Nálunk (cég, szolgáltató stb.) .... kifelé a HTTPS-t.

 ( trey | 2016. november 24., csütörtök - 19:54 )
tiltják
1% (3 szavazat)
nem tiltják
85% (293 szavazat)
nem tudom, hogy tiltják-e
2% (6 szavazat)
Egyéb, leírom.
2% (6 szavazat)
Csak az eredmény érdekel.
10% (35 szavazat)
Összes szavazat: 343

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Csunya lenne, ha tiltanak.

es ertelmetlen

--
NetBSD - Simplicity is prerequisite for reliability

Megis, mindezek ellenere allami intezmenyeknel egyaltalan nem ritka, hogy nehany kiveteltol (pl kozismert bankok oldalai) eltekintve tiltjak a HTTPS-t (es nem csak azt) hogy a felhasznalokat jobban monitorozhassak. Csak egy pelda.

Ez nem a "jobban monitorozhassák" kérdéskör, ez a "munkahelyi erőforrást tessék munka céljából használni", illetve picit távolabb menve némi DLP-kezdemény is lehet.

Marmint amikor ugyanazt a weboldalt el lehet erni a tcp/80-on es a tcp/443-on is, akkor a 443 azert van tiltva, hogy munka celjabol hasznald azt? Ertem mar.

Gondolom mivel tiltva van a https kénytelen vagy a http-t használni, azt meg már könnyebb monitorozni

SSH tunnel 80-as porton az otthoni gépre? >_<

Ha plain text http-t beszél, akkor mehet :-P

lecsapjak az eredeti SSL-t es becsomagoljak ujra ceges CA-val alairva. Undorito, de ertheto.

Nem érthető és sejtésem szerint még jogilag se védhető ezen gyakorlat.

Hint: kellően szigorú DLP-hez pedig jól jön...

Nem tiltják, hanem bontják, aztán inspektálják. Nem undorító, mert minden dolgozó aláírta az agreementet, hogy a céges erőforrásokat csak céges célokra használhatja. Viszont valóban érthető.

P.S.: nálunk valójában nincs ilyen (még), de én magam ilyen rendszerek megvalósításával is foglalkozom. És (vessetek meg érte) tökéletesen egyetértek a céljaival.

Egyelore meg megvetunk, de kimagyarazhatod magad belole :)

Majd amikor a hálózatodból (legyen mondjuk 1000+ user) elkezd párszáz gép kifelé kommunikálni egy botnet C&C szervere felé HTTPS-en egy kiadós worm infection után (amit pl. a többszintű vírus-, és egyéb védelem nem tudott megfogni, mert 0day infection volt), lehet hogy megérted miért írtam ezt. Mickey Mouse & Co cégeknek lehet hogy nem számít...

"Mickey Mouse & Co"

Mármint a Walt Disney Company-ra gondoltál? Igen, az jelentéktelen cégecske, nekik biztosan nem számít. :-)

>> elkezd párszáz gép kifelé kommunikálni egy botnet C&C szervere felé HTTPS-en

sajnos ez ellen nem lehet semmit tenni a userek folyamatos megmitmezése nélkül

ja de

Megmitmezése? :)

Másik haszna, hogy szépen megszüntethetőek az illegális ssl portforward-ok. Is. Pl. dropbox.

Mármint ssh portforward... Azt mondjuk okosabb eszközök "meg tudják sejteni", hogy az adott titkosított stream https vagy ssh, és ha az utóbbi, akkor azt szépen le lehet csapni.

Gondolom a céges adatokat akarják házon belül tartani.

Így van, ezért fontos, hogy a tcp/443 felé menő, definíció szerint titkosított csatornában folyo kommunikáció ellenőrizhető/korlátozható/szűrhető legyen. Például úgy, hogy a megcélzott szerver által benyújtott certificate alapján engedi a tűzfal a forgalmat, vagy dob egy html-oldalt, hogy bocsi, de amit szeretnél, az nem fér össze a céges szabályozással. Ugyanez pepitában az ssh-detektálás - ha úgy tűnik, hogy az adott forgalom ssh szeretne lenni, akkor megint csak a szabálybázison múlik, hogy mehet-e a dolog, vagy épp egy pici trükkel eldobásra kerül a kapcsolat.

