19
Was bringt ein packet inspection wenn die HTTPS Verbindungen verschlüsselt sind?
Guten Morgen,
Im internen Netzwerk in einer kleinen Firma mit 10 Mitarbeitern werden keine Dienste nach außen freigegeben. D.h. keine einkommende Regeln.
Es geht nur um die Kommunikation von innen nach außen, was hauptsächlich auf HTTPS basiert.
Es gibt auch noch NTP/DNS etc. mit eingeschränkter Verbindung ausschließlich zu den gewünschten Servern.
Die teuren Firewalls haben ja viele interessante Features um in die HTTPS Pakete zu schauen und diese evtl. zu blocken.
Das ist aber einerseits wegen DSGVO nicht möglich, andererseits bekommt man Zertifikatsfehler, wenn der Firewall die Pakete öffnet.
Meine Frage ist jetzt, warum teure (in meinen Fall Fortigate) Geräte einzusetzen, wenn es günstigere (in meinem Fall OPNSense) Geräte gibt, mit denen man auch einiges konfigurieren kann?
Die Frage bezieht sich jetzt spezifisch für kleine Unternehmen.
Danke
Olaf
Im internen Netzwerk in einer kleinen Firma mit 10 Mitarbeitern werden keine Dienste nach außen freigegeben. D.h. keine einkommende Regeln.
Es geht nur um die Kommunikation von innen nach außen, was hauptsächlich auf HTTPS basiert.
Es gibt auch noch NTP/DNS etc. mit eingeschränkter Verbindung ausschließlich zu den gewünschten Servern.
Die teuren Firewalls haben ja viele interessante Features um in die HTTPS Pakete zu schauen und diese evtl. zu blocken.
Das ist aber einerseits wegen DSGVO nicht möglich, andererseits bekommt man Zertifikatsfehler, wenn der Firewall die Pakete öffnet.
Meine Frage ist jetzt, warum teure (in meinen Fall Fortigate) Geräte einzusetzen, wenn es günstigere (in meinem Fall OPNSense) Geräte gibt, mit denen man auch einiges konfigurieren kann?
Die Frage bezieht sich jetzt spezifisch für kleine Unternehmen.
Danke
Olaf
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670788
Url: https://administrator.de/forum/was-bringt-ein-packet-inspection-wenn-die-https-verbindungen-verschluesselt-sind-670788.html
Ausgedruckt am: 20.02.2025 um 19:02 Uhr
19 Kommentare
Neuester Kommentar
Moin,
völlig normales verhalten, da die Clients dem getauschten Zertifikat durch die Deep Packet Inspection nicht vertrauen. Steht auch so in der Fortinet Doku 😉
Du musst das Zertifikat bzw. das der CA auf deinen Clients installieren, dann wird der Fortigate vertraut und du hast keine Zertitikatswarnung mehr. Ob das jetzt ein voreingestelltes oder ein durch eigener PKI via AD verteiltes CA Cert ist sei dir überlassen. Viele Sicherheitsfeatures auf der Forti sind hardwarebeschleunigt, gerade Packet Inspecption. Sowas wirste mit x86 und Opensense auf eigener Hardware nicht hin kriegen.
VG
völlig normales verhalten, da die Clients dem getauschten Zertifikat durch die Deep Packet Inspection nicht vertrauen. Steht auch so in der Fortinet Doku 😉
Du musst das Zertifikat bzw. das der CA auf deinen Clients installieren, dann wird der Fortigate vertraut und du hast keine Zertitikatswarnung mehr. Ob das jetzt ein voreingestelltes oder ein durch eigener PKI via AD verteiltes CA Cert ist sei dir überlassen. Viele Sicherheitsfeatures auf der Forti sind hardwarebeschleunigt, gerade Packet Inspecption. Sowas wirste mit x86 und Opensense auf eigener Hardware nicht hin kriegen.
VG
1
Zitat von @RG2525:
Die teuren Firewalls haben ja viele interessante Features um in die HTTPS Pakete zu schauen und diese evtl. zu blocken.
