Proxy (Verständnis)Frage - TLS/SSL

[monstermania]

Außerdem funktioniert es nicht mehr, dass irgendwer zum Beispiel Rechnung.js aus einer E-Mail auf macht und die dann https://example.com/ransomware.exe runter lädt und ausführt und du dich infolge dessen um die Organisation des nächten Restore des Backups kümmern darfst.

Sorry, aber wenn es so weit kommt, dass solche Mails Deine User erreichen, hat man als Admin echt schlechte Arbeit geleistet!
Emails mit solchen Inhalten sollte ein Mailgateway herausfiltern bevor es überhaupt die User erreicht.
Und zum Thema 'ransomware.exe' sei nur angemerkt, dass es unter Windows schon seit Jahren wirksame Mittel dagegen gibt, dass sich irgendwelche obskuren Dateien einfach so durch einen User ausführen lassen. Stichwort "Software Restriction Policies".
Ich behaupte mal, wenn ein Netzwerkadmin sein Handwerk versteht, verliert auch Ransomware viel von seinem Schrecken. So schlecht ist Windows da gar nicht aufgestellt.
Man muss halt nur die gebotenen Möglichkeiten nutzen!

[Oxygen61]

"Software Restriction Policies".

Das funktioniert aber nur auf Arbeit oder wie willst du der alten Dame von gegenüber erklären wie sie sich diese Policies einrichtet? "Ransomware.exe" funktioniert, weil die Menschen über die Jahre aufgehört haben kritisch über ihr Handwerk nachzudenken (Gebrauch des Rechners) und nur noch konsumieren.

Selbst den Windows Script Host kriegt nicht jeder deaktiviert, trotz diverser Anleitungen im Netz.
Das Verständnis fehlt leider...

[fabian]

Sorry, aber wenn es so weit kommt, dass solche Mails Deine User erreichen, hat man als Admin echt schlechte Arbeit geleistet!
Emails mit solchen Inhalten sollte ein Mailgateway herausfiltern bevor es überhaupt die User erreicht.

Das stimmt so nicht. Es gibt Dienste, die darauf abzielen, Malware so zu packen, dass die NICHT erkannt wird. Das kann dann zum Beispiel auch ein Makro in einem Office-Dokument sein, das auf eine art unleserlich gemacht wurde, dass es Schutzprogramme erst in x Stunden schaffen, dieses zu erkennen.  In der Zeit kann die Malware sich ausbreiten und nach dieser Zeit gibt es ein neues Sample. In dem Fall kann immerhin schlimmeres verhindert werden und man kann der Quelle nachgehen und den Fall untersuchen.

[JeGr]

@Oxy
Finde ich persönlich zu pessimistisch und wir/ich reden hier nicht nur von der Generation Ü40/50. Und die Social Media Generation (Y) ist durchaus in der Lage sowas wahrzunehmen. Wenn sie darauf keinen Bock hat ist das was anderes Aber alle als hoffnungsloses Pack abzustempeln finde ich schon einen extrem pessimistischen Ausblick.

EDIT: Mich hier aber bitte nicht falsch verstehen. Ich bin auf jeden Fall gegen das Aufbrechen von SSL im Betrieb oder in der Firma, jedoch finde ich die Idee für Zuhause "ganz interessant", würde mir den Stress aber nicht machen wollen.

Gerade zu Hause finde ich es eben nicht wirklich sinnvoll, denn da ist Aufklärung das wirkungsvollste Mittel und da auch - zumindest in meinem Umfeld bislang - nie vergeudet gewesen. Selbst meine Eltern die auf Ende 60 zugehen, sind in der Lage zu bemerken, dass mit der Bankseite oder dem Zertifikat was nicht stimmt Würde man denen das unterschieben, würden sie genau nix bemerken. Das Zert/den Balken nehmen sie wahr. Dass da ein Logo kleiner oder unschärfer ist - meh, das fällt nicht auf. Und inzwischen ist in den aktuellen Browsergenerationen der Klick aufs Schloß etc. so viel einfacher, an die Infos zum Zert zu kommen.

Grüße

[monstermania]

Das stimmt so nicht. Es gibt Dienste, die darauf abzielen, Malware so zu packen, dass die NICHT erkannt wird. Das kann dann zum Beispiel auch ein Makro in einem Office-Dokument sein, das auf eine art unleserlich gemacht wurde, dass es Schutzprogramme erst in x Stunden schaffen, dieses zu erkennen.  In der Zeit kann die Malware sich ausbreiten und nach dieser Zeit gibt es ein neues Sample. In dem Fall kann immerhin schlimmeres verhindert werden und man kann der Quelle nachgehen und den Fall untersuchen.