>> minden dolgozó aláírta az agreementet, hogy a céges erőforrásokat csak céges célokra használhatja

ettől még nem mithezheted meg őket

Hanem?

Az a gyanúm, hogy te a rosszindulatú kémkedést kevered avval,

hogy egy cég előre lefektetett célok és auditált kivitelezés mellett
valamint a dolgozók tudomásával (figyelem, NEM beleegyezést írtam!)
bizonyos ssl/tls titkosítást használó kapcsolatokat kibont a céloknak megfelelően elemez és visszacsomagol.

Azt meg már céges kultúra válogatja, hogy engedi-e a cég a céges erőforrásokat (pl. sávszélesség, mobilnetelőfizetés) magáncélra használni, vagy hogy ezt mennyire szigorúan tartja be.
Hivatalosan a törvény szerint, mivel a cég rendszerint az internetkapcsolat és a dolgozók telefonjainak (ahol ez is a csomag része) előfizetési díját leírja, _csak_ munkacélra vehetőek ezek igénybe.

Normális cég, meg bízik a dolgozóiban, hogy felnőttek, és szarik bele, hogy a céges netről rendelsz ebédet, megnézed néha a facebook-odat, (mert napi 8 órában úgyse tudsz folyamatosan figyelni), és 1-2 magánhívást is lebonyolítasz a hivatalosak mellett.

Nem feltétlenül a munkavállaló oldalán van a jogi probléma, ha ő ráutaló magatartással bele is egyezik, hogy megfigyeljék, és biztosítva van a privát használat, a facebook chatelő partnere vagy gmailes levélküldővel szemben még megtörténhet a magánlevél titkárságának sérelme.

Olvass utána, hogy a dolgozó.neve kukac céges.domain e-mail címeket, ami önmagában _is_ személyes adat, hogyan, milyen módon használhatja a dolgozó kilépése után a cég. Ott is előnybe helyezi a tv. a gazdasági érdeket...

Szerintem nem, a dolgozó.neve@cégnévre küldött levelet magánlevélként kell kezdeni.
Tudom, hogy a valóság nem feltétlenül ez, de a gazdasági érdekek mellett is látok rációt.

A 2011. évi CXII. tv. 6. § -- erre szokás hivatkozni. Igen, nekem sem tetszik, de sajnos ez van .(

Szerintem ezekben az esetekben csak úgy történhet meg a magánlevél sérelmére elkövetett bárminemű sérelem, hogy a dolgozó máris megszegte a céges szabályzatot. Hiszen ha nem nézhet magánlevelet, és ebbe beleegyezett, akkor a cég nem vonható felelősségre, ha a megfigyelt forgalomban véletlen magánlevél is volt. Neki jóhiszemen azt kell feltételeznie a dolgozóiról, hogy azok a szerződést betartják.

Nagy Péter
www.ddo.hu

Komolyan érdekel, hogy melyik jogszabályra alapozod ezt a meglehetősen határozott állítást. Már csak azért is, mert valóban két, önmagában teljesen jogos érdek ütközik egymással, egyrészt a felhasználó privacy védelme, másrészt pedig a cég teljesen jogos érdeke, hogy megvédje magát és adatait.

Persze technikailag tiltható a https, de gyakorlatilag ezzel a fél internetet kizárnád, és sok cégnél ez komoly működési zavarokat okozna, tehát a valóságban nem járható út.

Én pl. el tudok képzelni egy olyan kompromisszumot, hogy bizonyos kategóriákra (tipikusan pénzügyi) kiengedni a https MITM nélkül, a többire meg engedélyezni MITM-mel, természetesen úgy, hogy a felhasználók erről tudnak.