Das ist aber einerseits wegen DSGVO nicht möglich, andererseits bekommt man Zertifikatsfehler, wenn der Firewall die Pakete öffnet.
Das ist aber einerseits wegen DSGVO nicht möglich, andererseits bekommt man Zertifikatsfehler, wenn der Firewall die Pakete öffnet.
Mir erschließt sich noch nicht, warum dies durch die DSGVO nicht erlaubt sein sollte, zumal regelmäßig in einem solchen Umfeld die private Nutzung des Internets untersagt sein sollte. Selbst wenn diese Nutzung erlaubt sein sollte, kann man solche Mechanismen nach einer passenden DSFA einsetzen.
Die Problematik der Zertifikatsfehler sind in den meisten Fällen duch die Nutzung von passenden Zertifikaten ein gelöstes Problem
1
Beim Squid-Proxy heisst diese Funktion ssl-bumping
würde ich auch gerne wissen warum das nicht DSGVO-konform sein sollte oder sonstige Gesetze verstößt. Gibt es konkrete Quellenangaben hierzu? Ich kenne aus diversen Gesprächen mit Freunden aus Bekanntenkreis kein Unternehmen, welches kein Packet-Inspektion anwendet, also den HTTPS traffic Verkehr aufzureißen durch eigene verteilte intermediate CA-Zertifikate damit der Nutzer keine Warnung bekommt. Natürlich muss das in den Richtlinien vermerkt und durch den Betriebsrat (falls vorhanden) abgesegnet und kommuniziert worden sein. Aber ansonsten sehe ich hier kein Problem mit DSGVO ?
Möglicherweise dieses Gesetz:
https://www.gesetze-im-internet.de/bdsg_2018/__26.html
Eine Dauerüberwachung bis aufs letzte Byte könnte unverhältnismäßig sein.
https://www.gesetze-im-internet.de/bdsg_2018/__26.html
Eine Dauerüberwachung bis aufs letzte Byte könnte unverhältnismäßig sein.
Deep Packet Inspection - geht schon in Richtung dauerhafte und anlasslose Überwachung.
Zitat von @panguu:
würde ich auch gerne wissen warum das nicht DSGVO-konform sein sollte oder sonstige Gesetze verstößt.
würde ich auch gerne wissen warum das nicht DSGVO-konform sein sollte oder sonstige Gesetze verstößt.
Tut es ja normalerweise auch nicht, daher gibt es auch keine Quellenangaben. Deine Zusammenfassung ist richtig.
Zitat von @Harald99:
Möglicherweise dieses Gesetz:
https://www.gesetze-im-internet.de/bdsg_2018/__26.html
Eine Dauerüberwachung bis aufs letzte Byte könnte unverhältnismäßig sein.
Möglicherweise dieses Gesetz:
https://www.gesetze-im-internet.de/bdsg_2018/__26.html
Eine Dauerüberwachung bis aufs letzte Byte könnte unverhältnismäßig sein.
Eine Dauerüberwachung sicherlich, aber das ist ein automatisiertes Scannen auf Schadcode, wofür es einen Grund und keine sinnvolle geringer einschneidende Maßnahme gibt. Eine Dauerüberwachung wäre eine anlasslose 24h-Aufnahme mit Sicherheitskameras von normalen Büroarbeitsplätzen.
Und zum TO: wie oben schon richtig ausgeführt, das ist lediglich ein technisches = Zertifikatsproblem. Ansonsten gilt: wenn man das ganze Scannen nicht für Schlangenöl hält, dann ist es sinnvoll, das (jedenfalls auch) zentral am Gateway durchlaufen zu lassen. Und da heutzutage jeder externe Verkehr verschlüsselt sein sollte, muss dann eben auch ein Aufbrechen erfolgen. In besonders sensiblen Bereichen kann man dann in der Regel auch Ausnahmen definieren (Beispiel: nicht scannen/unberührt lassen bei Datenverkehr mit einer HR cloud oder Onlinebanking).
