Da das Internet der Dinge immer sicherer wird, sind Cyberkriminelle gezwungen, sich neue Methoden auszudenken, um sensible Daten abzufangen und zu stehlen. Sie nutzen in der Regel die vorhandenen Cybersicherheits-Tools aus und versuchen, die Benutzer zu täuschen, damit sie ihnen vertrauen. Dieser Artikel soll Ihnen dabei helfen, herauszufinden, was ein SSL-Sniffing-Versuch ist. Es wird Ihnen auch gezeigt, wie Sie Ihre SSL-Verbindung davor schützen können. Doch zunächst sollten wir definieren, was ein TLS/SSL-Abschlussproxy ist.
Inhaltsübersicht
- Was ist ein TLS/SSL-Beendigungsproxy?
- Was ist SSL-Sniffing?
- Wie funktioniert SSL-Sniffing?
- Wie lässt sich SSL-Sniffing vermeiden?
- Wie SSL-Sniffing verhindern?
Was ist ein TLS/SSL-Beendigungsproxy?
Ein TLS/SSL-Terminierungsproxy ist ein Proxy-Server, der insbesondere von einer Einrichtung verwendet wird, um eingehende TLS/SSL-Verbindungen abzufangen und zu verarbeiten, das TLS/SSL zu entschlüsseln und dann die unverschlüsselte Anfrage an einen ihrer hochsicheren Server, wie Apache HTTP Server, Nginx oder HAProxy, weiterzuleiten.
Der Zweck eines TLS/SSL-Terminierungs-Proxys besteht darin, die Last auf den Hauptservern des Unternehmens zu verringern. Bevor die Einrichtung diesen Proxy einsetzt, sollte sie jedoch sicherstellen, dass ihr Netz so sicher ist, dass sie die Sitzungsdaten ihrer Nutzer nicht verschlüsseln muss.
Leider haben Cyberkriminelle gelernt, wie sie die Fähigkeiten eines TLS/SSL-Abschlussproxys nutzen können, um sichere SSL-Verbindungen auszuspähen. Sie können nun die darin ausgetauschten Nachrichten leicht abfangen.
Was ist SSL-Sniffing?
SSL-Sniffing ist ein bösartiger Cyberangriff, bei dem ein TLS/SSL-Abschlussproxy als MitM-Proxy fungiert, der die sichere SSL-Verbindung unterschlägt.
Warum MitM (Man-in-the-Middle)? Denn ein Proxy ist per definitionem eine dritte Partei, die sich in der Mitte befindet. Der Proxy stellt eine Verbindung zum Server her, und dann stellt der Client eine Verbindung zum Proxy her.
Wie funktioniert SSL-Sniffing?
Sie wissen vielleicht schon, dass SSL-Zertifikate MitM-Angriffe verhindern. Wie kann MitM eingreifen und eine SSL-Verbindung ausspähen?
Beim Sniffing von SSL-Verbindungen agiert der MitM-Proxy als nicht vertrauenswürdige Zertifizierungsstelle. Der MitM-Proxy generiert dynamisch SSL-Zertifikate für jeden Hostnamen, der für den Aufbau der SSL-Verbindung benötigt wird. Wenn der Browser beispielsweise eine Verbindung zu https://www.mywebsite.com herstellen möchte , erstellt der MitM-Proxy ein SSL-Zertifikat für www.mywebsite.com und signiert es als unabhängige CA.
Indem der bösartige MitM-Proxy absichtlich als separate CA auftritt, nutzt er diese Möglichkeit aus und versucht, eine vertrauenswürdige SSL-Verbindung zu kapern. Wenn der Browser also versucht, eine Verbindung mit dem Webserver herzustellen, greift der MitM-Proxy ein, indem er sein eigenes Zertifikat ausstellt und signiert. Während der MitM-Proxy also das ursprüngliche SSL-Zertifikat des Servers erhält, bekommt der Browser das vom MitM-Proxy ausgestellte gefälschte SSL-Zertifikat.
Aber jetzt kommt der entscheidende Teil eines SSL-Sniffing-Versuchs:
Der Browser denkt, dass er sich mit dem Server verbindet, aber in Wirklichkeit verbindet er sich mit dem MitM-Proxy. Jetzt kommt der Haken: Damit das Sniffing stattfinden kann, muss der Browser diesen Proxy als echte, vertrauenswürdige CA akzeptieren.
Wenn der Benutzer alle Sicherheitswarnungen ignoriert und das gefälschte SSL-Zertifikat und die MitM-Proxy-Zertifizierungsstelle als vertrauenswürdig akzeptiert, wird der Benutzer erfolgreich eine Verbindung zum MitM-Proxy herstellen, das SSL-Sniffing einleiten und die SSL-Verbindung wird unsicher.
Wie lässt sich SSL-Sniffing vermeiden?
Nehmen wir an, dass der Benutzer keine Schadsoftware installiert hat. Wenn ihr Browser das gefälschte SSL-Zertifikat empfängt, zeigt er eine Sicherheitsmeldung an, in der er die Benutzer warnt, dem Aussteller des SSL-Zertifikats nicht zu vertrauen, und fragt, ob das gefälschte MitM-Proxy-Zertifikat in seine Liste der vertrauenswürdigen Zertifikate aufgenommen werden soll. Durch die Ablehnung der obigen Anfrage stoppt der Benutzer den SSL-Sniffing-Versuch und schützt so erfolgreich seine sichere SSL-Verbindung.
