1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Browserhersteller: Firefox und Chrome…

pfsense bietet für SSL/TLS Interception an

  1. Thema

Neues Thema Ansicht wechseln


  1. pfsense bietet für SSL/TLS Interception an

    Autor: mawa 06.03.15 - 16:49

    Wer von der Verschlüsselungswut belangloser Seiten langsam genervt ist, sollte sich einmal pfsense anschauen. Den Proxy Squid gibt es als Modul zum Nachinstallieren und der unterstützt neben der Funktion transparenter Proxy auch Interception für SSL. Damit können danach auch wunderbar Inhalt hinter SSL-Toren gecached, für die Wiederverwendung vorgehalten und mittels ClamAV auf Schadsoftware geprüft werden. Am besten klappt das in Domänennetzwerken, in denen das Zertifikat des Proxys einfach mittels GPO verteilt wird.

    Zusätzlich kann mittels SquidGuard Werbemüll entfernt und unerwünschte Seiten geblockt werden. Für langsame Netze bringt das Traffic Shaping auf Streams und Downloads Linderung.

  2. Re: pfsense bietet für SSL/TLS Interception an

    Autor: timistcool 06.03.15 - 17:13

    mawa schrieb:
    --------------------------------------------------------------------------------
    > Wer von der Verschlüsselungswut belangloser Seiten langsam genervt ist,
    > sollte sich einmal pfsense anschauen. Den Proxy Squid gibt es als Modul zum
    > Nachinstallieren und der unterstützt neben der Funktion transparenter Proxy
    > auch Interception für SSL. Damit können danach auch wunderbar Inhalt hinter
    > SSL-Toren gecached, für die Wiederverwendung vorgehalten und mittels ClamAV
    > auf Schadsoftware geprüft werden. Am besten klappt das in
    > Domänennetzwerken, in denen das Zertifikat des Proxys einfach mittels GPO
    > verteilt wird.
    >
    > Zusätzlich kann mittels SquidGuard Werbemüll entfernt und unerwünschte
    > Seiten geblockt werden. Für langsame Netze bringt das Traffic Shaping auf
    > Streams und Downloads Linderung.


    Nice try NSA, pls go.

  3. Re: pfsense bietet für SSL/TLS Interception an

    Autor: Anonymer Nutzer 06.03.15 - 20:19

    Bis auf "Verschlüsselungswut" hat er recht.
    pfsense ist ja für Firewalls (also richtige, nicht irgendwelche Software die häufiger mal irgendwelche Warnungen wegen eines Pings raushauen) damit ist dann Trotzdem der Weg über's Internet gesichert und unverschlüsselt geht es im LAN weiter.

    Da muss dann der Admin entscheiden, ob er andere Vorkehrungen getroffen hat (z.B. sehr restriktiv Geräte ins Netz lassen und diese dann härten).

    Allerdings ist das Verschlüsseln von Daten die über das Internet gehen äusserst wünschenswert.

  4. Re: pfsense bietet für SSL/TLS Interception an

    Autor: mawa 06.03.15 - 21:20

    Natürlich ist es wünschenswert die Daten im Internet nur verschlüsselt zu übertragen, wenn es sich um wichtige Informationen oder personenbezogene Daten handelt. Für jede allgemeine Site ist es unnötig und verhindert sinnvolles Bandbreitenmanagement.

    Ich habe viele Kunden, die nur über einen 1-4K Firmenanschluß verfügen und die auch keinen schnelleren bekommen können. Dort ist es unerlässlich, einen Proxy einzusetzten und Daten zu cachen und zu filtern. Hier wird z.B. zuerst alles was nach Werbung richt schon vor dem Abruf abgeblockt, Inhalte besonders die großen wie Streams über HTTP oder Downloads und Updates werden bis ca. 250MB zwischengespeichert. Der Proxy wird gierig konfiguriert und ignoriert die Caching-Angaben des ausliefernden Servers bei verschiedenen Mime-Types. Zusätzlich kommt dann noch ein DNS-Cache um unnötige Namensauflösungen zu minimieren.

    Mit dieser Konstellation kann man auch heute noch eine Hit-Rate >60% erreichen, zumindest auf den Datenverkehr, der nicht End2End verschlüsselt ist. Leider wird heute versucht, jede noch so unnötige Site nur noch mit SSL und am besten noch mit selbsignierten Zertifikaten auszuliefern. Dazu kommen noch Werbserver, die ihren Müll mit SSl ausliefern und zusätzlich noch einen Driveby-Angriff oben drauf packen.

