6
Was bringt ein packet inspection wenn die HTTPS Verbindungen verschlüsselt sind?
Guten Morgen,
Im internen Netzwerk in einer kleinen Firma mit 10 Mitarbeitern werden keine Dienste nach außen freigegeben. D.h. keine einkommende Regeln.
Es geht nur um die Kommunikation von innen nach außen, was hauptsächlich auf HTTPS basiert.
Es gibt auch noch NTP/DNS etc. mit eingeschränkter Verbindung ausschließlich zu den gewünschten Servern.
Die teuren Firewalls haben ja viele interessante Features um in die HTTPS Pakete zu schauen und diese evtl. zu blocken.
Das ist aber einerseits wegen DSGVO nicht möglich, andererseits bekommt man Zertifikatsfehler, wenn der Firewall die Pakete öffnet.
Meine Frage ist jetzt, warum teure (in meinen Fall Fortigate) Geräte einzusetzen, wenn es günstigere (in meinem Fall OPNSense) Geräte gibt, mit denen man auch einiges konfigurieren kann?
Die Frage bezieht sich jetzt spezifisch für kleine Unternehmen.
Danke
Olaf
Im internen Netzwerk in einer kleinen Firma mit 10 Mitarbeitern werden keine Dienste nach außen freigegeben. D.h. keine einkommende Regeln.
Es geht nur um die Kommunikation von innen nach außen, was hauptsächlich auf HTTPS basiert.
Es gibt auch noch NTP/DNS etc. mit eingeschränkter Verbindung ausschließlich zu den gewünschten Servern.
Die teuren Firewalls haben ja viele interessante Features um in die HTTPS Pakete zu schauen und diese evtl. zu blocken.
Das ist aber einerseits wegen DSGVO nicht möglich, andererseits bekommt man Zertifikatsfehler, wenn der Firewall die Pakete öffnet.
Meine Frage ist jetzt, warum teure (in meinen Fall Fortigate) Geräte einzusetzen, wenn es günstigere (in meinem Fall OPNSense) Geräte gibt, mit denen man auch einiges konfigurieren kann?
Die Frage bezieht sich jetzt spezifisch für kleine Unternehmen.
Danke
Olaf
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670788
Url: https://administrator.de/forum/was-bringt-ein-packet-inspection-wenn-die-https-verbindungen-verschluesselt-sind-670788.html
Ausgedruckt am: 19.01.2025 um 14:01 Uhr
6 Kommentare
Neuester Kommentar
Moin,
völlig normales verhalten, da die Clients dem getauschten Zertifikat durch die Deep Packet Inspection nicht vertrauen. Steht auch so in der Fortinet Doku 😉
Du musst das Zertifikat bzw. das der CA auf deinen Clients installieren, dann wird der Fortigate vertraut und du hast keine Zertitikatswarnung mehr. Ob das jetzt ein voreingestelltes oder ein durch eigener PKI via AD verteiltes CA Cert ist sei dir überlassen. Viele Sicherheitsfeatures auf der Forti sind hardwarebeschleunigt, gerade Packet Inspecption. Sowas wirste mit x86 und Opensense auf eigener Hardware nicht hin kriegen.
VG
völlig normales verhalten, da die Clients dem getauschten Zertifikat durch die Deep Packet Inspection nicht vertrauen. Steht auch so in der Fortinet Doku 😉
Du musst das Zertifikat bzw. das der CA auf deinen Clients installieren, dann wird der Fortigate vertraut und du hast keine Zertitikatswarnung mehr. Ob das jetzt ein voreingestelltes oder ein durch eigener PKI via AD verteiltes CA Cert ist sei dir überlassen. Viele Sicherheitsfeatures auf der Forti sind hardwarebeschleunigt, gerade Packet Inspecption. Sowas wirste mit x86 und Opensense auf eigener Hardware nicht hin kriegen.
VG
Zitat von @RG2525:
Die teuren Firewalls haben ja viele interessante Features um in die HTTPS Pakete zu schauen und diese evtl. zu blocken.
Das ist aber einerseits wegen DSGVO nicht möglich, andererseits bekommt man Zertifikatsfehler, wenn der Firewall die Pakete öffnet.
Das ist aber einerseits wegen DSGVO nicht möglich, andererseits bekommt man Zertifikatsfehler, wenn der Firewall die Pakete öffnet.
Mir erschließt sich noch nicht, warum dies durch die DSGVO nicht erlaubt sein sollte, zumal regelmäßig in einem solchen Umfeld die private Nutzung des Internets untersagt sein sollte. Selbst wenn diese Nutzung erlaubt sein sollte, kann man solche Mechanismen nach einer passenden DSFA einsetzen.
Die Problematik der Zertifikatsfehler sind in den meisten Fällen duch die Nutzung von passenden Zertifikaten ein gelöstes Problem
Beim Squid-Proxy heisst diese Funktion ssl-bumping
würde ich auch gerne wissen warum das nicht DSGVO-konform sein sollte oder sonstige Gesetze verstößt. Gibt es konkrete Quellenangaben hierzu? Ich kenne aus diversen Gesprächen mit Freunden aus Bekanntenkreis kein Unternehmen, welches kein Packet-Inspektion anwendet, also den HTTPS traffic Verkehr aufzureißen durch eigene verteilte intermediate CA-Zertifikate damit der Nutzer keine Warnung bekommt. Natürlich muss das in den Richtlinien vermerkt und durch den Betriebsrat (falls vorhanden) abgesegnet und kommuniziert worden sein. Aber ansonsten sehe ich hier kein Problem mit DSGVO ?
Möglicherweise dieses Gesetz:
https://www.gesetze-im-internet.de/bdsg_2018/__26.html
Eine Dauerüberwachung bis aufs letzte Byte könnte unverhältnismäßig sein.
https://www.gesetze-im-internet.de/bdsg_2018/__26.html
Eine Dauerüberwachung bis aufs letzte Byte könnte unverhältnismäßig sein.
Deep Packet Inspection - geht schon in Richtung dauerhafte und anlasslose Überwachung.
