Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › IT-Sicherheit: Auch kleine Netze…

Frage zu HTTPS Inspection

  1. Thema

Neues Thema Ansicht wechseln


  1. Frage zu HTTPS Inspection

    Autor: layer9 10.10.19 - 12:00

    Hallo Leute,

    kurz grundsätzlich: Ich halte den Artikel für Werbung der Sicherheitsbranche und den Einsatz insbesondere von SSL Inspection für fragwürdig und bin persönlich eher dagegen.

    Wir haben dieses Jahr Office 365 eingeführt und uns in diesem Zusammenhang auch intensiver mit dem Thema Internetzugriff auf Cloudservices auseinandergesetzt.

    Es wird ja generell so sein, dass durch die zunehmende Nutzung von Public Cloud Services bestimmte Teile des Internets sozusagen Teil der eigenen Infrastruktur werden und bezogen auf den Netzwerkzugriff auch so behandelt werden müssen. Das alte Bild „hier drinnen sind die Guten und da draußen sind die Bösen“ kombiniert mit „aber wir haben ja eine Firewall!“ wird dadurch auch ein Stück Weit aufgeweicht.

    Ich will nicht alles im Detail erneut schreiben, aber obwohl wir hinsichtlich Office 365 alle von Microsoft vorgegebenen Punkte beachtet haben und den Großteil des Traffics in Richtung Office 365 grundsätzlich an unserem Proxyserver vorbeileiten, hatten wir trotzdem Probleme z.B. beim Zugriff auf Outlook. Ursache dafür ist im Prinzip, dass die von Microsoft bereitgestellten Listen mit IP Adressen aus O365 nicht vollständig sind. Jedenfalls konnten wir das Problem nur dadurch lösen, indem wir allen Clients direkten Zugriff via https erlaubt haben.

    Wen das Thema interessiert:

    github.com und dann folgender Pfad:

    MicrosoftDocs/OfficeDocs-Enterprise/issues/543

    Darüber hinaus sind wir aber gerade dabei, unseren alten Microsoft TMG Proxy durch eine Sophos XG abzulösen bzw. in den Vorbereitungen dazu. Es wird wohl prinzipbedingt auch mit mit der XG nicht möglich sein, alle Probleme im Zusammenhang mit dem Umleiten des Traffics -> Office 365 perfekt zu lösen, ohne dass die Listen von Microsoft alle Ziele enthalten. Ich habe dazu eine Frage bei Sophos im Forum formuliert:

    community.sophos.com und dann folgender Pfad;

    /products/xg-firewall/f/sophos-xg-firewall-general-discussion/115511/how-to-handle-office-365-network-traffic-separation-in-sophos-xg

    Jetzt zu meiner eigentlichen Frage, ich bin nämlich leider kein Netzwerk-Experte: Wenn ich richtig verstehe, agiert bei SSL Inspection das Device, das die Inspection vornimmt, immer auch als Proxy Server. Das heißt, dass im Fall von SSL Inspection die Verbindung zum Zielserver immer vom Proxy hergestellt wird und nicht vom Client direkt. Denn das SSL Inspection Device muss ja den Traffic entschlüsseln und ggf. diverse Manipulationen durchführen.

    Ist das korrekt, oder kann man SSL Inspection auch „On the fly“ durchführen? Also z.B. so:

    1. Client sendet Paket via tcp/443 an Zielserver
    2. Router mit SSL Inspection erkennt eine SSL Verbindung
    3. Router tauscht das Zertifikat On the fly direkt in der Verbindung aus. Die Verbindung zwischen Client und Server bleibt aber direkt.

    Das bedeutet: Der Traffic am Server kommt mit der IP des Clients an, nicht mit der IP Adresse des Geräts (Proxies), das die SSL Inspection macht.

    Wisst Ihr, ob sowas möglich ist? Bei der Sophos XG muss der Traffic für jegliche Inhaltsanalyse wohl immer über einen Proxyservice, was dann bedeutet, dass die Verbindung zum Server vom Proxy hergestellt wird und die Verbindung nicht mehr direkt ist, was aber bei IPv6 wünschenswert wäre.

