Mer än hälften av all internettrafik är idag krypterad. För användaren innebär det att det visas ett hänglås i webbläsaren och att https används mot webbservern. Men vad innebär det för alla företag vars säkerhetssystem måste kunna se ickekrypterad trafik för att besluta om den ska tillåtas?

För att förstå innebörden av detta måste vi kort titta på hur företag idag oftast bygger sin nätverkssäkerhet. De flesta delar in sitt nätverk i två eller tre zoner: insida, utsida och ”demilitarized zone”, dmz. Allt som är på insidan anses i princip vara säkert, allt på utsidan är osäkert, och i dmz ställs oftast tjänster som ska publiceras externt, till exempel webb- och dns-servrar. Detta är ett ganska föråldrat sätt att se på säkerhet och segmentering, men det blir ett ämne för en annan artikel.

För att skydda insidan används en eller ett par brandväggar som inspekterar trafiken för att se om de kan hitta något i paketen som inte ser normalt ut. Som sagt är idag mer än 50 procent av trafiken krypterad. Webbplatser som Facebook, Google, Netflix och så vidare krypterar alla webbsessioner. Detta gäller också så klart banker, försäkringsbolag, pensionsbolag, webbutiker och alla andra som hanterar betalningar och har krav på sig att inte läcka ut kundinformation.

Läs också: It-juristens checklista: Det här krävs för att leva upp till EU:s dataskyddsförordning

Föreställ dig att din brandvägg är en vägspärr och att webbtrafiken är bilar. Då vägen är blockerad måste bilarna passera genom spärren för att komma vidare – men om det kommer ett flygande fordon har vägspärren ingen effekt. Det är https-trafiken som passerar fritt förbi din brandvägg.

Betyder det att brandväggen har spelat ut sin roll? Nej – men det betyder att vi inte längre kan förlita oss på bara en brandvägg för att skydda vår insida. En adekvat lösning idag måste byggas i flera lager och använda flera olika metoder. Det första vi kan göra är att dekryptera trafiken.

Dekryptering av trafiken i en brandvägg

För att kunna inspektera paketen som passerar brandväggen är det möjligt att dekryptera trafiken.

Hur är det möjligt att dekryptera trafik? Meningen med krypteringen är väl att trafiken inte ska kunna dekrypteras?

Jo, det går att dekryptera trafik, men det kräver certifikat installerade på de enheter som ska få trafiken dekrypterad. Att hantera certifikat är alltid en utmaning, särskilt i en heterogen miljö där flera olika operativsystem samexisterar, och särskilt på mobila enheter.

Funktionellt innebär det att brandväggen blir en ”man in the middle” och avslutar ssl-sessionen, inspekterar paketen, krypterar dem igen och skickar dem till klienten. Det är en väldigt intensiv process där mycket av brandväggens resurser går åt till dekrypteringen.

Om brandväggen normalt klarar 10 Gbit/s okrypterad trafik kanske den bara klarar 1 Gbit/s krypterad trafik. Så det kanske inte är möjligt att dekryptera all trafik, utan investeringar i specialiserad hårdvara, utan beslut måste tas om vilka sessioner som ska dekrypteras och vilka som ska släppas förbi ändå. Att dekryptera trafik mot exempelvis banker kanske inte är nödvändigt.

Att dekryptera användares trafik kan också vara ett intrång i integriteten och möjligen också ha juridiska följder. Därför är det något som inte bör tas lätt på.

Det här är en artikel från Expert Network

Proxy

Det finns också möjlighet att använda sig av en proxy. Funktionellt sett är det väldigt likt det brandväggen gör, att agera mellanhand och terminera ssl-sessionen. Skillnaden brukar främst vara att en proxy är mer inriktad på att filtrera vilka webbsidor som användaren får besöka, och att detta kan styras baserat på användarens identitet.

Möjligen kan man argumentera för att en proxy ger ytterligare lite kontroll, då det blir svårare att förbigå proxyn än brandväggen om till exempel användaren surfar via sin mobiltelefon. Det finns också intelligenta proxytjänster som endast kontrollerar ssl-trafik, och som bara kontrollerar trafik till/från webbplatser med dåligt rykte. Ryktet bygger på huruvida det till exempel rapporterats om malware från den domänen. Sidor med gott rykte kan då få passera proxy utan att inspekteras.

