zu einer sicheren Webseite herstellt, erwartet er ein Zertifikat vom sicheren Server (signiert von einer vertrauenswürdigen Zertifizierungsstelle). So arbeitet eine typische HTTPS-Verbindung: der Client und die sichere Webseite tauschen direkt Zertifikate aus, um ihre Identitäten gegenseitig zu überprüfen bevor die eigentliche Datenverschlüsselung und -übertragung geschieht.

Da allerdings die CSG als Man-in-the-Middle agiert, erhält der Client das CSG-Zertifikat statt dem vom Server. Das CSG-Zertifikat befindet sich nicht unter den als sicher eingestuften Zertifikaten der Browserliste, so dass sie als nicht vertrauenswürdig eingestuft wird und der Browser einen Warnhinweis für das Sicherheitszertifikat anzeigt.


Eine Zertifikat-Fehlermeldung erscheint, wenn man sich via CSG mit einer sicheren Login-Seite auf www.ebay.com verbindet

Wie kann man das Erscheinen von Zertifikatswarnungen vermeiden?

Es gibt zwei Arten, um das Auftreten von Zertifikatswarnungen zu vermeiden:

  • Siehe Option 1: Laden eines signierten Zertifikats auf die CSG, oder
  • Siehe Option 2: Hinzufügen der CSG in die vertrauenswürdige Browserliste

Wählt man die Möglichkeit, die CSG in die vertrauenswürdige Browserliste aufzunehmen, muss man dies für jeden Clientbrowser im Netzwerk durchführen. Die Zertifikatsfehlermeldung erscheint auf den Clients, die die CSG nicht in ihrer vertrauenswürdigen Liste enthalten.

   Option 1: Lade ein signiertes Zertifikat auf die CSG

Man kann die Sicherheitshinweise eliminieren, indem man ein von einer vertrauenswürdigen Zertifizierungsstelle signiertes Sicherheitszertifikat auf die CSG lädt. Das importierte Sicherheitszertifikat muss im X.509-Format vorliegen.

  1. Beschaffen Sie ein SSL-Zertifikat, das von einer vertrauenswürdigen Zertifizierungsstelle wie Thawte oder Verisign signiert ist. Um die Liste der vertrauenswürdigen Zertifizierungsstellen des Internet Explorers zu sehen, klicken Sie Extras > Internetoptionen und dann Inhalte > Herausgeber. Vertrauenswürdige Zertifizierungsstellen sind auf ‚Vertrauenswürdige Stammzertifizierungsstellen` aufgeführt.
  2. Einloggen auf der CSG Weboberfläche
  3. Im Menü HTTPS > CSG CA Certificate anklicken
  4. Wählen Sie die Option ‚Use imported certificate (PKCS12)
  5. Klicken Sie auf Browse und wählen das gewünschte Sicherheitszertifikat
  6. Bei Erscheinen von Certificate Password geben Sie das Passwort ein, das bei der Erstellung des Zertifikats festgelegt wurde
  7. Klicken Sie auf Import
  8. Save Changes

Hat die CSG ein Zertifikat das eine vertrauenswürdige Zertifizierungsstelle signiert hat, wird sie dieses Zertifikat und das Serverzertifikat nutzen, um dynamisch ein anderes Zertifikat zu generieren, das die CSG zum Client schickt. Das neue Zertifikat enthält den gleichen Hostnamen und Ablaufdatum wie das originale Serverzertifikat und versichert dem Client so, dass es von einem sicheren Server erstellt wurde.

   Option 2: Hinzufügen der CSG in die vertrauenswürdige Browserliste

Der Browser zeigt die Sicherheitswarnung an, weil das CSG-Zertifikat nicht in der vertrauenswürdigen Browserliste enthalten ist. Gewöhnlich enthält die übliche Browserliste nur bekannte Zertifizierungsstellen wie Thawte und Verisign.

