De Heartbleed-bug en klokkenluider Snowden hebben ons gevoel van veiligheid op internet flink geschaad. 100 procent veilig zal wel een utopie blijven, maar een zo hoog mogelijke niveau is van cruciaal belang voor de kwaliteit en het imago van internetbusiness. Veiligheid is namelijk een primaire levensbehoefte, zowel in de echte als digitale wereld. Application Delivery Controllers kunnen beveiliging wel aanzienlijk verhogen.
Secure sockets layer (ssl) en transport layer security (tls) zijn speciaal ontwikkelde encryptie-protocollen om onze communicatie op internet te beveiligen. Daarvoor worden zowel geavanceerde cryptografische methoden gebruikt, als digitale certificaten om de identiteit van websites te controleren. Ssl wordt tegenwoordig door tientallen miljoenen websites gebruikt voor het beveiligen van internet-verbindingen bij online shoppen, financiële transacties, of alleen maar het versturen van persoonsgegevens. Dat leek allemaal mooi geregeld totdat Snowden aan de bel trok en de Heartbleed-bug werd ontdekt. Door een fout in OpenSSL, die veel webservices gebruiken voor de ssl-encryptie, bleek het mogelijk om via een kwaadaardig bericht een server te instrueren om de inhoud van het geheugen prijs te geven.
Kort na het massaal patchen daarvan kwamen er echter meer OpenSSL-kwetsbaarheden aan het licht, zoals de mogelijkheid van een zogenaamde ‘Man-in-the-Middle’-aanval via een change cipher spec (ccs)-injectie. Dan ontstaat er bij it-verantwoordelijken uiteraard de vraag, wat zit er met welke bedoeling in ons ssl-verkeer verstopt? Het ontdekken en dichten van dit soort gaten zal altijd wel een kat en muis spel blijven. Daarom is het verstandig dat datacenter- en systeembeheerders zowel de modernste technieken gebruiken, als een deel van hun verdediging naar de applicatielaag gaan verleggen.
Application delivery controllers
Door de snelle groei van cloud computing en internetten vanaf mobiele apparaten, is de architectuur van bedrijfsnetwerken en datacenters de afgelopen jaren ingrijpend veranderd. Natuurlijk blijven een solide fundering en netwerkinfrastructuur belangrijk, maar als de online-deuren helemaal zijn dichtgetimmerd of moeilijk toegankelijk, mis je business en kan personeel niet meer werken. Dat is te voorkomen door zowel de performance als beveiliging van de internet-verbindingen te verhogen met application delivery controllers (adc’s). Dit zijn namelijk speciale netwerkapplicances die als taak hebben om servers te helpen met allerlei rekenintensieve taken en ze te beschermen. Zoals met een speciale web application firewall (waf) voorkomen dat inbrekers, hackers en andere niet-geautoriseerden toegang krijgen.
Maar ook het sneller en nog veiliger afhandelen van ssl-verkeer. Bijvoorbeeld met ssl-proxy, waardoor alle binnenkomende beveiligde verbindingen eerst bij een adc terechtkomen, in plaats van rechtstreeks bij de server. Vanuit de adc zijn alleen correcte transacties of andere verzoeken naar eigen voorkeur wel of niet encrypted door te sturen naar de servers die ze moeten afhandelen. Omdat de servers en adc’s deel uitmaken van de ‘veilige’ netwerkomgeving van een organisatie, wordt die configuratie veel gebruikt. Zowel in grote bedrijfsnetwerken als de datacenters van hosting- en serviceproviders.
Ssl-beheer
Adc’s hebben meer toegevoegde waarde te bieden om het gebruik van ssl veiliger te maken en sneller te verwerken. Bijvoorbeeld door via SSL Intercept de ‘veilige communicatieverbindingen’ tussen een organisatie en de buitenwereld inhoudelijk te controleren. Uiteraard moet je daarbij wel rekening houden met de privacywetgeving. Of door, via de perfect forward secrecy (pfs)-functionaliteit van een adc, te regelen dat persoonsgegevens of andere vertrouwelijke gegevens nooit te bekijken zijn. Dan wordt die informatie namelijk met tijdelijke encryptiesleutels beveiligd.
Adc’s worden ook ingezet om het ssl-beheer eenvoudiger op één centrale plaats te kunnen uitvoeren. Daardoor zijn onder andere updates naar nieuwe encryptiekeys (1K, 2K, 4K), zowel eerder als sneller door te voeren dan op meerdere servers. Ook is het mogelijk om een betere sleutel of pfs te gebruiken van cliënt naar adc en een andere sleutel van adc naar de applicatie(server), om de server te ontlasten of als die nog geen pfs ondersteunt.
Samengevat is het grootste voordeel van adc’s het feit dat je daarmee bij de toegang tot het netwerk of de webservice met een enorme capaciteit, al het internet-verkeer in goede banen kunt leiden. Dus verzoeken van klanten en eigen personeel sneller afhandelen en niet-vertrouwde activiteiten of gerichte aanvallen afvangen, voordat ze de bedrijfskritische servers en opslagsystemen überhaupt kunnen bereiken.
100% veiligheid op iets wat gebaseerd is op vertouwen is inderdaad een utopie..
..wie zegt dat er geen backdoor of andere zaken zijn waardoor de uiterst veilige oplossing ineens niet meer zo veilig zijn ?
een paar voorbeelden truecrypt,diginotar,openssl…
…en verder hoe veilig je het ook maakt, de staat / overheid heeft altijd wel een toegang tot zogenaamde “beschermde persoonsgegevens”, dus ja er zit altijd wel ergens een gaatje waar je doorheen kan en dat weet de inbreker net zo goed te vinden
dus ja, maar hopen dat het programma doet wat in de kleine lettertjes vermeld staat want zeker weten doe je niet,als user praat de verkoper na en de algemeen bekende technologie daarachter en voor de rest..fingers crossed 🙂