-
Frage: Https-Surfen in Firmennetzwerken
Autor: thomas65 15.12.14 - 13:09
Wenn jemand privat von zu Hause aus verschlüsselt über https surft, scheint es einen Sicherheitszugewinn zu geben. Probleme sehe ich hier nur beim Einbinden von fremden Inhalten, welche nicht direkt von der zertifizierten Domäne kommen.
Nun aber meine Frage: Klar, es wird in Firmen auch über Firmennetzwerke gesurft. Solange dies unverschlüsselt abläuft, kann der Internet-Verkehr gefiltert und auch ggfs. auf Schadsoftware geprüft werden.
Habe ich nun nach Googles Empfehlung nur noch Internetverbindungen über https, muss der Client am Arbeitsplatz als solcher allein mit sämtlichen Bedrohungen fertig werden, da ja keine andere Komponente auf diesem Weg in die versendeten Daten einsehen kann. Sehe ich das richtig?
Bitte um Aufklärung - Danke - Thomas W. -
Re: Frage: Https-Surfen in Firmennetzwerken
Autor: fuzzy 15.12.14 - 14:16
Diverse Firmen, unter anderem auch ein großer deutscher Automobilhersteller (bei dem ich nicht arbeite), verwenden einen MITM-Proxy. Mit per Windows-Domäne zwangsinstallierten Root-Zertifikaten fällt das auch nicht unbedingt auf.
Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure! -
Re: Frage: Https-Surfen in Firmennetzwerken
Autor: thomas65 15.12.14 - 14:40
Danke, ich glaube das war es dann auch.
Sehr gut erklärt fand ich es dann mit Deinem Stichwort unter: https://mitmproxy.org/doc/howmitmproxy.html
Thomas
PS: Nach diesen Beschreibungen leidet aber in anderer Hinsicht auch wieder das Vertrauen in jedwede Sicherheit. -
Re: Frage: Https-Surfen in Firmennetzwerken
Autor: gerl1ng 15.12.14 - 15:05
Ja, da bleibt dann zu hoffen, dass der Proxy eine Gefahr (fehlerhaftes Zertifikat) erkennt und das entsprechend meldet. (Der könnte dann ja auch einfach ein fehlerhaftes Zertifikat verwenden ;-) )
Der Endnutzer muss sich natürlich bewusst sein, dass sein Paket unterwegs entschlüsselt wird und theoretisch geloggt werden könnte.
Unter dem Begriff "Next Generation Firewall" gibt es bereits einige Pendants, die Firewalls, MITM-Proxy und co in eine Maschine zusammenfassen. Wird bereits in einigen Firmen eingesetzt.