https und Contentfilter

Alles rund um sicherheitsrelevante Fragen und Probleme.
mgolbs
Beiträge: 259
Registriert: 22.03.2009 18:08:17
Wohnort: Tirschenreuth - Löbau

https und Contentfilter

Beitrag von mgolbs » 06.11.2018 21:43:59

Hallo,

einer unserer EDV'er hat beschrieben, dass eine https Verbindung zwischen Browser, in Firma leider IE, und einem entfernten Webserver durch den Contentfilter unserer Firewall auch innerhalb der verschlüsselten Verbindung mitgelesen und analysiert werden kann. Bis jetzt hatte ich zu diesem Thema grundsätzlich folgendes Verständnis:
# Webbrowser fragt Webserver an ob End to End Verschlüsselung möglich ist (https Protokoll),
# Webserver antwortet und übersendet sein öffentliches Zertifikat/Schlüssel,
# Webbrowser prüft in seinem "Schlüsselarchiv" ob das Zertifikat des Webservers echt ist,
# ist dieses echt/gelistet wird ein temporärer Code aus Zufallszahl und Serverzertifikat erstellt, anschließend dem Webserver zugesandt,
# nur mit dem privaten Schlüssel des Webservers kann dieser den Code und die Zufallszahl entschlüsseln,
# nun wird damit (ich weiss nicht ob der Server dann noch mal das gleiche System mit einer Zufallszahl des Webservers generiert) die verschlüsselte Verbindung aufgebaut, Daten übertragen.

Wie soll diese verschlüsselte Verbindung von einem Filter analysiert werden können?

Sollte das dennoch möglich sein, müsste ja der Browser seine Zufallszahl dem Contentfilter der Firewall irgend wie mitteilen. Dann wäre ja https relativ sinnlos.

Über einige technische Infos und Korrekturen, Erläuterungen zu dem Thema wäre ich sehr dankbar.

Gruß Markus
Dem Überflüssigen nachlaufen, heißt das Wesentliche verpassen.
Jules Saliège

DeletedUserReAsG

Re: https und Contentfilter

Beitrag von DeletedUserReAsG » 06.11.2018 21:47:32

Man in the middle. Der betreffende Proxy braucht nur ’n Zertifikat, das der Browser für die betreffende Domain akzeptiert. Der Browser baut dann die Verbindung mit‘m Proxy auf, der wiederum baut die Verbindung zur Zielseite auf und hat fortan den Traffic im Klartext.
Wenn der Admin des Netzwerks die Kontrolle hat, kann er das problemlos so einrichten (machen tatsächlich viele Firmen so, hab ich gehört).

Benutzeravatar
Meillo
Moderator
Beiträge: 8782
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: https und Contentfilter

Beitrag von Meillo » 06.11.2018 22:02:40

niemand hat geschrieben: ↑ zum Beitrag ↑
06.11.2018 21:47:32
Man in the middle. Der betreffende Proxy braucht nur ’n Zertifikat, das der Browser für die betreffende Domain akzeptiert. Der Browser baut dann die Verbindung mit‘m Proxy auf, der wiederum baut die Verbindung zur Zielseite auf und hat fortan den Traffic im Klartext.
Helfen tut dagegen, das Zertifikat zu pruefen. (AFAIK hat z.B. Heise die Keys seiner Zertifikate auf der Website stehen. Oder man ruft mal an, um einen anderen Kommunikationsweg zu waehlen. Dabei kann man sicher auch ein paar nette Telefonate fuehren. ;-) )

Wenn der Admin des Netzwerks die Kontrolle hat, kann er das problemlos so einrichten (machen tatsächlich viele Firmen so, hab ich gehört).
Wenn der Admin die Clients unter Kontrolle hat und dadurch dem Browser sagen kann, welche Zertifikate er akzeptieren soll (was bei Firmen der Fall sein wird) dann wird der unbedarfte User gar nichts davon merken.
Use ed once in a while!

mgolbs
Beiträge: 259
Registriert: 22.03.2009 18:08:17
Wohnort: Tirschenreuth - Löbau

Re: https und Contentfilter

Beitrag von mgolbs » 06.11.2018 22:04:38

Hallo,

vielen Dank für die Info. Es ist tatsächlich so, dass wenn ich mich mit einem Linux Rechner an der Firewall anmelde z.B. mit Firefox sagt dieser, das Zertifikat der Firewall ungültig ist, ich es als Ausnahme akzeptieren muss.

