Re: FreeBSD-basierter Firewall

From: <Bernhard(at)gtkx.de>
Date: Wed, 16 Jan 2013 22:46:45 +0100

alle,

ich bin entsetzt wie hier argumentiert wird

von was reden wir?

wir reden wie eine sichere verbidung, aus was für gründen auch immer, beschnüffelt werden soll.

beispiel:

ein mitarbeiter verbidet sich mit seiner bank um seine kontendaten abzurufen - es ist irrelevant ob das nun im betrieb erlaubt ist oder nicht - und dann wird "heimlich" eine sichere ssl verbidung vorgetäuscht das er nur dann bemerken kann wenn er das sll zertifikat überprüft!
Und so ganz neben bei kann nan seine ganzen bank datenverker mitlesen einschließlich den zugangsdaten zur bank - das ist nicht nur verwerflich, das ist auch verboten - zumindest in deutschland und auch das falsche mittel.

vor solchen, in meinen augen kriminellen, handlungen sollte man abstand halten.

Von meinem iPhone gesendet

Am 16.01.2013 um 21:43 schrieb Marcus Franke <marcus.franke(at)gmx.net>:

>
> Sag mal, was redest du denn da?
>
> Du hast einen wichtigen Dienst laufen, dessen Daten per SSL gesichert zum Kunden über tragen werden. Deine Firewall ist quasi blind, wenn da jemand was probiert. DPI hilft dir an dieser Stelle, da du nun wieder in den Datenstrom schauen kannst.
>
> Wenn du per DPI die Kommunikation der Kollegen im Büro überwachst, dann hast du vielleicht ein Problem. Aber per se diese Technik zu verteufeln ist unüberlegt.
>
> Gruß, Marcus
>
>
> pedo mellon a minno
>
> Bernhard(at)gtkx.de schrieb:
>
>> Hallo alle,
>>
>> ich rate vom ssl "aufrechen" ab, denn, ssl soll eine sichere verbidung zwischen client und server garantieren.
>>
>> Der Anweder get also davon aus, dass ssl sicher ist. Bricht man das mun auf, tut man genau das was man eigentlich verhindern will. "eine man in the mittle attac"
>>
>> ich hab heute im interner gesucht, einfach ist das nicht und in deutschland mit sicherheit nicht legal. Da steht man mit einem bein schon im knast.
>>
>>
>>
>>
>> Von meinem iPhone gesendet
>>
>> Am 16.01.2013 um 16:06 schrieb Oliver Fromme <olli(at)lurza.secnetix.de>:
>>
>>> Bernhard(at)gtkx.de wrote:
>>>> hab ich dich richtig verstanden, du willst den Datenteil
>>>> scannen? Wozu?
>>>
>>> Naja, wozu macht man sowas wohl?
>>>
>>>> denn bei SSL ist damit eh schluss.
>>>
>>> Nicht unbedingt, theoretisch kann man SSL durchaus aufbrechen.
>>> Bessere Appliances können das; diverse Kunden von uns haben
>>> sowas in Betrieb. Es gibt sogar welche mit FreeBSD unter der
>>> Haube als "Firmware".
>>>
>>>> Und wäre da ein Proxy nicht besser geeignet?
>>>
>>> Ein Proxy arbeitet auf ganz anderer Ebene und ist auf die
>>> jeweiligen Protokolle eingeschränkt, z.B. HTTP. Außerdem
>>> bereitet ein Proxy oft Probleme, auch (und vor allem) wenn
>>> man ihn transparent aufsetzen möchte.
>>>
>>> Ein Paketfilter mit DPI ist erstmal für beide Seiten völlig
>>> unsichtbar und bereitet daher keine Probleme. Dem sind auch
>>> die Protokolle egal, die da durchrauschen, es kann höchstens
>>> passieren, dass die DPI bei einem obskuren Protokoll versagt.
>>>
>>>> Von meinem iPhone gesendet
>>>
>>> Von meinem Toaster gesendet
>>>
>>> Gruß
>>> Olli
>>>
>>>
>>> --
>>> Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing
>>> Handelsregister: Amtsgericht Muenchen, HRA 74606, Geschäftsfuehrung:
>>> secnetix Verwaltungsgesellsch. mbH, Handelsreg.: Amtsgericht München,
>>> HRB 125758, Geschäftsführer: Maik Bachmann, Olaf Erb, Ralf Gebhart
>>>
>>> FreeBSD-Dienstleistungen/-Produkte + mehr: http://www.secnetix.de/bsd
>>>
>>> "I invented Ctrl-Alt-Delete, but Bill Gates made it famous."
>>> -- David Bradley, original IBM PC design team
>>>
>>>
>>> To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
>>> with "unsubscribe de-bsd-questions" in the body of the message
>>
>>
>> To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
>> with "unsubscribe de-bsd-questions" in the body of the message
>
>
> To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
> with "unsubscribe de-bsd-questions" in the body of the message

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 16 Jan 2013 - 22:47:02 CET

search this site