Gruß
DivideByZero
Warum teure (in meinen Fall Porsche) Autos einsetzen, wenn es günstigere (in meinem Fall Dacia) Autos gibt, mit denen man auch auf der Autobahn fahren kann?
Was würdest du denn auf diese völlig gleiche Frage antworten wenn dich jemand das fragt?? 
Ich denke nicht das wir OPNsense mit Dacia vergleichen sollten 
DPI kann den Datenschutz erhöhen, kann ihn aber auch zum Teil aushebeln. Es kommt drauf an, wie man damit umgeht. Man könnte sogar aus Art 32 DSGVO und § 64 BDSG rauslesen, dass DPI gefordert wird.
Grundsätzlich ist alles eine Frage der Dokumentation und der Mitarbeiterschulung. Da in dem Fall die private Nutzung sowieso untersagt ist, stellt DPI eher gar kein Problem dar. Trotzdem sollten Mitarbeiter darüber geschult werden und DPI in der Datenschutzfolgeeinschätzung auch genannt werden.
Ansonsten bleibt es dem TO überlassen ob er eine Fortigate oder OPNSense einsetzen will. Alles eine Kosten-Nutzen-Überlegung.
Grundsätzlich ist alles eine Frage der Dokumentation und der Mitarbeiterschulung. Da in dem Fall die private Nutzung sowieso untersagt ist, stellt DPI eher gar kein Problem dar. Trotzdem sollten Mitarbeiter darüber geschult werden und DPI in der Datenschutzfolgeeinschätzung auch genannt werden.
Ansonsten bleibt es dem TO überlassen ob er eine Fortigate oder OPNSense einsetzen will. Alles eine Kosten-Nutzen-Überlegung.
Stimmt nicht, es ist immer noch Verhaltenskontrolle möglich, z.B. auch Arbeitsgeschwindigkeit.
Das ist alles nicht so einfach.
Das ist alles nicht so einfach.
Ich denke nicht das wir OPNsense mit Dacia vergleichen sollten
Zweifelsohne richtig. Es ging auch nur darum dem TO die Sinnfreiheit solcherart Forenfragen oder Statements vor Augen zu führen! 
also ob man DPI einsetzt oder nicht macht keinen unterschied.
Bedeutet die URL wo der Mitarbeiter hinsurft ist so oder so ersichtlich.
Das einzige was DPI unterscheidet zum normalen mitschnitt ist das eben der traffic auf schadcode untersucht wird.
und das ist eine security frage und hat nix mit mitarbeiter überwachung zu tun.
wenn dein unternehmen so krank ist und das angesurfte von mitarbeitern kontrolliert und analysiert,
dann interessiert der traffic auch nicht... URL reicht völlig.
und mal unter uns wer das kontrolliert der hat sonst im leben auch keine hobbys mehr....
und wenn du das als mitarbeiter mitbekommst... naja ich würde mir ne andere firma suchen...
und nur mit dieser DPI methode kannst du dann eben auch das unternehmen korrekt schützen, damit kannst du 100% downloads blocken oder sonstigen traffic den du für nicht akzeptabel ansiehst als admin.
Bedeutet die URL wo der Mitarbeiter hinsurft ist so oder so ersichtlich.
Das einzige was DPI unterscheidet zum normalen mitschnitt ist das eben der traffic auf schadcode untersucht wird.
und das ist eine security frage und hat nix mit mitarbeiter überwachung zu tun.
wenn dein unternehmen so krank ist und das angesurfte von mitarbeitern kontrolliert und analysiert,
dann interessiert der traffic auch nicht... URL reicht völlig.
und mal unter uns wer das kontrolliert der hat sonst im leben auch keine hobbys mehr....
und wenn du das als mitarbeiter mitbekommst... naja ich würde mir ne andere firma suchen...
und nur mit dieser DPI methode kannst du dann eben auch das unternehmen korrekt schützen, damit kannst du 100% downloads blocken oder sonstigen traffic den du für nicht akzeptabel ansiehst als admin.
