HTTPS Webfilter ohne Zertifikat möglich?

Mitglied: leon123

leon123 (Level 2) - Jetzt verbinden

03.03.2021 um 17:52 Uhr, 677 Aufrufe, 7 Kommentare

Hallo zusammen,

ich suche gerade nach einer Möglichkeit einen Webfilter für ein offenes WLAN zu implementieren.

Die meisten Lösungen die ich bisher gefunden habe laufen über einen Proxy und dann muss auf den Clients ein Zertifikat installiert werden. Das ist so aber nicht möglich.

Welche Möglichkeiten gibt es hier denn noch?

Danke
Leon
Mitglied: em-pie
03.03.2021 um 17:55 Uhr
Zitat von @leon123:
Hallo zusammen,
Moin,

Welche Möglichkeiten gibt es hier denn noch?
Den WebPorxy mit einem gültigen und öffentlichem Zertifikat ausstatten. Dann kann dieser den Datenstrom theoretisch aufbrechen, prüfen und wieder verpacken - ohne dass der Client herummeckert.
Danke
Leon

Gruß
em-pie
Bitte warten ..
Mitglied: tikayevent
03.03.2021, aktualisiert um 18:07 Uhr
Leider geben die Zertifizierungsstellen die notwendigen Zertifikate nicht heraus bzw. wenn herauskommt, dass man ein SubCA-Zertifikat für sowas verwendet, ziehen die es schneller zurück, als man CRL sagen kann.

HTTPS Deep Inspection benötigt in jedem Fall eine Ent- und Verschlüsselung samt Zertifikat, für alles andere kannst du höchstens auf Certificate Inspection gehen, aber die sieht keine Inhalte.

Und bei einem offenen WLAN finde ich es ziemlich heikel, weil du dann auch Sachen sehen könntest, die du nicht sehen solltest (Finanzinformationen, medizinische Daten, ...). Wenn das herauskommt, will ich nicht du sein.
Bitte warten ..
Mitglied: Dani
03.03.2021 um 19:34 Uhr
Moin,
Und bei einem offenen WLAN finde ich es ziemlich heikel, weil du dann auch Sachen sehen könntest, die du nicht sehen solltest (Finanzinformationen, medizinische Daten, ...). Wenn das herauskommt, will ich nicht du sein.
nicht nur im offenen/öffentlichen WLAN. Auch im LAN finde ich das kritisch. Du hast als Admin nicht automatisch Narrenfreiheit oder Zugriff alle Informationen und Daten. Im Gegenteil. Das bekommst du sowohl beim Datenschützer als auch Betriebsrat niemals ohne weiteres durch.


Gruß,
Dani
Bitte warten ..
Mitglied: leon123
03.03.2021 um 20:14 Uhr
Den WebPorxy mit einem gültigen und öffentlichem Zertifikat ausstatten. Dann kann dieser den Datenstrom theoretisch aufbrechen, prüfen und wieder verpacken - ohne dass der Client herummeckert.

Das würde mich sehr wundern wenn es geht, denn ich brauch kein öffentliches Zertifikat sondern ich brauch ne öffentlich CA den alle meine Clients vertrauen. Soweit ich weiß bräuchte ich nen private Key der CA... den bekomm ich sicher nicht, damit könnte ich ganz schön viel Unfug treiben und MITM von allem und jedem sein...

Ich habe heute rausgefunden, dass unsere Firewall seit neustem eine Möglichkeit die Pakete nur dann aufzubrechen, wenn der Webfilter anschlägt. Ich hab das grad mal bei unserem Testsystem probiert. Wenn die Seite in eine gewisse böse Kategorie fällt dann kommt die Meldung "Verbindung ist nicht sicher... weiter..." weil die Firewall das Paket mit dem Zertifikat ihrer CA signiert. Anschließend bekommt man die Sperrseite der Firewall angezeigt. Das ist eigentlich so wie ich es haben will.
Bitte warten ..
Mitglied: leon123
03.03.2021, aktualisiert um 20:20 Uhr
Und bei einem offenen WLAN finde ich es ziemlich heikel, weil du dann auch Sachen sehen könntest, die du nicht sehen solltest (Finanzinformationen, medizinische Daten, ...). Wenn das herauskommt, will ich nicht du sein.

Ich will aber auch nicht ich sein wenn irgendwelche Menschen irgendwelchen Müll hoch und runterladen die über den Firmenanschluss gehen. Ich bin auch nicht für ein öffentlichen WLAN das werde ich früher oder später auch noch durchsetzen aber aktuell ist es noch so.

