Sonicwall DPI SSL Sinnhaftigkeit

[Skywalker27]

Hi Welt,

ich habe ein kleines Büro mit 4x PCs der hinter einer kleinen Sonicwall Hardwarefirewall hängt.
Bei Jedem PC und vielen Anwendungen kommt ständig eine Fehlermeldung "SSL Zertifikat ungültig".
Das ist ja normal da die DPI SSL Funktion das SSL aufbricht und der Browser und andere Anwendungen einen Manipulationsverdacht haben. Oder habe ich da was Misverstanden?

Wie Sinnvoll ist das DPI überhaupt? Ich würde es gern abschalten da ich keinen deutlichen Sicherheitsgewinn darin sehe.
Das würde vor Schadsoftware schützen die per HTTPS runtergeladen werden könnte. Was der Virenscanner aber sowieso macht.

 

[holdes]

Wenn du das SSL aufbrichst und mit einem eigenen Zertifikat ersetzt (im besten Falle natürlich aus der eigenen PKI), dann muss dieses Zertifikat bzw. die komplette Zertifikatskette, dass die PCs dann präsentiert bekommen auch im richtigen Zertifikatsspeicher auf den PCs liegen. Das lässt sich per GPO einfach erledigen. Wenn deine Clients diesem Zertifikat vertrauen, dann verschwinden auch die Warnungen.

Sinn macht das natürlich schon, denn ansonsten kann man bei allen Servern/Verbindungen die heutzutage SSL einsetzen keine Inhalte etc. scannen und das werden natürlich immer mehr. Klar kann man drauf verzichten und darauf hoffen, dass es der Virenscanner auf dem PC erledigt aber dann ist diese Schadsoftware eben schon bis zum PC vorgerückt.

DPI an sich ist ein super Feature welches sich die UTM Hersteller nicht umsonst für horrende Summen lizenzieren lassen. Es kostet eine Menge Performance kann aber je nach Implementierung auch Netzwerkschadcode oder andere Netzwerkangriffe zuverlässig beseitigen/verhindern bevor sie beim jeweiligen Endgerät ankommen. Im Beispiel von "normalen" Viren/Trojanern kann es zwar sein, dass dein PC Antivirus sie rechtzeitig findet und entfernt aber das gilt nicht für Angriffe auf andere Szenarien die keine der beiden Kategorien darstellen. Beispielsweise Angriffe auf Exchange OWA um einen Server zu kapern.

 

[snaxilian]

Zum einen kann es eine weitere Maßnahme sein Schadcode zu finden, den ggf. ein Virenscanner/EDR/XDR nicht erkennt oder eben direkt unerwünschtes an der Firewall blocken bevor alle Clients es ggf. blocken müssen.
Oder man nutzt das Feature als Ersatz für einen Proxy wenn man ausgehende Verbindungen blockieren will anhand des Inhalts oder nutzt es als DataLossPrevention Feature o.ä.
Wichtig ist aber vor allem: Das reine vorhandensein und aktivieren so einer Funktion bringt nicht pauschal einen Mehrwert an Sicherheit. Ein DPI Scanner der nur aufbricht, reinguckt, mit den Schultern zuckt, es wieder verschlüsselt und weiter schickt, macht halt nur genau das. Solche Features muss man schon sinnvoll konfigurieren und an die eigenen Gegebenheiten und Wünsche anpassen.

 

[t-6]

Das würde vor Schadsoftware schützen die per HTTPS runtergeladen werden könnte. Was der Virenscanner aber sowieso macht.

Ist einfach ein zusätzlicher Schutz. Kann ja sein dass die AVs auf den PCs noch eine veraltete Signatur haben weil der Hersteller nicht fix genug hinterher ist, der AV im DPI (eines anderen Herstellers) aber schon.

 

[foofoobar]

Wie Sinnvoll ist das DPI überhaupt? Ich würde es gern abschalten da ich keinen deutlichen Sicherheitsgewinn darin sehe.
Das würde vor Schadsoftware schützen die per HTTPS runtergeladen werden könnte. Was der Virenscanner aber sowieso macht.

Wenn du SSL aufbrichst hat man einen zentralen Punkt um alles mögliche zu kompromittieren.

Ergänzung (7. April 2023)

Ist einfach ein zusätzlicher Schutz. Kann ja sein dass die AVs auf den PCs noch eine veraltete Signatur haben weil der Hersteller nicht fix genug hinterher ist, der AV im DPI (eines anderen Herstellers) aber schon.

Zwei Virenscanner verdoppeln die Angriffsfläche.

 

[snaxilian]

einen zentralen Punkt um alles mögliche zu kompromittieren

Jain. Dafür müsste zuerst die Firewall durch Fehlkonfiguration und/oder einen Softwarefehler kompromittiert werden UND das Gerät müsste die Fähigkeiten zur Manipulation haben und nicht nur zur Erkennung um darauf basierend den Traffic zu erlauben oder nicht.
Wenn ich die Wahl habe zwischen deinem Szenario und der Möglichkeit der Filterung was an Webtraffic im Unternehmen rein und raus geht dann werden viele den zweiten Weg wählen wenn IT-Sicherheit des Unternehmens relevant ist.

Zwei Virenscanner verdoppeln die Angriffsfläche.

Stimme ich dir zu. Die allermeiste Vergrößerung der Angriffsfläche sind aber ungepatchte Systeme. Die meisten Attacken kommen halt doch über Lücken für die es längst einen Patch gibt den man aber halt nicht eingespielt hat. In solchen Fällen hält sich mein Mitleid dann auch in Grenzen.

 

[t-6]

Zwei Virenscanner verdoppeln die Angriffsfläche.

...des Systems "Virenscanner", aber nicht des Gesamtsystems bestehend aus Virenscannern, Browser, Betriebssystem, multipliziert mit der Anzahl an Instanzen (Computer) unterschiedlichster Stände, Richtlinien, menschliche Faktoren, etc. pp.

Ja, die Angriffsfläche wird erhöht. Panzerung trägt halt auf & vergrößert das Lichtmaß, ist aber immer noch Panzerung.