Firmennetzwerke: HTTPS Proxy benutzen oder HTTPS durchleiten?



  • Problem:

    Läßt man die Nutzer in einem Firmennetzwerk direkt via HTTPS auf externe Rechner zugreifen, dann könnten kompromitierte HTTPS Server durch manipulierte Webseiten Schadcode in das Firmennetzwerk einschleusen.

    Um dieses Problem zu umgehen, kann man einen HTTPS Proxy einsetzen.
    Das Problem hierbei ist nur, dass die Zertifikate nur der HTTPS Proxy überprüft und der Nutzer dieses AFAIK gar nicht mehr zu sehen bekommt, weil der Nutzer ein Zertifikat vom HTTPS Proxy bekommt.
    Das andere Problem ist, dass die Verbindung auf der Proxy Seite nicht mehr verschlüsselt ist, die Firma weiß also, was der User macht bzw. könnte der Admin schauen, wieviel der User auf dem Konto hat, wenn der sich im Firmennetz bei seiner Bank einloggt.
    Hier sehe ich große Probleme bezüglich dem Datenschutz.

    Der Vorteil ist allerdings, dass so der Proxy wenigstens die Daten von manipulierten HTTPS Servern durchchecken kann.
    Der Nachteil davon ist nur, dass eine Antivirensoftware auch nur das findet, was sie schon kennt, der Schutz also kein 100 %iger Schutz ist.

    Wie sollte das eine Firma also idealerweise handhaben, wenn sie selbst keinen Schadecode ins eigene Netz kriegen soll?
    Etwa die private Internetnutzung generell verbieten und den HTTPS Proxy nutzen, wodurch dann auch kein Datenschutzproblem bestehen würde, weil die private Internetnutzung ja eh verboten wäre?

    Wie wird das bei euch in der Firma gehandhabt?



  • HTTPS Proxy schrieb:

    Läßt man die Nutzer in einem Firmennetzwerk direkt via HTTPS auf externe Rechner zugreifen, dann könnten kompromitierte HTTPS Server durch manipulierte Webseiten Schadcode in das Firmennetzwerk einschleusen.

    Weiter habe ich nicht gelesen.

    Was ist aktuell mit diesen stupiden Netzwerkfragen?



  • HTTPS Proxy schrieb:

    Läßt man die Nutzer in einem Firmennetzwerk direkt via HTTPS auf externe Rechner zugreifen, dann könnten kompromitierte HTTPS Server durch manipulierte Webseiten Schadcode in das Firmennetzwerk einschleusen.

    Und über einen Proxy kann man sich keinen Schadcode einfangen, oder wie?

    Etwa die private Internetnutzung generell verbieten und den HTTPS Proxy nutzen, wodurch dann auch kein Datenschutzproblem bestehen würde, weil die private Internetnutzung ja eh verboten wäre?

    die private Internetnutzung generell verbieten
    die User zwingen, Facebook vom Smartphone aus zu verwenden



  • nman schrieb:

    HTTPS Proxy schrieb:

    Läßt man die Nutzer in einem Firmennetzwerk direkt via HTTPS auf externe Rechner zugreifen, dann könnten kompromitierte HTTPS Server durch manipulierte Webseiten Schadcode in das Firmennetzwerk einschleusen.

    Und über einen Proxy kann man sich keinen Schadcode einfangen, oder wie?

    Weiterlesen und nicht auf shade of Mine hören, da steht die Antwort.

    Etwa die private Internetnutzung generell verbieten und den HTTPS Proxy nutzen, wodurch dann auch kein Datenschutzproblem bestehen würde, weil die private Internetnutzung ja eh verboten wäre?

    die private Internetnutzung generell verbieten
    die User zwingen, Facebook vom Smartphone aus zu verwenden

    Und wenn das Smartphone in der Firma auch verboten ist?
    Das ist durchaus gängige Praxis, insbesondere bei Smartphones mit Kamera.



  • Ich kenne keine Firma, wo Smartphones verboten sind. Kameras können heute in jedem Kugelschreiber stecken, wo will man da Aufhören zu verbieten?