Bitte beachten: CP Secure empfiehlt die Nutzung des Internet Explorers, um auf die Webschnittstelle zuzugreifen und diesen Prozess durchzuführen:

Das Hinzufügen der CSG in die vertrauenswürdige Browserliste ist ein zweistufiger Vorgang:

  • Download des voreingestellten Original CA Zertifikat von der CSG
  • Importieren des voreingestellten Original CA Zertifikats in den Browser

   Download des voreingestellten Original CA Zertifikats von der CSG

  1. Zugriff auf die CSG-Webschnittstelle
  2. Klicken Sie auf der Logon-Seite den Link ‚Download the root CA certificate for HTTPS use here’, der sich unten auf der Logon-Seite befindet. Eine Popup-Nachricht erscheint, die zum Abspeichern der Dateinamens RootCA.crt auffordert.
  3. Klicken Sie Save. Die Save-as-Dialogbox erscheint
  4. Wählen eines Ortes, an dem die Datei gespeichert werden soll und klicken Sie Save.

Importieren des voreingestellten Original CA Zertifikats in den Browser

  1. Klicken von Tools im IE Menü > Internet Options. Ein Einloggen auf der CSG Weboberfläche ist nicht erforderlich.
  2. Klicken Sie Content tab und dann Certificates. Das Zertifikatsfenster erscheint.
  3. Klicken Sie Trusted Root Certification Authorities tab.
  4. Klicken Sie Import. Der Certificate Import Wizard erscheint.
  5. Folgen Sie der Wizard-Anleitung und Wahl des CSG root CA certificate, wenn diese erscheint um eine Datei zu importieren. Es besteht die Möglichkeit, dass ein Sicherheitshinweis direkt vor dem Import des CSG Zertifikats in den Browser erscheint.
  6. Klicken Sie Yes, um den Import des Zertifikats zu beenden. Es erscheint die Nachricht: The import was successful
  7. Klicken Sie OK.
  8. Überprüfen des Certificates Fensters. Sie sollten eine Trusted Root Certificate Authority mit folgenden Details sehen:
    a. Issue To (Veröffentlicht für): www.cpsecure.com
    b. Issued By (Veröffentlicht durch): www.cpsecure.com
    c. Ablaufdatum: 7/21/2016
    d. Friendly Name:<none>
  9. Klicken Sie Close

Kann ich die CSG so konfigurieren, damit sie den SSL-Verkehr von bestimmten sichere Webseiten nicht untersucht?

Ja, das geht. CP Secure weiß, dass die Gesetzeslage in einige Ländern das Scannen oder die Untersuchung des Netzwerkverkehrs - insbesondere wenn der Verkehr persönliche Daten (wie Passwörter und Finanzinformationen) enthält - verbietet. Wenn dies in Ihrem Land der Fall ist, können Sie die Gesetze befolgen, indem Sie die CSG so konfigurieren, dass sie das Scannen des Datenverkehrs von und zu bestimmten Seiten, zu denen Anwender vertrauliche und persönliche Informationen senden, überspringt.

Um das Scannen des Datenverkehrs von und zu bestimmten Seiten zu überspringen, müssen Sie diese sicheren Webseiten als vertrauenswürdige Hosts kennzeichnen. Sie können dies, indem Sie deren Hostnamen oder IP-Adressen in der vertrauenswürdigen Hostliste der GSG Webschnittstelle hinzufügen. Verbindet sich ein Benutzer mit einer sicheren Seite, die als vertrauenswürdig eingestuft ist, verhält sich die CSG wie ein Tunnel, um die Verbindung per SSL sicher zu gestalten, aber sie wird nicht den Inhalt auf Malware untersuchen. Daher ist es wichtig, dass Sie nur sichere Seiten, denen Sie tatsächlich vertrauen, zur vertrauenswürdigen Hostliste hinzufügen.

