LCOS 10.92 - Security Essentials Option

[plumpsack]

Mit LCOS 10.92 erfüllen Sie alle Voraussetzungen, um Ihre Geräte mit der
LANCOM Security Essentials Option aufzurüsten

Code: Alles auswählen

https://www.lancom-systems.de/produkte/optionen-zubehoer/software-optionen/lancom-security-essentials-option

Durch den integrierten Content
Filter ...

Wechsel des Content Filters auf Bitdefender

Code: Alles auswählen

https://www.lancom-systems.de/loesungen/faq/dsgvo

Kann mir mal jemand mit "einfachen Worten" erklären, wie eine MitM-Software, hier jetzt neu, Bitdefender in der Klaut, DSGVO-Konform ist?

Mich hatte der ganze Spuk schon in der "Content Filter-Option" gewundert, da der Internetverkehr nicht auf dem Router, mit einem eigenen Zertifikat, sondern in der Lancom... per MitM gefiltert wurde/wird.

Danke schon einmal für die Antwort vorab.

[DanLo]

> eine MitM-Software

Der ContentFilter im LCOS macht kein MITM, er ist ein HTTP-Proxy.

[plumpsack]

DS_Security-Essentials-Option_DE.pdf

Datenblatt LANCOM Security Essentials Option

Hierbei erfolgt die Online-Prüfung der angeforderten Webseiteninhalte durch einen externen Bewertungsserver des
europäischen Security-Spezialisten Bitdefender.

MA_LCOS-1092-Security-Essentials_DE.pdf

LCOS 10.92 LANCOM Security Essentials

Die LANCOM Security Essentials prüfen sowohl unverschlüsselte (HTTP) als auch verschlüsselte Webseiten (HTTPS).

Zusätzlich muss die direkte Nutzung von DNS-over-TLS und DNS-over-HTTPS (ggf.
browserintern) mit externen DNS-Servern durch Clients verhindert werden.

Achso, z.B. Webseiten-Inhalte, die via SSL/TLS übertragen werden, können jetzt mit ->Voodoo<- analysiert werden.

Und uns hatte man früher, in der Schule, noch beigebracht, das man sowas mit einer MitM-Lösung aufbrechen muss.

Auch sollten wir die Proxys als transparent einsetzten, damit niemand auf dumme Ideen kommt.

Aber im Zeitalter der GenZ gibt man gerne mal Verantwortung ab ...

[sebsch134]

Das ist nur eine URL Abfrage und kein Proxy. Es wird auch kein Traffic aufgebrochen. Es wird die URL an Ratingserver geschickt und dort ist eine Kategorie hinterlegt.
Somit auch für BYOD Netze geeignet.

[sixty]

Das ist nur eine URL Abfrage und kein Proxy. Es wird auch kein Traffic aufgebrochen.

Dieser Satz leuchtet nicht ein.

Bei einer verschlüsselten Kommunikation sehe ich eine TCP-Verbindung zu einer IP(!) auf Port 443.
Eventuell kann ich durch Korrelation zu einer vorherigen DNS-Abfrage noch den angefragten Hostnamen (zu einer IP gibt es üblicherweise mehrere) ermitteln - mehr aber auch nicht. Bei DNS-over-HTTPS noch nicht mal das.
Eine URL besteht jedoch aus wesentlich mehr Elementen, die ich im vorliegenden Fall eben nicht sehe, weil sie Bestandteil des verschlüsselten Datenstroms (bei HTTPS insbesondere des GET-Headers) sind.

Entweder es wird doch HTTPS inspiziert oder der obige Text ist eine Nebelkerze und das ganze Produkt Schlangenöl.

[rotwang]

Bei einer verschlüsselten Kommunikation sehe ich eine TCP-Verbindung zu einer IP(!) auf Port 443.
Eventuell kann ich durch Korrelation zu einer vorherigen DNS-Abfrage noch den angefragten Hostnamen (zu einer IP gibt es üblicherweise mehrere) ermitteln - mehr aber auch nicht. Bei DNS-over-HTTPS noch nicht mal das.

Im Client-Hello eines TLS-Verbindungsaufbaus wird üblicherweise eine Server Name Indication mitgeschickt, die braucht der Server, wenn er mehrere virtuelle Hosts betreibt, damit er das richtige Server-Zertifikat wählen kann. Das Client-Hello ist noch Plaintext, da kann eine Middlebox draufschauen, ohne MitM spielen zu müssen. Man kriegt nicht die komplette URL, aber immerhin den Hostnamen, und kann dann pauschal sagen, dass dieser Server böse ist.

Es gibt Bestrebungen bei TLS 1.3, diese Erweiterung weiter nach hinten im Verbindungsaufbau zu schieben, damit die SNI nicht mehr im Klartext läuft. Aber das hat sich noch nicht allgemein durchgesetzt.

Entweder es wird doch HTTPS inspiziert oder der obige Text ist eine Nebelkerze und das ganze Produkt Schlangenöl.

Was jetzt folgt, ist nur meine private Meinung: Ich gehe da mit Fefe und halte diese ganzen Security-Produkte, egal ob auf den Clients selber oder als dazwischen geschaltete 'Internet-Waschmaschinen' für fragwürdig. Die Industrie, die diese Produkte herstellt, demonstriert immer wieder die mangelnde Software-Qualität dieser Produkte. Die Sachen bringen zum Teil mehr Lücken mit als sie schließen Und verlassen kann man sich letzten Endes trotzdem nicht drauf.

