Document toolboxDocument toolbox

3.3.3.6. SSL-inspectie als maatregel

SSL-inspectie is een detectiemaatregel.

SSL-/ TLS-inspectie (Secure Sockets Layer/Transport Layer Security inspectie) is een techniek die al lang bestaat maar die men steeds vaker implementeert. Het internetverkeer gaat via een firewall, een website of internetapplicatie. Voorheen gingen deze datastromen over een niet-versleutelde HTTP-verbinding en was dus eenvoudig te controleren en tegen te houden in geval van ongewenste inhoud (bv. malware). Tegenwoordig is een versleutelde HTTPS-verbinding eerder de norm dan uitzondering. Aangezien HTTPS-datastromen versleuteld zijn, is het moeilijk om malware in dit verkeer te detecteren en is er geen controle mogelijk op de informatie die verzonden wordt naar een derde partij. SSL-inspectie biedt hierop een antwoord. 

SSL-inspectie is geen alleenstaande maatregel maar dient ter ondersteuning van maatregelen zoals antimalware, IDS en IPS. 

De toepassing van SSL-inspectie als mitigerende maatregel hangt onder meer af van de klasse van informatie; sommige informatie wenst men niet aan SSL-inspectie te onderwerpen omdat het risico op niet-geautoriseerde toegang door middel van de SSL-inspectie te groot is. 

3.3.3.6.1. Uitgaande datastromen

Om SSL-inspectie te kunnen toepassen is er een zogenaamde Man in the Middle nodig. Deze Man in the Middle is vaak een prox server die de versleutelde datastromen opvangt en ontcijfert zodat de inhoud kan worden geanalyseerd. Vervolgens gaat het gecontroleerde verkeer verder naar de bestemmeling. Om dit zonder SSL-foutmeldingen op de gebruikersapparatuur te realiseren in geval van uitgaande datastromen, is er een interne certificate authority (CA) nodig met een eigen root-certificaat. Vaak zit deze functionaliteit in de firewall zelf. Het root-certificaat moet op de betrokken apparatuur geïnstalleerd worden. 

 

Om SSL-inspectie technisch toe te kunnen passen zijn dus volgende componenten nodig in het netwerk: 

  • Een prox server, dit is nodig om de datastromen te kunnen scannen op malware, virussen en documenten die het bedrijf niet via het internet mogen verlaten; 

  • Een interne certificate authority met een geldig zelf gegenereerd (self signed) root-certificaat geïnstalleerd op de betrokken apparatuur; en 

  • Een firewall die bijvoorbeeld de https-datastromen transparant doorstuurt naar de proxyserver, of instellingen in de browsers binnen het netwerk waarin staat dat de proxyserver gebruikt moet worden. 

3.3.3.6.2. Inkomend verkeer

In geval van inspectie op inkomende datastromen is geen root-certificaat en interne CA nodig.