    Daher halte ich Interception in Firmennetzwerk für angebracht. Der Proxy bricht die Verschlüsselung auf und kommuniziert mit dem Client mit einem selbst erstellten und signierten Zertifikat. Nach außen bleibt alles verschlüsselt und das notwendige CA-Zertifikat wird auf die Firmengeräte mittels GPO verteilt.

    Das Netzwerk ist dann für die private Nutzung tabu und es gibt dann eine entsprechende dienstliche Anweisung oder entsprechende Betriebsvereinbarung. Wer dann in der Pause auf Facebook oder Twitter abhängen möchte, kann dieses dann mit seinem Smartphone und G3 oder G4 machen.

    Denkt dadrüber was ihr wollt, ich halte es für sinnvoll und notwendig. SSL/TLS und PKI nach x.509 sind im Internet kaputt und das jetzt jeder zweite meint er müsse unbedingt mit einem selfsigned Cert seine Site absichern macht die Sache auch nicht besser.

  5. Re: pfsense bietet für SSL/TLS Interception an

    Autor: ikhaya 07.03.15 - 09:15

    Wenn man die Einschränkung "nichts privates" eh schon getroffen hat, warum dann nicht stattdessen eine Whitelist für Seiten relevant für den Job einrichten und den Spamfilter auf die Clientseite schieben?
    Ich mit meinem Schmalband-Anschluss hier reduzier mit Adblock auch drastisch die Ladezeiten.

    Wenn in Zukunft die Browser DANE unterstützen und die Zertifikate unabhängig von irgendwelchen MitM-CAs geprüft werden können und sich TLS noch weiter verbreitet und besser abgesichert wird, denke ich nicht dass obige Methodik praktikabel bleibt.

  6. Re: pfsense bietet für SSL/TLS Interception an

    Autor: nudel 07.03.15 - 15:37

    Ist doch völlig Wurst ob die Seite self signed oder CA-Zertifikate hat. Einfach im Proxy den Verkehr aufmachen und dann wieder entsprechend zu machen mit einem Zertifikat dessen Stamm nicht vertrauenswürdig ist für die Enduser und einem wo das Root Zertifikat auch in den Browsern hinterlegt ist. Dann macht es gar keinen Unterschied für die Mitarbeiter?

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT-Administrator/IT-Systemen- gineer (m/w/d)
    Step Computer- und Datentechnik GmbH, Lörrach
  2. Expertinnen bzw. Experten Qualitätssicherung Softwareentwicklung (w/m/d)
    Statistisches Bundesamt, Wiesbaden
  3. IT-Spezialist (m/w/d)
    Lotto Bayern | Abteilung 1 Referat 12 | HR-Marketing & Entwicklung, München
  4. IT-Beratung & Support für Baustellen und Konzernstandorte (m/w/d)
    STRABAG BRVZ GMBH & CO.KG, Berlin

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 99,99€
  2. 59,99€
  3. 564,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Dragonbox-Pyra-Macher im Interview: Die Linux-Spielekonsole aus Deutschland
Dragonbox-Pyra-Macher im Interview
Die Linux-Spielekonsole aus Deutschland

Mit viel Verspätung ist die Dragonbox Pyra erschienen. Entwickler Michael Mrozek musste ganz schön kämpfen, damit es überhaupt dazu kam. Wir haben ihn in Ingolstadt zum Gespräch getroffen.
Ein Interview von Martin Wolf


    Software-Projekte: Meine Erfahrungen mit einer externen Entwicklerfirma
    Software-Projekte
    Meine Erfahrungen mit einer externen Entwicklerfirma

    Ich versprach mir Hilfe für meine App-Entwicklung. Die externe Entwicklerfirma lieferte aber vor allem Fehler und Ausreden. Was ich daraus gelernt habe.
    Von Rajiv Prabhakar

    1. Feature-Branches Apple versteckt neue iOS-Funktionen vor seinen eigenen Leuten
    2. Entwicklungscommunity Finanzinvestor kauft Stack Overflow für 1,8 Milliarden
    3. Demoszene Von gecrackten Spielen zum Welterbe-Brauchtum

    Early Access: Spielerisch wertvolle Baustellen
    Early Access
    Spielerisch wertvolle Baustellen

    Vor allen anderen spielen, bei der Entwicklung mitmachen: Golem.de stellt besonders spannende Early-Access-Neuheiten vor.
    Von Rainer Sigl

    1. Hype auf Steam Mehr als 500.000 Menschen spielen Valheim
    2. Hype auf Steam Warum ist Valheim eigentlich so beliebt?
    3. Nur für echte Gamer Die besten Spiele-Geheimtipps 2020