HTTPS Webfilter ohne Zertifikat möglich?
Hallo zusammen,
ich suche gerade nach einer Möglichkeit einen Webfilter für ein offenes WLAN zu implementieren.
Die meisten Lösungen die ich bisher gefunden habe laufen über einen Proxy und dann muss auf den Clients ein Zertifikat installiert werden. Das ist so aber nicht möglich.
Welche Möglichkeiten gibt es hier denn noch?
Danke
Leon
ich suche gerade nach einer Möglichkeit einen Webfilter für ein offenes WLAN zu implementieren.
Die meisten Lösungen die ich bisher gefunden habe laufen über einen Proxy und dann muss auf den Clients ein Zertifikat installiert werden. Das ist so aber nicht möglich.
Welche Möglichkeiten gibt es hier denn noch?
Danke
Leon
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 658268
Url: https://administrator.de/forum/https-webfilter-ohne-zertifikat-moeglich-658268.html
Ausgedruckt am: 26.12.2024 um 13:12 Uhr
7 Kommentare
Neuester Kommentar
Moin,
Gruß
em-pie
Welche Möglichkeiten gibt es hier denn noch?
Den WebPorxy mit einem gültigen und öffentlichem Zertifikat ausstatten. Dann kann dieser den Datenstrom theoretisch aufbrechen, prüfen und wieder verpacken - ohne dass der Client herummeckert.Danke
Leon
Leon
Gruß
em-pie
Leider geben die Zertifizierungsstellen die notwendigen Zertifikate nicht heraus bzw. wenn herauskommt, dass man ein SubCA-Zertifikat für sowas verwendet, ziehen die es schneller zurück, als man CRL sagen kann.
HTTPS Deep Inspection benötigt in jedem Fall eine Ent- und Verschlüsselung samt Zertifikat, für alles andere kannst du höchstens auf Certificate Inspection gehen, aber die sieht keine Inhalte.
Und bei einem offenen WLAN finde ich es ziemlich heikel, weil du dann auch Sachen sehen könntest, die du nicht sehen solltest (Finanzinformationen, medizinische Daten, ...). Wenn das herauskommt, will ich nicht du sein.
HTTPS Deep Inspection benötigt in jedem Fall eine Ent- und Verschlüsselung samt Zertifikat, für alles andere kannst du höchstens auf Certificate Inspection gehen, aber die sieht keine Inhalte.
Und bei einem offenen WLAN finde ich es ziemlich heikel, weil du dann auch Sachen sehen könntest, die du nicht sehen solltest (Finanzinformationen, medizinische Daten, ...). Wenn das herauskommt, will ich nicht du sein.
Moin,
Gruß,
Dani
Und bei einem offenen WLAN finde ich es ziemlich heikel, weil du dann auch Sachen sehen könntest, die du nicht sehen solltest (Finanzinformationen, medizinische Daten, ...). Wenn das herauskommt, will ich nicht du sein.
nicht nur im offenen/öffentlichen WLAN. Auch im LAN finde ich das kritisch. Du hast als Admin nicht automatisch Narrenfreiheit oder Zugriff alle Informationen und Daten. Im Gegenteil. Das bekommst du sowohl beim Datenschützer als auch Betriebsrat niemals ohne weiteres durch.Gruß,
Dani
Ich betreibe seit Jahren öffentliche WLANs, ich meine seit 2016, in Spitzenzeiten waren es 80 gleichzeitig. Es gibt nur eine grobe Filterung (also die richtig harten Sachen, wie Kinderpornografie) von HTTP-Verkehr. In Spitzenzeiten waren um die 5000 Geräte pro Stunde eingebucht.
Läuft alles über eine IP raus, die meinem Arbeitgeber zugeordnet werden kann.
Ich habe in den fünf Jahren genau eine Anfrage durch eine BOS erhalten. Und da war es auch keine Anfrage, wer hat was herunter- oder hochgeladen, sondern es war schon eine etwas spezielle Anfrage nach dem Standort einer MAC-Adresse.
Also mach dir da keine großen Sorgen und im Zweifelsfall nutzt du einfach Freifunk. In dem Moment, in dem man sagen kann "die IP-Adresse ist unser öffentliches WLAN" ist man schon raus aus der Sache.
Meine Idee war auch erst, da eine Anmeldung hinterzusetzen, aber die GF meinte "so einfach wie möglich".
Läuft alles über eine IP raus, die meinem Arbeitgeber zugeordnet werden kann.
Ich habe in den fünf Jahren genau eine Anfrage durch eine BOS erhalten. Und da war es auch keine Anfrage, wer hat was herunter- oder hochgeladen, sondern es war schon eine etwas spezielle Anfrage nach dem Standort einer MAC-Adresse.
Also mach dir da keine großen Sorgen und im Zweifelsfall nutzt du einfach Freifunk. In dem Moment, in dem man sagen kann "die IP-Adresse ist unser öffentliches WLAN" ist man schon raus aus der Sache.
Meine Idee war auch erst, da eine Anmeldung hinterzusetzen, aber die GF meinte "so einfach wie möglich".
Man könnte auch, statt den Inhalt zu filtern, zunächst mal DNS-Ziele blocken. SOlange kein DNSSec eingesetzt wird, ist das ja machbar...
Dann kann man zumindest schon einmal pornografisches/ illegales Seiten ein Stück weit eliminieren.
Zum Rest (Kette aufbrechen), steht ja oben schon einiges.
Hatte, wie von euch richtig gestellt, nicht auf eine öffentliche CA verwiesen, sondern "nur" auf ein Zertifikat.
Der Kern bleibt ja aber identisch - mit allen seinen Auswirkungen.
Dann kann man zumindest schon einmal pornografisches/ illegales Seiten ein Stück weit eliminieren.
Zum Rest (Kette aufbrechen), steht ja oben schon einiges.
Hatte, wie von euch richtig gestellt, nicht auf eine öffentliche CA verwiesen, sondern "nur" auf ein Zertifikat.
Der Kern bleibt ja aber identisch - mit allen seinen Auswirkungen.