Úgy is megszívják az ilyen cégek. Adott fizuért rosszabb minőségű alkalmazottak maradnak csak majd ott. Szerintem nem éri még az ilyesmi, főleg a jelen munkaerő hiányos helyzetben.

+1

A cég IT biztonsága meg le van szarva, csak neked jó legyen. :) Szép.

Érdekes kérdés ez a biztonság. Én például tudok olyan multiról, ahol mindenki local admin a laptopján, nem tiltják a https-t, sőt, ki sem bontják. Aztán mégsem szokott baj lenni belőle. :)

Vagy nem tudsz róla... Egyébként meg ami késik, közeledik...

Mi pont ebbe a csoportba tartozunk. Valószínűleg az SSL kibontás kivételével (anyaházi jogi szabályozás ezt nem teszi lehetővé) lehetne adatbiztonság szempontjából hatékonyabban kezelni, de nincs ekkora érdekérvényesítő képessége az IT-nak,a business-el szemben.
Gyakorlatilag mindenhol ezt látom, ahol a local IT-nak van némi beleszólási joga az üzleti folyamatokba, szemben egy teljesen központilag irányított IT-val.

Ha jól sejtem a szavazás a hup.hu ssl kényszerítéséhez kapcsolódó vita nyomán lett kiírva. Ez esetben ez nem minősül tiltásnak, mert meg tudsz nyitni ssl-en elérhető oldalakat. (Annak ellenére hogy megbontják őket.)

+1 lehallgatnak
(tehát fölös is az ssl, mert úgyis lementik a jelszavamat, elmentik a cookiemat és spammelni fognak vele a fórumon)

Nem fölös az ssl, mert jobb eszközök képesek például szerver oldali cert alapján eldönteni, hogy átcsomagolnak vagy sem, de ugyanígy megoldható, hogy a 443-as tcp-portra irányuló kapcsolódásnál a https helyett ssh-t beszélő klienst elhajtsa a tűzfal...

Szugsegszeru a https biztonsagi ellenorzese. Vagy scan vagy deny, lehet valasztani vagy mobiltelefont hasznalni.

Egyéb, leírom: majdhogynem megkövetelik.

elsöprő fölény. force https-t a népnek :)

HTTPS-átcsomagolást a tűzfalaknak :-P

Egyéni vállalkozó vagyok: nem tiltom magamnak :)

:D
Az lenne a legszebb, ha magadat mitm-elned, majd pentek delutan atnezned a sajat halozati forgalmad... :D

Pedig lehet, hogy érdemes lenne.
Amúgy meg sajna céges proxy-nál marad az URL szűrés, ha nincs újracsomagolva a https forgalom. Munkahelyi net a munkához szükséges, nem magánélet éléséhez. Ha a munkavállalók fel vannak homályosítva, hogy szelfit a pélóról ne innen küldjön, se az orvosi adatokat ne a céges neten nézze, mert ellenőrizhető a forgalom akkor rendben van. Persze az a rendszergazda is repüljön aki szórakozásból kukkolja a népet. A forgalom figyelése maradjon annál, hogy hatékonyan és a cég számára biztonságosan lehessen használni a munkahelyi erőforrásokat.

URL szűrés?

Nem tiltják, de kicsomagolják, scannelik és újracsomagolják.

Nem értem a kérdést. Hogy tiltják-e azt, hogy https oldalakat benn a céges gépen megnyissak? Mégis miaf***nak tiltanák? Ugyanakkor van tiltólista egyes oldalakra, amik vagy ismert támadó oldalak, vagy a munkavégzéshez finoman szólva nem kapcsolódó tematikájúak...

Példa: Google drive vagy más https-es felhő tárhely, ahova kényelmesen, böngészőből tudsz bizalmas adatokat feltölteni (DLP). És az sem mindegy, hogy abban a tcp/443-ra menő stream-ben valóban https megy, vagy egy ssh-szerver van a túloldalon, amin keresztül portforwardot csinál a delikvens... Ezt eddig eslődlegesen ssl-átcsomagolással lehetett kivédeni, azóta azért van ennél szofisztikáltabb módszer is.

