AWS Network Firewall unterstützt jetzt ausgehende SSL/TLS-Entschlüsselung

Über die Inspektion ausgehenden TLS-Verkehrs lassen sich verschlüsselte Datenströme aus dem Unternehmen heraus überwachen und prüfen. So fallen Datenabflüsse, Schadsoftware und andere Sicherheitsbedrohungen frühzeitig auf und können unterbunden werden. TLS-Verschlüsselung soll Datenverkehr sicher über das Internet übertragen – sie lässt sich aber genauso missbrauchen, um schädlichen Verkehr zu tarnen. Werden ausgehende TLS-Verbindungen inspiziert, lässt sich riskanter Traffic abfangen und herausfiltern. Das hilft, Datenpannen aufzudecken und zu verhindern und gleichzeitig regulatorische Vorgaben einzuhalten.

Ohne Network Firewall läuft jede SSL-verschlüsselte Anfrage an eine Website direkt zwischen dem Client und dem Webserver ab. Sobald die TLS-Inspektion auf der Firewall aktiviert ist, schaltet sie sich als Middlebox (SSL-Interception-Gerät) zwischen Browser und Server.

Wichtig zu wissen: Die TLS-Inspektion funktioniert nicht nur für HTTPS, sondern auch für andere TCP-basierte Anwendungsprotokolle, die TLS nutzen – etwa SMTP und POP3s.

Beispielhafter Datenfluss – [für HTTPS-Verkehr]

1. Client-Anfrage: Der Client baut über HTTPS eine sichere Verbindung zum Server auf.
2. Server Hello und Zertifikat: Der Server antwortet mit SSL-Ciphern und seinem Zertifikat.
3. SSL-Inspektion durch die Network Firewall: Sie fängt das Zertifikat ab und ersetzt es durch ein dynamisch erzeugtes neues Zertifikat. Sie baut eine eigene SSL-Verbindung zum Client auf und tritt dabei als Server auf. Stellvertretend für den Client öffnet die Network Firewall anschließend eine separate sichere Verbindung zum eigentlichen Server.
4. Inhaltsprüfung: Die vom Client kommenden verschlüsselten Daten werden von der Network Firewall entschlüsselt und gemäß den Stateful Rules der Firewall-Policy auf potenzielle Sicherheitsrisiken wie Schadsoftware, Viren oder unautorisierte Daten geprüft. Die Firewall lässt die Verbindung entweder zu oder verwirft sie. Wird sie zugelassen, werden die Daten erneut verschlüsselt und zur Verarbeitung an den Server weitergeleitet.
5. Server-Antwort: Der Server beantwortet die Anfrage des Clients mit verschlüsselten Daten, die denselben Weg zurück über das SSL-Inspection-Gerät nehmen.

Voraussetzungen

• Wählen Sie eine Architektur und ein Bereitstellungsmodell, das zu Ihrem Anwendungsfall passt.
• Beachten Sie die Hinweise und Einschränkungen.

TLS-Inspection-Konfiguration anlegen —

Melden Sie sich in der AWS-Konsole an und öffnen Sie die TLS Inspection Configurations im VPC-Service. Klicken Sie auf "Create TLS inspection configuration" —

Wählen Sie auf der Seite "Associate certificates" das CA-Zertifikat für die ausgehende SSL-Inspektion und klicken Sie auf "Next".

Die allgemeinen Anforderungen an CA-Zertifikate für die ausgehende SSL/TLS-Inspektion finden Sie hier.

Vergeben Sie einen "Name" und optional eine "Description" —

Legen Sie auf der nächsten Seite fest, welchen Verkehr die Network Firewall entschlüsseln soll. Sie entschlüsselt den Verkehr, der dem in der Scope-Konfiguration definierten 5-Tupel entspricht. Unten sehen Sie eine Beispielkonfiguration, mit der sämtlicher an Port 443 gerichteter Verkehr inspiziert wird. Klicken Sie auf "Add scope configuration" —

Prüfen Sie die Konfiguration und klicken Sie auf "Next" —

Optional können Sie einen eigenen Customer Managed Key zur Verschlüsselung der Daten im Ruhezustand hinterlegen. Wir lassen diese Option vorerst deaktiviert. Empfehlenswert ist es jedoch, "Check certificate revocation status" zu aktivieren, um auf widerrufene und unbekannte Server-Zertifikate reagieren zu können.

Vergeben Sie Tags, prüfen Sie auf der Seite "Review and create" die Konfiguration und klicken Sie anschließend auf "Create TLS inspection configuration" —

Im nächsten Schritt weisen Sie die TLS-Inspection-Konfiguration einer Firewall-Policy zu.