Ja und!?
1. Muss der User immer noch die Ausführung von Makros aktivieren. Ein reines öffnen des Dokuments reicht nicht.
2. Warum muss man überhaupt die alten Office Dateitypen annehmen (doc,xls, usw.)!? Oder warum überhaupt Office-Dokumente annehmen!?
3. Da wären wir wieder bei den 'SRP'.  Mir doch egal, was für eine Datei da heruntergeladen wird oder zusammengebaut wird. Aus dem Userprofil heraus dürfen schlichtweg keine Dateien gestartet werden...

@Oxy
Ja, was willst Du uns damit sagen!?
Wenn ich Auto fahren will brauche ich einen Führerschein, sonst darf ich nicht auf die Straße. Und trotzdem gibt es genug Leute, die täglich eindeutig nachweisen, dass Sie nicht verantwortungsbewusst mit Ihrem Auto umgehen.

Gegen Dummheit ist nun einmal kein Kraut gewachsen. Da hilft dann auch keine Firewall/Proxy/Anti-Virensoftware!
Da hilft nur Schmerz (Verlust)! Egal ob nun durch Geld und oder Daten um einen Lerneffekt zu erreichen.

Für mich ist eine Firewall ein Werkzeug um meine Daten zu schützen bzw. zu kontrollieren was aus meinem Netz wohin connecten will und nicht um eine DAU-Lösung für das Netzwerk zu schaffen.

[fabian]

Ja und!?
1. Muss der User immer noch die Ausführung von Makros aktivieren. Ein reines öffnen des Dokuments reicht nicht.
2. Warum muss man überhaupt die alten Office Dateitypen annehmen (doc,xls, usw.)!? Oder warum überhaupt Office-Dokumente annehmen!?
3. Da wären wir wieder bei den 'SRP'.  Mir doch egal, was für eine Datei da heruntergeladen wird oder zusammengebaut wird. Aus dem Userprofil heraus dürfen schlichtweg keine Dateien gestartet werden...

1. passiert oft genug wie die Nachrichten in der Vergangenheit gezeigt haben und sollte hier nur als Platzhalter dienen
2.
   1. im Geschäftlichen Umfeld gibt es hoffentlich Kunden und da weiß man je nach Geschäftsfeld nie, was die schicken
   2. Personalabteilungen: Bewerbungen als Word-Anhänge

[Oxygen61]

Das war meine rein subjektive Meinung anhand meines sozialen Umfelds und den Leuten mit denen ich so über das Weltgeschehen quatsche.

Finde ich persönlich zu pessimistisch und wir/ich reden hier nicht nur von der Generation Ü40/50. Und die Social Media Generation (Y) ist durchaus in der Lage sowas wahrzunehmen. Wenn sie darauf keinen Bock hat ist das was anderes Aber alle als hoffnungsloses Pack abzustempeln finde ich schon einen extrem pessimistischen Ausblick.

Genau da liegt das Problem. Die Ü40 würden gern noch, können aber nicht mehr und die U40 haben schlicht und ergreifend keinen bock. Wenn ich meine Eltern im Netz sensibilisieren möchte treffe ich da auf Ohren die tatsächlich interessiert sind, jedoch nicht mehr alles verstehen. Bei der U40 Generation trifft man (meiner Meinung nach) mittlerweile leider Gottes auf völliges Desinteresse, solange Chips und Bier bereit steht und Counterstrike funktioniert.

Da hilft nur Schmerz (Verlust)! Egal ob nun durch Geld und oder Daten um einen Lerneffekt zu erreichen.

Ich krieg Gänsehaut bei den vielen Yahoo Mail Accounts die noch von Kumpels und Bekannten benutzt werden oder wenn man mit einem ungepatchtem alten Android System in öffentliche WLANs ein und aus geht. Mit den Ü40 lässt sich da bei weiten mehr Erreichen in Punkto Sensibilisierung. Lerneffekt ist hier trotzdem Fehlanzeige oder?

Ja, was willst Du uns damit sagen!?

Ich will damit sagen, dass ich mehr und mehr das Gefühl bekomme, dass der Großteil der Bevölkerung sich der IT (In diesem Fall Security und besonders Privacy) mehr und mehr abwendet und geschlagen gibt und zu absoluten Anwendern, bzw. Konsumenten für Social Media, Gaming und Streaming mutieren.