Nur wie ist dann der Ablauf der https Verbindung? Gibt es dann eine https zwischen Browser und Proxy und eine weitere https zwischen Proxy und dem Zielwebserver, also keine End to End?

Bedeutet dies, dass mit jedem akzeptierte Zertifikat eine Gegenseite/Mittler technisch in der Lage wäre https Datenströme mitzulesen, "Man in the middle" attack?

Das bedeutet doch aber auch, dass alle Passwörter über diese https Verbindung durch den "Man in the middle" als Klartext zur Verfügung stehen. Sollte es gelingen diese "Man in the middle" zu attakieren, wäre es ja einer der Supergaus im Netzwerk?

Auch frage ich mich wie es mit dem Datenschutz dieser Technik aussieht. Wir nutzen Dienste per https, wo damit unser Benutzername und das Passwort dazu (alles Firmendienste und Aufgaben, nix privates) als Klartext zur Verfügung steht. Schon etwas suspekt das Verfahren, besonders wenn man die 99,9% der Nutzer betrachtet, die bei https Verbindungen eine End to End Verschlüsselung annehmen...

Gruß und Dank Markus
Zuletzt geändert von mgolbs am 06.11.2018 22:14:11, insgesamt 3-mal geändert.
Dem Überflüssigen nachlaufen, heißt das Wesentliche verpassen.
Jules Saliège

DeletedUserReAsG

Re: https und Contentfilter

Beitrag von DeletedUserReAsG » 06.11.2018 22:12:29

mgolbs hat geschrieben: ↑ zum Beitrag ↑
06.11.2018 22:04:38
Gibt es dann eine https zwischen Browser und Proxy und eine weitere https zwischen Proxy und dem Zielwebserver, also keine End to End?
Ja. E2E lässt sich nicht so einfach aufmachen, ansonsten wäre TLS wertlos.

mgolbs
Beiträge: 259
Registriert: 22.03.2009 18:08:17
Wohnort: Tirschenreuth - Löbau

Re: https und Contentfilter

Beitrag von mgolbs » 06.11.2018 22:17:06

Hallo,

man hat in so einem Netzwerk also keine Chanche eine E2E aufzumachen. Wie erkenne ich grundsätzlich, ob ich einer "Man in the middle" Attacke erlegen bin?

Gruß Markus
Dem Überflüssigen nachlaufen, heißt das Wesentliche verpassen.
Jules Saliège

DeletedUserReAsG

Re: https und Contentfilter

Beitrag von DeletedUserReAsG » 06.11.2018 22:18:06

Wurde schon geschrieben: indem du das Zertifikat manuell überprüfst.

mgolbs
Beiträge: 259
Registriert: 22.03.2009 18:08:17
Wohnort: Tirschenreuth - Löbau

Re: https und Contentfilter

Beitrag von mgolbs » 06.11.2018 22:20:01

Hallo,

welches Zertifikat, das vom Proxy? Das vom entfernten Webserver bekomme ich doch nicht im Browser angezeigt, oder?

Gruß Markus
Dem Überflüssigen nachlaufen, heißt das Wesentliche verpassen.
Jules Saliège

DeletedUserReAsG

Re: https und Contentfilter

Beitrag von DeletedUserReAsG » 06.11.2018 22:27:44

Du kannst mal davon ausgehen, dass keine der offiziellen CA deinem Admin ein Cert für fremde Seiten ausstellt. Es wird also ’ne von ihm betriebene CA sein, und das sieht man, wenn man sich das Cert genau anschaut. Zudem veröffentlichen manche Seiten den Fingerprints ihres originalen Certs, so dass man da auch direkt sehen kann, wenn da was manipuliert wurde.

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: https und Contentfilter

Beitrag von uname » 06.11.2018 23:06:37

Schau dir ein echtes Zertifikat an:

https://www.sslshopper.com/ssl-checker. ... anforum.de

In der Firma wird das Zertifikat dann anders aussehen.