Legen Sie eine Firewall-Policy an und fügen Sie die TLS-Inspection-Konfiguration in "Step 4" hinzu. Beachten Sie: Eine TLS-Inspection-Konfiguration lässt sich nur einer neuen Policy zuweisen, nicht einer bestehenden.

Eine bestehende TLS-Inspection-Konfiguration in einer Firewall-Policy lässt sich allerdings über den Tab "TLS inspection configuration" durch eine andere ersetzen.

Zum Abschluss der Konfiguration bearbeiten Sie die Firewall-Policy Ihrer bestehenden Firewall —

Falls die Network Firewall noch nicht eingerichtet ist, folgen Sie dem Link hier und wählen Sie in "Step 4" im Dropdown "associate an existing firewall policy", wie unten gezeigt —

Ab diesem Zeitpunkt wird "jeder" Verkehr, der über die Network Firewall an Port 443 (Scope) geht, per TLS inspiziert.

Nun geht es an den Praxistest. Falls noch kein VPC-Routing eingerichtet ist, finden Sie in der AWS-Dokumentation hier eine Schritt-für-Schritt-Anleitung.

Um zu zeigen, dass die SSL-Engine der AWS Network Firewall den entschlüsselten HTTP-Verkehr tatsächlich sieht, habe ich eine STATEFUL Suricata-Regel angelegt, die den URI-Inhalt "download-anti-malware-testfile" blockiert.

drop http $HOME_NET any -> $EXTERNAL_NET any (content:"download-anti-malware-testfile"; http_uri; msg:"Blocking bad domain"; flow:to_server, established; sid:2; rev:1;)

Melden Sie sich auf der EC2-Instanz an und führen Sie den folgenden Befehl aus, um die Test-Malware-Datei abzurufen:

curl -I https://www.eicar.org/download-anti-malware-testfile/ -v

Die Ausgabe des curl-Befehls ist ein TLS-Alert und signalisiert, dass die Kommunikation abgebrochen wurde.

* using HTTP/1.x
> HEAD /download-anti-malware-testfile/ HTTP/1.1
> Host: www.eicar.org
> User-Agent: curl/8.5.0
> Accept: */*
>
TLS alert, close notify (256):
* Empty reply from server
* Closing connection
* TLS alert, close notify (256):
curl: (52) Empty reply from server

Sind CloudWatch-Logs aktiviert, sehen Sie die entschlüsselten HTTP-Header zusammen mit der Regel, die gegriffen hat. Die Aktion lautet "blocked", weil die Regel angeschlagen hat.

{
    "firewall_name": "Firewall-outbound-inspection",
    "availability_zone": "eu-west-1a",
    "event_timestamp": "1708512471",
    "event": {
        "tx_id": 0,
        "app_proto": "http",
        "src_ip": "172.31.88.172",
        "src_port": 41508,
        "event_type": "alert",
        "alert": {
            "severity": 3,
            "signature_id": 2,
            "rev": 1,
            "signature": "Blocking bad domain",
            "action": "blocked",
            "category": ""
        },
        "flow_id": 817400271818255,
        "dest_ip": "89.238.73.97",
        "proto": "TCP",
        "http": {
            "hostname": "www.eicar.org",
            "url": "/download-anti-malware-testfile/",
            "http_user_agent": "curl/8.5.0",
            "http_method": "HEAD",
            "protocol": "HTTP/1.1",
            "length": 0
        },
        "dest_port": 443,
        "timestamp": "2024-02-21T10:47:51.085575+0000"
    }
}

Wer die TLS-Inspection-Funktion nutzt, zahlt eine zusätzliche stündliche Gebühr für Advanced Inspection. In einigen Regionen kommen Kosten für die Datenverarbeitung im Rahmen der Advanced Inspection hinzu.

Beispiel: In der Region Irland fallen für die Verarbeitung des Advanced-Inspection-Traffics keine zusätzlichen Gebühren an.

In Melbourne hingegen zahlen Sie 0,009 USD pro GB für die Datenverarbeitung.

Mehr zu den Preisen finden Sie hier.

Wir haben gesehen, wie sich die Network Firewall so konfigurieren lässt, dass Unternehmen verschlüsselten ausgehenden Verkehr inspizieren können – und damit Bedrohungen erkennen und abwehren, die sich in SSL/TLS-verschlüsselten Verbindungen verstecken. Das senkt das Risiko durch schädliche Aktivitäten wie Malware, Datenabfluss oder Command-and-Control-Kommunikation.

Unterm Strich ist die Inspektion ausgehenden SSL-Verkehrs eine zentrale Sicherheitsmaßnahme: Sie hilft Unternehmen, ihre Verteidigungslinien zu stärken, sensible Daten zu schützen und in der heutigen Bedrohungslage regulatorische Vorgaben einzuhalten.