Früher konnte ich mich mit jedem X-beliebigen Menschen über Windows und die Hardware eines Rechners unterhalten. Jetzt kann man froh sein, wenn der gegenüber grundlegendes Interesse an einem technischen Gespräch zeigt und nicht sofort abschaltet, wenns nich Cool und flippig is das Thema.
Ich lass mich lieber eines besseren Belehren und diskutiere daher gerne und viel, um neue Blickwinkel auf ein Problem zu erhalten.

Mir macht einfach die "Reise" etwas angst und ich hoffe, hoffe wirklich @JeGr dass ich hier zu pessimistisch denke und am Ende nicht recht behalte. *Daumen Drück* 

Sooo genug rumgejammert. Das hat ja auch gar nichts mehr mit der eigentlichen Frage zu tun, von daher war das jetzt hier dazu auch alles. SSL Interception werde ich Zuhause für mich allein privat mal umsetzen einfach aus Jucks und Laune um zu schauen, was mich erwartet. Anderen Mitbewohnern oder dem Konzern würde ich es jedoch abraten. Mein Fazit also aus dieser Diskussion.

Lasst euch nicht ärgern
Schöne Grüße
Oxy 

[fabian]

Ich würde auch sagen, das Topic sollte als geschlossen angesehen werden - ich frage mal an, ob der Thread ab hier gesperrt werden kann.

[franco]

Topic bleibt offen. Wir kommen auch so aus miteinander.


Grüsse
Franco

[monstermania]

Jo, zum eigentlichen Thema sind wohl alle Argumente ausgetauscht. 
Ich glaube aber sowieso, dass es sich hier eigentlich um die falsche Plattform für eine solche Diskussion handelt. Alle die hier aktiv sind, haben sich ja schon mit dem Thema Netzwerksicherheit auseinander gesetzt bzw. tun das gerade!
Grundsätzlich kann ich aber den Eindruck bestätigen, dass die Generation der 'Silversurfer' bewusster im Umgang mit Internet & Co. ist, vor allem was den Sicherheitsaspekt angeht. Da wird dann aber auch leichter eingesehen, dass man mit der technischen Entwicklung nicht mehr Schritt halten kann und nutzt dann gern Geräte von Apple. Die werden dann immerhin durch den Hersteller gepflegt.

Die jüngere Klientel geht da m.E. eher unbedarft heran. Wobei ich aber das Gefühl habe, dass wir in Deutschland eh schon mehr auf Datensicherheit achten als Andere.
Wir haben in der Firma häufiger mit Chinesen zu tun, und die gehen zumeist sehr leichtfertig mit Datensicherheit um. Evtl. auch weil man in China ohnehin ständiger Überwachung unterliegt. Die Chinesen, sind teilweise echt verwirrt, wenn man Ihnen die Gründe erklärt, warum z.B. kein WeChat auf den Firmensmartphones erlaubt ist.

Und immer schön darüber nachdenken, dass westliche Sicherheitsbehörden auch nur Abhören, spionieren und ggf. SSL-Verschlüsselungen 'brechen' um die Bürger zu schützen! 
Fangen wir also zu unserem eigenen 'Schutz' schon mal damit an unsere internen Netzwerke zu bespitzeln.

[guest15032]

Hi,

nachdem hier ja fleißig diskutiert wurde, wärme ich meinen Thread noch mal kurz auf, da ich noch zum Topic Fragen habe.

Auch hier wieder eine Verständnisfrage:

Wie genau blockt ihr denn, mit eurem Proxy, entsprechende Domains/IPs? Es gibt ja im Backend, auf der Proxy Seite, zwei entsprechende Funktionsansichten (zumindest verstehe ich diese als zusammenhängend):

- Forward Proxy -> Access Control List
- Remote Access Control Lists

Hier meine ich gelesen zu haben, dass die Listen auch bei der Evaluierung der ACL Rechte gemerged werden. Was für mich bedeutet, dass beide Listen/Funktionen dafür da sind, um z.B. unliebsame IPs/Hosts zu blocken.

Wie genau setzt ihr das also um? Habt Ihr da mal Beispiele, wie Ihr z.B. Werbung blockt? Ich habe da im Moment beispielsweise diese Block Liste für Werbung: http://pgl.yoyo.org/adservers/serverlist.php?hostformat=nohtml

Und weiterhin frage ich mich, wie genau wertet OPNsense diese Liste aus, und wie funktioniert das Blocken der Hosts? Werden diese dann (wie ich es von Linux bisher kenne) einfach als Hosteinträge in die lokale Hosts Datei geschrieben und dann z.B. auf localhost (127.0.0.1) oder auf die 0.0.0.0 umgeleitet?