    Das Ziel wäre, bestimmten Traffic auf Basis des im TLS Client Hellos enthaltenen Hostnamens von z.B. SSL Inspection auszuschließen, aber ohne, dass die zuvor erforderliche TCP Verbindung bereits über einen Proxy läuft.

    VG
    Michael

  2. Re: Frage zu HTTPS Inspection

    Autor: MarcusK 10.10.19 - 12:09

    layer9 schrieb:
    --------------------------------------------------------------------------------
    > Hallo Leute,
    >
    > kurz grundsätzlich: Ich halte den Artikel für Werbung der
    > Sicherheitsbranche und den Einsatz insbesondere von SSL Inspection für
    > fragwürdig und bin persönlich eher dagegen.

    ich auch, mein Artikel wurde deswegen gleich gelöscht
    > Jetzt zu meiner eigentlichen Frage, ich bin nämlich leider kein
    > Netzwerk-Experte: Wenn ich richtig verstehe, agiert bei SSL Inspection das
    > Device, das die Inspection vornimmt, immer auch als Proxy Server. Das
    > heißt, dass im Fall von SSL Inspection die Verbindung zum Zielserver immer
    > vom Proxy hergestellt wird und nicht vom Client direkt. Denn das SSL
    > Inspection Device muss ja den Traffic entschlüsseln und ggf. diverse
    > Manipulationen durchführen.
    >
    > Ist das korrekt, oder kann man SSL Inspection auch „On the fly“
    > durchführen? Also z.B. so:
    >
    > 1. Client sendet Paket via tcp/443 an Zielserver
    > 2. Router mit SSL Inspection erkennt eine SSL Verbindung
    > 3. Router tauscht das Zertifikat On the fly direkt in der Verbindung aus.
    > Die Verbindung zwischen Client und Server bleibt aber direkt.
    >
    > Das bedeutet: Der Traffic am Server kommt mit der IP des Clients an, nicht
    > mit der IP Adresse des Geräts (Proxies), das die SSL Inspection macht.

    ohne jetzt die Produkte zu kennen, kann beides Möglich sein. Die Firewall kann auch die alte clientIP beibehalten und damit eine eigene Verbindung aufbauen oder sie verwendet eine eigen IP dafür.

  3. Re: Frage zu HTTPS Inspection

    Autor: Quantium40 10.10.19 - 12:19

    layer9 schrieb:
    > Wir haben dieses Jahr Office 365 eingeführt

    Das ist mutig, wenn man so an Themen wie die DSGVO oder auch die spassigen Executive Orders aus den USA denkt, die z.B. Huawei und zuletzt Venezuela von vielen Cloudservices abgeschnitten haben.
    Immerhin liegt die EU mit den USA zur Zeit ja auch ein wenig im Streit.

    > 1. Client sendet Paket via tcp/443 an Zielserver
    > 2. Router mit SSL Inspection erkennt eine SSL Verbindung
    > 3. Router tauscht das Zertifikat On the fly direkt in der Verbindung aus. Die Verbindung
    > zwischen Client und Server bleibt aber direkt.
    Nein. Die Zertifikate dienen ja nur als öffentliche Schlüssel, mit denen Client und Server die eigentlichen Transportschlüssel austauschen. Um den Inhalt der SSL-Verbindung zu inspizieren benötigt der inspizierende Rechner aber diese Transportschlüssel.
    Da er diese nicht abgreifen kann, bleibt damit nur die Möglichkeit, die SSL-Verschlüsselung komplett aufzubrechen und praktisch 2 SSL-Verbindungen herzustellen, die jeweils über eigene Zertifikate abgesichert sind.
    Client <--> inspizierendes System <--> Zielserver

    Manche Systeme erlauben es dabei, dass die originale Client-IP weiterhin dem Zielserver als Absender vorgegaukelt wird. Im Endeffekt ist es aber so, dass man mit SSL-Inspektion praktisch einen permanenten MitM-Angriff fährt und SSL damit ziemlich wertlos wird.



