Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum>Netzwerke>Frage zu Selbst-signiertem Root-Zertifikat

Frage zu Selbst-signiertem Root-Zertifikat

eMac Extreme17.09.1321:46
Hallo Zusammen!

Ich hab mal eine Frage an die Netzwerkspezialisten unter euch! Und zwar wohne ich in einem Studentenwohnheim, in dem uns Internet über LAN zur Verfügung gestellt wird. Bislang musste man sich überhaupt nicht einloggen, um sich mit dem Netzwerk/Internet zu verbinden, denn es funktionierte einfach per Plug 'n Play. Über die Semesterferien hat das Studentenwerk (der Betreiber) Änderungen an der Firewall durchgeführt und damit auch einen Log-In-Mechanismus aktiviert.

Die Information war, man müsse sich jetzt einfach nur jedes Mal mit seinen Log-In-Daten anmelden, wenn man das Internet benutzen möchte. Da jetzt aber nicht direkt beim Aufrufen einer Website oder beim Verbinden mit dem Netzwerk ein Fenster/Website erscheint, in dem man sich anmelden kann, sondern ein Hinweis von Safari über ein Selbst-signiertes Root-Zertifikat wollt ich euch doch mal fragen, was es damit auf sich hat und ob man dem dauerhaft vertrauen sollte.

Ich kenne solch einen Log-In-Mechanismus nur aus unserer Fachhochschule und dort funktioniert das einwandfrei und auch ohne einen Warnhinweis von Safari, wie er hier zu sehen ist. Der Warnhinweis im Anhang stammt aus dem Netzwerk vom Studentenwohnheim.

Kann mir einer von Euch weiterhelfen?
0

Kommentare

Marcel_75@work
Marcel_75@work17.09.1321:59
Also wenn Du auf Nummer sicher gehen möchtest, solltest Du mit den Admins des Studentenwerks die SHA1- sowie MD5-Fingerabdrücke dieses Zertifikats abgleichen (damit Du Dir sicher sein kannst, dass es auch wirklich von denen kommt und nicht von einem "man in the middle").

Aber mal unabhängig davon: Wenn die dort tatsächlich eine Palo Alto zur Kontrolle der Netzwerkkommunikation einsetzen (kenne diese von einem meiner größten Klienten), dann solltest Du Dir sehr gut überlegen, was Du im Netz an der Uni (bzw. im Studentenwohnheim) machst (bzw. was Du laut Nutzungsbedingungen "darfst").
0
eMac Extreme17.09.1322:28
Marcel_75@work

Vielen Dank erstmal für den Hinweis mit den SHA1- und MD5-Fingerabdrücken und dem Hinweis auf die Nutzungsbedingungen! Was ist denn genau eine Palo Alto? Was kann ich darunter genau verstehen, bzw. wo kann ich mich darüber informieren?

Vielen Dank nochmals!
0
Marcel_75@work
Marcel_75@work17.09.1322:41
Naja, die Jungs von Palo Alto Networks sind größtenteils "Ehemalige" von Juniper Networks, die unglaublich mächtigte Firewalls anbieten:



Stichwort: "Application Layer Filtering" bzw. "Next Generation Firewalls"

Das ist natürlich etwas völlig anderes, als all das, was man als normaler Anwender von Home-Routern kennt.

Ein wenig ist es hier erläutert:
0
michimaier17.09.1322:47
Check mal dein Datum... ob das richtig eingestellt ist...
ist nur eine idee - klingt doof - aber versuch es trotzdem
0
Marcel_75@work
Marcel_75@work17.09.1322:52
Die größte Stärke der Palo Alto Firewalls ist, dass sie sich wie ein "man in the middle" zwischen alle Verbindungen (speziell auch verschlüsselte!!!) klemmen kann, um dann Dinge zu regeln wie z.B.:

- Skype darf zum chatten benutzt werden
- auch Telefonieren über Skype ist erlaubt
- Video in Skype ist nicht erlaubt
- Dateitransfer in Skype ist nicht erlaubt

Das nur mal als Beispiel. Da geht natürlich noch weitaus mehr, aber so musst Du Dir das Grundprinzip vorstellen ...
0
eMac Extreme17.09.1323:11
Marcel_75@work

Danke für die gute und verständliche Erklärung! Hab mir auch mal die Videos auf deren (Palos) Website angeschaut und weiß nicht so recht, was ich davon halten soll! Ich will den Betreibern des Studentenwohnheims ja nichts böses vorwerfen, aber das Ganze klingt für mich, als ob man mit Kanonen auf Spatzen schießt. Ich mein Bandbreiten-Management kann ich ja noch nachvollziehen, damit Power-User ausgebremst werden und alle Bewohner ähnlich gut im Internet surfen können. Aber den gesamten Traffic so kontrollieren. Puhhh....da fehlen mir manchmal die Worte!

Wenn sich dieses System zwischen alle Verbindungen(auch verschlüsselte) klemmt, kann ich denn beruhigten gewissen noch Internet-Banking betreiben?

michmaier
Also meine Uhr steht richtig und das Datum ist korrekt.
0
michimaier17.09.1323:20
war ein versuch wert...

(du kannst gerne mal das datum um ein jahr zurückstellen und du wirst ähnliche meldungen beim surfen bekommen - nur zu meiner Verteidigung )
0
eMac Extreme17.09.1323:24
michimaier

Das sollte auch kein Angriff sein - nur zu deiner Info! Ich verstehe schon worauf du hinaus wolltest und was das Problem von unterschiedlichen Zeiteinstellungen sein kann.
0
DonQ
DonQ17.09.1323:29
Überleg doch mal…Uni-Netz, Studi Zugang…hat(te) nichts, aber auch rein gar nichts mit einem freien Netzzugang zu tun…absolut gar nichts…das war und ist Überwachung pur, politische Kontrolle… ;( …aber das ist und war die Stärke von Studenten…da "Freiräume" zu schaffen
„an apple a day, keeps the rats away…“
0
Marcel_75@work
Marcel_75@work18.09.1300:09
PS: In welchem Ausmaß die Möglichkeiten der Palo Alto an Deiner Uni (und somit letztlich auch vom Studentenwerk) genutzt werden, weiß ich natürlich auch nicht. Schon allein aufgrund des deutschen Datenschutzrechts etc. dürfen die sicher nicht alle features ausreizen ... aber ob sie sich daran halten?
0
eMac Extreme18.09.1300:15
Da ich in Österreich studiere, wird hier deutsches Recht wohl nicht gelten. Danke euch jedenfalls für die Infos, hat mir sehr geholfen! Vielen Dank!
0

Kommentieren

Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.