https://www.heise.de/security/meldung/S ... 20159.html

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: https und Contentfilter

Beitrag von wanne » 06.11.2018 23:21:07

mgolbs hat geschrieben: ↑ zum Beitrag ↑
06.11.2018 21:43:59
# ist dieses echt/gelistet wird ein temporärer Code aus Zufallszahl und Serverzertifikat erstellt, anschließend dem Webserver zugesandt,
# nur mit dem privaten Schlüssel des Webservers kann dieser den Code und die Zufallszahl entschlüsseln,
# nun wird damit (ich weiss nicht ob der Server dann noch mal das gleiche System mit einer Zufallszahl des Webservers generiert) die verschlüsselte Verbindung aufgebaut, Daten übertragen.
Formal ist das nicht ganz richtig und es gibt diverse Varianten von TLS die das unterschiedlich handhaben. Im "Cipher Suite" steht das Verfahren zum Schüssel"austausch" an erster Stelle (direket nach dem TLS_). Bei TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA256 (in Openssl-Schreibweise DHE-RSA-CAMELLIA256-SHA256) wäre das zu Beispiel DHE
Aber die Vereinfachung ist für unser Beispiel ausreichend.
mgolbs hat geschrieben: ↑ zum Beitrag ↑
06.11.2018 21:43:59
Sollte das dennoch möglich sein, müsste ja der Browser seine Zufallszahl dem Contentfilter der Firewall irgend wie mitteilen. Dann wäre ja https relativ sinnlos.
Tatsächlich gibt es das: Mit der Variable SSLKEYLOGFILE konntest du Netscape sagen wohin er die Zufallszahlen übergeben soll. Das funktioniert bis heute in allen modernen Browsern. Inklusive IE. Voraussetzung ist, dass du diese Variable setzen kannst. Daneben wird das nicht ganz trivial. TLS ist ja ausdrücklich dafür designend Änderungen zu erkennen. Der Algorithmus dafür – steht ganz hinten im Cipher Suite. (Im Obigen Beispiel HMAC-SHA256) Der kann mit der Zufallszahl zwar neu berechnet werden ich kenne aber niemanden, der das macht. – Oder ich meine mich dunkel zu erinnern, dass Cain&Abel mal irgend so ne Funktionalität hatte, die aber nie funktioniert hat. Das ist eher zum Mitlesen.
mgolbs hat geschrieben: ↑ zum Beitrag ↑
06.11.2018 21:43:59
Wie soll diese verschlüsselte Verbindung von einem Filter analysiert werden können?
Die saubere Variante ist über Plugins. Der durch das Plugin veränderte Browser selbst entscheidet sozusagen gewisse Inhalte/Downloads nicht anzusagen bzw erst gar nicht herunterzuladen. Das Plugin kann dazu problemlos auch bei einer zweiten Instanz nachfragen. Einige Virenscanner und vor allem Werbeblocker machen das so.
Die nächste Variante ist über falsche Zertifikate:
Webbrowser prüft in seinem "Schlüsselarchiv" ob das Zertifikat des Webservers echt ist,
Du kannst in das Schlüsselarchiv ja deine eigenen Zertifikate legen. Wenn du dann über einen routingeintrag oder falsche DNS-Einträge den Browser dazu bringst nur mit deiner Kiste zu reden, hast du gewonnen. Du kannst ihm dann verkaufen was du willst. Entweder den Inhalt der Originalen Seite oder nach bedarf tolle Warnschilder. Die Dümmste Methode ist die Kombination damit, hinten raus dann http zu sprechen, damit die alte Filtersoftware dran rummanipulieren kann.
In allen Fällen kann der Browser dann nicht mehr feststellen ob die Verbindung sicher ist. Er muss sich dann darauf "verlassen". Das der MITM für die Sicherheit sorgt.
Last but not least ist es natürlich möglich sich die originalen privaten Schlüssel besorgen. (Vor allem wenn einem die Webseiten selbst gehören.) oder die eigenen falschen illegitim von einer "vertrauenswürdigen" CA zertifizieren zu lassen.
Du kannst mal davon ausgehen, dass keine der offiziellen CA deinem Admin ein Cert für fremde Seiten ausstellt. Es wird also ’ne von ihm betriebene CA sein, und das sieht man, wenn man sich das Cert genau anschaut.
Wobei der natürlich selbst reinschreiben kann was er will. Auch GlobalSign
rot: Moderator wanne spricht, default: User wanne spricht.

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: https und Contentfilter

Beitrag von uname » 07.11.2018 07:38:00

Du kannst ja einfach mal den SHA-256-Fingerprint von https://www.debianforum.de im Browser überprüfen.
Er ist aktuell 50:E5:6E:AB:8A:D8:B9:08:32:2E:26:0B:3F:44:97:46:84:C0:EF:D0:9C:5B:34:E3:4D:9F:5D:63:B4:11:D7:59 und darf nicht abweichen. Weicht sie ab kann alles innerhalb der Verbindung gefälscht worden sein.