    2 mal bearbeitet, zuletzt am 10.10.19 12:36 durch Quantium40.

  4. Re: Frage zu HTTPS Inspection

    Autor: megaseppl 10.10.19 - 14:44

    Hier ein Golem-Artikel zu den Gefahren: https://www.golem.de/news/https-interception-sicherheitsprodukte-gefaehrden-https-1702-126098.html

  5. Re: Frage zu HTTPS Inspection

    Autor: gaym0r 10.10.19 - 15:18

    Quantium40 schrieb:
    --------------------------------------------------------------------------------
    > dass man mit SSL-Inspektion praktisch einen permanenten MitM-Angriff fährt
    > und SSL damit ziemlich wertlos wird.

    Die Schlussfolgerung dass TLS dadurch wertlos wird kann ich nicht ganz nachvollziehen. Der Traffic ist ja weiterhin verschlüsselt und wird vorher nur von den Geräten eingesehen die es sollen/dürfen.

  6. Re: Frage zu HTTPS Inspection

    Autor: MarcusK 10.10.19 - 15:26

    gaym0r schrieb:
    --------------------------------------------------------------------------------
    > Quantium40 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > dass man mit SSL-Inspektion praktisch einen permanenten MitM-Angriff
    > fährt
    > > und SSL damit ziemlich wertlos wird.
    >
    > Die Schlussfolgerung dass TLS dadurch wertlos wird kann ich nicht ganz
    > nachvollziehen. Der Traffic ist ja weiterhin verschlüsselt und wird vorher
    > nur von den Geräten eingesehen die es sollen/dürfen.

    TLS soll auch garantieren das man mit der richtige Gegenstelle redet - das wird hier die "illegale" Zertifikate schon mal umgangen.

    Der Browser kann nicht mehr prüfen ob überhaupt noch mit dem Server verschlüsselt geredet wird. Auch eine Prüfung ob welche Key-Länge verwendet wird ist nicht mehr möglich.

    TSL sollte die Sicherheit der Daten garantieren, wenn jetzt jemand in der Mitte die Daten entschlüsselt kann er sie auch ändern. Das widerspricht dem TLS Konzept.

    Der Sinn und Zweck warum man TSL einsetzt, wird damit wertlos. Es ist damit ein sehr schlechter Kompromiss.

  7. Re: Frage zu HTTPS Inspection

    Autor: HGH 10.10.19 - 16:05

    Was Du Dir vorstellst sollte ohne Probleme funktionieren. In diesem Fall wird der Zertifikateschlüssel in Deinem Proxy hinterlegt. Dieser bricht dann das Paket und kann nach von Dir vorgegebenen Regeln die Pakete weiterleiten. Die Verbindung zwischen dem Client und dem Server wird dadurch nicht beeinträchtigt. Allerdings sollte Dein Proxy auch ordentlich Power haben. Mit einem normalen opwnWrt-Router oder anderer Router-Hardware wirst Du nicht weit kommen. Bei uns läuft das Ganze in einer virtuellen Maschine. Die Rechenleistung für Deep Package Inspection ist dann doch ein bisschen höher.

  8. Re: Frage zu HTTPS Inspection

    Autor: MarcusK 10.10.19 - 16:11

    HGH schrieb:
    --------------------------------------------------------------------------------
    > Was Du Dir vorstellst sollte ohne Probleme funktionieren. In diesem Fall
    > wird der Zertifikateschlüssel in Deinem Proxy hinterlegt. Dieser bricht
    > dann das Paket und kann nach von Dir vorgegebenen Regeln die Pakete
    > weiterleiten. Die Verbindung zwischen dem Client und dem Server wird
    > dadurch nicht beeinträchtigt. Allerdings sollte Dein Proxy auch ordentlich
    > Power haben. Mit einem normalen opwnWrt-Router oder anderer Router-Hardware
    > wirst Du nicht weit kommen. Bei uns läuft das Ganze in einer virtuellen
    > Maschine. Die Rechenleistung für Deep Package Inspection ist dann doch ein
    > bisschen höher.
    das klappt aber nicht mit PFS bzw. woher soll er denn den key vom Office360 Server bekommen?

