Contact

Blog Datazekerheid

Robin Tibbe

Robin Tibbe Marketing/Communicatie


De afgelopen maanden kwamen verschillende wereldwijde cyberaanvallen in het nieuws. Een van de maatregelen die genomen kan worden om te vooorkomen dat malware zich razendsnel verspreidt, is Deep Packet Inspection - Secure Socket Layer (DPI - SSL). Hiermee kan versleuteld verkeer worden geïnspecteerd.

Waarom DPI SSL belangrijk is

Versleutelde verbinding

Steeds meer datastromen van het bedrijfsnetwerk naar het internet toe verlopen via een versleutelde verbinding. Deze versleutelde data die vanaf bijvoorbeeld een website naar de eindgebruiker gaat (HTTPS/TLS), kan met eerste generatie firewalls niet ingezien worden. Meestal is dat ook niet wenselijk, aangezien deze datastroom gevoelige informatie kan bevatten. Denk aan creditcard- of persoonsgegevens en patiëntendossiers.

Op dit moment is 62% van alle dataverkeer op de 1 of andere manier versleuteld. Zonder een methode om dit netwerkverkeer als veilig te bestempelen, wordt dit dus ongecontroleerd afgeleverd bij de end-node/gebruiker.

Why SSL/TLS decryption is important

Malware  en ransomware

Malwaremakers zijn hiervan ook op de hoogte en bieden kwaadwillende software, in de vorm van malware of ransomware, versleuteld aan. Zo omzeilen ze een eventuele firewall check zonder DPI-SSL mogelijkheid. Dit brengt bedrijfsrisico’s met zich mee. Bijvoorbeeld ransomware die uitgevoerd wordt en op zoek gaat naar netwerkshares en de bestanden op deze shares versleutelt en onbruikbaar maakt. Recente voorbeelden hiervan zijn uitgebreid in het nieuws geweest. WannaCry en Petya hebben voor vele miljoenen schade berokkend aan de slachtoffers.

Veel bedrijven vangen dit risico af door back-ups terug te zetten. Ook daar houden de makers van malware rekening mee. Met ‘sleeper ransomware’ wordt de ’payload’ niet meteen uitgevoerd, maar nestelt deze zich eerst in het netwerk om op een later tijdstip te ontwaken. Inmiddels zit het dan al in verschillende back-ups. Een bedrijf zet dan keer op keer een back-up, inclusief malware, terug.

Onderstaande ’zorgwekkende’ grafiek geeft het aantal pogingen tot infiltratie aan m.b.t. ransomware.

Stopping ransomware

Hoe gaan we dit tegen?

Voor klanten met een SonicWall firewall tussen het lokale bedrijfsnetwerk en het internet, biedt SonicWall DPI-SSL (Deep Packet Inspection – Secure Socker Layer). De SonicWall onderschept al het versleutelde verkeer en inspecteert met behulp van verschillende onderstaande modules het verkeer op kwaadwillende code.

Als het verkeer gecontroleerd is en als veilig is bestempeld, wordt deze middels een certificaat (SonicWall DSP-SSL) wederom versleuteld en afgeleverd bij het eindstation. De gebruiker merkt hier niets van.

Modules

Implementatie en voorbereidingen omgeving voor DPI-SSL

Om DPI-SSL te kunnen activeren zijn er een aantal essentiële voorbereidingen nodig.

  1. Er is een DPI-SSL licentie nodig die op de SonicWall geactiveerd moet worden, voordat de instellingen voor DPI-SSL beschikbaar komen. Dit is een eenmalige code en deze verloopt niet. DPI-SSL maakt gebruik van de eerder genoemde modules die ook in de niet versleutelde DPI gebruikt worden. Deze dien je uiteraard te licenseren voor bijvoorbeeld 3 jaar (hiemee kun je dagelijks updates ophalen en de Cloud Antivirus Database raadplegen).
  2. Het SonicWall DPI-SSL-certificaat dient geladen te worden op onder andere werkstations. Als deze in een Windows domein zijn opgenomen, kan het certificaat middels een GPO (Group Policy Object) uitgerold worden.
  3. Printers, SANS, VM-hosts, switches en overige netwerkrandapparatuur kunnen beter middels een ’exclusion’ lijst uitgezonderd worden van een DPI-SSL behandeling. Op deze devices is het moeilijk om het certificaat te laden.
  4. Sommige websites en applicaties maken gebruik van certificate ‘pinning’. Deze laten het SonicWall DPI-SSL certificaat niet toe. Ook deze kunnen toegevoegd worden aan de exclusion lijst.
  5. Voor grotere organisaties is er een HRM/OR kwestie in de vorm van privacy. Het is theoretisch mogelijk het SSL verkeer in te zien. Bankgerelateerde websites worden sowieso uitgesloten van scanning, maar de organisatie dient eventueel een HRM/OR-goedkeuring te verkrijgen voordat DPI-SSL ingeschakeld kan worden.
  6. Is de firewall ‘krachtig’ genoeg voor het activeren van DPI-SSL?  Een veel gebruikt model van SonicWall is de NSA2600. Deze ondersteunt momenteel (juni 2017) 1.000 DPI-SSL-sessies. Onderstaand overzicht geeft aan hoeveel SSL sessies per gebruiker een website ongeveer gebruikt.

    Is de firewall krachtig genoeg?
    Een extreem praktijkvoorbeeld: als er 39 gebruikers tegelijkertijd twitter.com bezoeken, wordt de limiet van 1000 SSL van een NSA2600 firewall bereikt. Er zijn dan 2 mogelijkheden:

A: overig SSL verkeer niet toelaten totdat de limiet weer onder de 1000 sessies is gekomen
B:  SSL verkeer ongecontroleerd doorlaten om functionaliteit boven beveiliging te verkiezen 

Wij adviseren altijd voor optie A te kiezen.

Heb je bezoekers die van het internet gebruikmaken?

Bezoekers dienen in een aparte netwerkzone opgenomen te worden, waarop DPI-SSL niet is ingeschakeld. Dit kan bijvoorbeeld door middel van een gast-zone (wifi of bekabeld). Deze gebruikers mogen wel het internet ‘bezoeken’ maar hebben geen toegang tot het bedrijfsnetwerk. Er bestaat dan geen risico dat een bezoeker het bedrijfsnetwerk kan infecteren met kwaadwillende code.

Tot slot

DPI-SSL is een security ’building block’ dat de beveiliging en regulering van internetverkeer naar een hoger niveau tilt. Uiteraard zijn er andere aanvullende beveiligingsmaatregelen noodzakelijk om een bedrijfsnetwerk te beschermen. DPI-SSL is geen ‘one-stop shop’ wondermiddel dat alle beveiligingsaspecten aanpakt, maar biedt een forse eerste drempel voor kwaadwillenden.

Een andere maatregel die genomen kan worden, is het inzetten van oplossingen uit de Enterprise Mobility & Security suite (EMS) van Microsoft. Hiervoor verwijzen wij graag naar de blogserie van Thomas Rombout. Wil je advies over de mogelijkheden of heb je nog geen SonicWall firewall in gebruik? Neem contact met ons op voor een vrijblijvende afspraak.