Wie kann man SSL-Sniffing verhindern?
Um HTTPS-Sniffing zu verhindern und die Vertraulichkeit und Integrität Ihrer SSL/TLS-geschützten Kommunikation zu gewährleisten, befolgen Sie diese Richtlinien:
1. Verwenden Sie die neuesten TLS-Protokollversionen
Stellen Sie sicher, dass Sie die neuesten TLS-Protokolle (z. B. TLS 1.3) und die neuesten, gut gewarteten TLS-Bibliotheken oder -Frameworks sowohl auf der Server- als auch auf der Client-Seite verwenden. Diese Updates enthalten häufig Sicherheitsverbesserungen und die Behebung von Sicherheitslücken. Mit der Zeit könnten die älteren SSL/TLS-Versionen zu einer Hintertür werden, die ein SSL-Sniffer ausnutzen kann. Lassen Sie Angreifern keinen Spielraum, um ihre SSL-Sniff-Angriffe über veraltete Protokolle zu lenken.
2. Strikte Transportsicherheit implementieren (HSTS)
HSTS ist ein Sicherheitsmechanismus, der Webbrowser anweist, sich immer über HTTPS mit einer Website zu verbinden, um Downgrade-Angriffe zu verhindern. Es trägt zum Schutz vor SSL-Stripping-Angriffen bei. Durch die Aktivierung von HSTS stellen Sie sicher, dass der Browser automatisch auf eine sichere Verbindung umschaltet, selbst wenn ein Benutzer “http://” statt “https://” eingibt.
3. Erhalten Sie Zertifikate von einer vertrauenswürdigen Zertifizierungsstelle
Beziehen Sie SSL/TLS-Zertifikate von seriösen Zertifizierungsstellen. Diese Drittanbieter validieren die Identität des Servers und stellen vertrauenswürdige Zertifikate aus, so dass Angreifer keine gefälschten oder selbst signierten Zertifikate verwenden können, um den Datenverkehr abzufangen. Überprüfen Sie regelmäßig die Gültigkeit und das Ablaufdatum von Zertifikaten, denn ein abgelaufenes Zertifikat ist ein weiteres Schlupfloch, das Hacker gerne nutzen.
4. Implementierung von Zertifikats-Pinning
Mit der Zertifikatsanbindung können Sie festlegen, welchen Zertifikaten oder öffentlichen Schlüsseln für eine bestimmte Domäne vertraut wird. Dadurch wird sichergestellt, dass nur die erwarteten Zertifikate oder Schlüssel beim SSL/TLS-Handshake akzeptiert werden.
Certificate Pinning verhindert solche Angriffe, indem es sicherstellt, dass der Client die Identität des Servers nur mit dem angegebenen Zertifikat oder Schlüssel überprüft. Wenn ein Angreifer versucht, ein anderes Zertifikat zu verwenden, um SSL-Verkehr auszuspähen, weist der Client es zurück und verhindert so das Abfangen und Entschlüsseln des Datenverkehrs.
5. Sichern Sie Ihr Gerät mit einem zuverlässigen Antivirenprogramm
Wenn Angreifer den Computer des Benutzers gehackt und einen Virus installiert haben, kann der Browser dem MitM-Proxy leider als gültige CA vertrauen. Dieser Prozess läuft in der Regel im Hintergrund ab und ist für den Benutzer nicht sichtbar. Aus diesem Grund ist es wichtig, dass Sie Ihren Computer mit einer zuverlässigen Antiviren-Software schützen.
Wenn Sie Ihren Computer mit einer Antiviren-Software schützen, werden Sie von Ihrem Webbrowser über die nicht vertrauenswürdige Zertifizierungsstelle und ihr Zertifikat informiert. Bitte seien Sie vorsichtig und vertrauen Sie keinen bösartigen MitM-Proxys. Überprüfen Sie im Zweifelsfall immer das SSL-Zertifikat und seine Zertifizierungsstelle. Ein SSL-Sniffing-Angriff ist nur möglich, weil die Benutzer leichtgläubig sind. Zum Beispiel: “Ich klicke einfach auf OK, um endlich diese Website zu besuchen”.
Abschließende Überlegungen
Denken Sie daran, dass der Zweck eines SSL-Zertifikats darin besteht, die Verbindung zwischen Ihnen und dem Webserver zu sichern. Aus diesem Grund sollten Sie keine Eingriffe von Dritten zulassen. SSL Sniffing kann nur passieren, wenn Sie die Warnungen ignorieren oder Ihren Computer anfällig für Viren und Malware machen. Achten Sie darauf, dass diese Ereignisse nicht eintreten.
Sparen Sie 10% auf SSL-Zertifikate, wenn Sie noch heute bestellen!
Schnelle Ausstellung, starke Verschlüsselung, 99,99% Browser-Vertrauen, engagierter Support und 25-tägige Geld-zurück-Garantie. Gutscheincode: SAVE10