1
Erklär mal, wie bei HTTPS die URL ersichtlich ist.
1Da gibt's nicht viel zu erklären. Die URL ist ob mit oder ohne SSL DPI ersichtlich. Dies liegt daran, dass während der TLS-Handshakes im Server Name Indication (SNI)-Header übertragen wird, der unverschlüsselt ist. Anders kann's auch gar nicht funktionieren.
Zitat von @panguu:
Da gibt's nicht viel zu erklären. Die URL ist ob mit oder ohne SSL DPI ersichtlich. Dies liegt daran, dass während der TLS-Handshakes im Server Name Indication (SNI)-Header übertragen wird, der unverschlüsselt ist. Anders kann's auch gar nicht funktionieren.
Da gibt's nicht viel zu erklären. Die URL ist ob mit oder ohne SSL DPI ersichtlich. Dies liegt daran, dass während der TLS-Handshakes im Server Name Indication (SNI)-Header übertragen wird, der unverschlüsselt ist. Anders kann's auch gar nicht funktionieren.
Nicht korrekt! Nur den Hostnamen!
Zitat von @panguu:
Dies liegt daran, dass während der TLS-Handshakes im Server Name Indication (SNI)-Header übertragen wird, der unverschlüsselt ist. Anders kann's auch gar nicht funktionieren.
Dies liegt daran, dass während der TLS-Handshakes im Server Name Indication (SNI)-Header übertragen wird, der unverschlüsselt ist. Anders kann's auch gar nicht funktionieren.
Doch kann es und wird es künftig auch.
Das Verfahren heißt Encrypted Client Hello (ECH). Finde es dennoch wichtig und richtig auf die Lücke in SNI hinzuweisen, da vielen Menschen dieser Umstand nicht bekannt ist und sich auf HTTPS alleine verlassen.
ECH kommt natürlich erst richtig zu tragen, wenn DNS over TLS im Einsatz ist. Sonst kann ich mir auch einfach die DNS-Records mitschreiben...
Nur weil eine Seite HTTPS hat, ist man längst nicht vor Überwachung geschützt.
Das nur als Exkurs am Rande. Sonst wurde sicherlich das wichtigste schon in den ersten Antworten geliefert
Zitat von @ThePinky777:
also ob man DPI einsetzt oder nicht macht keinen unterschied.
Bedeutet die URL wo der Mitarbeiter hinsurft ist so oder so ersichtlich.
Das einzige was DPI unterscheidet zum normalen mitschnitt ist das eben der traffic auf schadcode untersucht wird.
und das ist eine security frage und hat nix mit mitarbeiter überwachung zu tun.
also ob man DPI einsetzt oder nicht macht keinen unterschied.
Bedeutet die URL wo der Mitarbeiter hinsurft ist so oder so ersichtlich.
Das einzige was DPI unterscheidet zum normalen mitschnitt ist das eben der traffic auf schadcode untersucht wird.
und das ist eine security frage und hat nix mit mitarbeiter überwachung zu tun.
Natürlich hat es das. Security und Überwachung überschneiden sich oft ob man das beabsichtigt oder nicht. Auch unbeabsichtigte Überwachung, hier mit Security als Grund, ist am Ende Überwachung. Dasselbe Problem gibt es auch bei Überwachungskameras, dienen erstmal als Schutz vor Einbrechern aber es wird auch permanent und anlasslos überwacht weshalb ein Hinweisschild verpflichtend ist. Und selbst wenn, wie hier aus technischen Gründen, eine permanente und anlasslose Überwachung notwendig ist, kann sie trotzdem unzulässig sein.
2
Moin,
ich finde es interessant, dass hier viele mit eine Datenschutz-Folgenabschätzung verfassen wollen.
Da muss man mal die Kirche im Dorf lassen. Solche Risikoanalysen im Rahmen der DSGVO sind mitunter hunderte Seiten lang und sollten allein schon um die Erwartungshaltung der Behörden in geordnete Bahnen zu lenken mit Bedacht eingesetzt werden.
