93630
Goto Top

HTTPS Antivir Proxy ja oder nein?

Moin,

gibt es eigentlich mittlerweile fundierte Aussagen/Untersuchungen zum Thema "HTTPS Antivir Proxy ja oder nein"? Oder basiert das Thema weiterhin nur auf persönlichen Meinungen/Vorlieben?

Habt ihr vielleicht Tipps für "Fachliteratur" mit der ich eine Entscheidung nicht nur treffen sondern auch beweisen/untermauern kann?


Ohne "beweise" ist man da schnell der Dumme. Passiert etwas ohne Proxy kommt von der einen Fraktion das: "Wie konnte man nur so dumm sein ohne....". Passiert etwas aufgrund des Proxys kommt von der anderen Seite "Wie konnte man nur so dumm sein mit...."

Danke

Content-Key: 354090

Url: https://administrator.de/contentid/354090

Ausgedruckt am: 19.03.2024 um 11:03 Uhr

Mitglied: Looser27
Looser27 08.11.2017 um 14:12:12 Uhr
Goto Top
Moin,

wir hatten einige Zeit einen https_Proxy in Betrieb um eben genau das Thema abzudecken. Das Ganze wurde aber wieder abgestellt, da ein https-Proxy ein "Man-in-the-Middle" ist und manche Daten, die über https laufen aus gutem Grund nicht mitgeschnitten werden sollen.
Ausserdem gab es Probleme mit manchen https-Seiten, für die dann händisch Ausnahmen eingepflegt werden mussten.

Wir haben als Alternative die Endpoint-Security etwas sensibler eingestellt und URL- und Application-Filter auf der Firewall verfeinert.

Gruß

Looser
Mitglied: Lochkartenstanzer
Lochkartenstanzer 08.11.2017 um 14:29:25 Uhr
Goto Top
Moin,

es hat schon seinen Grund, warum eine Verbindung per ssl gesichert wird.Diede nun mit Gewalt aufzubrechen und dem Benutzer faksche Zertifikate unterzuschieben sorgt nur für den gegenteiligen Effekt, daß nämlich keiner Verbindung mehr getraut kann.

lks
Mitglied: 93630
93630 08.11.2017 um 14:32:09 Uhr
Goto Top
Bitte möglichst fakten posten. Fakt ist das viele große Unternehmen sowas einsetzen. Da kann ich mich nicht einfach so aus dem Bauch raus komplett drüber hinweg setzen.

Ohne Fakten ist jede Aussage leider nur ein "Das ist so, weil ich das so will"
Mitglied: 93630
93630 08.11.2017 um 14:32:13 Uhr
Goto Top
Bitte möglichst fakten posten. Fakt ist das viele große Unternehmen sowas einsetzen. Da kann ich mich nicht einfach so aus dem Bauch raus komplett drüber hinweg setzen.

Ohne Fakten ist jede Aussage leider nur ein "Das ist so, weil ich das so will"
Mitglied: Lochkartenstanzer
Lochkartenstanzer 08.11.2017 um 14:33:15 Uhr
Goto Top
Du stotterst.
Mitglied: ashnod
ashnod 08.11.2017 um 14:42:01 Uhr
Goto Top
Moin ....

Zitat von @93630:

Bitte möglichst fakten posten. Fakt ist das viele große Unternehmen sowas einsetzen. Da kann ich mich nicht einfach so aus dem Bauch raus komplett drüber hinweg setzen.

Ohne Fakten ist jede Aussage leider nur ein "Das ist so, weil ich das so will"


"Bild" dir deine Meinung ....

Die Antwort in Kombination mit der mageren Fragestellung ist mal schon dreist ....

Auf dem Niveau bleibend: Gehst du z.B. Amazon und guckst du nach Bücher mit Thema wo haben.....

Sanfte Grüße
Mitglied: wuurian
wuurian 08.11.2017 um 14:52:43 Uhr
Goto Top
Hallo,

@lks ein paar Details wären schon hilfreich zu deiner Aussage.

Ich hatte auf der IT-SA ein Gespräch mit einem Techniker von Sophos, dieser war ganz klar dafür, die Verschlüsselung aufzubrechen.

Wie kann sonst der Jugendschutz im Betrieb eingehalten werden? Viren etc. über 443 können ja auch nicht ordentlich überprüft werden.

Einen HTTPS-Proxy hat man nicht mal auf die Schnelle implementiert, das ganze dauert und braucht einiges an Vorbereitung wie Looser27 schon erkannt hat.

Bestimmte Daten über 443 können ja gewhitlisted werden, so das dort keine Überprüfung stattfindet.

Oder sehe ich das falsch?

Viele Grüße
Mitglied: Lochkartenstanzer
Lochkartenstanzer 08.11.2017 um 14:58:19 Uhr
Goto Top
PS: Sobald Du die Verbindung aufgetrennt hast, weißt Du nicht mehr, ob am anderen Ende Deine Bank/Deine Frau/Dein Geschäftspartner ist ider ob Du Deine Geheimnisse gerade der russischen/italienischen/chinesischen/etc. Mafia verrätst.

lks
Mitglied: Lochkartenstanzer
Lochkartenstanzer 08.11.2017 um 15:01:55 Uhr
Goto Top
Zitat von @wuurian:


Ich hatte auf der IT-SA ein Gespräch mit einem Techniker von Sophos, dieser war ganz klar dafür, die Verschlüsselung aufzubrechen.

