93630
08.11.2017, aktualisiert um 14:01:09 Uhr
2353
17
0
HTTPS Antivir Proxy ja oder nein?
Moin,
gibt es eigentlich mittlerweile fundierte Aussagen/Untersuchungen zum Thema "HTTPS Antivir Proxy ja oder nein"? Oder basiert das Thema weiterhin nur auf persönlichen Meinungen/Vorlieben?
Habt ihr vielleicht Tipps für "Fachliteratur" mit der ich eine Entscheidung nicht nur treffen sondern auch beweisen/untermauern kann?
Ohne "beweise" ist man da schnell der Dumme. Passiert etwas ohne Proxy kommt von der einen Fraktion das: "Wie konnte man nur so dumm sein ohne....". Passiert etwas aufgrund des Proxys kommt von der anderen Seite "Wie konnte man nur so dumm sein mit...."
Danke
gibt es eigentlich mittlerweile fundierte Aussagen/Untersuchungen zum Thema "HTTPS Antivir Proxy ja oder nein"? Oder basiert das Thema weiterhin nur auf persönlichen Meinungen/Vorlieben?
Habt ihr vielleicht Tipps für "Fachliteratur" mit der ich eine Entscheidung nicht nur treffen sondern auch beweisen/untermauern kann?
Ohne "beweise" ist man da schnell der Dumme. Passiert etwas ohne Proxy kommt von der einen Fraktion das: "Wie konnte man nur so dumm sein ohne....". Passiert etwas aufgrund des Proxys kommt von der anderen Seite "Wie konnte man nur so dumm sein mit...."
Danke
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 354090
Url: https://administrator.de/forum/https-antivir-proxy-ja-oder-nein-354090.html
Ausgedruckt am: 18.04.2025 um 09:04 Uhr
17 Kommentare
Neuester Kommentar
Moin,
wir hatten einige Zeit einen https_Proxy in Betrieb um eben genau das Thema abzudecken. Das Ganze wurde aber wieder abgestellt, da ein https-Proxy ein "Man-in-the-Middle" ist und manche Daten, die über https laufen aus gutem Grund nicht mitgeschnitten werden sollen.
Ausserdem gab es Probleme mit manchen https-Seiten, für die dann händisch Ausnahmen eingepflegt werden mussten.
Wir haben als Alternative die Endpoint-Security etwas sensibler eingestellt und URL- und Application-Filter auf der Firewall verfeinert.
Gruß
Looser
wir hatten einige Zeit einen https_Proxy in Betrieb um eben genau das Thema abzudecken. Das Ganze wurde aber wieder abgestellt, da ein https-Proxy ein "Man-in-the-Middle" ist und manche Daten, die über https laufen aus gutem Grund nicht mitgeschnitten werden sollen.
Ausserdem gab es Probleme mit manchen https-Seiten, für die dann händisch Ausnahmen eingepflegt werden mussten.
Wir haben als Alternative die Endpoint-Security etwas sensibler eingestellt und URL- und Application-Filter auf der Firewall verfeinert.
Gruß
Looser
Moin,
es hat schon seinen Grund, warum eine Verbindung per ssl gesichert wird.Diede nun mit Gewalt aufzubrechen und dem Benutzer faksche Zertifikate unterzuschieben sorgt nur für den gegenteiligen Effekt, daß nämlich keiner Verbindung mehr getraut kann.
lks
es hat schon seinen Grund, warum eine Verbindung per ssl gesichert wird.Diede nun mit Gewalt aufzubrechen und dem Benutzer faksche Zertifikate unterzuschieben sorgt nur für den gegenteiligen Effekt, daß nämlich keiner Verbindung mehr getraut kann.
lks
Bitte möglichst fakten posten. Fakt ist das viele große Unternehmen sowas einsetzen. Da kann ich mich nicht einfach so aus dem Bauch raus komplett drüber hinweg setzen.