Milyen szofisztikáltabb módszer van?

Egyik ügyfelünk egy nagy bank.
Nagyon nem engedélyezett, hogy bármi kikerüljön tőlük.
Egyfelől alá kell írni mindenféle papírokat, hogy nem tesz ilyesmit az ember, aztán vannak tréningek erről.
És telefonhívásokat, email forgalmat, http forgalmat rögzítik, elemzik.

De a technikai részre térve: mindenféle elterjedt webmail tiltva van, és mindenféle elterjedt fájl megosztó vagy felhős tárhely. Szóval mondjuk google keresés megy, de google drive vagy gmail nem. (Meg persze egy csomó egyéb, munkához nem tartozó oldal is feketelistán van, és odaírják, ha munkához kell, kérvényezd és egyedileg engedélyezhetik).

És emellett a https-t engedik, bár lehet, hogy azt is kicsomagolják és rögzítik, nem tudom.
De https://hup menne

Gondolom az összes webes (front enddel rendelkező) proxy is tiltva van, hogy ennek értelme legyen.

Vagy ha proxyt használva az ember feltölti a felhőbe az ügyféladatokat, akkor ha ez kiderül és a logokból/lementett forgalomból ki tudják mutatni, akkor mehet az ember a bíróságra, aztán esetleg börtönbe.

Nem hiszem, hogy az a cél, hogy 100%-os legyen a megoldás. Ha a figyelmetleneket és a feledékenyeket kiszűrik, az valószínű jó, a többiekre meg ott a logolás.

Ha valaki nagyon el akarná lopni a szuper titkos anyagokat, azért lenne rá elég sok módja. Pl. le tudnám fényképezni a telefonommal a képernyőmet, vagy kinyomtatom és viszem papíron, vagy akármi.

Feldobok egy témát: tudtok olyan rendszerről vagy inkább szolgáltatásról, ami az ilyen favágó, soha véget nem érő módon tiltott ip-k/site-okon felül képes intelligensen figyelni a proxy log-okat és riasztani, ha a tevékenység adatlopásra utalhat?

Kicsit szélmalomharcnak tűnik ez nekem:

"mindenféle elterjedt [...] tiltva van"

És mi van a nem elterjedttel? Mi van a sajáttal? Mi van az offline megoldásokkal? Gondolom pendrive-ot nem engednek be. Mi a helyzet a mobilokkal? Mi a helyzet a nem szokványos eszközökkel? Teszemazt egy eszköz, amit az audio kimenetbe dugsz, ez hallgatózik, eközben a gépen egy program az adatot hanggá alakítja, az eszköz a hangot elmenti adatként? Még az se baj ha programot nincs jogod futtatni, ma már egy weboldal is megoljda neked ezt.

Persze még így is le lehet bukni

Például az én cégem által biztosított webmail-t el tudtam érni a bankból.

Hogy ez véletlen (vagyis nem vették észre), vagy direkt (mert sokan dolgoznak a banknak a cégemtől, és ezért lehet, hogy kivételként felvették), azt nem tudom, de végül is mindegy is.

Ahogy feljebb írtam, ha valaki nagyon akarja, számos módszert találhat. Ezzel bizonyára ők is tisztában vannak, végiggondolták, és úgy alakították ki a rendszert.

Nálunk nem tiltják, és SSL man in the middle sincs.

Egy területet sem tudok mondani, ahol kifejezetten HTTPS tiltást alkalmaznának, helyette kategória alapú webszűrést szoktak kérni, akár csoportonként különféle kezelésekkel.

Általában cert ellenőrzés alapján megy is, ritkán van teljes SSL közbenállás. Ha ilyen van, akkor általában van explicit proxy is.