-
Ja und?
Autor: lala1 02.11.17 - 16:20
Mein erster Gedanke: "Ja und?". Die dämlichen Produkte von irgend einer Firma sind mir doch Wurst - es geht um die Sicherheit der Endnutzer und nicht um irgendwelche ranzigen Konzepte von ranzigen Netzwerkausstattern.
Weia - ich frage mich warum da nicht einfach der Finger in Richtung Cisco/Banken whatever gezogen wird und der Standard sicher wie er ist durchgezogen wird. -
Re: Ja und?
Autor: MozartInAGoKart 02.11.17 - 16:42
Ich glaube der offizielle Narativ von Cisco soll sein, dass man bei "zu sicheren" Verbindungen nicht mehr erkennen kann ob es sich um gewollte Verbindungen, sprich solche, die nicht von Malware kommen, handelt.
> Weia - ich frage mich warum da nicht einfach der Finger in Richtung Cisco/Banken whatever gezogen wird und der Standard sicher wie er ist durchgezogen wird.
Cisco würde ich fast abkaufen, dass sie dann ihre Sicherheitsfunktionen nnicht mehr anbieten können, was den Marktwert schmälert, allerdings ist ja bei der ganzen NSA Geschichte rausgekommen, dass Cisco Router ziemlich sicher verwanzt sind, alsoooooo....
Die Banken sind einfach faul. Enterprise Software ist unglaublich teuer in der Entwicklung. Ist doch viel billiger, die Verantwortung auf die Endanwender abzugeben. So können die Banken weiterhin ihre unendlich alte, über Jahre wild gewucherte Software behalten und müssen keine neue entwickeln. Easy Peasy. -
Re: Ja und?
Autor: gaym0r 02.11.17 - 16:53
lala1 schrieb:
--------------------------------------------------------------------------------
> Mein erster Gedanke: "Ja und?". Die dämlichen Produkte von irgend einer
> Firma sind mir doch Wurst - es geht um die Sicherheit der Endnutzer
Und wie schütze ich die User meines Unternehmens, die ohne nachzudenken auf jeden Link klicken, den sie irgendwo bekommen? Durch entsprechende UTM-Produkte. Wie schütze ich sie, wenn der Traffic verschlüsselt ist und nicht wie bisher entschlüsselt werden kann? Richtig: Garnicht. -
Re: Ja und?
Autor: ikhaya 02.11.17 - 16:58
Wenn ich vorher den Kram aus der Verbindung gekratzt habe, was hindert mich daran Application Whitelisting auf den Endrechnern zu machen und unbekannte Inhalte dort durch spezielle Software zu schieben?
-
Re: Ja und?
Autor: tingelchen 02.11.17 - 16:58
Und was bringt dir eine Verschlüsselung die man einfach so aufbrechen kann? Ach ja... gar nichts ;)
Eine Verschlüsselung die den Transportweg verschlüsseln soll und unterwegs aufgebrochen werden kann ist per Definition sinnlos. Dann kann man die Nutzer auch einfach unverschlüsselt auf das Internet los lassen.
Wie ich immer zu sagen pflege:
Keiner kauft einen Safe bei dem er nicht weis wer alles den Schlüssel hat ;) -
Re: Ja und?
Autor: nieht 02.11.17 - 17:26
Auch bei TLS 1.2 kann nur der Besitzer des Zertifikats die Verbringung aufbrechen und wenn der rechtmäßige Besitzer gut auf dieses aufgepasst hat, hat somit auch nur er diese Möglichkeit und diese Möglichkeit braucht er um mit "Middleboxen" seine Webserver vor Angriffen zu schützen. Natürlich ist es gut das Sicherheitsniveau von TLS zu verbessern aber Hersteller wie Cisco brauchen eine Möglichkeit dem rechtmäßigen Eigentümer des Zertifikats eine Technik zu bieten die die Webserver schützen kann.
-
Re: Ja und?
Autor: noxxi 02.11.17 - 17:27
Die Alternative zur Analyse in Middleboxen ist entweder keine Analyse zu machen in der Hoffnung das sämtlicher Traffic gutartig ist oder die Analyse auf den Endpunkten, d.h. zum Beispiel durch Browser-Plugins. Mal abgesehen davon, dass es an dieser Stelle möglicherweise schon zu spät ist (und der Drive-By-Download sein Opfer gefunden hat) läuft auf dem Endsystem dann also eine Sicherheitssoftware, die wiederum die Daten im Klartext zur Analyse bekommt, auch nach Hause telefonieren kann und auch Bugs hat die ausgenutzt werden können. Bessere Sicherheit für den Endanwender wird so auch nicht erreicht.
-
Re: Ja und?