Ohne Fakten ist jede Aussage leider nur ein "Das ist so, weil ich das so will"
Ohne Fakten ist jede Aussage leider nur ein "Das ist so, weil ich das so will"
Bitte möglichst fakten posten. Fakt ist das viele große Unternehmen sowas einsetzen. Da kann ich mich nicht einfach so aus dem Bauch raus komplett drüber hinweg setzen.
Ohne Fakten ist jede Aussage leider nur ein "Das ist so, weil ich das so will"
Ohne Fakten ist jede Aussage leider nur ein "Das ist so, weil ich das so will"
Du stotterst.
Moin ....
"Bild" dir deine Meinung ....
Die Antwort in Kombination mit der mageren Fragestellung ist mal schon dreist ....
Auf dem Niveau bleibend: Gehst du z.B. Amazon und guckst du nach Bücher mit Thema wo haben.....
Sanfte Grüße
Zitat von @93630:
Bitte möglichst fakten posten. Fakt ist das viele große Unternehmen sowas einsetzen. Da kann ich mich nicht einfach so aus dem Bauch raus komplett drüber hinweg setzen.
Ohne Fakten ist jede Aussage leider nur ein "Das ist so, weil ich das so will"
Bitte möglichst fakten posten. Fakt ist das viele große Unternehmen sowas einsetzen. Da kann ich mich nicht einfach so aus dem Bauch raus komplett drüber hinweg setzen.
Ohne Fakten ist jede Aussage leider nur ein "Das ist so, weil ich das so will"
"Bild" dir deine Meinung ....
Die Antwort in Kombination mit der mageren Fragestellung ist mal schon dreist ....
Auf dem Niveau bleibend: Gehst du z.B. Amazon und guckst du nach Bücher mit Thema wo haben.....
Sanfte Grüße
Hallo,
@lks ein paar Details wären schon hilfreich zu deiner Aussage.
Ich hatte auf der IT-SA ein Gespräch mit einem Techniker von Sophos, dieser war ganz klar dafür, die Verschlüsselung aufzubrechen.
Wie kann sonst der Jugendschutz im Betrieb eingehalten werden? Viren etc. über 443 können ja auch nicht ordentlich überprüft werden.
Einen HTTPS-Proxy hat man nicht mal auf die Schnelle implementiert, das ganze dauert und braucht einiges an Vorbereitung wie Looser27 schon erkannt hat.
Bestimmte Daten über 443 können ja gewhitlisted werden, so das dort keine Überprüfung stattfindet.
Oder sehe ich das falsch?
Viele Grüße
@lks ein paar Details wären schon hilfreich zu deiner Aussage.
Ich hatte auf der IT-SA ein Gespräch mit einem Techniker von Sophos, dieser war ganz klar dafür, die Verschlüsselung aufzubrechen.
Wie kann sonst der Jugendschutz im Betrieb eingehalten werden? Viren etc. über 443 können ja auch nicht ordentlich überprüft werden.
Einen HTTPS-Proxy hat man nicht mal auf die Schnelle implementiert, das ganze dauert und braucht einiges an Vorbereitung wie Looser27 schon erkannt hat.
Bestimmte Daten über 443 können ja gewhitlisted werden, so das dort keine Überprüfung stattfindet.
Oder sehe ich das falsch?
Viele Grüße
PS: Sobald Du die Verbindung aufgetrennt hast, weißt Du nicht mehr, ob am anderen Ende Deine Bank/Deine Frau/Dein Geschäftspartner ist ider ob Du Deine Geheimnisse gerade der russischen/italienischen/chinesischen/etc. Mafia verrätst.
lks
lks
Ich hatte auf der IT-SA ein Gespräch mit einem Techniker von Sophos, dieser war ganz klar dafür, die Verschlüsselung aufzubrechen.
Dervwill das Zeug auch verkaufen.
