Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › IETF: Wie TLS abgehört werden könnte

"das Zerstören von TLS günstiger umzusetzen sei"

  1. Thema

Neues Thema Ansicht wechseln


  1. "das Zerstören von TLS günstiger umzusetzen sei"

    Autor: Frotty 20.07.17 - 14:13

    Sagt eigentlich alles. Die Lobbyarbeit zu betreiben ist günstiger und einfacher. Wäre traurig wenn dadurch die extension durchgedrückt wird. Dass undurchdachte extensions Sicherheitsrisiken mit sich bringen hat sich ja selbst in der TLS Vergangenheit schon gezeigt.

  2. Re: "das Zerstören von TLS günstiger umzusetzen sei"

    Autor: Bigfoo29 20.07.17 - 14:58

    Spannend ist das insbesondere für CISCO und Co. Denn DIE verlieren damit die Kontrolle über die Inhalte, die sie derzeit mittels DPI (noch) bekommen. Ich sehe durchaus das Problem, auf Load-Balancern und Co. Aber dann muss man halt einen Schritt zurück machen und auf Grund der Traffic-Gestaltung Rückschlüsse ziehen und das Routing entsprechend umsetzen. Non-Discriminatory muss es ja eh sein. Daher ist eigentlich auch egal, was drin ist.

    Für den Bankensektor (Ich weiß, dass die recht strenge Vorgaben haben) ist das zwar ein mögliches Problem, aber eigentlich auch nur sehr begrenzt. Traffic kann man nach den SSL-Offloadern mitschneiden. Und persönlich verschlüsselte Emails gabs auch früher schon. Das musste man also auch früher schon anders lösen. Aber ja, dazu müssen sich halt ein paar "Großkopferte" mal mit ein paar (System- und Software-)Ingeneuren zusammensetzen und die rechtlichen Grundlagen anders abbilden. Es gibt IMMER einen anderen Weg. Aber wie andere schon schrieben: Das kostet halt Geld. Und im Gegensatz dazu sind die Lobbyisten halt "EhDa"-Kosten...

    Regards.

  3. Re: "das Zerstören von TLS günstiger umzusetzen sei"

    Autor: tingelchen 20.07.17 - 15:31

    Gerade bei Banken und anderen Unternehmen sehe ich da eigentlich gar kein Problem. TLS ist eine Transportverschlüsselung. Das heißt an den jeweiligen Endpunkten wird das ganze eh entschlüsselt. Sonst funktioniert ja die Kommunikation auf Anwendungsebene nicht.

    Muss man also an die Daten ran, kann man dies eben an den Endpunkten machen. Hat man das also vorher auf Transportwegen gemacht, muss man das ganze halt verschieben.

    Was Load Balancing angeht. Die meisten Techniken dahin gehend arbeiten überhaupt nicht mit DPI. Sondern mit Auslastungsfaktoren. Denen ist es egal welche Daten sich in einem Protokoll befinden. Hier wird die Last möglichst gleichmäßig verteilt. Was mehr gemeint ist, wenn man von CISCO & Co. redet ist nicht Load Balancing, sondern Quality of Service (QoS). Welches stark auf DPI setzt um entsprechende Entscheidungen treffen zu können. Was aber wiederum lösbar ist. Denn die TCP/UDP Header selbst ist nicht verschlüsselt. Hier können entsprechende Informationen abgelegt werden. Was auch gemacht wird und QoS unter anderem nutzt.

  4. Re: "das Zerstören von TLS günstiger umzusetzen sei"

    Autor: chefin 20.07.17 - 16:20

    Naja...loadbalancing ist nicht ganz so einfach, wenn der Angreifer weis das auch seine Angriffe verteilt durchgreicht werden. Wenn du stattdessen am Loadbalancer schon mögliche Syn-flood Angriffe blockierst, bevor sie zum Server kommen, kann der um Welten mehr aushalten.