Und als letzte Frage: Wie und wo testet Ihr Eure Blocklisten? Ich habe dafür bisher auch kaum gute Testseiten gefunden und ich bilde mir ein, dass sonstige Werbung auf gängigen Seiten (z.B. heise.de) nocht von der Firewall geblockt wird, wobei da natürlich zu ermitteln wäre, ob die Werbeprovider in den Blocklisten sind (was ich noch nicht getan habe). 

Gruß
Chris

[fabian]

Wie genau blockt ihr denn, mit eurem Proxy, entsprechende Domains/IPs? Es gibt ja im Backend, auf der Proxy Seite, zwei entsprechende Funktionsansichten (zumindest verstehe ich diese als zusammenhängend):

- Forward Proxy -> Access Control List
- Remote Access Control Lists

Hier meine ich gelesen zu haben, dass die Listen auch bei der Evaluierung der ACL Rechte gemerged werden. Was für mich bedeutet, dass beide Listen/Funktionen dafür da sind, um z.B. unliebsame IPs/Hosts zu blocken.

Die listen werden hintereinander angewendet. Zuerst die Forward Proxy-Regeln, dann die Remote-Regeln. Welche zuerst dran kommt, ist maximal eine Performancefrage.

Wie genau setzt ihr das also um? Habt Ihr da mal Beispiele, wie Ihr z.B. Werbung blockt? Ich habe da im Moment beispielsweise diese Block Liste für Werbung: http://pgl.yoyo.org/adservers/serverlist.php?hostformat=nohtml

Und weiterhin frage ich mich, wie genau wertet OPNsense diese Liste aus, und wie funktioniert das Blocken der Hosts? Werden diese dann (wie ich es von Linux bisher kenne) einfach als Hosteinträge in die lokale Hosts Datei geschrieben und dann z.B. auf localhost (127.0.0.1) oder auf die 0.0.0.0 umgeleitet?

Ich halte das lieber möglichst sicher (doppelt hält besser). Ich sperre sowohl im DNS (alle Namen werden entsprechend auf 0.0.0.0 aufgelöst) als auch im Proxy (Remote ACL). Ich verwende für mein privates Gerät die Shalla Liste (Anmerkung: Kostenlos für Privatnutzer). Die Datei /etc/hosts würde nicht viel brigen, da diese nur für das eigene Gerät gilt. Daher sind die DNS-Namen bei mir im DNS Resolver gesperrt.

Und als letzte Frage: Wie und wo testet Ihr Eure Blocklisten? Ich habe dafür bisher auch kaum gute Testseiten gefunden und ich bilde mir ein, dass sonstige Werbung auf gängigen Seiten (z.B. heise.de) nocht von der Firewall geblockt wird, wobei da natürlich zu ermitteln wäre, ob die Werbeprovider in den Blocklisten sind (was ich noch nicht getan habe). 

Gesperrt können über Hostnamen nur die externen Werbedienstleister werden. Von den Seitenbetreibern selbst ausgespielte Werbung kann, wenn überhaupt, nur über die volle URL von Squid blockiert werden. Wenn man dann noch Werbung, die vom Webseitenbetreiber selbst ausgespielt wird und nicht leicht erkennbar ist, sperren will, braucht man einen ICAP-Service, der diese gezeilt entfernt. Das wird aber üblicherweise nicht gemacht und geht sogar über den Funktionsumfang üblicher Adblocker im Browser hinaus.

[guest15032]

Hi fabian,

Ich halte das lieber möglichst sicher (doppelt hält besser). Ich sperre sowohl im DNS (alle Namen werden entsprechend auf 0.0.0.0 aufgelöst) als auch im Proxy (Remote ACL). Ich verwende für mein privates Gerät die Shalla Liste (Anmerkung: Kostenlos für Privatnutzer). Die Datei /etc/hosts würde nicht viel brigen, da diese nur für das eigene Gerät gilt. Daher sind die DNS-Namen bei mir im DNS Resolver gesperrt.

Ok, Danke. Das beantwortet dann auch teils meine Frage (denn darauf bezog sich das mit der Hosts Datei). Ich meinte in meinem Beitrag damit, ob die OPNsense das in eine eigene Hosts Datei schreibt, also eine auf der Firewall. Aber das hilft mir schon sehr weiter.