Autor: Neuro-Chef 02.11.17 - 18:11
gaym0r schrieb:
> Und wie schütze ich die User meines Unternehmens, die ohne nachzudenken auf
> jeden Link klicken, den sie irgendwo bekommen?
Technisch realisiertes Internetverbot?
Getrennte Netzwerke mit/ohne Internetverbindung?
¯\_(ツ)_/¯
» Niemand ist vollkommen, aber irre sind ganz sicher viele. « – Vollkommen Irrer ಠ_ಠ
(war mal) Verifizierter Top 500 Poster! -
Re: Ja und?
Autor: gaym0r 02.11.17 - 18:38
Neuro-Chef schrieb:
--------------------------------------------------------------------------------
> gaym0r schrieb:
> > Und wie schütze ich die User meines Unternehmens, die ohne nachzudenken
> auf
> > jeden Link klicken, den sie irgendwo bekommen?
> Technisch realisiertes Internetverbot?
> Getrennte Netzwerke mit/ohne Internetverbindung?
Bitte? Kannst du auch ganze Sätze reden? Das macht jedenfalls keinen Sinn was du da sagst. -
Re: Ja und?
Autor: gaym0r 02.11.17 - 18:41
tingelchen schrieb:
--------------------------------------------------------------------------------
> Und was bringt dir eine Verschlüsselung die man einfach so aufbrechen kann?
> Ach ja... gar nichts ;)
>
> Eine Verschlüsselung die den Transportweg verschlüsseln soll und unterwegs
> aufgebrochen werden kann ist per Definition sinnlos.
Weißt du wie solche Middleboxen funktionieren?
Grundsätzlich kommt es logischerweise erstmal zu einem Zertifikatsfehler auf dem Client, wenn eine Middlebox den Traffic aufbricht. D.h. der User kriegt es mit und kann agieren. In Unternehmen wird dann auf der Middlebox ein Zertifikat installiert, welchem auch die Unternehmensrechner vertrauen. Fertig. Die Verschlüsselung ist weiterhin so gut wie sie ist und die Systeme der Firma können vernünftig den Traffic verarbeiten. -
Re: Ja und?
Autor: MarioWario 02.11.17 - 18:47
1+ - gut erkannt
Wenn es nach mir ginge würde das in unsere Institutsgruppe, ähnlich wie bei der Telekom , abgekündigt - einige brauchen halt etwas länger. Juniper genauso wie CISCO hängen der Entwicklung von BSD hinterher - sind das schwächste Glied.
Unsere Firewall hat ein 5-zeiliges RTF-Dokument geblockt - potenzielle Malware (ich dachte nur: Dafür mach' ich kein Ticket auf). -
Re: Ja und?
Autor: MarioWario 02.11.17 - 18:54
Haben wir auch so - ist so. Was ist daran so kompliziert ? Bei uns gibt es sogar verschachtelte Sessions und Spezialanwendungen zur Automatensteuerung - das läuft alles parallel zum Intranet in Extra-Sessions und Internet und Kunden-Netzwerken.
-
Re: Ja und?
Autor: lala1 02.11.17 - 19:09
Werbeblocker ausrollen, HTML Mails in Textmails umwandeln und schon hast du viel erreicht ... ach ja und Anwenderschulung.
Ein IDS ist nur ein Feigenblattmist genau wie Virenscanner - das ist hauptsächlich Schlangenöl - kostet viel und hilft sehr wenig.
Oder auch das was der Kollege hier schreibt https://forum.golem.de/kommentare/security/ietf-tls-1.3-ist-zu-sicher-fuer-ciscos-sicherheitsboxen/ja-und/113390,4939844,4939950,read.html#msg-4939950
Wo ein Wille ist ein Weg und am Ende ist obiges ohnehin billiger und nachhaltiger als irgendwelche kleinen schwarzen Kisten und teure Lizenzkosten die einem ein gutes Gefühl geben weil man ha ja viel bezahlt. -
Re: Ja und?
Autor: gaym0r 02.11.17 - 19:14
MarioWario schrieb:
--------------------------------------------------------------------------------
> das läuft alles parallel zum Intranet in Extra-Sessions und Internet und
> Kunden-Netzwerken.
Was genau willst du damit sagen? Alles läuft parallel zum Intranet? Alles läuft in Extra Sessions und Internet? Was ist das für ein Satz?
Fakt ist: Ich kann meinen 4000 Usern nicht (technisch) verbieten Mails zu lesen/schreiben oder das Internet zu nutzen, wenn sie es für die Arbeit eben benötigen. Das geht vielleicht in der Produktion oder einigen anderen wenigen Abteilungen, aber nicht global. -
Re: Ja und?
Autor: gaym0r 02.11.17 - 19:16
lala1 schrieb:
--------------------------------------------------------------------------------
> Werbeblocker ausrollen, HTML Mails in Textmails umwandeln und schon hast du
> viel erreicht ... ach ja und Anwenderschulung.