Mehrere DSB mit denen ich zusammen gearbeitet habe sehen das auch so.
Die DSK hat da eine Liste erstellt und da sieht man worauf Wert gelegt wird:
- Erstellen von Profilen
- Massenhafte Verarbeitung (sicher nicht 10 Personen)
- systematisches Sammeln
Wenn man seine Firewall korrekt konfiguriert wird da sicher kein Profil erstellt und vielleicht gibt es die Option, dass diese Logs kurz oder gar nicht gespeichert werden.
Also, meine persönliche Empfehlung:
Machen, informieren und als Verfahren ins Verfahrensverzeichnis aufnehmen
Die DSGVO sollte nicht immer mit all ihren möglichen Werkzeugen angewandt werden, sondern eher minimalistisch.
Ein Spruch eines Auditors zu solchen häufig anzutreffenden Vorgehen:
„Die meisten Firmen scheitern an den selbst gewählten Vorgaben, nicht an dem, was die Norm fordert.“
Und auch aus Erfahrung: Wenn man selbst mit gutem Gewissen eine Maßnahme bei sich selbst akzeptieren würde, wird sie auch passen.
Wenn natürlich absehbar ist, dass der Arbeitgeber mit dieser Funktion überwachen wird könnte man sicher die DSGVO dagegen auslegen.
Aber ehrlich: wenn der Mitarbeitende auf Pornoseiten während der Arbeitszeit rumsurft ist eine arbeitsrechtliche Maßnahme vielleicht auch angemessen (und da sammelt der Rechner vermutlich heute schon genug Daten).
Der „normale“ Mitarbeitende wird es nicht als mögliche Kontrolle, sondern als notwendigen Schutz sehen.
Gruss
Thomas
Infos der DSK:
https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Muster/Liste_Verarbeitu ...
ich finde es interessant, dass hier viele mit eine Datenschutz-Folgenabschätzung verfassen wollen.
Da muss man mal die Kirche im Dorf lassen. Solche Risikoanalysen im Rahmen der DSGVO sind mitunter hunderte Seiten lang und sollten allein schon um die Erwartungshaltung der Behörden in geordnete Bahnen zu lenken mit Bedacht eingesetzt werden.
Mehrere DSB mit denen ich zusammen gearbeitet habe sehen das auch so.
Die DSK hat da eine Liste erstellt und da sieht man worauf Wert gelegt wird:
- Erstellen von Profilen
- Massenhafte Verarbeitung (sicher nicht 10 Personen)
- systematisches Sammeln
Wenn man seine Firewall korrekt konfiguriert wird da sicher kein Profil erstellt und vielleicht gibt es die Option, dass diese Logs kurz oder gar nicht gespeichert werden.
Also, meine persönliche Empfehlung:
Machen, informieren und als Verfahren ins Verfahrensverzeichnis aufnehmen
Die DSGVO sollte nicht immer mit all ihren möglichen Werkzeugen angewandt werden, sondern eher minimalistisch.
Ein Spruch eines Auditors zu solchen häufig anzutreffenden Vorgehen:
„Die meisten Firmen scheitern an den selbst gewählten Vorgaben, nicht an dem, was die Norm fordert.“
Und auch aus Erfahrung: Wenn man selbst mit gutem Gewissen eine Maßnahme bei sich selbst akzeptieren würde, wird sie auch passen.
Wenn natürlich absehbar ist, dass der Arbeitgeber mit dieser Funktion überwachen wird könnte man sicher die DSGVO dagegen auslegen.
Aber ehrlich: wenn der Mitarbeitende auf Pornoseiten während der Arbeitszeit rumsurft ist eine arbeitsrechtliche Maßnahme vielleicht auch angemessen (und da sammelt der Rechner vermutlich heute schon genug Daten).
Der „normale“ Mitarbeitende wird es nicht als mögliche Kontrolle, sondern als notwendigen Schutz sehen.
Gruss
Thomas
Infos der DSK:
https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Muster/Liste_Verarbeitu ...