Observera att det finns saker som kan göra det omöjligt att dekryptera trafiken, till exempel certificate pinning. Metoderna ovan skulle inte fungera för sidor som använder sig av detta.

Blockera ssl

En möjlighet är att blockera ssl-trafiken helt, vilket tvingar användarna att använda icke-krypterade sessioner. Detta är dock en väldigt kortsiktig och dålig lösning, då känsliga data måste skickas okrypterade, och en del webbplatser bara finns tillgängliga via ssl. Det är därför inte rekommenderat, även om det är tekniskt möjligt.

Om lösningen inte är att agera mellanhand i trafikflödet, vad finns det då för andra lösningar?

Intelligenta brandväggar

Brandväggar måste bli mer intelligenta. De kan inte bara basera sina beslut på att de har full insyn i trafiken. Tre exempel på saker som kan göras:

• Blockera dns-förfrågningar mot icke kända domäner.
• Titta i ssl-sessionen om servernamn och domän är synliga via SNI (server name indication) och besluta om trafik ska tillåtas eller ej baserat på detta.
• Blockera trafik baserat på om den följer ett normalt mönster eller inte. Varför skickar en av företagets servrar flera gigabyte data till en dator i Kina klockan tre på natten?

Intelligens i nätverket

De flesta nätverk idag har ingen insyn i vad användare gör. Vilka ändpunkter kommunicerar de mot? Vilken tid på dagen är de aktiva? Hur mycket trafik genereras normalt under en dag? Går det mer trafik vissa dagar, till exempel när det är löneutbetalningar på gång?

Läs ocksåÄr ditt hus byggt på en kyrkogård? Nu släpper Lantmäteriet historiska flygfoton

Idag finns det lösningar som använder exempelvis Netflow-tekniken för att se vilken trafik som är aktiv i nätverket och vad som är normalt. Systemet kan då larma om det går ovanligt mycket trafik från en ändpunkt, om ett trafikflöde som normalt håller sig mellan två interna nät börjar gå mot en adress ute på internet, och så vidare.

Moderna nätverk kommer allt mer att bygga på att användaren får tillgång till olika resurser utifrån identitet, och förhindra dataläckage med hjälp av just insikt i vad som är normala trafikflöden.

Smartare klienter

Den värld där intelligens och skydd enbart finns i en perimeterbrandvägg är på väg bort. Detta ställer allt större krav på klienterna, som behöver bli smartare och skydda sig själva mot trafik som lyckats passera övriga lager i nätverket, till exempel brandväggen.

En klient måste skyddas från både virus, ransomware, dataläckage och övriga hot. Detta innebär att klienten troligen behöver en kombination av antivirus, personlig brandvägg och till exempel möjlighet till att blockera dns-anrop mot skadliga domäner.

Slutsats

Allt mer trafik mot internet krypteras. Det är bara en tidsfråga innan i princip all trafik är krypterad. Detta ställer större krav på säkerhetslösningar, som idag huvudsakligen bygger på att ha insyn i data i trafikflödet. Nya säkerhetsarkitekturer krävs där säkerheten byggs i lager med brandväggar och intelligens i nätverket, men också klientskydd. Att dekryptera trafik kan vara en lösning, men bör göras på ett intelligent sätt, där bara utvald trafik dekrypteras. Om ditt företag inte har en plan idag för att behålla säkerheten i en krypterad värld kan det vara dags att göra en.

Fakta

Daniel Dib

Befattning: Senior network architect Företag: Conscia Netsafe
Linkedinwww.linkedin.com/in/danieldib
Twitter: @danieldibswe
Epostdaniel.dib@netsafe.se
Hemsidalostintransit.se
Expertområden: Nätverksdesign och säkerhet
Bakgrund: Kvalificerad erfarenhet från flera områden, som myndigheter, operatörer, kommuner och storföretagsmiljöer. Specialist på att bygga nätverk med snabb konvergens eller multicast-transport.