ComputerBase
Aktuelles
Fireplace

Firewall angesehene Website auflisten

K

k0ntr

Commodore
Registriert
Okt. 2007
Beiträge
4.922
Hallo zusammen

Ich habe zum testen eine sonicwall tz400 und wollte wissen, ob man hier live sehen kann welche Webseiten momentan von welchem Benutzer besucht werden.

Unter Live Monitor sehe ich nur die Protokolle. Habt ihr mir einen Tipp?
 
Ist auch DNS

Möchte nur sicherstellen, falls man auf eine Seite geht oder Outlook Link öffnet das einen Virus einfängt, dass ich dem nachgehen kann wer das war.
 
Das sagt Dir dann der Antivirus wer es war. In einer Firma wäre der idealerweise mit zentralem Management. In einem zentralen Firewall Log würdest nur zig Tausende Anfragen sehen, das kannst Du ja dann nicht sinnvoll eingrenzen
 
Zumal man mit so einer anlasslosen Überwachung vorsichtig sein muss, bzw. das den MA entsprechend mitteilen muss (wie genau sollte man sich vom Anwalt sagen lassen).
 
Ja man kann unter den Log-Einstellungen die Live-Protokolierung für Websites aktivieren.
Google mal oder schau ins Handbuch, komm gerade nicht an ein Webinterface dran.
 
k0ntr schrieb:
Ist auch DNS

Möchte nur sicherstellen, falls man auf eine Seite geht oder Outlook Link öffnet das einen Virus einfängt, dass ich dem nachgehen kann wer das war.
Zum Vergrößern anklicken....
Das setzt aber voraus das der Virus auch DNS nutzt und keine hardcoded IPs dann ist dein Masterplan wieder im Eimer...
 
Anhand der IP-Adresse kann man nicht erkennen welche Webseite aufgerufen wurde. Unter einer IP-Adresse befinden sich meist viele Webseiten.

Betreibt man einen eigenen DNS-Resolver und der User nutzt kein DoH / DoT, dann wäre das möglich.
 
  • Gefällt mir
Reaktionen: Bob.Dig
Spätestens mit TLS 1.3 und encrypted SNI hast du keine Chance mehr, einzelne Domains in HTTPS Verbindungen erkennen zu können. Wenn du solche Dinge überwachen oder abfangen möchtest, solltest du einen Proxy Server benutzen und den Internetzugriff ohne Proxy blockieren.
 
  • Gefällt mir
Reaktionen: Raijin
Wenn man einen eigenen DNS-Resolver betreibt und nur diesen im eigenen Netz zulässt, wäre das weiterhin mnöglich. Man muss nur DoH / DoT blockieren.
 
  • Gefällt mir
Reaktionen: Bob.Dig
Kann man DoH überhaupt einfach blockieren? Ist ja Teil der Idee, dass das sich einfach im normalen HTTPS-Traffic versteckt und nicht mal eben isoliert werden kann.
 
  • Gefällt mir
Reaktionen: Raijin und up.whatever
Mit Filterlisten, zumindest mit den öffentlichen und bekannten Servern sollte das gehen.
 
  • Gefällt mir
Reaktionen: Helge01
up.whatever schrieb:
Und wie genau willst du DoH blockieren?
Zum Vergrößern anklicken....
Es gibt Anbieter, die ständig aktualisierte Filterlisten mit den IP-Adressen und Domains der DoH Anbieter erstellen. Diese kann man dann einfach blockieren.
 
  • Gefällt mir
Reaktionen: Bob.Dig
Eine Möglichkeit ist die schon genannte Blockade bekannter DoH Server, eine Weitere Möglichkeit ist bei ausgehendem Traffic auf tcp/443 in die Header zu gucken. Bei DoH sollte dort bei RFC-konformer Umsetzung erkennbar sein, dass es sich um DoH Anfragen handelt ohne das man als Admin sieht Welche Anfrage es beinhaltet. Anhand dessen kann man die Pakete dann ebenfalls blockieren.
 
snaxilian schrieb:
eine Weitere Möglichkeit ist bei ausgehendem Traffic auf tcp/443 in die Header zu gucken. Bei DoH sollte dort bei RFC-konformer Umsetzung erkennbar sein, dass es sich um DoH Anfragen handelt
Zum Vergrößern anklicken....
Welchen Header meinst du genau und woran willst du DoH erkennen?

Irgendwelche festen IP Listen werden immer unvollständig sein. Wenn dieses Prinzip zielführend wäre, hätten wir schon lange keinen Spam mehr.
 
  • Gefällt mir
Reaktionen: Helge01
@snaxilian: Nein, daran ist das ist nicht erkennbar. Die Http Header werden genau so wie die Nutztdaten alle innerhalb der TLS Verbindung verschlüsselt übertragen, das ist doch der Sinn der Sache.
Alles was eine Firewall davon sehen kann ist eine TLS Verbindung zu Port 443. Ob dort eine Webseite oder DoH übertragen wird ist am Inhalt ohne Kenntnis des Schlüssels nicht zu erkennen.
 
Zuletzt bearbeitet:
Da ich zu faul bin das mit Wireshark mit näher anzusehen glaube ich dir das mal^^

Aber jut, in einem Firmennetzwerk hat man im besten Fall eine ne eigene PKI und macht am Proxy TLS-Terminierung, dann sollte man die Header sehen können. Also zumindest solange bis irgendwann alle Server und Clients ausschließlich nur noch TLS1.3 sprechen wobei es da afaik für diesen Ansatz ja eine Schwächung von TLS1.3 gibt oder angedacht war von den Herstellern solcher Kisten.
In allen anderen Situationen geht es den neugierigen Admin halt auch nix an wer wann und auf welchen Seiten surft.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 187 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz