Grundsätzliche Aussage: wenn es einen Weg nach außen gibt, ist er auch nutzbar



  • Servus,
    befinde mich gerade in Diskussion, die nicht nur auf pfS begrenzt ist. Proxy, URL-/DNS-Blacklists, Firewall ausgehend weitgehend zu: alles schön und gut. Wenn es aber einen Weg nach außen gibt, ist er auch nutzbar.
    Soweit meine These. Ich vertrete die Ansicht, dass ein Angreifer, der sich bereits auf einer Maschine mit Internetzugriff befindet, auch einen Weg nach draußen nutzen kann, sofern im Mindesten ein Dienst (Teamviewer, Dropbox z.B.) erreichbar ist. Für Ransomware und Co spielt das ohnehin keine Rolle. Wurde der verseuchte Mailanhang geöffnet oder einfach ein blöder USB-Stick eingesteckt, verschlüsselt sich das System auch ohne Internet. Massiv erschwert wäre der Weg nach außen nur durch eine Whitelist im Proxy, beschränkt auf wenige Seiten. Das Internet wäre quasi raus. So viel Blacklisting ist kaum machbar, als dass sich das wirklich lohnen würde. Es bietet aber natürlich einen zusätzlichen Schutz, nicht schon bei der erstbesten Webseite eine Infektion zu erfahren. Zumal die Endgerätesicherheit weit wichtiger ist, als es der Netzzugang an sich ist.

    Wie seht Ihr das? Sind Proxy und ausgehende Firewall-Regeln wirklich so zielführend, einen echten Schutz zu gewährleisten, der das Internet noch nutzbar sein lässt?


  • LAYER 8 Moderator

    ist er auch nutzbar.

    Mehr oder weniger, ja. Würde ich zustimmen. Spätestens mit Connectoren wie das ja bei Diensten wie TeamViewer etc. funktioniert bei der via ConServer gekoppelt wird bekommt man dann Zugriff.

    auch einen Weg nach draußen nutzen kann, sofern im Mindesten ein Dienst (Teamviewer, Dropbox z.B.) erreichbar ist.

    Es kommt drauf an was für ein Weg. Und inwiefern ihm das was nützt.

    Für Ransomware und Co spielt das ohnehin keine Rolle. Wurde der verseuchte Mailanhang geöffnet oder einfach ein blöder USB-Stick eingesteckt, verschlüsselt sich das System auch ohne Internet.

    Naaaa nicht ganz. Es gibt einige Crypto Trojaner und Malware, die sich erst mit einem Botserver in Verbindung setzen, um bspw. den Fernzugriff etc. zu steuern und sich freizugeben. Wird solcher Traffic abgehend geblockt und hat der Trojaner keine andere Control Möglichkeit, dann kann es schon sein, dass man hier den potentiellen Angriff mitigiert hat. Es gab/gibt einige Schädlinge die so funktionieren, diverse Botnetze wurden ja ebenfalls bereits so "abgeschaltet", weil die Domains und IPs, die zum Control Server des Bots gehörten vom Netz genommen wurden und somit sich zwar ein Client infizieren konnte, aber keinen Schaden mehr anrichtet.

    Massiv erschwert wäre der Weg nach außen nur durch eine Whitelist im Proxy, beschränkt auf wenige Seiten.

    Das mit Sicherheit, nur ist dann überhaupt das Netz noch sinnvoll nutzbar?

    So viel Blacklisting ist kaum machbar, als dass sich das wirklich lohnen würde. Es bietet aber natürlich einen zusätzlichen Schutz, nicht schon bei der erstbesten Webseite eine Infektion zu erfahren. Zumal die Endgerätesicherheit weit wichtiger ist, als es der Netzzugang an sich ist.

    Das hängt natürlich auch immer vom Ansichtsfall ab. Ist das Endgerät wirklich so viel wichtiger? Wenn ich im Heimbereich bspw. mal meine Spielkiste für die Kinder anschaue würde ich sagen: "Tjoa, ist in 2-3h wieder neu mit Windows bespaßt, Clients drauf, Spiele runterladen, fertsch." Da ist die Integrity des Systems so unwichtig, da kann ichs auch recht schnell platt machen.

    Wie seht Ihr das? Sind Proxy und ausgehende Firewall-Regeln wirklich so zielführend, einen echten Schutz zu gewährleisten, der das Internet noch nutzbar sein lässt?

    Firewallregeln auf jeden Fall, weil damit erstmal die Grundlage definiert wird, was gilt. Alles offen? Nur bestimmte Dienste erlaubt? Ist abgehend kein Mail erlaubt (weil ja eh alles via Mailserver laufen sollte) kann sich auch kein Spambot einnisten. Nur als Beispiel.

    Bei einem Proxy sieht das schon wieder anders aus. Da geht es IMHO weniger um wirklichen Schutz als mehr um Kontrolle und Abgrenzung, was angesehen werden soll/darf und was nicht. Ich finde aber bspw. Proxies mit Aufbrechen der TLS Verschlüsselung durch eigene Zertifikate etc. sehr bedenklich, da meiner Ansicht nach hier die "Kontrolle" und der "angebliche Schutz" bzw. Abgrenzung schon sehr ins Ausspitzeln der Gewohnheit geht und zudem den Enduser "verdummt", denn um transparent jedes Ziel filter zu können, muss ja zu annähernd jedem Ziel ein gültiges Zert vorgegaukelt werden. Damit macht man es Menschen, die das eh nicht so gut (weil nicht IT-affin) unterscheiden können, ob eine Domain wirklich gut/sicher ist oder nicht noch schwerer/unmöglich, effektiv selbst zu bemerken "Ouha, das ist ne Fakeseite, da sollte ich gar nicht sein. Muss ich mich vertippt haben oder der Link ist böse!" Statt dessen blockts dann ggf. der Proxy aber der Client sieht wieder nur ein "gutes Zertifikat". Da niemand die böse Seite wirklich sieht kann auch niemand lernen und reagieren.

    Deshalb bin ich da eher ein Freund von Aufklärung und L3 Blocking (gar kein Verbindungsaufbau zu bad-IPs) statt den Sermon erstmal via Proxy zu laden, zu analysieren und dann wegzuwerfen oder dem Client ein "du du du! böse!" vorzusetzen.

    Was genau aber Sinn macht oder machen kann, ist immer stark abhängig vom Einsatzzweck.



  • Danke Dir! :)

    Deshalb bin ich da eher ein Freund von Aufklärung und L3 Blocking (gar kein Verbindungsaufbau zu bad-IPs) statt den Sermon erstmal via Proxy zu laden, zu analysieren und dann wegzuwerfen oder dem Client ein "du du du! böse!" vorzusetzen.

    Was genau aber Sinn macht oder machen kann, ist immer stark abhängig vom Einsatzzweck.

    Aufklärung bin ich bei Dir. Mache ich auch. Ich habe dieser Tage mit dem Proxy, auch mit SSL-MITM gespielt. Das ist schon gruselig, wie der Browser die self-signed CA akzeptiert und grün zeigt.

    Bad-IPs: ja, bin ich bei dir. Habe ich bisher mit pfBlockerNG gemacht. Nach einigen Stunden Squid bin ich da nun aber etwas weiter. Die Funktion von Squid, Verkehr zu IPs statt einer URL zu unterbinden, hilft schon kräftig. I.V.m mit pfBlockerNG als DNS schon ziemlich cool. Sicherlich werde ich Dienste erwischen, die einfach nicht über einen SSL-Proxy wollen. WhatsappWeb und Windows-Updates sind da ja nur zwei Beispiele. SSL-MITM finde ich auch unschön. War aber interessant auszuprobieren. Wer weiß, vielleicht könnte ich da sogar Verkehr von veralteten Browsern unterbinden, weil ich nach der Version suchen kann. 🤔

    Auch ohne SSL-Interception kann man zumindest nach SNI mit Shalla filtern. Das hilft doch schon ne ganze Ecke weiter.

    Ich fasse zusammen: FW ausgehend zu + Squid mit Auth. + Squidguard + kein Verkehr zu IPs + pfBlockerNG macht schon recht dicht.

    Übrigens ist mir noch nicht ganz klar, welchen Mehrwert SSL Bump bringt, wenn man zwar den AV nutzen, nicht aber mit SquidGuard filtern kann. Was, außer AV, wäre denn auf der pfS noch machbar?

    Grüße


  • LAYER 8 Moderator

    @tpf said in Grundsätzliche Aussage: wenn es einen Weg nach außen gibt, ist er auch nutzbar:

    Auch ohne SSL-Interception kann man zumindest nach SNI mit Shalla filtern. Das hilft doch schon ne ganze Ecke weiter.

    Genau, alles was ich ohne Interception und MITM machen kann, ist grundsätzlich auch nicht verkehrt und für die User sinnvoll nutzbar. Da gibt's auch durchaus sinnige Einsatzzwecke, sei es nach Domains/App zu filtern etc.

    Übrigens ist mir noch nicht ganz klar, welchen Mehrwert SSL Bump bringt, wenn man zwar den AV nutzen, nicht aber mit SquidGuard filtern kann. Was, außer AV, wäre denn auf der pfS noch machbar?

    SSL Bump?



  • @JeGr said in Grundsätzliche Aussage: wenn es einen Weg nach außen gibt, ist er auch nutzbar:

    @tpf said in Grundsätzliche Aussage: wenn es einen Weg nach außen gibt, ist er auch nutzbar:

    Auch ohne SSL-Interception kann man zumindest nach SNI mit Shalla filtern. Das hilft doch schon ne ganze Ecke weiter.

    Genau, alles was ich ohne Interception und MITM machen kann, ist grundsätzlich auch nicht verkehrt und für die User sinnvoll nutzbar. Da gibt's auch durchaus sinnige Einsatzzwecke, sei es nach Domains/App zu filtern etc.

    Übrigens ist mir noch nicht ganz klar, welchen Mehrwert SSL Bump bringt, wenn man zwar den AV nutzen, nicht aber mit SquidGuard filtern kann. Was, außer AV, wäre denn auf der pfS noch machbar?

    SSL Bump?

    https://wiki.squid-cache.org/Features/SslBump


  • LAYER 8 Moderator

    Ah Squid spezifisch. Keine Ahnung dann, genau den MITM Kram versuche ich zu vermeiden und den Leuten auszureden, da er m.E.n. Sicherheit vorgaukelt wo eher das Gegenteil der Fall ist.


Log in to reply