  9. Re: Frage zu HTTPS Inspection

    Autor: HGH 10.10.19 - 17:19

    Perfect Foward Secrecy funktioniert auch. Wir hatten mal eine ähnliche Lösung aufgebaut. Die Konfiguration hat allerdings einer meiner Mitarbeiter ausgekocht, weshalb ich Sie nicht mit genauen Details verwöhnen kann. Auf Wunsch kann ich allerdings mal nachfragen.

    Viele Grüße,

    HG



    1 mal bearbeitet, zuletzt am 10.10.19 17:19 durch HGH.

  10. Re: Frage zu HTTPS Inspection

    Autor: gaym0r 10.10.19 - 18:28

    MarcusK schrieb:
    --------------------------------------------------------------------------------
    > gaym0r schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Quantium40 schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > dass man mit SSL-Inspektion praktisch einen permanenten MitM-Angriff
    > > fährt
    > > > und SSL damit ziemlich wertlos wird.
    > >
    > > Die Schlussfolgerung dass TLS dadurch wertlos wird kann ich nicht ganz
    > > nachvollziehen. Der Traffic ist ja weiterhin verschlüsselt und wird
    > vorher
    > > nur von den Geräten eingesehen die es sollen/dürfen.
    >
    > TLS soll auch garantieren das man mit der richtige Gegenstelle redet - das
    > wird hier die "illegale" Zertifikate schon mal umgangen.

    Nö, der Endpunkt ist ja immer noch der gleiche.

    > Der Browser kann nicht mehr prüfen ob überhaupt noch mit dem Server
    > verschlüsselt geredet wird.

    Jeder Server, der verschlüsselte Kommunikation anbietet, sollte diese ausschließlich anbieten. Wenn er eh unverschlüsselt anbietet ist alles andere eh egal.

    > TSL sollte die Sicherheit der Daten garantieren, wenn jetzt jemand in der
    > Mitte die Daten entschlüsselt kann er sie auch ändern. Das widerspricht dem
    > TLS Konzept.

    Kommt halt drauf an wer das ist. In der Regel ist es der Admin, welcher mit Zustimmung der Geschäftsführung, des Betriebsrats und des Users bestimmten TLS-Traffic aufbricht.

    > Der Sinn und Zweck warum man TSL einsetzt, wird damit wertlos.

    Nö, sehe ich nicht so. Unberechtigte Personen können auch weiterhin den Traffic nicht einsehen.

  11. Re: Frage zu HTTPS Inspection

    Autor: 486dx4-160 10.10.19 - 18:47

    Ich würde das auch nicht machen. Bei mir in der Firma wurde das eingeführt, jetzt gibt's Ausnahmelisten, für welche Applikation/interne IP/externer Hostnamen der Man-In-The-Middle-Proxy nicht aktiv werden soll, weil das eben nicht jede Anwendung mitmacht. Das ist dauerhaft ein Riesenaufwand. Weil die Aufnahme in die Ausnahmeliste aber für Normalsterbliche nicht vorgesehen ist, laufen jetzt ein paar Updater ins Leere (und werden von gewieften Nutzern irgendwann ganz deaktiviert), und die Leute neigen dazu, SSL-Fehlermeldungen wieder blind wegzuklicken. Verstehe mich nicht falsch: Das System funktioniert in 99,9% der Fälle völlig unsichtbar. Aber das reicht eben nicht. Wozu es aber definitiv reicht ist, die Sicherheit der Firma zu gefährden.

    Außerdem wird der Erkenntnisgewinn durch solche MITM-Proxies weit überschätzt.



    2 mal bearbeitet, zuletzt am 10.10.19 18:57 durch 486dx4-160.

  12. Re: Frage zu HTTPS Inspection

    Autor: ldlx 10.10.19 - 18:47

    Von den Sophos UTMs kenne ich das so, dass HTTPS nicht aufgebrochen werden muss, nur um unerwünschte Seiten zu sperren. "Gute" Seiten gehen da einfach durch ohne Meldung.
    Bei einer gesperrten Seite würde es eine Meldung im Browser geben, die - wegen dem Neuverschlüsseln der Fehlerseite - eine Browserwarnung verursacht.

