Nálunk (cég, szolgáltató stb.) .... kifelé a HTTPS-t.

Internet, Közösségi média

tiltják
1% (3 szavazat)
nem tiltják
85% (293 szavazat)
nem tudom, hogy tiltják-e
2% (6 szavazat)
Egyéb, leírom.
2% (6 szavazat)
Csak az eredmény érdekel.
10% (35 szavazat)
Összes szavazat: 343

( ruczati | 2016. 11. 24., cs – 20:53 )

lecsapjak az eredeti SSL-t es becsomagoljak ujra ceges CA-val alairva. Undorito, de ertheto.

Nem tiltják, hanem bontják, aztán inspektálják. Nem undorító, mert minden dolgozó aláírta az agreementet, hogy a céges erőforrásokat csak céges célokra használhatja. Viszont valóban érthető.

P.S.: nálunk valójában nincs ilyen (még), de én magam ilyen rendszerek megvalósításával is foglalkozom. És (vessetek meg érte) tökéletesen egyetértek a céljaival.

Majd amikor a hálózatodból (legyen mondjuk 1000+ user) elkezd párszáz gép kifelé kommunikálni egy botnet C&C szervere felé HTTPS-en egy kiadós worm infection után (amit pl. a többszintű vírus-, és egyéb védelem nem tudott megfogni, mert 0day infection volt), lehet hogy megérted miért írtam ezt. Mickey Mouse & Co cégeknek lehet hogy nem számít...

Így van, ezért fontos, hogy a tcp/443 felé menő, definíció szerint titkosított csatornában folyo kommunikáció ellenőrizhető/korlátozható/szűrhető legyen. Például úgy, hogy a megcélzott szerver által benyújtott certificate alapján engedi a tűzfal a forgalmat, vagy dob egy html-oldalt, hogy bocsi, de amit szeretnél, az nem fér össze a céges szabályozással. Ugyanez pepitában az ssh-detektálás - ha úgy tűnik, hogy az adott forgalom ssh szeretne lenni, akkor megint csak a szabálybázison múlik, hogy mehet-e a dolog, vagy épp egy pici trükkel eldobásra kerül a kapcsolat.

Hanem?

Az a gyanúm, hogy te a rosszindulatú kémkedést kevered avval,

hogy egy cég előre lefektetett célok és auditált kivitelezés mellett
valamint a dolgozók tudomásával (figyelem, NEM beleegyezést írtam!)
bizonyos ssl/tls titkosítást használó kapcsolatokat kibont a céloknak megfelelően elemez és visszacsomagol.

Azt meg már céges kultúra válogatja, hogy engedi-e a cég a céges erőforrásokat (pl. sávszélesség, mobilnetelőfizetés) magáncélra használni, vagy hogy ezt mennyire szigorúan tartja be.
Hivatalosan a törvény szerint, mivel a cég rendszerint az internetkapcsolat és a dolgozók telefonjainak (ahol ez is a csomag része) előfizetési díját leírja, _csak_ munkacélra vehetőek ezek igénybe.

Normális cég, meg bízik a dolgozóiban, hogy felnőttek, és szarik bele, hogy a céges netről rendelsz ebédet, megnézed néha a facebook-odat, (mert napi 8 órában úgyse tudsz folyamatosan figyelni), és 1-2 magánhívást is lebonyolítasz a hivatalosak mellett.

Nem feltétlenül a munkavállaló oldalán van a jogi probléma, ha ő ráutaló magatartással bele is egyezik, hogy megfigyeljék, és biztosítva van a privát használat, a facebook chatelő partnere vagy gmailes levélküldővel szemben még megtörténhet a magánlevél titkárságának sérelme.

Szerintem ezekben az esetekben csak úgy történhet meg a magánlevél sérelmére elkövetett bárminemű sérelem, hogy a dolgozó máris megszegte a céges szabályzatot. Hiszen ha nem nézhet magánlevelet, és ebbe beleegyezett, akkor a cég nem vonható felelősségre, ha a megfigyelt forgalomban véletlen magánlevél is volt. Neki jóhiszemen azt kell feltételeznie a dolgozóiról, hogy azok a szerződést betartják.

Nagy Péter
www.ddo.hu

Komolyan érdekel, hogy melyik jogszabályra alapozod ezt a meglehetősen határozott állítást. Már csak azért is, mert valóban két, önmagában teljesen jogos érdek ütközik egymással, egyrészt a felhasználó privacy védelme, másrészt pedig a cég teljesen jogos érdeke, hogy megvédje magát és adatait.

Persze technikailag tiltható a https, de gyakorlatilag ezzel a fél internetet kizárnád, és sok cégnél ez komoly működési zavarokat okozna, tehát a valóságban nem járható út.

Én pl. el tudok képzelni egy olyan kompromisszumot, hogy bizonyos kategóriákra (tipikusan pénzügyi) kiengedni a https MITM nélkül, a többire meg engedélyezni MITM-mel, természetesen úgy, hogy a felhasználók erről tudnak.

Mi pont ebbe a csoportba tartozunk. Valószínűleg az SSL kibontás kivételével (anyaházi jogi szabályozás ezt nem teszi lehetővé) lehetne adatbiztonság szempontjából hatékonyabban kezelni, de nincs ekkora érdekérvényesítő képessége az IT-nak,a business-el szemben.
Gyakorlatilag mindenhol ezt látom, ahol a local IT-nak van némi beleszólási joga az üzleti folyamatokba, szemben egy teljesen központilag irányított IT-val.

