leon123
Goto Top

HTTPS Webfilter ohne Zertifikat möglich?

Hallo zusammen,

ich suche gerade nach einer Möglichkeit einen Webfilter für ein offenes WLAN zu implementieren.

Die meisten Lösungen die ich bisher gefunden habe laufen über einen Proxy und dann muss auf den Clients ein Zertifikat installiert werden. Das ist so aber nicht möglich.

Welche Möglichkeiten gibt es hier denn noch?

Danke
Leon

Content-ID: 658268

Url: https://administrator.de/forum/https-webfilter-ohne-zertifikat-moeglich-658268.html

Ausgedruckt am: 26.12.2024 um 13:12 Uhr

em-pie
em-pie 03.03.2021 um 17:55:45 Uhr
Goto Top
Zitat von @leon123:
Hallo zusammen,
Moin,

Welche Möglichkeiten gibt es hier denn noch?
Den WebPorxy mit einem gültigen und öffentlichem Zertifikat ausstatten. Dann kann dieser den Datenstrom theoretisch aufbrechen, prüfen und wieder verpacken - ohne dass der Client herummeckert.
Danke
Leon

Gruß
em-pie
tikayevent
tikayevent 03.03.2021 aktualisiert um 18:07:20 Uhr
Goto Top
Leider geben die Zertifizierungsstellen die notwendigen Zertifikate nicht heraus bzw. wenn herauskommt, dass man ein SubCA-Zertifikat für sowas verwendet, ziehen die es schneller zurück, als man CRL sagen kann.

HTTPS Deep Inspection benötigt in jedem Fall eine Ent- und Verschlüsselung samt Zertifikat, für alles andere kannst du höchstens auf Certificate Inspection gehen, aber die sieht keine Inhalte.

Und bei einem offenen WLAN finde ich es ziemlich heikel, weil du dann auch Sachen sehen könntest, die du nicht sehen solltest (Finanzinformationen, medizinische Daten, ...). Wenn das herauskommt, will ich nicht du sein.
Dani
Dani 03.03.2021 um 19:34:31 Uhr
Goto Top
Moin,
Und bei einem offenen WLAN finde ich es ziemlich heikel, weil du dann auch Sachen sehen könntest, die du nicht sehen solltest (Finanzinformationen, medizinische Daten, ...). Wenn das herauskommt, will ich nicht du sein.
nicht nur im offenen/öffentlichen WLAN. Auch im LAN finde ich das kritisch. Du hast als Admin nicht automatisch Narrenfreiheit oder Zugriff alle Informationen und Daten. Im Gegenteil. Das bekommst du sowohl beim Datenschützer als auch Betriebsrat niemals ohne weiteres durch.


Gruß,
Dani
leon123
leon123 03.03.2021 um 20:14:36 Uhr
Goto Top
Den WebPorxy mit einem gültigen und öffentlichem Zertifikat ausstatten. Dann kann dieser den Datenstrom theoretisch aufbrechen, prüfen und wieder verpacken - ohne dass der Client herummeckert.

Das würde mich sehr wundern wenn es geht, denn ich brauch kein öffentliches Zertifikat sondern ich brauch ne öffentlich CA den alle meine Clients vertrauen. Soweit ich weiß bräuchte ich nen private Key der CA... den bekomm ich sicher nicht, damit könnte ich ganz schön viel Unfug treiben und MITM von allem und jedem sein...

Ich habe heute rausgefunden, dass unsere Firewall seit neustem eine Möglichkeit die Pakete nur dann aufzubrechen, wenn der Webfilter anschlägt. Ich hab das grad mal bei unserem Testsystem probiert. Wenn die Seite in eine gewisse böse Kategorie fällt dann kommt die Meldung "Verbindung ist nicht sicher... weiter..." weil die Firewall das Paket mit dem Zertifikat ihrer CA signiert. Anschließend bekommt man die Sperrseite der Firewall angezeigt. Das ist eigentlich so wie ich es haben will.
leon123
leon123 03.03.2021 aktualisiert um 20:20:19 Uhr
Goto Top
Und bei einem offenen WLAN finde ich es ziemlich heikel, weil du dann auch Sachen sehen könntest, die du nicht sehen solltest (Finanzinformationen, medizinische Daten, ...). Wenn das herauskommt, will ich nicht du sein.

Ich will aber auch nicht ich sein wenn irgendwelche Menschen irgendwelchen Müll hoch und runterladen die über den Firmenanschluss gehen. Ich bin auch nicht für ein öffentlichen WLAN das werde ich früher oder später auch noch durchsetzen aber aktuell ist es noch so.

Ich hab aber noch nicht die passende Lösung gefunden wie ich das so automatisch wie möglich umsetze. Es gibt eine SQL Datenbank mit User Infos, die müsste ich an einen Radius anbinden. Ich weiß aber noch nicht wie ich das dann mache. Ich könnte mir vorstellen, dass der Radius Server Name und Geburtsdatum aus dem System importiert und das wäre dann der Zugang zum WLAN für diese Person. Wie das hier mit dem Datenschutz ist, weiß ich aber auch nicht.
tikayevent
tikayevent 03.03.2021 um 20:54:36 Uhr
Goto Top
Ich betreibe seit Jahren öffentliche WLANs, ich meine seit 2016, in Spitzenzeiten waren es 80 gleichzeitig. Es gibt nur eine grobe Filterung (also die richtig harten Sachen, wie Kinderpornografie) von HTTP-Verkehr. In Spitzenzeiten waren um die 5000 Geräte pro Stunde eingebucht.
Läuft alles über eine IP raus, die meinem Arbeitgeber zugeordnet werden kann.

Ich habe in den fünf Jahren genau eine Anfrage durch eine BOS erhalten. Und da war es auch keine Anfrage, wer hat was herunter- oder hochgeladen, sondern es war schon eine etwas spezielle Anfrage nach dem Standort einer MAC-Adresse.

Also mach dir da keine großen Sorgen und im Zweifelsfall nutzt du einfach Freifunk. In dem Moment, in dem man sagen kann "die IP-Adresse ist unser öffentliches WLAN" ist man schon raus aus der Sache.

Meine Idee war auch erst, da eine Anmeldung hinterzusetzen, aber die GF meinte "so einfach wie möglich".
em-pie
em-pie 03.03.2021 um 21:04:29 Uhr
Goto Top
Man könnte auch, statt den Inhalt zu filtern, zunächst mal DNS-Ziele blocken. SOlange kein DNSSec eingesetzt wird, ist das ja machbar...
Dann kann man zumindest schon einmal pornografisches/ illegales Seiten ein Stück weit eliminieren.


Zum Rest (Kette aufbrechen), steht ja oben schon einiges.
Hatte, wie von euch richtig gestellt, nicht auf eine öffentliche CA verwiesen, sondern "nur" auf ein Zertifikat.
Der Kern bleibt ja aber identisch - mit allen seinen Auswirkungen.