Die CA ist Let's Enrypt. Deine Firma könnte natürlich auch diese CA verwenden.
Daher ist eine Überprüfung des SHA-256-Fingerabdrucks des Server-Zertifikats sinnvoller und sicherer. Daran ist eine Manipulation immer zu erkennen.
Die CAs sind nur dafür da, dass man die Fingerprints nicht manuell prüfen muss.

Schau dir evtl. noch folgende Seite zuhause und in der Firma im Vergleich an: https://badssl.com

Anmerkung:
Die Verwendung dieses Content-Filters ist ein Zeichen, dass die Verantwortlichen bzw. Admins TLS/SSL nicht verstanden haben.
Dass Mitarbeiter die Funktion nicht erkennen zeigt, dass sie TLS/SSL auch nicht verstanden haben.
Was ist das Ziel von TLS/SSL? Wird es so noch erreicht? https://de.wikipedia.org/wiki/Transport_Layer_Security

Benutzeravatar
Meillo
Moderator
Beiträge: 8782
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: https und Contentfilter

Beitrag von Meillo » 07.11.2018 08:41:02

uname hat geschrieben: ↑ zum Beitrag ↑
07.11.2018 07:38:00
Du kannst ja einfach mal den SHA-256-Fingerprint von https://www.debianforum.de im Browser überprüfen.
Er ist aktuell 50:E5:6E:AB:8A:D8:B9:08:32:2E:26:0B:3F:44:97:46:84:C0:EF:D0:9C:5B:34:E3:4D:9F:5D:63:B4:11:D7:59 und darf nicht abweichen. Weicht sie ab kann alles innerhalb der Verbindung gefälscht worden sein.
Ist der denn bereits irgendwo auf dem Server (Forum, Wiki) zu finden? Sonst wuerde ich vorschlagen, dass @feltel ihn irgendwo ablegt, am besten an einer Stelle, wo nur er schreiben kann. Das wuerde einen Mehrwert schaffen.

Die CAs sind nur dafür da, dass man die Fingerprints nicht manuell prüfen muss.
... was eine schlechte Entscheidung war. Vertrauen funktioniert nicht hierarchisch sondern individuell und netzartig. Vertrauen ist nicht binaer (wie das bei SSL angenommen wird), sondern graduell. Das PGP Web-of-Trust ist eine realitaetsentsprechende Umsetzung des Thema Vertrauens, SSL-CAs sind es nicht ... was sich immer wieder zeigt. So auch hier. Es wird einfach vorausgesetzt, dass du deinem Arbeitgeber (und dem Browser-Hersteller) vertraust und dass dieser vorgeben kann wem du wie vertrauen kannst.
Use ed once in a while!

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: https und Contentfilter

Beitrag von uname » 07.11.2018 11:09:27

Meillo hat geschrieben:Ist der denn bereits irgendwo auf dem Server (Forum, Wiki) zu finden? Sonst wuerde ich vorschlagen, dass @feltel ihn irgendwo ablegt, am besten an einer Stelle, wo nur er schreiben kann. Das wuerde einen Mehrwert schaffen.
Wirklich sinnvoll ist es nur dann, wenn der SHA-256-Fingerprint auf einen anderen Server abgelegt wird, damit ein Angreifer zwei Server hacken muss ;-)

Meillo hat geschrieben:... was eine schlechte Entscheidung war.
TLS/SSL ist in Teilen kaputt. Aber leider haben wir nichts besseres. Aber immer noch ein Unterschied ob evtl. die NSA mit hoffentlich viel Aufwand die Daten mitliest oder der eigene Chef vollkommen ohne Aufwand.

