• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

Firmenproxy umgehen

mrnk

Neu angemeldet

Registriert
27 Mai 2014
Beiträge
96
Hallo,

ich habe schon alles versucht, habe es leider nicht geschafft.
Komme nicht ins Internetoptionen, da es gesperrt ist. Habe diverse Google Chrome Addons installiert, die schlicht nichts gebracht haben.
Viele VPN Seiten sind auch gesperrt. Man ist echt machtlos. Habt ihr eine Idee?
 

The_Emperor



Registriert
17 Juli 2013
Beiträge
2.801
Könntest mal den "Ice Dragon" Browser von Comodo probieren. Der verwendet die DNS-Server von Comodo anstelle der von deiner Firma. Ist im Grunde ein modifizierter Firefox, mit dem "HTTPS Everywhere" AddOn könnte das zuverlässig klappen.
 

saddy

Aktiver NGBler

Registriert
16 Juli 2013
Beiträge
4.027
Ort
*.*
Je nachdem was du vor hast könnte ein webproxy schon reichen: webproxy.at
 

Jester

★★★★☆ (Kasparski)

Registriert
1 Dez. 2014
Beiträge
6.057
Ort
Code Azure
Vielleicht noch ein kleiner Hinweis: beide hier geposteten Lösungen können im schlimmsten Fall zu einer Kündigung führen, wenn es rauskommt und abhängig von Arbeitsvertrag etc. Ist es so wichtig?
 

3st

NGBler

Registriert
22 Aug. 2014
Beiträge
480
Wie wäre es wen du einfach mal nett den Admin fragst ? Oder es einfach sein lässt ... Wird schon seinen Grund haben das Kinder nicht im Netzwerk dort rumpfuschen dürfen ;)

Nutze nen Stick oder dein Handy ... Dan ist es wenigstens auch dein Leitung ..
 

DerLadendieb

White and Nerdy

Registriert
23 Juli 2013
Beiträge
303
Ort
Yellow Submarine
Viele VPN Seiten sind auch gesperrt. Man ist echt machtlos. Habt ihr eine Idee?

Werden die Seiten, oder auch VPN-Protokolle geblockt?
Wenn Protokolle erlaubt sind, kannst du dir zuhause einen VPN-Server installieren und dann von der Firma dort hin verbinden.
 

The_Emperor



Registriert
17 Juli 2013
Beiträge
2.801
VPN ist eine gute Lösung. Solange keine DPI fähige Firewall oder ähnliches zum Einsatz kommt ist eine SSL basierte VPN Verbindung nicht erkenn- oder blockierbar.
 

KePa

THIS CANNOT CONTINUE

Registriert
11 Aug. 2013
Beiträge
719
Ein vernünftiger Proxy macht allerdings eine SSL Terminierung, um in die Pakete reinzuschauen. Spätestens hier sollte Schluss sein.

Wie Jester würde ich aber von solchen Versuchen abraten. Wenn die IT Abteilung ihre Infrastruktur halbwegs im Griff hat, sind deine Chancen ohnehin denkbar gering. Je nachdem könnten deine Versuche sogar auffallen (Monitoring) und für unangenehme Fragen oder gar andere Konsequenzen führen.
Hinzu kommt, dass, sofern du mit einem VPN Erfolg haben solltest, du dein Firmennetzwerk, wenn auch nur dein PC, direkt mit unautorisierter Infrastruktur verbindest und einem erhöhten Risiko aussetzt. Das ist Grund genug, um dich achtkant rauszuwerfen. Überlege es dir ob dir das wert ist.
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.728
Ort
in der Zukunft
@The_Emperor: wenn man ssl nicht auf macht, was ich gut und schlecht zugleich finde, dann vielleicht nur schwer übers Netzwerk (man könnte ja noch immer großzügig whitelisten bzw Verbindungen zu privaten Adressen schon mal blocken).

Aber man kann sehr leichte die Benutzung *unerlaubter* Software auf der Client erkennen...
 

The_Emperor



Registriert
17 Juli 2013
Beiträge
2.801
Weil ein Zertifikat für den Netzwerkdienst "A" erwartet aber ein Zertifikat für "B" geliefert wird.
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.728
Ort
in der Zukunft
Das fällt aber nur bei gepinten auf, die interne ca kann ohne Probleme für alle Domains ein gültiges Zertifikat aufstellen.... Und der vertraut der Computer in der Firma natürlich
 

KePa

THIS CANNOT CONTINUE

Registriert
11 Aug. 2013
Beiträge
719
@The_Emperor: Der Proxy verschlüsselt entgegen dem Client den Verkehr erneut mit einem aus der internen CA stammenden Zertifikat. Dieses Zertifikat ist dem Client als Intermediate sichtbar. Die Kette sieht dann also wie folgt aus:

Intermediate des Proxys
|_ Server Zertifikat des entfernten Webservers (umgeschrieben, sodass es aussieht als wäre es durch das Intermediate des Proxys ausgestellt worden)

Dies führt bei korrekter Implementierung zu keinerlei Zertifikatswarnungen im Browser. Es kann lediglich Applikationen geben, die das nicht vertragen. Dann hilft ein SSL Inspection Whitelisting.
 
Zuletzt bearbeitet:

musv

Bekannter NGBler

Registriert
15 Juli 2013
Beiträge
3.453
Ort
/dev/null
Weil ein Zertifikat für den Netzwerkdienst "A" erwartet aber ein Zertifikat für "B" geliefert wird.
Das stimmt nur bedingt. Bei den meisten Seiten ist eine SSL-inspection möglich. Da wird das originale Zertifikat dann durch das firmeneigene ausgetauscht.

