Hallo Leute,
ich befinden mich momentan in einer Weiterbildungsmaßnahme und wohne dafür hier in Dortmund in einem Wohnheim. Seit einiger Zeit bekommen die Teilnehmer hier im Wohnheim beim besuch von z.B. Bank Seiten HSTS Fehler mit dem Hinweis, dass die Zertifikate von Fortigate kämen und nicht mit der Domain übereinstimmen würden.
Nach kurzer Recherche habe ich nun den verdacht, dass hier versucht wird per MITM Angriff eine Deep Package Inspection zu fahren. Falls das stimmen sollte, hätte die Heimleitung Zugriff auf äußerst sensible Daten.
Ich würde gerne wissen, ob ich mit meinem Verdacht recht haben könnte und wenn ja, ob die gesetzlich überhaupt erlaubt ist?
Gruß
Marc
Hi Marc,
was du beschreibst hört sich stark nach einer sogenannten SSL interception. Fortigate ist ein Hersteller von Firewalls die unter anderem auch SSL interception durchführen können.
Eine solche Interception ist in Firmennetzwerken heute nicht unüblich. Im Kontext einer Firma ist dies auch mehr oder weniger legitim. In der Regel müssen aber dann die Mitarbeiter darüber informiert werden und/oder der Betriebsrat ist involviert um sicher zu stellen dass diese Maßnahme nur für Security genutzt wird, z.B. um auch Command&Control Traffic zu erkennen der durch SSL/TLS geht, und nicht um sensible Daten der Mitarbeiter abzugreifen.
Auf welchen Geräten wurden die Zertifikate von Fortigate gesichtet? Privaten Geräten oder vom Wohnheim gestellten und betreuten Geräten? Denn auf deinem privaten Gerät wird eine SSL interception so oder so nicht funktionieren so lange du nicht das root Zertifikat der Fortigate firewall als vertrauenswürdig installiert hast.
Sollte es sich um die Geräte des Wohnheims handeln besteht ist natürlich die Frage ob die Teilnehmer darüber Informiert wurden dass eine Interception durch geführt wird. z.B. im Kleingedruckten der Vereinbarung bzgl. Nutzung des Internets.
Vermutlich handelt es sich hier einfach um ein Konfigurationsfehler. ggf. wollte man SSL Interception für die Computer der Verwaltung aktivieren hat es aber verbockt und es für alle Teile des Netzwerk aktiviert. Webseiten von Banken werden oft auch einfach von der Interception ausgenommen. Aber hier waren vermutlich total dilettantische Admins am Werk.
Gruß,
Julian aka nospoon
On 26.11.19 23:08, Marc Brendecke wrote:
Hallo Leute,
ich befinden mich momentan in einer Weiterbildungsmaßnahme und wohne dafür hier in Dortmund in einem Wohnheim. Seit einiger Zeit bekommen die Teilnehmer hier im Wohnheim beim besuch von z.B. Bank Seiten HSTS Fehler mit dem Hinweis, dass die Zertifikate von Fortigate kämen und nicht mit der Domain übereinstimmen würden.
Nach kurzer Recherche habe ich nun den verdacht, dass hier versucht wird per MITM Angriff eine Deep Package Inspection zu fahren. Falls das stimmen sollte, hätte die Heimleitung Zugriff auf äußerst sensible Daten.
Ich würde gerne wissen, ob ich mit meinem Verdacht recht haben könnte und wenn ja, ob die gesetzlich überhaupt erlaubt ist?
Gruß
Marc
discuss@lists.chaostreff-dortmund.de
-
Julian aka nospoon[user] -
Marc Brendecke