    Auch andere Angriffsformen sind nicht ohne Kenntniss des Inhaltes zu lokalisieren. Natürlich, bestimmte Angriffe erkennt man auch ohne die Verschlüsselung anzulangen. Aber nicht alle. Das Problem ist halt, wenn Angreifer um die Schwachstelle wissen, nutzen sie diese auch aus.

    Und da es hier um spezielle Bereiche geht, sollte die Entscheidung beim Dienstbetreiber liegen dürfen. Die Bank entschlüsselt ja eh die Daten und weis dann was drin steht. Also kann es auch der bankeigene Loadbalancer. Ich wüsste jetzt auch keinen Dienst der mit Loadbalancer arbeitet, aber hinterher nicht auch die Daten sammelt um davon zu profitieren.

  5. Re: "das Zerstören von TLS günstiger umzusetzen sei"

    Autor: tingelchen 20.07.17 - 19:00

    Angriffe über SYN-Pakete sind jetzt kein gutes Pro Beispiel. Da die Information im TCP Header steckt

    https://de.wikipedia.org/wiki/Transmission_Control_Protocol#/media/File:TCP_Header.svg

    Da dieser nicht verschlüsselt ist und auch weiter führende Informationen im TCP Header stecken kann man Angriffe auch ohne Kenntnisse des Inhaltes erkennen. Eine DoS Attacke (egal in welcher Variation) kommt immer mit einer Überflutung einher. Man versucht den Dienst daran zu hindern reguläre Verbindungsversuche nicht mehr annehmen zu können. Im Idealfall (aus Sicht des Angreifers) schmiert der Service oder gar der komplette Netzwerk Stack ab.

    Dahin gehend gibt es einige Produkte die das erkennen. Seit einiger Zeit steckt ein Teil schon in jeder Firewall. Kenntnis über den Inhalt ist dafür gar nicht nötig. Ob der Aufbau nun auf ein HTTP Request, IPsec Request oder was auch immer abzielt ist Jacke wie Hose. Der Ziel Port (Der Dienstanbieter sollte diese Zwangsweise kennen) sagt schon alles darüber aus, welcher Service das eigentliche Ziel ist.

    Für alle anderen Angriffe, bzgl. Eindringen in die Server, sieht das natürlich anders aus. Hier geht es tatsächlich um den Inhalt der Pakete selbst. Da man versucht dem Service ein faules Paket unter zu schieben um ihn dazu zu bringen Code aus zu führen, der nicht ausgeführt werden soll. An dieser Stelle kann man natürlich dann jegliche Produkte vergessen, welche dies auf Protokoll Ebene erkennen, bevor diese den Dienst erreichen. Zumindest in der Transparenten Art. Lösen kann man dieses Problem aber dennoch. Denn derartige "Services" stehen meist innerhalb des Netzwerkes. Der Endpunkt des TLS Kanals muss dann eben dieser sein, statt der eigentliche Dienst.

  6. Re: "das Zerstören von TLS günstiger umzusetzen sei"

    Autor: Bigfoo29 21.07.17 - 11:22

    "Und da es hier um spezielle Bereiche geht, sollte die Entscheidung beim Dienstbetreiber liegen dürfen"
    Äääh, nein, wenn die Dienstanbieter damit ein sicheres Netz kompromittieren, weil sie dafür sorgen, dass die Standards nicht mehr sicher sind, ist das keine Entscheidung der Dienstanbieter sondern ein egoistischer Eingriff ins Netz. Genauso gut könnte - ich übertreibe jetzt bewusst - die Ansage über die NSA kommen, dass ab sofort alle verschlüsselten Verbindungen nicht schneller als 256kbit/s sein dürfen, weil man sonst global gesehen mit dem Speichern (und späteren Entschlüsseln) nicht mehr hinterher kommt.

    Die Leute müssen tatsächlich damit leben, dass manches mit einer funktionierenden Verschlüsselung schlechter zu überwachen ist. Alles, was dokumentiert werden muss, kann man nach den SSL-Offloadern machen. Und alles, was halbwegs illegal aussieht, kriegt man eben entweder über ihre unverschlüsselten Transport-Header oder dann erst in der Backend-Analyse.