  13. Re: Frage zu HTTPS Inspection

    Autor: megaseppl 10.10.19 - 18:53

    ldlx schrieb:
    --------------------------------------------------------------------------------
    > Von den Sophos UTMs kenne ich das so, dass HTTPS nicht aufgebrochen werden
    > muss, nur um unerwünschte Seiten zu sperren. "Gute" Seiten gehen da einfach

    Auch bei der Sophos UTM wird das HTTPS aufgebrochen, wenn der Inhalt der Pakete überprüft werden soll. Dafür musst du dann an den Clients das Zertifikat der UTM installieren.
    Bei HTTPS kann nur die Domain gecheckt werden, selbst die vollständige URL kann ohne MidM nicht mehr ausgelesen werden.

  14. Re: Frage zu HTTPS Inspection

    Autor: ldlx 10.10.19 - 19:00

    Es muss aber nicht HTTPS aufgebrochen werden, nur um Domains zu sperren. Die Fehlermeldung mag aber die Nutzer verwirren.

  15. Re: Frage zu HTTPS Inspection

    Autor: SchrubbelDrubbel 10.10.19 - 21:24

    Quantium40 schrieb:
    --------------------------------------------------------------------------------
    > layer9 schrieb:
    > > Wir haben dieses Jahr Office 365 eingeführt
    >
    > Das ist mutig, wenn man so an Themen wie die DSGVO oder auch die spassigen
    > Executive Orders aus den USA denkt, die z.B. Huawei und zuletzt Venezuela
    > von vielen Cloudservices abgeschnitten haben.
    > Immerhin liegt die EU mit den USA zur Zeit ja auch ein wenig im Streit.
    >

    Mutig?? LOL, das ist einfach nur naiv und dumm.

  16. Re: Frage zu HTTPS Inspection

    Autor: Quantium40 11.10.19 - 02:29

    ldlx schrieb:
    > Es muss aber nicht HTTPS aufgebrochen werden, nur um Domains zu sperren.

    Das wird sich allerdings mit DNS over HTTPS möglicherweise ändern.

  17. Re: Frage zu HTTPS Inspection

    Autor: lal12 11.10.19 - 10:52

    Dass das Ausfiltern von Seiten ohne Aufbrechen von HTTPS klappt liegt an ServerNameIdentification. Das ist eine Erweiterung von TLS die eingeführt wurde um mehrere Zertifikate auf einer IP zu ermöglichen. Das Problem vorher war, dass die TLS-Verbindung aufgebaut wurde dann wurde erst der HTTP-Header mit der angeforderten Seite geschickt. Somit war dem Server vor aufbauen der Verbindung nicht bekannt welche Website man erreichen will. Deshalb konnte man auf einer IP eben nur eine HTTPS-Website anbieten. Es sei den man hätte genau das richtige MultiDomain Zertifikat gehabt, aber auch das ist ja nicht die beste/sicherste Lösung. Jedenfalls wird jetzt unverschlüsselt beim Aufbau einer TLS-Verbindung der Serverhostname (z.B. forum.golem.de) mitgeliefert nur so kann der Server das für die Domain passende TLS-Zertifikat mitliefern.

    Allerdings wird auch langfristig diese Möglichkeit verschwinden, denn SNI existiert mittlerweile ebenfalls in verschlüsselter Variante, das wird wohl in nächster Zeit das unverschlüsselte ersetzen.

  18. Re: Frage zu HTTPS Inspection

    Autor: Varbin 14.10.19 - 08:00

    Nein, wird es nicht. Die Domäne beim aushandeln der TLS Verschlüsselung wird nämlich im Klartext übermittelt, damit der Server das korrekte Zertifikat ausliefert (Stichwort "SNI").