Die Sachen werden trotzdem weiter eingesetzt werden, m.E. aus einem ganz schlichten Grund: Es sind 'Cover my a***' Geräte. Wenn irgendein Sicherheitsvorfall passiert, und früher oder später wird so oder so irgend etwas passieren, dann kann man als IT-Verantwortlicher sagen, dass man 'nach dem Stand der Technik' alles Menschenmögliche getan hat, das zu verhindern. Da konnte man halt nichts machen, weil da wurde mit allerhöchster krimineller Energie vorgegangen

[sebsch134]

Das ist nur eine URL Abfrage und kein Proxy. Es wird auch kein Traffic aufgebrochen.

Dieser Satz leuchtet nicht ein.

Bei einer verschlüsselten Kommunikation sehe ich eine TCP-Verbindung zu einer IP(!) auf Port 443.
Eventuell kann ich durch Korrelation zu einer vorherigen DNS-Abfrage noch den angefragten Hostnamen (zu einer IP gibt es üblicherweise mehrere) ermitteln - mehr aber auch nicht. Bei DNS-over-HTTPS noch nicht mal das.
Eine URL besteht jedoch aus wesentlich mehr Elementen, die ich im vorliegenden Fall eben nicht sehe, weil sie Bestandteil des verschlüsselten Datenstroms (bei HTTPS insbesondere des GET-Headers) sind.

Entweder es wird doch HTTPS inspiziert oder der obige Text ist eine Nebelkerze und das ganze Produkt Schlangenöl.

Es wird eben nicht inspiziert. Genau wie bei der content Filter Option davor auch.

[plumpsack]

Es wird eben nicht inspiziert. Genau wie bei der content Filter Option davor auch.

Was meinst du, warum ich keine Content Filter Option von Lancom gekauft hatte.

Ich geb dir nen Tipp: Der Content wird in der LMC gefiltert !!!

Und jetzt mach neu aus alt:

Aus:
https://www.lancom-systems.de/produkte/ ... s-release/

Mit LCOS 10.92 erhöhen Sie die Absicherung Ihrer IT-Infrastruktur.

... schützen Sie Ihre Netzwerke zuverlässig vor Bedrohungen wie Ransomware, Phishing, Malware sowie dem Diebstahl von Zugangsdaten ...

Echt jetzt?

Ohne Deep Packet Inspection (DPI) bzw. das Aufbrechen einer SSL/TLS-Verbindung geht das gar nicht !!!

Wie willst du sonst z.B. einen infizierten CDN-Server überwachen?

[lna]

Ohne Deep Packet Inspection (DPI) bzw. das Aufbrechen einer SSL/TLS-Verbindung geht das gar nicht !!!

Wie willst du sonst z.B. einen infizierten CDN-Server überwachen?

Das ist eine "Essentials" Option, das was auf Router-Basis machbar ist (besser als nichts).
Wer einen Router als Perimeter nutzt braucht nicht über DPI sprechen.
In dieser einfachen Variante wird bei HTTP über die URL, bei HTTPs über den SNI Header ein Server ermittelt und gegen einen Reputationsdienst abgefragt. Ist dieser als schädlich bekannt bzw. als Teil einer anderen unerwünschten Kategorie, wird die Anfrage abgelehnt.
Ob es einen einzelnen infizierten Host innerhalb eines CDN gibt, wirst du mit diesem Ansatz nicht raus bekommen

Wenn du mit SSL-Decryption und DPI anfangen möchtest, solltest du eher bei der UF einsteigen. Da wird Schlüsselmaterial auf die Clients ausgebracht und damit implizit oder explizit (Transparenter Proxy / MitM oder im Browser hinterlegter Proxy) entschlüsselt und Content-gefiltert.
Ich befürworte die neue Namensgebung, "Security-Essentials" ist deutlich näher an der Technik als "Content-Filter".

Ich geb dir nen Tipp: Der Content wird in der LMC gefiltert !!!

Ich geb dir nen Tipp: Nein
Es werden keine Nutzdaten durch die LMC gesendet. Selbst mit LTA stellt die LMC ausschließlich die Management-Plane. Die Verbindung läuft gegen ein, vom Kunden selbst betriebenes Gateway.

Es sind 'Cover my a***' Geräte. [...] 'nach dem Stand der Technik'

So weit würde ich nicht gehen, eher "besser als nichts" oder "im Rahmen der Möglichkeiten".
Stand der Technik ist sicherlich ein vollwertiger transparenter Proxy mit einem gescheiten Zertifikatsmanagement.
Da wo das nicht einsetzbar ist, z.b. bei BJOD* mit Jugendschutzvorgaben (Gast-WLAN im Jugend-Treff) scheitert das Verteilen von CA-Zertifikaten an die Endgeräte an der Nutzerakzeptanz.
In diesem Fall trifft dann aber

'Cover my a***'

sehr gut zu.

"Mein Kind hat in Ihrer Schule das erste mal nackte Haut gesehen"
--> "Wir betreiben einen Domain-Filter auf Grundlage der Prüfliste der Bundeszentrale für Kinder- und Jugendmedienschutz. Wenn Ihr Kind das WLAN verlässt und auf seinem Privatgerät über LTE surft, können wir das nicht beeinflussen. Verweis auf Eigenverantwortung von Kindern und Eltern..."

Edit:
*BYOD

BJOD - Blow Jobs On Demand - echt jetzt?

aber auch damit kann sich der Jugendschutz auseinandersetzen die Hauptvorgabe ist ja die Erziehung zu eigenständigen reflektierten Entscheidungen

[plumpsack]

Da wo das nicht einsetzbar ist, z.b. bei BJOD mit Jugendschutzvorgaben (Gast-WLAN im Jugend-Treff) scheitert das Verteilen von CA-Zertifikaten an die Endgeräte an der Nutzerakzeptanz.

BJOD - Blow Jobs On Demand - echt jetzt?

[lna]

[plumpsack]

Scheiß "denglisch"!

Meintest du BYOD - Bring Your Own Device ?