Allerdings gibt es auch bestimmte Seiten, bei denen geprüft wird, ob das Zertifikat am Client noch dasselbe ist, was der Server losgeschickt hat. Das trifft besonders auf die Internetportale der Bankenseiten zu, z.B. die DKB-Seite. Dafür müssen dann in der Firewall Ausnahmen konfiguriert werden. (s. Breitrag vom drfuture).

Normales VPN wird in den meisten Fällen wohl auch nicht gehen, da eine Firmenfirewall sämtliche Ports sperrt bis auf 80 und 443, über die man den Proxy erreicht. Bei uns auf Arbeit kann man noch nicht mal seine privaten E-Mails per Programm abrufen, da die gängigen E-Mail-Ports (995, 993, 587, 465, 110, 143) auch mit unter die Sperre fallen.

Dazu kommt noch, dass der Proxy meist eine Authentifizierung erfordert, was im Normalfall über die Active Directory abgehandelt wird. Entsprechend stehen im Squid-Log dann auch die Nutzerkürzel vor jedem Request. Für das Blacklisting verwenden wir UfdbGuard. Da gibt es diverse Kategorien (Spiele, XXX, Warez), die gleich haufweise Seiten sperren.

Für die erlaubten Browser gibt's eine Whitelist. Wenn die Firma äußerst böse ist, erlaubt sie nur den Internet Explorer, da sich der ja über die Windows-Gruppenrichtlinien beschränken lässt. Für alternative Browser musst du dann einen Useragent-Faker verwenden.

Könntest mal den "Ice Dragon" Browser von Comodo probieren. Der verwendet die DNS-Server von Comodo anstelle der von deiner Firma. Ist im Grunde ein modifizierter Firefox, mit dem "HTTPS Everywhere" AddOn könnte das zuverlässig klappen.
Siehe oben. Im Normalfall nützt Dir das wenig, da eine restriktiv konfigurierte Firmenfirewall auch Port 53 nach außen sperrt. Deine DNS-Abfragen werden entsprechend von einem internen DNS-Server beantwortet. Dazu kann noch die Browser-Whitelist kommen (siehe 2 Zeilen darüber).

Welche Möglichkeiten gibt's dann?
Sofern du Linux nutzen kannst: https://github.com/jpillora/chisel (nicht getestet).

Im Normalfall wirst du aber einen Windowsrechner ohne Adminrechte haben. Und das Subsystem für Linux wird da wohl auch nicht freigeschaltet sein. Alternativ könntest du Cygwin probieren.

Alternativ OpenVPN over HTTP:
https://serverfault.com/questions/163768/vpn-through-only-http
Dazu steht aber ganz unten:
OpenVPN over HTTP requires CONNECT support which is often not implemented or simply blocked.

Aber wie meine Vorredner ebenfalls schon richtig bemerkten, solltest du Dir des Risikos bewusst sein. Das Durchbohren der Firewall ist mit Sicherheit ein Grund für eine Abmahnung. Überleg Dir, ob es Dir das wert ist.

Was hindert Dich daran, Dein privates Handy zum Surfen zu nutzen?
 

mrnk

Neu angemeldet

Registriert
27 Mai 2014
Beiträge
96
  • Thread Starter Thread Starter
  • #16
ich werds nicht machen.
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.728
Ort
in der Zukunft
Das soll im übrigen kein "nicht helfen wollen sein" - es gibt durchaus, zum Teil aufwendige - Methoden das man auch über restriktive Proxys raus kommt.
Nur sitzen die Leute zum Teil hier auf der anderen Seite und wir wollen dann natürlich auch dich / die anderen hier schützen da so manche Firma da keinen Spaß versteht und so etwas durchaus mal schneller und leichter auffällt als das den meisten Mitarbeitern klar ist.
 

BurnerR

Bot #0384479

Registriert
20 Juli 2013
Beiträge
5.504
@The_Emperor: Der Proxy verschlüsselt entgegen dem Client den Verkehr erneut mit einem aus der internen CA stammenden Zertifikat. Dieses Zertifikat ist dem Client als Intermediate sichtbar. Die Kette sieht dann also wie folgt aus:

Intermediate des Proxys
|_ Server Zertifikat des entfernten Webservers (umgeschrieben, sodass es aussieht als wäre es durch das Intermediate des Proxys ausgestellt worden)

Dies führt bei korrekter Implementierung zu keinerlei Zertifikatswarnungen im Browser. Es kann lediglich Applikationen geben, die das nicht vertragen. Dann hilft ein SSL Inspection Whitelisting.

Das heißt zumindest kann ich sehen, dass das passiert, right? Jedenfalls wenn ich aktiv drauf schaue im Browser.
Weil der Firmen-CA in der Cert Hierarchy auftaucht.
Und das muss im Browser (aber geht anscheinend auch im OS?) vorkonfiguriert werden, right?
 

KePa

THIS CANNOT CONTINUE

Registriert
11 Aug. 2013
Beiträge
719
@BurnerR: Richtig. Du kannst es erkennen, wenn du die Zertifikatskette anschaust.
Unter Windows wird in der Regel das Root Zertifikat der internen CA im Trusted Root Store abgelegt. Damit werden alle darunterliegende Zertifikate als vertrauenswürdig anerkannt, so auch beschriebenes Intermediate des Proxies. So ein Root Zertifikat kann man auf den Clients relativ einfach mit Group Policies verteilen.
 
Oben