Dervwill das Zeug auch verkaufen.

Wie kann sonst der Jugendschutz im Betrieb eingehalten werden? Viren etc. über 443 können ja auch nicht ordentlich überprüft werden.

Jugend bekommt kein Internet.


Einen HTTPS-Proxy hat man nicht mal auf die Schnelle implementiert, das ganze dauert und braucht einiges an Vorbereitung wie Looser27 schon erkannt hat.

Jepp.


Bestimmte Daten über 443 können ja gewhitlisted werden, so das dort keine Überprüfung stattfindet.

Viel Fleißarbeit.


Oder sehe ich das falsch?


Imho ja.

lks
Mitglied: wuurian
wuurian 08.11.2017 um 15:05:15 Uhr
Goto Top
Klar, das ganze ist ein zweischneidiges Schwert, aber ich habe bei 443 auch keine Kontrolle mehr über meine User, bzw. Azubis.

Ich denke das ganze sollte individuell geprüft werden, pauschal kann man deine Frage nicht beantworten!
Mitglied: wuurian
wuurian 08.11.2017 um 15:09:29 Uhr
Goto Top
Aber wie kann ich dann Schädlinge schon an der Firewall über 443 eliminieren, wenn ich keinen HTTPS-Proxy einsetze?

Ich verstehe deine Argumente, ich habe aber auch Anforderungen, die ich ohne HTTPS-Proxy nicht realisieren kann..
Mitglied: ArnoNymous
ArnoNymous 08.11.2017 um 15:16:27 Uhr
Goto Top
Wenn ich mich nicht irre, hat sich das Thema doch eh schon erledigt, wenn privates Surfen nicht verboten wurde, oder?
Handelt sich hier ja immerhin um eine MitM-Attacke und darüber müssen die User zumindest informiert werden.

Hier bei ein kleiner Artikel zu Problemen der ganzen Geschichte:
https://www.golem.de/news/https-interception-sicherheitsprodukte-gefaehr ...
Mitglied: NetzwerkDude
NetzwerkDude 08.11.2017 um 15:20:29 Uhr
Goto Top
Hi,
naja, was willst du "bewiesen" bekommen?

a) Ein Vertreter von irgendwelchen "Security" Gateways wird dir sagen HTTPS Proxy ist super und schützt vor Viren und Malware und ohen ist das Leben sinnlos
b) Ein Vertreter von z.B. der IEFT sagt dir das alles andere als eine Verschlüsselung zwischen Server-Client murks ist, und man von jeder bastelei dazwischen die finger lassen sollte.

Es gibt einfach keine klare Antwort auf diese Frage - meine bescheidene Meinung ist das man ein System nicht gegen das Design verwenden sollte - d.h. meine Interpretation von HTTPS ist das eine eine Transportverschlüsselung zwischen Client und Server ist - wenn man dazwischen nun was machen/prüfen will - eröffnet es z.B. neue Angriffsflächen, für die man geradestehen muss.

Darüber hinaus müsste man sich Fragen wie es beim Thema Datenschutz aussieht: Man müsste eigentlich jeden User des Proxys aufklären das man seine Verschlüsselung "knackt" - das "unbemerkte unterschieben" von Zertifikaten auf die Clients muss man auf jeden Fall dem Benutzer mitteilen (wobei bin da jetzt kein Rechtsexperte).
Mitglied: spec1re
spec1re 08.11.2017 um 16:03:16 Uhr
Goto Top
Squid mit Peek and Splice OHNE MITM ist auch noch eine Option. Dabei wird die TLS-Verbindungen nicht aufgebrochen und es müssen beim Client keine Zertifikate installiert werden. Natürlich geht hier AV-Scan nicht, aber es kann mit SquidGuard und Blocklisten gefiltert werden.

Datenschutz technisch und vom Verwaltungsaufwand ein guter Kompromiss.

https://wiki.squid-cache.org/Features/SslPeekAndSplice

Hier noch ganz gut erklärt, was dafür und dagegen spricht:

https://www.helpnetsecurity.com/2017/03/08/https-interception-dilemma/

Gruß
Mitglied: 7Gizmo7
7Gizmo7 08.11.2017 aktualisiert um 20:13:23 Uhr
Goto Top
Hi,

wir haben SSL-Inspection aktiviert, die User sind darüber informiert und whitelisten einige Seiten(die es nicht mögen aufgebrochen zu werden, zumindest kenne ich Sie ja dann und kann sie vorher prüfen.

Zusätzlich blocken wir noch falsche Zertifikate.

Wo ist das Problem ?

Mit freundlichen Grüßen

Ps. Meine GF kann seit dem ruhiger schlafen. (-:
Mitglied: LordGurke
LordGurke 08.11.2017 um 20:31:51 Uhr
Goto Top
Mitglied: 7Gizmo7
7Gizmo7 08.11.2017 um 20:50:51 Uhr
Goto Top
Hi LordGurke,

da steht nur das TLS 1.3 nicht sauber funktioniert, die ganze Welt "Server und Firewalls" TLS 1.3 noch nicht unterstützen.
Die bösen Firewalls, was ist mit der bösen Welt außerhalb?

Ich sage ja nicht, SSL-Inspection ist das "Gelbe vom Ei" aber es unterstützt mich dabei, eine gewisse Sicherheit in unserem Netzwerk aufrecht zu erhalten.

Wie gehst du mit Thema um, wie schützt du dich und dein Netzwerktraffic ?

MFG