    Regards.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. DASGIP Information and Process Technology GmbH, Jülich
  2. Wilhelm Geiger GmbH & Co. KG, Oberstdorf, Herzmanns
  3. Bundeskriminalamt, Meckenheim bei Bonn
  4. Rail Power Systems GmbH, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (aktuell u. a. CPU-Kühler)
  2. mit Gutschein: NBBCORSAIRPSP19
  3. (heute u. a. Saugroboter)
  4. (u. a. Metal Gear Solid V: The Definitive Experience für 8,99€ und Train Simulator 2019 für 12...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Physik: Den Quanten beim Sprung zusehen
Physik
Den Quanten beim Sprung zusehen

Quantensprünge sind niemals groß und nicht vorhersehbar. Forschern ist es dennoch gelungen, den Vorgang zuverlässig zu beobachten, wenn er einmal angefangen hatte - und sie konnten ihn sogar umkehren. Die Fehlerkorrektur in Quantencomputern soll in Zukunft genau so funktionieren.
Von Frank Wunderlich-Pfeiffer


    Ada und Spark: Mehr Sicherheit durch bessere Programmiersprachen
    Ada und Spark
    Mehr Sicherheit durch bessere Programmiersprachen

    Viele Sicherheitslücken in Software sind auf Programmierfehler zurückzuführen. Diese Fehler lassen sich aber vermeiden - und zwar unter anderem durch die Wahl einer guten Programmiersprache. Ada und Spark gehören dazu, leider sind sie immer noch wenig bekannt.
    Von Johannes Kanig

    1. Das andere How-to Deutsch lernen für Programmierer
    2. Programmiersprachen, Pakete, IDEs So steigen Entwickler in Machine Learning ein
    3. Software-Entwickler Welche Programmiersprache soll ich lernen?

    5G-Auktion: Warum der Preis der 5G-Frequenzen so hoch war
    5G-Auktion
    Warum der Preis der 5G-Frequenzen so hoch war

    Dass die Frequenzen für den 5G-Mobilfunk teuer wurden, lasten Telekom, Vodafone und Telefónica dem Newcomer United Internet an. Doch dies ist laut dem Netzplaner Kai Seim nicht so gewesen.
    Eine Analyse von Achim Sawall

    1. Funklöcher Hohe Bußgelder gegen säumige Mobilfunknetzbetreiber
    2. Bundesnetzagentur 5G-Frequenzauktion erreicht 6,5 Milliarden Euro
    3. 5G-Auktion Etablierte wollen Preis für 1&1 Drillisch hochtreiben

    1. Graue Flecken: Kabelnetzbetreiber fürchten Überbauen durch gefördertes Glas
      Graue Flecken
      Kabelnetzbetreiber fürchten Überbauen durch gefördertes Glas

      Die Förderung des Ausbaus in grauen Flecken, wo schon ein Netzbetreiber Anschlüsse mit mindestens 30 MBit/s anbietet, alarmiert die Kabelnetzbetreiber. Sie fürchten einen Überbau mit Glasfaser, obwohl Koaxialkabel Gigabitdatenraten liefern kann.

    2. Störung: Google Kalender war weltweit ausgefallen
      Störung
      Google Kalender war weltweit ausgefallen

      Google hatte ein größeres Problem mit seinem Kalender: Nutzer berichteten, dass die Funktion weltweit ausgefallen war. Die Webseite und die Synchronisation zu mobilen Apps waren ausgefallen, mittlerweile scheint aber wieder alles zu funktionieren.

    3. Netzbau: United Internet vor finalen Gesprächen mit 5G-Ausrüstern
      Netzbau
      United Internet vor finalen Gesprächen mit 5G-Ausrüstern

      United Internet sucht sich gegenwärtig einen 5G-Netzausrüster, die finalen Gespräche haben noch nicht begonnen. Doch ab wann kann das neu versteigerte Spektrum eigentlich genutzt werden?


    1. 18:14

    2. 17:13

    3. 17:01

    4. 16:39

    5. 16:24

    6. 15:55

    7. 14:52

    8. 13:50