Es geht hier nicht um irgendwelche Drive-By Malware, die durch Werbung reinkommt.
Unternehmen einer bestimmten Größe werden irgendwann ganz gezielt angegriffen. Da kommen dann E-Mails rein, die selbst für Profis auf den ersten Blick absolut sauber aussehen, aber bösartige Anhänge haben und/oder bösartige Links enhalten. Wenn das dann ein HTTPS Link ist, kannst du ohne Middleboxen nicht viel machen als Admin. -
Re: Ja und?
Autor: Neuro-Chef 02.11.17 - 19:54
gaym0r schrieb:
> Bitte? Kannst du auch ganze Sätze reden? Das macht jedenfalls keinen Sinn
> was du da sagst.
Alternativ könntest du dich auch einfach nicht blöd stellen.
Hinweis:
https://de.wiktionary.org/wiki/Stichpunkt
¯\_(ツ)_/¯
» Niemand ist vollkommen, aber irre sind ganz sicher viele. « – Vollkommen Irrer ಠ_ಠ
(war mal) Verifizierter Top 500 Poster! -
Re: Ja und?
Autor: Bigfoo29 02.11.17 - 20:01
Das mit den Banken sind schlicht Ausreden. Üblicherweise werden über Webserver abgesetzte Verbindungen über FPGAs auf Spezialkarten verschlüsselt. (Nennt sich dann SSL Offloader.) Es gibt da eigentlich IMMER ein virtuelles (oder reales) Kabel zwischen Webserver und Offloader. Also zwischen den Kundendaten und der Verschlüsselung. Man müsste da lediglich die Prüf-Prozeduren umstellen (und um einen separaten SSL-Test erweitern, der die Strecke Test-Server -> SSL-Offloader -> Test-Client abdeckt) und damit wäre das Thema gegessen. Selbst Intrusion detection bleibt damit möglich. Lediglich die SSL-Offloader sind dadurch dann nicht mehr geschützt und brauchen eigene Onboard-Check-Routinen gegen Angriffe gegen die Verschlüsselungssoftware. Aber alles "hintendran" ist genau wie vorher auch. Das sind nur wieder die klassischen Nebelkerzen der Geheimdienste. :S
Regards -
Re: Ja und?
Autor: Neuro-Chef 02.11.17 - 20:05
gaym0r schrieb:
> Fakt ist: Ich kann meinen 4000 Usern nicht (technisch) verbieten Mails zu
> lesen/schreiben oder das Internet zu nutzen, wenn sie es für die Arbeit
> eben benötigen. Das geht vielleicht in der Produktion oder einigen anderen
> wenigen Abteilungen, aber nicht global.
Du könntest zumindest die Mails (an die Firmenadresse) vor der Auslieferung durch einen Filter jagen, dann wäre das schonmal erschlagen.
¯\_(ツ)_/¯
» Niemand ist vollkommen, aber irre sind ganz sicher viele. « – Vollkommen Irrer ಠ_ಠ
(war mal) Verifizierter Top 500 Poster! -
Re: Ja und?
Autor: tomatentee 02.11.17 - 23:16
gaym0r schrieb:
--------------------------------------------------------------------------------
> lala1 schrieb:
> ---------------------------------------------------------------------------
> -----
> > Mein erster Gedanke: "Ja und?". Die dämlichen Produkte von irgend einer
> > Firma sind mir doch Wurst - es geht um die Sicherheit der Endnutzer
>
> Und wie schütze ich die User meines Unternehmens, die ohne nachzudenken auf
> jeden Link klicken, den sie irgendwo bekommen?
>
Durch Schulungen, nicht jeden Link anzuklicken.
> Durch entsprechende UTM-Produkte.
>
Haha, ne :-D Wie viele Infektionen verhindert das Teil, die win lokaler Antivir nicht auch erkannt hätte? Guck dir das mal ernsthaft an...
> Wie schütze ich sie, wenn der Traffic verschlüsselt ist
> und nicht wie bisher entschlüsselt werden kann?
>
Durch Schulungen, nicht jeden Link anzuklicken. Dazu noch lokaler AV, fertig. -
Re: Ja und?
Autor: Apfelbrot 03.11.17 - 02:50
ikhaya schrieb:
--------------------------------------------------------------------------------
> Wenn ich vorher den Kram aus der Verbindung gekratzt habe, was hindert mich
> daran Application Whitelisting
Gegen Browser Exploits oder irgendwelcher Malware in PDFs?
> auf den Endrechnern zu machen und unbekannte Inhalte dort durch spezielle Software zu schieben?
Du meinst Virenscanner die ja sooo zuverlässig sind?