Dazu muss ich dann noch direkt weiter fragen, da Du vom DNS Resolver sprichst. Auf meiner Firewall ist ja der DNS Forwarder momentan aktiv (was glaube ich ja Default ist, damit DNS überhaupt funktioniert). Der benutzt ja die DNS Server, die ich in den General Settings eingetragen habe. Wenn ich jetzt den DNS Resolver auch aktiviere, welchen Vorteil habe ich dann davon? Denn auf der Seite mit den Resolver Einstellungen heißt es ja:

If the DNS Resolver is enabled, the DHCP service (if enabled) will automatically serve the LAN IP address as a DNS server to DHCP clients so they will use the DNS Resolver. If Forwarding, is enabled, the DNS Resolver will use the DNS servers entered in System: General setup or those obtained via DHCP or PPP on WAN if the "Allow DNS server list to be overridden by DHCP/PPP on WAN" is checked.

Auf der Seite mit dem bereits aktiven Forwarder heißt es:

If the DNS forwarder is enabled, the DHCP service (if enabled) will automatically serve the LAN IP address as a DNS server to DHCP clients so they will use the forwarder. The DNS forwarder will use the DNS servers entered in System: General setup or those obtained via DHCP or PPP on WAN if the "Allow DNS server list to be overridden by DHCP/PPP on WAN" is checked. If you don't use that option (or if you use a static IP address on WAN), you must manually specify at least one DNS server on the System: General setup page.

Also im Endeffekt verwendet der Resolver ja dann trotzdem den Forwarder? Was bringt dann der Resolver? Als DNS Server habe ich ja jetzt schon mit dem Forwarder die IP meines jeweiligen Interfaces (LAN/WLAN), daran wird sich mit dem Resolver dann ja auch nichts ändern. Oder ist der Resolver nur genau für diesen Fall jetzt sinnvoll, damit man eigene Block Listen einpflegen kann, die dann aufgelöst werden, bevor der Forwarder den Request an die jeweiligen DNS Server weiterschickt?

Und nochmal fürs Verständnis: Stören sich dann beide Funktionen nicht? Denn bei beiden Modulen heisst es ja, dass der DHCP Service die IP des Interfaces als DNS Server ausliefert, so dass der DHCP Client dann entsprechend den Forwarder oder den Resolver nutzt. Wie wird das denn dann entschieden? Da gibt es dann vermutlich eine feste Reihenfolge, also z.B.:

DHCP Client -> Resolver -> Forwarder -> DNS Server ?

Hoffe es ist verständlich, was ich meine.

Da ich in der OPNSense Doku nicht wirklich viel dazu finde,  welche Einstellungen empfiehlst Du für jeweils den DNS Forwarder und Resolver? Da gibt es ja einige Optionen, die ich nicht alle einwandfrei verstehe (und die auch alle bisher nicht aktiviert sind).

Das Blocken auf DNS Resolver Seite, würde dann in etwa so laufen wie hier angedeutet: https://devinstechblog.com/block-ads-with-dns-in-opnsense/ ?

Gesperrt können über Hostnamen nur die externen Werbedienstleister werden. Von den Seitenbetreibern selbst ausgespielte Werbung kann, wenn überhaupt, nur über die volle URL von Squid blockiert werden. Wenn man dann noch Werbung, die vom Webseitenbetreiber selbst ausgespielt wird und nicht leicht erkennbar ist, sperren will, braucht man einen ICAP-Service, der diese gezeilt entfernt. Das wird aber üblicherweise nicht gemacht und geht sogar über den Funktionsumfang üblicher Adblocker im Browser hinaus.

Ja, das schließt sich dann wieder an das an, was ich oben geschrieben habe. Danke schön.

Gruß
Chris

[fabian]

Ich habe das Skript leicht anpassen müssen, weil es unter Umständen nicht funktioniert. Bei mir war /var eine RAM-Disk und daher ist die Datei beim Booten immer weg gewesen. Ich habe die Datei also wo anders hin gespeichert. Außerdem musste ich die line endings mit dos2unix konvertieren, da es sonst nicht lief.

Zum Thema DNS:
Der forwarder leitet die Anfrage des Clients, wenn er selber keinen Eintrag hat, an den nächsten DNS-Server weiter (außer, wenn der Eintrag schom im Cache ist). Er kann aber die Namen nicht selber auflösen. Das muss ein Resolver machen. Wenn du den Forwarder verwendest, betreibt also jemand anderer den Resolver für dich (üblicherweise dein Provider, Google (8.8.8.8, 8.8.4.4) oder irgend eine Organisation).
Da beide den gleichen Port verwenden, musst du selber entscheiden, ob du den Forwarder oder den Resolver verwenden willst. In den meisten Fällen ist das Geschmacksache.

[guest15032]

Hi fabian,

Danke.

Ich führe das Thema DNS in einem separaten Thread weiter, da mich das dann doch mehr beschäftigt: https://forum.opnsense.org/index.php?topic=4823.0

Gruß
Chris