Beachten Sie dabei, dass Sie unter Umständen mehrere Hostnamen oder IP Adressen für eine bestimmte sichere Webseite eintragen müssen. Um beispielsweise www.ebay.com hinzuzufügen, müssen Sie folgende Hostnamen berücksichtigen:
signin.ebay.com
securepics.ebaystatic.com
secureinclude.ebaystatic.com

Die Ursache hierfür ist, dass die sichere Logon-Seite von ebay.com Dateien von diesen verschiedenen Hosts verwendet. So kommen beispielsweise Bilder der Logon-Seite von securepics.ebaystatic.com.

Um einen vertrauenswürdigen Host hinzuzufügen, sind folgende Schritte notwendig:

  1. Einloggen auf der CSG Webschnittstelle
  2. Im Menü klicken von HTTPS Scan>Trusted Hosts.
  3. Wähle Bypass the Following Hosts for HTTPS check box.
  4. Bei Add Host, den Hostnamen (nicht die URL) der sicheren Seite, der Sie vertrauen, eingeben
  5. Klicken Sie auf Add
    Bitte beachten: Wenn Sie verschiedene Hostnamen in die vertrauenswürdige Hostliste eingeben, geben Sie diese zuerst in eine Textdatei ein und importieren Sie sie dann in die CSG. Um die Datei zu importieren, klicken Sie Browse, wählen die Datei und klicken dann Import.
  6. Klicken Sie auf Save Changes

Wenn Sie die Hostnamen von sicheren Webseiten kennen, die Netzwerknutzer häufig nutzen, können Sie diese leicht der Liste hinzufügen. Geben Sie sie in eine Textdatei ein (ein Hostname pro Zeile) und importieren Sie sie in die CSG von der vertrauenswürdigen Listenseite.

Datensicherheit:

Wie kann ich sicherstellen, dass SSL-Daten, die die CSG scannt, sicher und vertraulich behandelt werden?

Datensicherheitsaspekte im Zusammenhang mit HTTPS-Scanning lassen sich in zwei Kategorien einteilen: Datensicherheit außerhalb der Appliance und Datensicherheit innerhalb der Appliance.

Datensicherheit außerhalb der Appliance wird durch die Verwendung von SSL und verschlüsselten privaten Schlüsseln abgedeckt, die den Sicherheitszertifikaten zugeordnet sind. Solange die während der Transaktion verwendeten Zertifikate legal sind (beispielsweise nicht von anderen Unternehmen gestohlen), ist es sehr schwierig, die Verbindung zu hacken oder Daten abzufangen.

Datensicherheit innerhalb der Appliance ist durch folgende Funktionen gewährleistet:

  • Sicheres Dateisystem - CP Secure sorgt für die Sicherheit der Appliance indem sie Hackern verweigert, was sie für einen Angriff benötigen: Zugang. Nicht einmal für den CSG Administrator verfügt die CSG über eine Schnittstelle, die den Zugriff auf das Dateisystem gestattet. Die Webschnittstelle liefert Zugang zur Konfigurationsdatei aber nicht zum Dateisystem.
  • Integrierte Prozessverarbeitung - Verschlüsselung, Scanning und Entschlüsselung des SSL-Verkehrs geschieht in der gleichen Box und im gleichen Speicher. Dies berücksichtigt die Einhaltung von Gesetzen zum Schutz der Privatsphäre in einigen Ländern, dabei speziell in Europa und vermeidet das Risiko, dass Hacker SSL-Daten außerhalb des Geräts abfangen und ausspionieren. Sobald die SSL-Verbindung geschlossen ist, wird der Datenspeicher automatisch bereinigt.

Bleiben Informationen in der CSG bestehen?

Ja, aber nur Malware- oder Log-Dateien bezogene Informationen:

  • Log-Dateien bezogene Informationen: genutzte URLs, Dateinamen und IP Adressen von Clients und Server
  • Malware bezogene Informationen: Malware-Namen und unternommene Aktionen

Die CSG enthält keine persönlichkeitsbezogenen Informationen.

Mehr Informationen

Wo kann ich weitere Informationen über die CSG finden?

Um weitere Informationen über CSG, HTTPS-Scanning und andere Sicherheitsfeatures zu erhalten, besuchen Sie unsere Webseite unter www.cpsecure.com.