Benutzeravatar
Meillo
Moderator
Beiträge: 8782
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: https und Contentfilter

Beitrag von Meillo » 07.11.2018 11:28:14

uname hat geschrieben: ↑ zum Beitrag ↑
07.11.2018 11:09:27
Meillo hat geschrieben:Ist der denn bereits irgendwo auf dem Server (Forum, Wiki) zu finden? Sonst wuerde ich vorschlagen, dass @feltel ihn irgendwo ablegt, am besten an einer Stelle, wo nur er schreiben kann. Das wuerde einen Mehrwert schaffen.
Wirklich sinnvoll ist es nur dann, wenn der SHA-256-Fingerprint auf einen anderen Server abgelegt wird, damit ein Angreifer zwei Server hacken muss ;-)
Ja, endgueltige Sicherheit schafft das nicht, aber es macht das Faelschen schwerer, weil es zusaetzliche Hinweise auf eine Faelschung geben kann.
Meillo hat geschrieben:... was eine schlechte Entscheidung war.
TLS/SSL ist in Teilen kaputt. Aber leider haben wir nichts besseres. Aber immer noch ein Unterschied ob evtl. die NSA mit hoffentlich viel Aufwand die Daten mitliest oder der eigene Chef vollkommen ohne Aufwand.
Ich stimme dir zu ... mit dem Hinweis, dass der Teil, der bei CAs kaputt ist, die Grundannahme, darueber wie Vertrauen funktioniert, ist. Aber du hast recht, wir haben derzeit nichts Besseres, was verbreitet waere. Und es leistet ja immer noch einen wertvollen Beitrag.
Use ed once in a while!

mgolbs
Beiträge: 259
Registriert: 22.03.2009 18:08:17
Wohnort: Tirschenreuth - Löbau

Re: https und Contentfilter

Beitrag von mgolbs » 07.11.2018 21:48:46

Hallo,

vielen Dank für die tolle Ausführung. Noch was zu meinem praktischen Fall.

Linux >> Firewall/Contentfilter >> https://debianforum.de Zertifikat ist wie hier im Forum sha 256 50:E5:6E:AB:8A:D8:B9:08:32:2E:26:0B:3F:44:97:46:84:C0:EF:D0:9C:5B:34:E3:4D:9F:5D:63:B4:11:D7:59 und sha1 BA:CE:73:18:31:A1:BF:A0:E8:24:AB:CE:86:E0:8B:98:3C:66:44:80. Damit sollte E2E umgesetzt sein?

Window 7>>> ??? Contenfilter ??? https://debianforum.de >> IE Zeigt Zertifikat als grün an. Wenn man sich sha 256 und sha1 anschaut steht da was vollkommen anderes drin. Also keine E2E? Komisch ist nur, dass das im IE angezeigte Zertifikat "versucht" das orginale Zertifikat möglichst gut zu kopieren, z.B. mit Angabe gleicher Aussteller, Ablaufdatum & Co. Es ist damit nur auf den 4. Blick zu erkennen, dass das nicht E2E ist.

Angeblich soll das per Windows Domain und root Zertifikat ein gängiges Verfahren in der Windows Firmen Netzwerkwelt sein. Schön wäre es wenigstens, wenn man am Status des Zertifikates im IE angezeigt bekäme, ist nicht ganz sauber und der Admin hat die totale Kontrolle.

Gruß und Dank Markus
Dem Überflüssigen nachlaufen, heißt das Wesentliche verpassen.
Jules Saliège

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: https und Contentfilter

Beitrag von uname » 08.11.2018 08:59:12

Vielleicht kannst du mal die Zertifikatsinhalte hier posten. Gerne kannst du Informationen, die auf deine Firma zurückführen enntsprechend durch *** ersetzen.
Ich denke das würde dann auch anderen Forenmitgliedern helfen die Funktion zu verstehen. Danke.
mgolbs hat geschrieben:IE Zeigt Zertifikat als grün an.
Es gibt grüne Zertifikate (z. B. Lets Encrypt) und es gibt die längeren grünen Zertifikate (EV-SSL).
Schaust du dir als Beispiel https://www.globalsign.com an, so wird dir nur das grüne Schloss, dem normalen Anwender jedoch zusätzlich "GMO GlobalSign, Inc." in grün angezeigt, da es ein EV-SSL-Zertifikat ist. Das kann ein MitM nicht fälschen.

Bild
Bild

mgolbs
Beiträge: 259
Registriert: 22.03.2009 18:08:17
Wohnort: Tirschenreuth - Löbau

Re: https und Contentfilter

Beitrag von mgolbs » 08.11.2018 21:58:30

Hallo,

kann ich gern tun. Wahrscheinlich ist der MitM Ansatz nicht immer aktiv, denn heute Abend war auch im IE das Originalzertifikat enthalten (oder ist der "konspirative Austausch mit anderen ausgewählten Personen" :wink: an die richtige Stelle durchgesickert.. :wink: ..)