Ich hab aber noch nicht die passende Lösung gefunden wie ich das so automatisch wie möglich umsetze. Es gibt eine SQL Datenbank mit User Infos, die müsste ich an einen Radius anbinden. Ich weiß aber noch nicht wie ich das dann mache. Ich könnte mir vorstellen, dass der Radius Server Name und Geburtsdatum aus dem System importiert und das wäre dann der Zugang zum WLAN für diese Person. Wie das hier mit dem Datenschutz ist, weiß ich aber auch nicht.
Bitte warten ..
Mitglied: tikayevent
03.03.2021 um 20:54 Uhr
Ich betreibe seit Jahren öffentliche WLANs, ich meine seit 2016, in Spitzenzeiten waren es 80 gleichzeitig. Es gibt nur eine grobe Filterung (also die richtig harten Sachen, wie Kinderpornografie) von HTTP-Verkehr. In Spitzenzeiten waren um die 5000 Geräte pro Stunde eingebucht.
Läuft alles über eine IP raus, die meinem Arbeitgeber zugeordnet werden kann.

Ich habe in den fünf Jahren genau eine Anfrage durch eine BOS erhalten. Und da war es auch keine Anfrage, wer hat was herunter- oder hochgeladen, sondern es war schon eine etwas spezielle Anfrage nach dem Standort einer MAC-Adresse.

Also mach dir da keine großen Sorgen und im Zweifelsfall nutzt du einfach Freifunk. In dem Moment, in dem man sagen kann "die IP-Adresse ist unser öffentliches WLAN" ist man schon raus aus der Sache.

Meine Idee war auch erst, da eine Anmeldung hinterzusetzen, aber die GF meinte "so einfach wie möglich".
Bitte warten ..
Mitglied: em-pie
03.03.2021 um 21:04 Uhr
Man könnte auch, statt den Inhalt zu filtern, zunächst mal DNS-Ziele blocken. SOlange kein DNSSec eingesetzt wird, ist das ja machbar...
Dann kann man zumindest schon einmal pornografisches/ illegales Seiten ein Stück weit eliminieren.


Zum Rest (Kette aufbrechen), steht ja oben schon einiges.
Hatte, wie von euch richtig gestellt, nicht auf eine öffentliche CA verwiesen, sondern "nur" auf ein Zertifikat.
Der Kern bleibt ja aber identisch - mit allen seinen Auswirkungen.
Bitte warten ..
Heiß diskutierte Inhalte
Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
gelöst 1nCoreVor 1 TagFrageFestplatten, SSD, Raid15 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Erkennung und -Abwehr
Wie geschickt sich Malware verstecken kann - Ein Beispiel aus der Praxis eines Security Experts
colinardoVor 20 StundenTippErkennung und -Abwehr4 Kommentare

Servus Kollegen und Mitstreiter, da ja in letzter Zeit die Exchange-Lücken die Admin-Landschaft ziemlich aufgewirbelt haben und dabei auch immer mal wieder "sogenannte" Admins ...

Internet
Woher holt sich Android die Kontaktdaten von unbekannten Rufnummern?
gelöst anteNopeVor 1 TagFrageInternet8 Kommentare

Hallo zusammen, seit einiger Zeit merke ich, dass mir mein Android Gerät Namen und Informationen zu mir unbekannten Teilnehmern präsentiert. Soll heißen eine nicht ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 1 TagFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Windows Server
Hat Microsoft die WindowsServerSicherung oder diskpart zerpatcht?
anteNopeVor 15 StundenFrageWindows Server3 Kommentare

Hallo, kann es eventuell sein, dass Microsoft mit seinen letzten Updates die WindowsServerSicherung bzw. diskpart zerschossen hat? Es häufen sich bei mir seit gestern ...

Drucker und Scanner
Epson WF-6590 druckt nur cyan und gelb
gelöst ITCrowdSupporterVor 1 TagFrageDrucker und Scanner15 Kommentare

Guten Tag :-) Es geht um einen Epson Workforce Pro WF-6590. Er druckt nur cyan und gelb obwohl neue Originalpatronen für schwarz und magenta ...

Windows 10
Windows 10 Updates im Abgesicherten Modus nicht möglich!
gelöst Yuuto.LucasVor 1 TagFrageWindows 1016 Kommentare

Hallo, ich habe aktuell ein Problem bei einem Kunden Rechner. Bei diesem gibt es Probleme mit dem Soundkarten Treiber hdaudio.inf wegen dem der PC ...