Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

SSL-DPI - verschlüsselte Verbindungen entschlüsseln und scannen - Ausnahmen

Mitglied: Der-Phil

Der-Phil (Level 2) - Jetzt verbinden

03.03.2014 um 08:23 Uhr, 3310 Aufrufe, 4 Kommentare

Hallo!

Ich suche gerade neue Firewalls und komme dabei immer wieder auf SSL-DPI. Gerade teste ich eine Palo-Alto PA-500. Die Entschlüsselung funktioniert soweit gut, aber ich frage mich, wie ich so etwas im Netzwerk implementieren kann, ohne dass ich mir ein Eigentor schieße.

Wenn ich (wie ich es gerne hätte) z.B. den gesamten HTTPS-Traffic auf Viren scanne, muss die Firewall auch alle HTTPS-Verbindungen entschlüsseln. Wenn jetzt aber irgendeine Spezialanwendung (bisher gefunden: Elster, StarMoney) direkt mit dem Clientzertifikat kommuniziert, funktioniert das bei aktivierten SSL-Scan nicht, da die eigene CA ignoriert wird.

Wie macht ihr das?
Aktiviert ihr SSL-Decryption dann nur für ausgesuchte Verbindungen, oder wartet ihr, bis etwas nicht funktioniert und nehmt das dann vom Scan aus?

Perfekt wäre es, eine Art folgender Regel zu haben, aber ich weiß nicht, ob das möglich ist:
- Wenn der Client und/oder das Programm die CA kennt: Decrypt
- Wenn nicht: "klassischen SSL-Passtrough".

Danke für eure Tipps!

Gruß
Phil
Mitglied: DerSchorsch
03.03.2014 um 08:47 Uhr
Hallo,

Wenn du nur ausgewählte Verbindungen scannen willst, müsstest du praktisch jede Seite im Internet, die jetzt oder in Zukunft https nutzt eintragen, sonst macht es wenig Sinn. Bei vieler Malware werden ja eigentlich eigentlich harmlose Webseiten infiziert um sich dann per DriveBy-Download zu verbreiten.
Um den Schutz also wirklich umfassend zu nutzen, taugt diese Vorgehensweise nichts.
Gerade bei Firmen ist aber in der Regel die Zahl der gewünschten Seiten überschaubar. Eure Bank und Elster hast du ja schon gefunden, ich weiß, dass einige Krankenkassenportale ebenfalls nicht gut darauf reagieren.
Also kläre vorab ab, welche Seiten von eurer Firma benötigt werden, teste diese und packe sie wenn nötig in die Ausnahmeliste und lass alles andere scannen. Dazu eine Info an alle Mitarbeiter, an wen sie sich wenden sollen, wenn doch etwas nicht klappt.

Gruß

P.S.
wenn private Internetnutzung bei euch erlaubt ist, kläre das erst mit dem Betriebsrat etc,
Bitte warten ..
Mitglied: Der-Phil
03.03.2014 um 10:01 Uhr
Hallo!

Private Internetnutzung ist komplett untersagt. Das macht es zumindest rechtlich einfacher...

Darf ich fragen, was Du einsetzt, um SSL zu scannen?

Grüße
Phil
Bitte warten ..
Mitglied: DerSchorsch
03.03.2014 um 10:49 Uhr
Hallo,

wir nutzen eine Sophos UTM dafür.
Die Funktionen sind modular aufgebaut, zum Scannen von https wird Web Protection benötigt.

Gruß
Bitte warten ..
Mitglied: Dani
06.03.2014, aktualisiert 01.04.2014
Moin,
Aktiviert ihr SSL-Decryption dann nur für ausgesuchte Verbindungen, oder wartet ihr, bis etwas nicht funktioniert und nehmt das dann vom Scan aus?
Wir warten ab, bis etwas nicht geht. Es sind wirklich nur sehr wenige Programme, Seiten wo es Probleme wird.
Die tunneln wir eben durch...

Grundsätzlich ist SSL-DPI in Deutschland eine Grauzone. Wir haben uns davor von unser Rechtsabteilung alles absegen lassen und schriftlich fixiert.


Grüße,
Dani
Bitte warten ..
Ähnliche Inhalte
Verschlüsselung & Zertifikate

Nach Domänen Umstellung lassen sich Verschlüsselte Dateien nicht mehr entschlüsseln

Frage von D1Ck3nVerschlüsselung & Zertifikate1 Kommentar

Hallo zusammen, ich habe letztens von einer Samba Domäne auf eine M$ Domäne Umgestellt und seit dem können zwei ...

Verschlüsselung & Zertifikate

Verbindung bei IFrame nicht verschlüsselt?

Frage von JulopeVerschlüsselung & Zertifikate2 Kommentare

Hallo, ich habe gerade etwas entdeckt, dass mich ein wenig beunruhigt. Ich habe eine Seite (") in der ein ...

Drucker und Scanner

Scanner verliert über Nacht die Verbindung

Frage von unverwechselbarkevelaerDrucker und Scanner12 Kommentare

Guten Tag, wir haben ein sehr merkwürdiges Problem: ich habe mehrere Scanner (Kodak i2620) aus unterschiedlicher Charge – 16 ...

Batch & Shell

SSL verschluesselte Emails versenden mittels blat und stunnel

gelöst Frage von liverpool87Batch & Shell3 Kommentare

Hallo Leute, ich hab aus mehreren Foren Infos gesammelt und dann auf folgenden stunnel.conf und batch script gekommen. Es ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 1 TagWindows 105 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 2 TagenAdministrator.de Feedback18 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 2 TagenHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 3 TagenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Windows Server
Standortvernetzung zu einem Strato VServer (Windows)
Frage von matzefratze81Windows Server10 Kommentare

Moin, ich komme aus einem Enterprise-Umfeld und habe den Fehler gemacht, dass ich mich auf ein kleines Unternehmen eingelassen ...

Grafikkarten & Monitore
4k EIZO Monitor, Fernseher und Splitter
Frage von LerxxeyGrafikkarten & Monitore9 Kommentare

Hallo Zusammen, vielleicht könnt ihr mir bei einem Problem helfen wo ich einfach nicht mehr weiterkomme Und zwar haben ...

TK-Netze & Geräte
Fax im Betrieb
Frage von gansa28TK-Netze & Geräte6 Kommentare

Hallo zusammen, Endlich wurden meine Gebete Erhört und der Rechner meines Bekannten dem ich etwas unter die Arme greife, ...

Humor (lol)
Nerd Zeitschrift gesucht
Frage von 2SeitenHumor (lol)6 Kommentare

Hey Zusammen, Ich suche eine Zeitschrift bei der es ums technische Basteln geht. Pc zusammenschrauben, Arduino Projekte, Server Tipps ...