    Es ist zwar eine TLS-Erweiterung geplant, die die Domäne verschlüsselt - und damit können dann auch die Domains nicht mehr gefiltert werden - das hat jedoch nichts mit DoH zu tun.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. BG-Phoenics GmbH, Hannover
  2. mWGmy World Germany GmbH, Köln
  3. Franz Binder GmbH + Co. Elektrische Bauelemente KG, Neckarsulm
  4. ifp - Institut für Managementdiagnostik Will & Partner GmbH & Co. KG, Großraum München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-67%) 3,30€
  2. 39,99€ (Release am 3. Dezember)
  3. (-78%) 2,20€
  4. 69,99€ (Release am 25. Oktober)


Haben wir etwas übersehen?

E-Mail an news@golem.de


iPad 7 im Test: Nicht nur für Einsteiger lohnenswert
iPad 7 im Test
Nicht nur für Einsteiger lohnenswert

Auch mit der siebten Version des klassischen iPads richtet sich Apple wieder an Nutzer im Einsteigersegment. Dennoch ist das Tablet sehr leistungsfähig und kommt mit Smart-Keyboard-Unterstützung. Wer ein gutes, lange unterstütztes Tablet sucht, kann sich freuen - ärgerlich sind die Preise fürs Zubehör.
Ein Test von Tobias Költzsch

  1. iPad Einschränkungen für Apples Sidecar-Funktion
  2. Apple Microsoft Office auf neuem iPad nicht mehr kostenlos nutzbar
  3. Tablet Apple bringt die 7. Generation des iPads

Rabbids Coding angespielt: Hasenprogrammierung für Einsteiger
Rabbids Coding angespielt
Hasenprogrammierung für Einsteiger

Erst ein paar einfache Anweisungen, dann folgen Optimierungen: Mit dem kostenlos erhältlichen PC-Lernspiel Rabbids Coding von Ubisoft können Jugendliche und Erwachsene ein bisschen über Programmierung lernen und viel Spaß haben.
Von Peter Steinlechner

  1. Transport Fever 2 angespielt Wachstum ist doch nicht alles
  2. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  3. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle

Internetprovider: P(y)ures Chaos
Internetprovider
P(y)ures Chaos

95 Prozent der Kunden des Internetproviders Pyur bewerten die Leistung auf renommierten Bewertungsportalen mit der Schulnote 6. Ein Negativrekord in der Branche. Was steckt hinter der desaströsen Kunden(un)zufriedenheit bei der Marke von Tele Columbus? Ein Selbstversuch.
Ein Erfahrungsbericht von Tarik Ahmia

  1. Bundesnetzagentur Nur 13 Prozent bekommen im Festnetz die volle Datenrate

  1. Proteste in Hongkong: Hochrangige US-Politiker schreiben an Activision und Apple
    Proteste in Hongkong
    Hochrangige US-Politiker schreiben an Activision und Apple

    Alexandria Ocasio-Cortez, Marco Rubio und weitere Politiker der großen US-Parteien haben offene Briefe an die Chefs von Activision Blizzard und Apple geschrieben. Sie fordern darin, dass die Firmen nicht mehr die chinesische Regierung in deren Kampf gegen die Proteste in Hongkong unterstützen.

  2. Wing Aviation: Kommerzielle Warenlieferung per Drohne in USA gestartet
    Wing Aviation
    Kommerzielle Warenlieferung per Drohne in USA gestartet

    In den USA hat das zu Alphabet gehörende Unternehmen Wing Aviation die ersten Bestellungen per Drohne an Kunden ausgeliefert - unter anderem Schnupfenmittelchen.

  3. Office und Windows: Microsoft klagt gegen Software-Billiganbieter Lizengo
    Office und Windows
    Microsoft klagt gegen Software-Billiganbieter Lizengo

    Auffallend günstige Keys für Office 365 und Windows 10 bei Anbietern wie Edeka sind möglicherweise nicht legal. Nun geht Microsoft gegen Lizengo vor, einen der größten Anbieter solcher Software.


  1. 14:43

  2. 13:45

  3. 12:49

  4. 11:35

  5. 18:18

  6. 18:00

  7. 17:26

  8. 17:07