Webfilter mit HTTPS-Scan Erfahrungen

Nachdem der Trend hin zu verschlüsselten Seiten selbst für Goggle und Co. geht wirst Du das über kurz oder lang angehen müssen. Die üblichen Verdächtigen, die Probleme machen hast Du im Prinzip bereits genannt (Bankingsoftware, DATEV), dagegen helfen aber einzelne Ausnahmen.

Wir haben 2 Kunden aus dem Bankensektor, bei denen das von Anfang an aktiv sein musste, die Anzahl der Exceptions hält sich aber wirklich noch in Grenzen, im Normalfall nicht unbedingt mehr als wenn Du den Dateifilter aktiv hast und die Kunden anrufen, dass sie von URL xy die Datei aber brauchen. Am besten den Endusern gleich einschärfen, Screenshots der "Sophos-Meldung" zu machen, damit Du die Art der benötigten Exception direkt präsentiert bekommst.

Am meisten nerven die "Hilfe die SOPHOS blockt schon wieder" Supportfälle ohne nähere Details :D

Hallo Thorsten,

https Scanning gehört bei meinen Kundenprojekten zum Standard. Es gibt ein paar Standard Ausnahmen die ich immer gleich zu Beginn setze. Außerdem importiere ich grundsätzlich von vorne herein Zwischenzertifizierungsstellen die der UTM nicht bekannt sind aber bei anderen Kunden Probleme verursachen (can not verify local issuer ...).

Es gibt leider immer wieder schlecht konfigurierte Webserver die den Zertifikats chain nicht mitschicken. Wenn ein Zertifikat von einer Itermediate CA ausgestellt ist die nicht im chain mitgeschickt wird überprüft die UTM ob die Zertifizierungsstelle loakal vertrauenswürdig ist.

Außerdem setze ich mittlerweile eine grundsätzliche kategoriebasierte Ausnahme für "Finance / Banking". Wenn die https Inspection eingeschaltet wird sollte dem Kunden klar sein dass das kein Selbstläufer ist. Es wird immer wieder vorkommen das hier Ausnahmen gesetzt werden müssen. Sicherheit kostet Geld und Zeit. Für einen Dienstleister ist das von Vorteil weil er hier zus. Geld verdienen kann. Wir verkaufen hierzu Supportverträge.

Für den Kunden ist das von Vorteil weil er einen erheblich höheren Sicherheitslevel hat und dadurch ruhiger schlafen kann.

Schwierig wird es wenn du mit Kunden zu tun hast die zum Beispiel Skype for Business einsetzen. Bei einem normalen Kleinkunden (bis ca. 50 User) ist der Aufwand für solche Anpassungen aber überschaubar. Bei Großkundenprojekten wo mehrere Länder und Richtlinien eine Rolle spielen kann das aber sehr zeitintensiv werden.

Ich empfehle dir, fang mit kleineren Kunden an bei denen du Erfahrungswerte sammeln kannst. Diese Erfahrungen muss man sammeln um komplexere Kundenumgebungen anzugehen.

vg

mod

Hi,

danke für die beiden ausführlichen Antworten. Die Zwischenzertifizierungsstellen, die der UTM nicht bekannt sind, würdest Du die nennen bzw. zur Verfügung stellen?

Hi Thorsten,

hab ein Zip Archive angehangen. Die Liste ist aber nicht vollständig und wächst stetig.

8468.Zertifizierungsstellen.zip

vg

mod

Hey danke! Das wird mir einige Arbeit abnehmen. Eine schöne Woche noch!

Moin,

im Großen und Ganzen würde ich sagen, läuft es gut. Man wird definitiv über die eine oder andere Situation stolpern, wofür man Ausnahmen schaffen muss (z.B. für irgendwelche internen Lösungen), was aber in der Regel durch ne Proxyausnahme schnell gemacht ist, falls man nebenher nen transparenten Proxy laufen lassen sollte und man die Proxyeinstellungen für die User über GPOs in die Sitzungen brennt.

Wenn man Citrix nutzt, muss man da auch bissl drauf achten, dass man entsprechend Delivery Controller und Storefront aus dem HTTPS Scan ausnimmt. Macht nur Probleme. ^^

Einfach ausgedrückt: Bei uns klappt es gut und man muss einfach ab und zu mal wieder Hand anlegen, bis man alles erwischt hat. :-)

Liebe Grüße,

Flo