Durch die Verwendung eines Netzwerk-Paket-Brokers von Ixia kann das Werkzeug die Entschlüsselung/Verschlüsselung vornehmen, ohne die Performance negativ zu beeinflussen.
Statt (buchstäblich) blind den gesamten SSL-Verkehr weiterzuleiten und unter Umständen die Überlastung wichtiger Ressourcen zu riskieren, ermöglicht die Active-XL-Funktion von Ixia, dass ein Netzwerk-Broker einen Entschlüsselungs- /Verschlüsselungsprozess vornimmt. Dieser arbeitet so effizient, dass die Performance nicht beeinflusst wird.
Der Job eines Netzwerkmanagers ist nicht einfach. Die Komplexität seines Jobs nimmt immer weiter zu, neue Geräte werden in hoher Frequenz in die Netze integriert und die Schatten-IT führt in den Unternehmen ein Eigenleben. Trotzdem hat kein bisheriges Ereignis das Leben eines Netzwerk-Managers so schwer gemacht, wie die Verschlüsselung der Datenverkehre.
Die Verschlüsselung gilt als ultimatives Hilfsmittel gegen unerwünschtes Abgreifen bzw. Belauschen der Verkehrsströme. Gleichzeitig schützt die Verschlüsselung jedoch auch die Datenströme der Hacker und sorgt dafür, dass diese nicht mehr von den Monitoring- und Sicherheitstools der Netzwerkmanager erkannt werden. In der Praxis werden die meisten verschlüsselten Verbindungen unkontrolliert (also blind) weitergeleitet, da die verantwortlichen Netzmanager davon ausgehen, dass in verschlüsselten Datenströmen keine Schadcodes enthalten sind.
Eine Lösung gegen das blinde Weiterleiten von verschlüsselten Datenströmen besteht darin, dass diese von entsprechenden Werkzeugen entschlüsselt werden. Anschließend werden die Datenströme regelgerecht kontrolliert, bei einer positiven Bewertung neu verschlüsselt und weitergeleitet. Der Nachteil der SSL-Entschlüsselungs- bzw. der Verschlüsselungsprozesse besteht jedoch darin, dass diese sehr prozessorintensiv sind und die Performance der jeweiligen Werkzeuge erheblich beeinflussen kann. Aus diesem Grund lassen viele Netzwerk- und Sicherheitsexperten die verschlüsselten Verkehre weitestgehend unkontrolliert passieren. Im vergangenen Jahr stellte ZK-Research fest, dass fast 50 Prozent der untersuchten Unternehmen zugeben, dass bei der Weiterleitung verschlüsselter Verkehre von den gültigen Sicherheitsregeln aufgrund der zu geringen Leistung der Ent- und Verschlüsselungswerkzeuge abgewichen wird. Im Klartext heißt das: Diese Verkehrstypen werden vollkommen unkontrolliert zu den Zielen (Endgeräten) weitergeleitet.
Ixia bietet jetzt eine Alternative zur Kontrolle der verschlüsselten Verkehre. Die Active-XL-Funktion von Ixia sorgt dafür, dass ein Netzwerk-Broker die Entschlüsselungs- und Verschlüsselungsprozesse so verarbeitet, dass die Performance der jeweiligen Verbindung nicht negativ beeinflusst wird.
Der Markt für Netzwerkwerkzeuge, die dem Netzmanager die Datenströme detailliert darstellen, ist in den vergangenen Jahren explodiert. Mit Hilfe dieser Werkzeuge kann der Netzwerkmanager verstehen, was in seinen Netzen vorgeht. Erst durch dieses Wissen legt die Grundlage für die Absicherung der Netze. Genau für diesen Anwendungsfall hat jetzt Ixia einen Netzwerk-Paket-Broker entwickelt. Dieser agiert als eine Art Mittelsmann für die Analysewerkzeugen und dem Netzwerkverkehr. Hierfür hat Ixia die Active-SSL-Funktion in seine Securestack-Software integriert, die auf den Vision-One-Brokern arbeitet. Auf dieser Plattform können die Netzadministratoren zukünftig ihre Performance-Probleme (sowohl in physischen als auch virtuellen Netzwerken) vollständig analysieren bzw. ihre Datenströme einsehen und somit ihre IT-Ressourcen besser absichern.
Die Highlights der Lösung sind:
- Unterstützung von Geschwindigkeiten bis zu 10 GBit/s.
- Bereitstellung eines dedizierten kryptographischen Co-Prozessors.
- Arbeitsweise: Inline oder Out of Band, in Abhängigkeit der genutzten, Monitoring und Sicherheitswerkzeuge.
- Kompatibel zu allen anderen Ixia-Filterfunktionen.
Active-SSL nutzt eine Funktion, die als „kurzlebige Schlüssel“ (sogenannte Ephemeral-Keys) bezeichnet wird. Damit kann auch der verschlüsselte Datenverkehr inspiziert und so die Sicherheit der Netzwerke gewährleistet werden. Die Ephemeral-Keys werden beim neuen Standard TLS1.3 vermehrt genutzt. Active-SSL unterstützt zudem Forwar- Secrecy, um auch abgeschlossene Sessions gegen eine spätere Kompromittierung von Keys und Passwörtern zu sichern.
#Netzpalaver #Ixia