Im IE können wir als normale User keine Zertifikate "In Datei kopieren", ist ausgegraut, leider. Wollte gestern schon speichern. Ich hatte aber Bildschirmschnappschüsse gemacht.

Hier die Unterschiede in den Zertifikaten des debianforum.de:
"MitM Vermutung" Zertifikat Inhalt des IE:
Aussteller: DST Root CA X3,...
Antragsteller:Let's Encrypt Auth...
sha1 e5 a3 b4 5b 06 2d 50 9b 33 ....
Seriennummer 0a 01 41 42 00 00 01 53 ....
Datumbereich: 1x.0x.2016 - 1x.0x.2021

"Vermutet sauberes" Zertifikat Inhalt des IE des debianforum.de:
Aussteller: Let's Encrypt Auth,...
Antragsteller: debianforum.de
sha1 ba ce 73 18 31 ....
Seriennummer 03 91 0c f7 ....
Datumsbereich 12.10.2018 - 10.01.2019

Gruß und vielen Dank an alle SSL/TLS Spezialisten
Markus
Dem Überflüssigen nachlaufen, heißt das Wesentliche verpassen.
Jules Saliège

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: https und Contentfilter

Beitrag von wanne » 09.11.2018 13:02:26

uname hat geschrieben: ↑ zum Beitrag ↑
08.11.2018 08:59:12
Es gibt grüne Zertifikate (z. B. Lets Encrypt) und es gibt die längeren grünen Zertifikate (EV-SSL).
Schaust du dir als Beispiel https://www.globalsign.com an, so wird dir nur das grüne Schloss, dem normalen Anwender jedoch zusätzlich "GMO GlobalSign, Inc." in grün angezeigt, da es ein EV-SSL-Zertifikat ist. Das kann ein MitM nicht fälschen.
Natürlich kannst du auch EV in dein gefälschtes Cert schreiben.
rot: Moderator wanne spricht, default: User wanne spricht.

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: https und Contentfilter

Beitrag von uname » 10.11.2018 08:41:21

Nein. Der Browser würde das erkennen. Im angezeigten Namen steht evtl. die eigene Firma aber nicht das individuelle Ziel. Die Manipulation ist einfacher erkennbar.

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: https und Contentfilter

Beitrag von wanne » 10.11.2018 21:24:17

@uname wir hatten das Thema hier schon ein paar mal das du einfach irgend welche Behauptungen aufstellst, das irgend was sicher wäre, das es nicht ist.
Während ich sonst eher meine, dass man praktisch alles was mit dem Thema zu tun hat, stehen lassen kann, störe ich mich da wirklich dran. Das gefährdet wirklich Leute, die sich auf diese Antworten verlassen.
Ich hatte anfangs gedacht, ich schreibe warum das falsch ist. Aber ich wette nach 5 mal nachfragen kommt: Das ist ja aber wahnsinnig kompliziert. Das macht doch keiner.
Deswegen jetzt die für dich verständliche Variante: Nein es ist für die Firma nicht kompliziert. Du kaufst dir sowas hier und das macht dir MITM mit EV-Zerts: https://www.genua.de/produkte/high-resi ... ugate.html
uname hat geschrieben: ↑ zum Beitrag ↑
10.11.2018 08:41:21
Nein. Der Browser würde das erkennen.
Dein Browser. Garantiert nicht der auf der Arbeit.
uname hat geschrieben: ↑ zum Beitrag ↑
10.11.2018 08:41:21
Im angezeigten Namen steht evtl. die eigene Firma aber nicht das individuelle Ziel.
Gerade umgekehrt wird ein Schuh draus. Es gibt eine Reihe von CAs, die "EV-Würding" sind. Wenn du die CA auf eine änderst, die nicht denen entspricht bekommst du den EV-Balken. Tust du fein säuberlich alle oids mitübertragen bleibt er da.
Die Manipulation ist einfacher erkennbar.[/quote]

Zum Ende doch noch kurze Anmerkungen:
Arbeitest du über Plugins oder SSLKEYLOGFILE wird eh das Originalzert druchgereicht. Das bleicht dann natürlich auch EV.
Wie man es mit einem Proxy und eigener CA macht steht da:
https://stackoverflow.com/questions/147 ... witched-on
Das ist vor allem wegen der vielen Schritte wirklich nicht ganz trivial, weshalb die meisten das nicht machen. Aber es ist eben möglich.
Für FF und Chrome gibt es btw. nochmal eine einfachere Variante.
rot: Moderator wanne spricht, default: User wanne spricht.