Wie kann sonst der Jugendschutz im Betrieb eingehalten werden? Viren etc. über 443 können ja auch nicht ordentlich überprüft werden.
Jugend bekommt kein Internet.
Einen HTTPS-Proxy hat man nicht mal auf die Schnelle implementiert, das ganze dauert und braucht einiges an Vorbereitung wie Looser27 schon erkannt hat.
Jepp.
Bestimmte Daten über 443 können ja gewhitlisted werden, so das dort keine Überprüfung stattfindet.
Viel Fleißarbeit.
Oder sehe ich das falsch?
Imho ja.
lks
Klar, das ganze ist ein zweischneidiges Schwert, aber ich habe bei 443 auch keine Kontrolle mehr über meine User, bzw. Azubis.
Ich denke das ganze sollte individuell geprüft werden, pauschal kann man deine Frage nicht beantworten!
Ich denke das ganze sollte individuell geprüft werden, pauschal kann man deine Frage nicht beantworten!
Aber wie kann ich dann Schädlinge schon an der Firewall über 443 eliminieren, wenn ich keinen HTTPS-Proxy einsetze?
Ich verstehe deine Argumente, ich habe aber auch Anforderungen, die ich ohne HTTPS-Proxy nicht realisieren kann..
Ich verstehe deine Argumente, ich habe aber auch Anforderungen, die ich ohne HTTPS-Proxy nicht realisieren kann..
Wenn ich mich nicht irre, hat sich das Thema doch eh schon erledigt, wenn privates Surfen nicht verboten wurde, oder?
Handelt sich hier ja immerhin um eine MitM-Attacke und darüber müssen die User zumindest informiert werden.
Hier bei ein kleiner Artikel zu Problemen der ganzen Geschichte:
https://www.golem.de/news/https-interception-sicherheitsprodukte-gefaehr ...
Handelt sich hier ja immerhin um eine MitM-Attacke und darüber müssen die User zumindest informiert werden.
Hier bei ein kleiner Artikel zu Problemen der ganzen Geschichte:
https://www.golem.de/news/https-interception-sicherheitsprodukte-gefaehr ...
Hi,
naja, was willst du "bewiesen" bekommen?
a) Ein Vertreter von irgendwelchen "Security" Gateways wird dir sagen HTTPS Proxy ist super und schützt vor Viren und Malware und ohen ist das Leben sinnlos
b) Ein Vertreter von z.B. der IEFT sagt dir das alles andere als eine Verschlüsselung zwischen Server-Client murks ist, und man von jeder bastelei dazwischen die finger lassen sollte.
Es gibt einfach keine klare Antwort auf diese Frage - meine bescheidene Meinung ist das man ein System nicht gegen das Design verwenden sollte - d.h. meine Interpretation von HTTPS ist das eine eine Transportverschlüsselung zwischen Client und Server ist - wenn man dazwischen nun was machen/prüfen will - eröffnet es z.B. neue Angriffsflächen, für die man geradestehen muss.
Darüber hinaus müsste man sich Fragen wie es beim Thema Datenschutz aussieht: Man müsste eigentlich jeden User des Proxys aufklären das man seine Verschlüsselung "knackt" - das "unbemerkte unterschieben" von Zertifikaten auf die Clients muss man auf jeden Fall dem Benutzer mitteilen (wobei bin da jetzt kein Rechtsexperte).
naja, was willst du "bewiesen" bekommen?
a) Ein Vertreter von irgendwelchen "Security" Gateways wird dir sagen HTTPS Proxy ist super und schützt vor Viren und Malware und ohen ist das Leben sinnlos
b) Ein Vertreter von z.B. der IEFT sagt dir das alles andere als eine Verschlüsselung zwischen Server-Client murks ist, und man von jeder bastelei dazwischen die finger lassen sollte.
