Steeds meer websites en -services worden beveiligd via secure sockets layer (ssl)-verbindingen. Die beveiliging introduceert echter ook een nieuw gevaar. Misschien bezoekt je zonder het te beseffen sites of services met malware of spyware en is die cliënt wel van de juiste persoon?
Drukbezochte websites zoals Facebook, Google en Twitter, maar ook services als Gmail en Outlook gebruiken in toenemende mate beveiligde secure sockets layer (ssl)-verbindingen. Dat zijn de https-adressen die iedereen al kent van het internet-bankieren. Vanuit beveiligingsoogpunt een welkome ontwikkeling omdat al het dataverkeer over ssl-verbindingen van begin tot eind onleesbaar is versleuteld. Als die techniek echter verkeerd wordt ingezet, kunnen malafide computers, smartphones en tablets ook een server aanvallen, of je via zo’n verbinding naar besmette sites en services leiden
Gelukkig heb je daar natuurlijk een firewall of andere beveiligingsapparatuur tegen denk je? Mogelijk, maar door het gebruik van 2048 en 4096 bit encryptiesleutels, in plaats van vroeger 1024 bit, heeft die apparatuur wellicht niet genoeg verwerkingscapaciteit om al dat versleutelde verkeer te kunnen inspecteren. Zeker nu het aantal met https-beveiligde websites en -services exponentioneel groeit.
Application delivery controllers
Gelukkig is er voor elke beveiligingsbehoefte een oplossing en voor de inspectie van het toenemend aantal ssl-verbindingen zijn dat de nieuwe generatie application delivery controllers (adc). Die zijn namelijk speciaal ontworpen om enorme hoeveelheden dataverkeer zonder merkbare invloed op de performance te inspecteren en afhankelijk van inhoud en bestemming naar de gebruikers te sturen. Niet om firewalls, unified threat management’s (utm’s) en andere apparatuur te vervangen, maar om ze met hun hoge performance bij zware taken te ondersteunen en te ontlasten. Bijvoorbeeld door bij ssl-verbindingen de firewall of utm te ‘sandwichen’ tussen twee nieuwe generatie adc’s of spplication delivery partitions (adp’s). Door adp’s te gebruiken is het niet nodig om twee fysieke units in te richten. Dan nemen de adp’s het ontsleutelen en na inspectie door de firewall of urm weer versleutelen voor hun rekening. Dus, hoe slim hackers en andere kwaadwilligen ook zijn, met de juiste oplossing blijft je ze altijd een stap voor.
Harry,
Ik heb je stukje een paar keer gelezen. Maar ik vind je titel niet echt met het stuk matchen.
Je intro is voor een netwerk-leek zoals ik goed te volgen. Echter is je 2e alinea meer een betoog voor slimme ADC’s. En dit riekt een beetje naar verkapte reclame aangezien A10 Networks deze natuurlijk levert.
Harry,
Ik sluit me bij Ruud aan, dit is zo’n bericht van: “Vrouw met helm zoekt man met motor.” En wie maakt zich tegenwoordig nog druk om ADC’s nu we alles in de cloud hebben staan en lekker mobiel Facebook, Google en Twitter gebruiken?
Ik vind die eerste alinea juist niet goed te volgen. Door SSL ben je extra kwetsbaar voor malware of spyware ? En wat boeit de (identificatie van de) client nou, dat ben je zelf. Juist bij SSL is er een CA die de server identificieert t.b.v. de client.
Volgens mij gaat het verhaal over het vroegtijdig decrypten van SSL verkeer, waardoor de data daarna door reguliere IDS te inspecteren valt.
Je kunt je afvragen of je daar blij mee moet zijn. Denk je dat je end-to-end met je bank servers versleuteld communiceert. Wordt al je data nog eens door software van derden (IDS) geinspecteerd en wie weet wat die er allemaal mee doen..
Maar goed, de boodschap is dat er een probleem is en dat Harry iets verkoopt dat het oplost.
Het artikel roept bij mij wat verbazing op. Enerzijds wordt geprezen dat er steeds meer dienstenleveranciers gebruik maken van https, maar omdat er dan geen controle meer kan worden uitgeoefend op de inhoud, vindt Harry het anderzijds een goed idee om die encryptie dan maar uit te schakelen. En dit soort NSA/AIVD/Opstelten praktijken zou mij een goed gevoel moeten geven over veiligheid?
Ik denk dat ik een mooie post weet waar ik geld op kan besparen … tenzij ik toch ooit interesse krijgt voor de versleutelde content natuurlijk.