( hunyadym | 2016. 11. 24., cs – 23:56 )

Egyéb, leírom: majdhogynem megkövetelik.

( Pene | 2016. 11. 25., p – 02:09 )

elsöprő fölény. force https-t a népnek :)

( BlinTux v | 2016. 11. 25., p – 07:52 )

Egyéni vállalkozó vagyok: nem tiltom magamnak :)

Pedig lehet, hogy érdemes lenne.
Amúgy meg sajna céges proxy-nál marad az URL szűrés, ha nincs újracsomagolva a https forgalom. Munkahelyi net a munkához szükséges, nem magánélet éléséhez. Ha a munkavállalók fel vannak homályosítva, hogy szelfit a pélóról ne innen küldjön, se az orvosi adatokat ne a céges neten nézze, mert ellenőrizhető a forgalom akkor rendben van. Persze az a rendszergazda is repüljön aki szórakozásból kukkolja a népet. A forgalom figyelése maradjon annál, hogy hatékonyan és a cég számára biztonságosan lehessen használni a munkahelyi erőforrásokat.

( elod v | 2016. 11. 25., p – 10:14 )

Nem tiltják, de kicsomagolják, scannelik és újracsomagolják.

( PDA_FAN | 2016. 11. 25., p – 14:41 )

Nem értem a kérdést. Hogy tiltják-e azt, hogy https oldalakat benn a céges gépen megnyissak? Mégis miaf***nak tiltanák? Ugyanakkor van tiltólista egyes oldalakra, amik vagy ismert támadó oldalak, vagy a munkavégzéshez finoman szólva nem kapcsolódó tematikájúak...

Példa: Google drive vagy más https-es felhő tárhely, ahova kényelmesen, böngészőből tudsz bizalmas adatokat feltölteni (DLP). És az sem mindegy, hogy abban a tcp/443-ra menő stream-ben valóban https megy, vagy egy ssh-szerver van a túloldalon, amin keresztül portforwardot csinál a delikvens... Ezt eddig eslődlegesen ssl-átcsomagolással lehetett kivédeni, azóta azért van ennél szofisztikáltabb módszer is.

Egyik ügyfelünk egy nagy bank.
Nagyon nem engedélyezett, hogy bármi kikerüljön tőlük.
Egyfelől alá kell írni mindenféle papírokat, hogy nem tesz ilyesmit az ember, aztán vannak tréningek erről.
És telefonhívásokat, email forgalmat, http forgalmat rögzítik, elemzik.

De a technikai részre térve: mindenféle elterjedt webmail tiltva van, és mindenféle elterjedt fájl megosztó vagy felhős tárhely. Szóval mondjuk google keresés megy, de google drive vagy gmail nem. (Meg persze egy csomó egyéb, munkához nem tartozó oldal is feketelistán van, és odaírják, ha munkához kell, kérvényezd és egyedileg engedélyezhetik).

És emellett a https-t engedik, bár lehet, hogy azt is kicsomagolják és rögzítik, nem tudom.
De https://hup menne

Vagy ha proxyt használva az ember feltölti a felhőbe az ügyféladatokat, akkor ha ez kiderül és a logokból/lementett forgalomból ki tudják mutatni, akkor mehet az ember a bíróságra, aztán esetleg börtönbe.

Nem hiszem, hogy az a cél, hogy 100%-os legyen a megoldás. Ha a figyelmetleneket és a feledékenyeket kiszűrik, az valószínű jó, a többiekre meg ott a logolás.

Ha valaki nagyon el akarná lopni a szuper titkos anyagokat, azért lenne rá elég sok módja. Pl. le tudnám fényképezni a telefonommal a képernyőmet, vagy kinyomtatom és viszem papíron, vagy akármi.

Kicsit szélmalomharcnak tűnik ez nekem:

"mindenféle elterjedt [...] tiltva van"

És mi van a nem elterjedttel? Mi van a sajáttal? Mi van az offline megoldásokkal? Gondolom pendrive-ot nem engednek be. Mi a helyzet a mobilokkal? Mi a helyzet a nem szokványos eszközökkel? Teszemazt egy eszköz, amit az audio kimenetbe dugsz, ez hallgatózik, eközben a gépen egy program az adatot hanggá alakítja, az eszköz a hangot elmenti adatként? Még az se baj ha programot nincs jogod futtatni, ma már egy weboldal is megoljda neked ezt.

Persze még így is le lehet bukni

Például az én cégem által biztosított webmail-t el tudtam érni a bankból.

Hogy ez véletlen (vagyis nem vették észre), vagy direkt (mert sokan dolgoznak a banknak a cégemtől, és ezért lehet, hogy kivételként felvették), azt nem tudom, de végül is mindegy is.

Ahogy feljebb írtam, ha valaki nagyon akarja, számos módszert találhat. Ezzel bizonyára ők is tisztában vannak, végiggondolták, és úgy alakították ki a rendszert.

( szollosiimre | 2016. 11. 25., p – 14:50 )

Nálunk nem tiltják, és SSL man in the middle sincs.

Egy területet sem tudok mondani, ahol kifejezetten HTTPS tiltást alkalmaznának, helyette kategória alapú webszűrést szoktak kérni, akár csoportonként különféle kezelésekkel.

Általában cert ellenőrzés alapján megy is, ritkán van teljes SSL közbenállás. Ha ilyen van, akkor általában van explicit proxy is.