4
SSL-DPI - verschlüsselte Verbindungen entschlüsseln und scannen - Ausnahmen
Hallo!
Ich suche gerade neue Firewalls und komme dabei immer wieder auf SSL-DPI. Gerade teste ich eine Palo-Alto PA-500. Die Entschlüsselung funktioniert soweit gut, aber ich frage mich, wie ich so etwas im Netzwerk implementieren kann, ohne dass ich mir ein Eigentor schieße.
Wenn ich (wie ich es gerne hätte) z.B. den gesamten HTTPS-Traffic auf Viren scanne, muss die Firewall auch alle HTTPS-Verbindungen entschlüsseln. Wenn jetzt aber irgendeine Spezialanwendung (bisher gefunden: Elster, StarMoney) direkt mit dem Clientzertifikat kommuniziert, funktioniert das bei aktivierten SSL-Scan nicht, da die eigene CA ignoriert wird.
Wie macht ihr das?
Aktiviert ihr SSL-Decryption dann nur für ausgesuchte Verbindungen, oder wartet ihr, bis etwas nicht funktioniert und nehmt das dann vom Scan aus?
Perfekt wäre es, eine Art folgender Regel zu haben, aber ich weiß nicht, ob das möglich ist:
- Wenn der Client und/oder das Programm die CA kennt: Decrypt
- Wenn nicht: "klassischen SSL-Passtrough".
Danke für eure Tipps!
Gruß
Phil
Ich suche gerade neue Firewalls und komme dabei immer wieder auf SSL-DPI. Gerade teste ich eine Palo-Alto PA-500. Die Entschlüsselung funktioniert soweit gut, aber ich frage mich, wie ich so etwas im Netzwerk implementieren kann, ohne dass ich mir ein Eigentor schieße.
Wenn ich (wie ich es gerne hätte) z.B. den gesamten HTTPS-Traffic auf Viren scanne, muss die Firewall auch alle HTTPS-Verbindungen entschlüsseln. Wenn jetzt aber irgendeine Spezialanwendung (bisher gefunden: Elster, StarMoney) direkt mit dem Clientzertifikat kommuniziert, funktioniert das bei aktivierten SSL-Scan nicht, da die eigene CA ignoriert wird.
Wie macht ihr das?
Aktiviert ihr SSL-Decryption dann nur für ausgesuchte Verbindungen, oder wartet ihr, bis etwas nicht funktioniert und nehmt das dann vom Scan aus?
Perfekt wäre es, eine Art folgender Regel zu haben, aber ich weiß nicht, ob das möglich ist:
- Wenn der Client und/oder das Programm die CA kennt: Decrypt
- Wenn nicht: "klassischen SSL-Passtrough".
Danke für eure Tipps!
Gruß
Phil
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 231481
Url: https://administrator.de/contentid/231481
Printed on: April 26, 2024 at 09:04 o'clock
4 Comments
Latest comment
Hallo,
Wenn du nur ausgewählte Verbindungen scannen willst, müsstest du praktisch jede Seite im Internet, die jetzt oder in Zukunft https nutzt eintragen, sonst macht es wenig Sinn. Bei vieler Malware werden ja eigentlich eigentlich harmlose Webseiten infiziert um sich dann per DriveBy-Download zu verbreiten.
Um den Schutz also wirklich umfassend zu nutzen, taugt diese Vorgehensweise nichts.
Gerade bei Firmen ist aber in der Regel die Zahl der gewünschten Seiten überschaubar. Eure Bank und Elster hast du ja schon gefunden, ich weiß, dass einige Krankenkassenportale ebenfalls nicht gut darauf reagieren.
Also kläre vorab ab, welche Seiten von eurer Firma benötigt werden, teste diese und packe sie wenn nötig in die Ausnahmeliste und lass alles andere scannen. Dazu eine Info an alle Mitarbeiter, an wen sie sich wenden sollen, wenn doch etwas nicht klappt.
Gruß
P.S.
wenn private Internetnutzung bei euch erlaubt ist, kläre das erst mit dem Betriebsrat etc,
Wenn du nur ausgewählte Verbindungen scannen willst, müsstest du praktisch jede Seite im Internet, die jetzt oder in Zukunft https nutzt eintragen, sonst macht es wenig Sinn. Bei vieler Malware werden ja eigentlich eigentlich harmlose Webseiten infiziert um sich dann per DriveBy-Download zu verbreiten.
Um den Schutz also wirklich umfassend zu nutzen, taugt diese Vorgehensweise nichts.
Gerade bei Firmen ist aber in der Regel die Zahl der gewünschten Seiten überschaubar. Eure Bank und Elster hast du ja schon gefunden, ich weiß, dass einige Krankenkassenportale ebenfalls nicht gut darauf reagieren.
Also kläre vorab ab, welche Seiten von eurer Firma benötigt werden, teste diese und packe sie wenn nötig in die Ausnahmeliste und lass alles andere scannen. Dazu eine Info an alle Mitarbeiter, an wen sie sich wenden sollen, wenn doch etwas nicht klappt.
Gruß
P.S.
wenn private Internetnutzung bei euch erlaubt ist, kläre das erst mit dem Betriebsrat etc,
Hallo!
Private Internetnutzung ist komplett untersagt. Das macht es zumindest rechtlich einfacher...
Darf ich fragen, was Du einsetzt, um SSL zu scannen?
Grüße
Phil
Private Internetnutzung ist komplett untersagt. Das macht es zumindest rechtlich einfacher...
Darf ich fragen, was Du einsetzt, um SSL zu scannen?
Grüße
Phil
Hallo,
wir nutzen eine Sophos UTM dafür.
Die Funktionen sind modular aufgebaut, zum Scannen von https wird Web Protection benötigt.
Gruß
wir nutzen eine Sophos UTM dafür.
Die Funktionen sind modular aufgebaut, zum Scannen von https wird Web Protection benötigt.
Gruß
Moin,
Die tunneln wir eben durch...
Grundsätzlich ist SSL-DPI in Deutschland eine Grauzone. Wir haben uns davor von unser Rechtsabteilung alles absegen lassen und schriftlich fixiert.
Grüße,
Dani
Aktiviert ihr SSL-Decryption dann nur für ausgesuchte Verbindungen, oder wartet ihr, bis etwas nicht funktioniert und nehmt das dann vom Scan aus?
Wir warten ab, bis etwas nicht geht. Es sind wirklich nur sehr wenige Programme, Seiten wo es Probleme wird.Die tunneln wir eben durch...
Grundsätzlich ist SSL-DPI in Deutschland eine Grauzone. Wir haben uns davor von unser Rechtsabteilung alles absegen lassen und schriftlich fixiert.
Grüße,
Dani