mgolbs
Beiträge: 259
Registriert: 22.03.2009 18:08:17
Wohnort: Tirschenreuth - Löbau

Re: https und Contentfilter

Beitrag von mgolbs » 11.11.2018 12:05:46

Hallo,

ich möchte nur noch mal kurz folgendes anfragen:

Es gibt also keine wirkliche Chance MitM zu erkennen, nur bei schlechter von MitM Ausführung wäre möglich:

# ab und an die Zertifikate über zwei vollkommen unterschiedliche Wege zu analysieren, also per Browser in der Firma und parallel dazu mit dem Smartphone per eigenem z.B. Bsp. UMTS Internetzugang, nicht Firmen-WLAN :-). bzw. den Vergleich der Zertifikate zu Hause mit den Eigenen PC zum Zertifikat des Firmenbrowsers?

Oder gilt z.B. über "Arbeitest du über Plugins oder SSLKEYLOGFILE wird eh das Originalzert druchgereicht. " Ansatz >>, dann Null Chance der Erkennung?

Gruß und Dank Markus
Dem Überflüssigen nachlaufen, heißt das Wesentliche verpassen.
Jules Saliège

DeletedUserReAsG

Re: https und Contentfilter

Beitrag von DeletedUserReAsG » 11.11.2018 12:27:02

mgolbs hat geschrieben: ↑ zum Beitrag ↑
11.11.2018 12:05:46
Es gibt also keine wirkliche Chance MitM zu erkennen
Ähm … doch. Und das wurde hier auch schon mehrfach genannt: du prüftst die Fingerprints manuell, wobei du dir idealerweise vorher über ’nen anderen Zugang die Fingerprints geholt hast.
Das gilt zumindest dann, wenn die Maschine, von der aus du den Zugang nutzt, unter deiner Kontrolle ist. Wenn’s natürlich eine Kiste ist, die der betreffende Admin kontrolliert, wird’s tatsächlich schwer.

mgolbs
Beiträge: 259
Registriert: 22.03.2009 18:08:17
Wohnort: Tirschenreuth - Löbau

Re: https und Contentfilter

Beitrag von mgolbs » 11.11.2018 12:44:05

Hallo,

danke für die Info. Ihr habt vorab geschrieben:
du über Plugins oder SSLKEYLOGFILE wird eh das Originalzert druchgereicht.....

...Wenn’s natürlich eine Kiste ist, die der betreffende Admin kontrolliert, wird’s tatsächlich schwer...
In Firmen- und Behördennetzwerken kann man ja zu 99,99% als User davon ausgehen, dass man die Kiste nicht unter Kontrolle hat. Dann nützt mir das ganze Prüfen von Fingerprints gar nicht, denn ich erhalte dann egal mit welchem Zugang ein gleiches, "richtiges" Ergebnis.

Gibt es für User noch andere Chancen, zu erkennen ob gefiltert wird, außer der Annahme es wird grundsätzlich überwacht? Ein einfacher Test wäre ja ein grober Witz über den Chef, nur dann nützt der ganze Test dem "Ex"user nicht wirklich viel :wink: Mit einem portablen Browser wird man wohl nur keinen Zugang bekommen, oder auffallen...,

Gruß Markus
Dem Überflüssigen nachlaufen, heißt das Wesentliche verpassen.
Jules Saliège

DeletedUserReAsG

Re: https und Contentfilter

Beitrag von DeletedUserReAsG » 11.11.2018 12:53:08

Wenn man einen Rechner außerhalb des Netzwerkes hat, könnte man damit sicher was basteln, mit dem man ’ne Manipulation erkennen kann.
Auf der anderen Seite, aber das ist nun wohl OT, wenn eine solche Manipulation durchgeführt wird: einerseits würde ich mal prüfen, ob das rechtlich zulässig ist, also ob an gegebener Stelle deutlich auf diese Maßnahme hingewiesen wird, andererseits würde ich mich fragen, ob ich in einer Firma arbeiten möchte, die den Traffic abfängt und analysiert (wie gesagt, wenn deutlich drauf hingewiesen wird, und man das mit’m Arbeitsvertrag angenommen hat, ist das durchaus in Ordnung), und das mit ziemlich tiefgreifenden Tricks zu verschleiern versucht (das kann man sich schließlich sparen, wenn das eh bekannt ist, wie vorstehend geschrieben).

Antworten