Es gibt einfach keine klare Antwort auf diese Frage - meine bescheidene Meinung ist das man ein System nicht gegen das Design verwenden sollte - d.h. meine Interpretation von HTTPS ist das eine eine Transportverschlüsselung zwischen Client und Server ist - wenn man dazwischen nun was machen/prüfen will - eröffnet es z.B. neue Angriffsflächen, für die man geradestehen muss.
Darüber hinaus müsste man sich Fragen wie es beim Thema Datenschutz aussieht: Man müsste eigentlich jeden User des Proxys aufklären das man seine Verschlüsselung "knackt" - das "unbemerkte unterschieben" von Zertifikaten auf die Clients muss man auf jeden Fall dem Benutzer mitteilen (wobei bin da jetzt kein Rechtsexperte).
Squid mit Peek and Splice OHNE MITM ist auch noch eine Option. Dabei wird die TLS-Verbindungen nicht aufgebrochen und es müssen beim Client keine Zertifikate installiert werden. Natürlich geht hier AV-Scan nicht, aber es kann mit SquidGuard und Blocklisten gefiltert werden.
Datenschutz technisch und vom Verwaltungsaufwand ein guter Kompromiss.
https://wiki.squid-cache.org/Features/SslPeekAndSplice
Hier noch ganz gut erklärt, was dafür und dagegen spricht:
https://www.helpnetsecurity.com/2017/03/08/https-interception-dilemma/
Gruß
Datenschutz technisch und vom Verwaltungsaufwand ein guter Kompromiss.
https://wiki.squid-cache.org/Features/SslPeekAndSplice
Hier noch ganz gut erklärt, was dafür und dagegen spricht:
https://www.helpnetsecurity.com/2017/03/08/https-interception-dilemma/
Gruß
Hi,
wir haben SSL-Inspection aktiviert, die User sind darüber informiert und whitelisten einige Seiten(die es nicht mögen aufgebrochen zu werden, zumindest kenne ich Sie ja dann und kann sie vorher prüfen.
Zusätzlich blocken wir noch falsche Zertifikate.
Wo ist das Problem ?
Mit freundlichen Grüßen
Ps. Meine GF kann seit dem ruhiger schlafen. (-:
wir haben SSL-Inspection aktiviert, die User sind darüber informiert und whitelisten einige Seiten(die es nicht mögen aufgebrochen zu werden, zumindest kenne ich Sie ja dann und kann sie vorher prüfen.
Zusätzlich blocken wir noch falsche Zertifikate.
Wo ist das Problem ?
Mit freundlichen Grüßen
Ps. Meine GF kann seit dem ruhiger schlafen. (-:
Das Problem ist sowas hier:
https://www.golem.de/news/middleboxen-tls-1-3-soll-sich-als-tls-1-2-verk ...
https://www.golem.de/news/middleboxen-tls-1-3-soll-sich-als-tls-1-2-verk ...
Hi LordGurke,
da steht nur das TLS 1.3 nicht sauber funktioniert, die ganze Welt "Server und Firewalls" TLS 1.3 noch nicht unterstützen.
Die bösen Firewalls, was ist mit der bösen Welt außerhalb?
Ich sage ja nicht, SSL-Inspection ist das "Gelbe vom Ei" aber es unterstützt mich dabei, eine gewisse Sicherheit in unserem Netzwerk aufrecht zu erhalten.
Wie gehst du mit Thema um, wie schützt du dich und dein Netzwerktraffic ?
MFG
da steht nur das TLS 1.3 nicht sauber funktioniert, die ganze Welt "Server und Firewalls" TLS 1.3 noch nicht unterstützen.
Die bösen Firewalls, was ist mit der bösen Welt außerhalb?
Ich sage ja nicht, SSL-Inspection ist das "Gelbe vom Ei" aber es unterstützt mich dabei, eine gewisse Sicherheit in unserem Netzwerk aufrecht zu erhalten.
Wie gehst du mit Thema um, wie schützt du dich und dein Netzwerktraffic ?
MFG