  • UnsinnMalSchwachsinn schrieb:

    Ich kenne keine Firma, wo Smartphones verboten sind. Kameras können heute in jedem Kugelschreiber stecken, wo will man da Aufhören zu verbieten?

    Ich kenne Unternehmen mit Bereichen, wo Kameras verboten sind. Infolgedessen auch Geräte mit eingebauter Kamera: Spionkugelschreiber, Laptops mit Webcam, Kamerahandys muss man eben draußen lassen. Verbieten kann man ganz leicht, aber den echten Spion würde es nicht aufhalten, zu knipsen, und die Mitarbeiter nehmen ihre normalen Smartphones trotzdem mit aber machen drin keine Fotos.



  • UnsinnMalSchwachsinn schrieb:

    Ich kenne keine Firma, wo Smartphones verboten sind. Kameras können heute in jedem Kugelschreiber stecken, wo will man da Aufhören zu verbieten?

    Hallo Unsinn * Schwachsinn, nur weil du nichts kennst, bedeutet dies nicht, dass es dies nicht gäbe.

    Bei McAffee kommst du jedenfalls nicht mit dem SmartPhone in den Hochsicherheitsbereich rein, genausowenig wie in einer Intel Fab.

    Immer diese Kinders, haben einfach keine Erfahrung und kennen nix.



  • HTTPS Proxy schrieb:

    Weiterlesen und nicht auf shade of Mine hören, da steht die Antwort.

    Nein, da steht viel Zeug, das eher undurchdacht klingt.

    Klingt nur so, als würdest du deinen Usern auf die Nerven gehen und ihre Produktivität vermindern. Du bist nicht zufällig auch der Kollege der letztens den Thread hier eröffnet hat?

    Bei McAffee kommst du jedenfalls nicht mit dem SmartPhone in den Hochsicherheitsbereich rein, genausowenig wie in einer Intel Fab.

    Ähm, ja. Verwaltest du den Hochsicherheitsbereich von McAfee oder eine Intel Fab?



  • nman schrieb:

    HTTPS Proxy schrieb:

    Weiterlesen und nicht auf shade of Mine hören, da steht die Antwort.

    Nein, da steht viel Zeug, das eher undurchdacht klingt.

    Du meinst wohl ein ganz besonderer Klugscheißer zu sein, da steht vor allem genau das da:

    "Der Vorteil ist allerdings, dass so der Proxy wenigstens die Daten von manipulierten HTTPS Servern durchchecken kann.
    Der Nachteil davon ist nur, dass eine Antivirensoftware auch nur das findet, was sie schon kennt, der Schutz also kein 100 %iger Schutz ist. "

    Dein vorheriges Posting ist also schon gefressen und zwar bevor du es geschrieben hast, womit dein Posting aufzeigt, dass du nicht weißt worum es hier geht, weil du nix gelesen hast und dir auch nicht mal die Mühe dafür gegeben hast.

    RTFM!

    Klingt nur so, als würdest du deinen Usern auf die Nerven gehen und ihre Produktivität vermindern.

    Keiner zwingt dich hier mitzulesen, es zwingt dich auch keiner mitzudiskutieren und in deinem Fall wäre es auch besser wenn du die Fliege machst, weil du nichtmal bereit bist, genau zu lesen worum es hier geht. Aus dieser Unwissenheit vom Thema entstehen dann nämlich diese dämlichen Postings wie die deine.

    Bei McAffee kommst du jedenfalls nicht mit dem SmartPhone in den Hochsicherheitsbereich rein, genausowenig wie in einer Intel Fab.

    Ähm, ja. Verwaltest du den Hochsicherheitsbereich von McAfee oder eine Intel Fab?

    Spielt das bei einer generellen Aussage eine Rolle, was ich mache?
    Ich habe eine allgemeine Aussage getroffen, er hatte der Allgemeinen Aussage gesprochen und nicht Recht gehabt, Punkt.



  • Kleine Korrektur:

    Ich habe eine allgemeine Aussage getroffen, er hatte der Allgemeinen Aussage widersprochen und nicht Recht gehabt, Punkt.


Log in to reply