KES 11 scannt jetzt per Default auch SSL mit zwischengeschobenem Zertifikat

[Anguel]

Hallo, ist euch aufgefallen, dass KES 11 jetzt wie bei der KIS für Privatkunden per Default eigene SSL-Zertifikate zwischenschiebt und somit SSL scannt? Ich hatte früher so einen SSL-Inspector auf einem Untangle Gateway laufen, aber dann stellte sich heraus, dass viele Programme mit sowas richtige Probleme hatten, da sie bestimmte SSL-Zertifikate fest vorgegeben erwarten und das Kaspersky Zertifikat nicht mögen. Datenschutz bei sowas ist auch ein heikles Thema. Wie ist eure Erfahrung? Grüße Anguel

[alexcad]

Wurde hier schon diskutiert https://community.kaspersky.com/b2b-deutschsprachiges-benutzer-forum-65/zertifikatsmeldung-im-browser-bei-internen-servern-542 ...können wir aber gerne weiterführen. Grüße Alex

[Anguel]

Danke für den Hinweis Alex, irgendwie hatte ich diesen Post übersehen. Der Tipp dort, die SSL-Scan-Funktion nur für bestimmte Benutzer freizugeben ist interessant. Die Frage ist, was der SSL-Scan genau bringt - wahrscheinlich können so Browser-Attacken und Malware/Phishing-Links besser abgefangen werden. Alles was aber als Datei auf dem PC landet, sollte ja auch so von Kaspersky erkannt werden. Grüße Anguel

[alexcad]

Das scannen von verschlüsselter Kommunikation betrifft den kompletten Netzwerk-Traffic und erhöht natürlich schon den Schutz. Aber wie du schon richtig angesprochen hast: es greifen ja noch die anderen Schutzmodule. Bedeutet für Web-AV: URL-Detection funktioniert auch bei SSL-Verbindungen. Datei-AV greift bei Downloads etc. Und wenn man sich die Erkennungs-Statistiken in der Praxis so anschaut: nur ca. 5% der Schadsoftware wird durch Mustererkennung oder Heuristik, KSN, etc. erkannt. Die restlichen 95% werden bei Ausführung/Aktivität durch die Verhaltensanalyse abgefangen. Grüße Alex

[Anguel]

Sehr interessante Statistik, hätte ich jetzt nicht gedacht, da ja Kaspersky das meiste schon vorher abfängt. Wenn Links in der Datenbank stehen, müssten sie ja eigentlich auch trotz HTTPS nach dem Anklicken erkannt werden. Das einzig sinnvolle, das ich mir vorstellen kann, wären direkte Browser-Exploits, aber die werden dann hoffentlich von der Verhaltensanalyse abgefangen. Und dann gibt es auch noch Meldungen wie diese: https://www.heise.de/security/meldung/Kaspersky-torpediert-SSL-Zertifikatspruefung-3587871.html Grüße Anguel

[alexcad]

Die Heise-Meldung ist uralt, von Januar 2017. Kaspersky hatte das Problem bereits befixt. Aber wie gesagt: das Aufbrechen von verschlüsselten Verbindungen ist immer problembehaftet und bietet Potential für Störungen. Ich möchte nicht zu sehr dagegen argumentieren, würde aber empfehlen den Einsatz vorher ausführlich zu testen und eine passende Konfiguration auszuarbeiten. Habe ich mir für nächste Woche vorgenommen - mal schauen ob mein Plan funktioniert :relaxed: Grüße Alex

[Anguel]

Nach dem Bug ist immer vor dem Bug, wie der Fußballer sagen würde :-) AV-Programme als Closed-Source können immer ein Sicherheitsrisiko darstellen. Wer Fehler in der GUI hat, hat sicherlich auch jede Menge im AV-Code, die Frage ist, wann man sie findet. Bezüglich des SSL-Scans, den ich damals an der Firewall laufen hatte, habe ich mal eine Liste der Ausnahmen ausgegraben, die immer länger wurde, so dass ich das "Feature" am Ende einfach abgeschaltet habe. Die Ausnahmen beinhalten unter anderem:

1. Sehr viele Auto-Updater für Software (hier fragt man sich oft, warum keine Updates stattfinden)
2. Antimalware-Software
3. Online-Meeting Software
4. Software, die mit Behörden kommuniziert
5. Browser-Plugins
6. Banking-Software

Evtl. hilft das beim Testen. Grüße Anguel

[alexcad]

Das Erste, was bei uns nicht mehr funktioniert hat:

1. VMware vCenter Web-Console

Grüße Alex

[Ganzfix]

Update von Nextcloud über Browser scheint auch nicht zu funktionieren.