damit man im Browser des Desktoprechners die minimale Defaultversion von TLS auf mindestens 1.2 heraufsetzen kann und zwar so, ohne dass man das jedes mal ändern muss. Wie das geht, steht bspw. für Firefox hier drin: http://kb.mozillazine.org/Security.tls.version.*#Possible_values_and_their_effects Die verwendete TLS Version kann man sich in der Netzwerkanalyse von FF anzeigen lassen. Dazu auf "Extras > Web-Entwickler -> Netzwerkanalyse" drücken, die Seite gegebenenfalls neu laden und dann im rechten Fenster den Reiter "Sicherheit" anklicken. In der zweiten Zeile wird dann unter "Protokollversion" die verwendete TLS Version angezeigt. Kann euer Drucker oder Switch nur TLSv1 oder TLSv1.1, dann macht es Sinn, den Drucker hinter einen Proxy zu hängen und beim Switch gegebenenfalls über einen Austausch nachzudenken. Natürlich kann man die minimale TLS Version im Browser für das alltägliche Surfen trotzdem heraufsetzen, aber dann muss man sie jedes mal herabsetzen, sobald man das Webinterfaces eines dieser Geräte per HTTPS erreichen möchte. Mit einem HTTPS Proxy der zwischen Netzwerkdrucker und LAN hängt ist das aber einfacher, der kann nach außen dann TLSv1.3 verlangen und nach innen mit dem Drucker per TLSv1 kommunizieren. Außerdem eignet sich ein dedizierter kleiner Rechner dann auch als Druckerserver, der die Druckaufträge verschlüsselt vom LAN übernimmt und sie an den Drucker weiterzuleiten der vielleicht noch keine verschlüsselte Kommunikation für das Drucken versteht oder dessen Firmware nicht mehr supported wird. Leider erlaubt Firefox noch keine seitenspezifischen TLS Versionseinstellung unterhalb der minimalen default TLS Version. Wäre das möglich, dann könnte man für diese Geräte eine spezifische TLS Versions Konfiguration einstellen und für den Rest des Internets eine hohe TLS Version, z.b. 1.2 oder besser erzwingen. Eventuell kann man in Firefox aber auch einfach ein zweites Profil mit niedrigen TLS Defaulteinstellungen verwenden, getestet habe ich das aber nicht. Das Problem sind hier nämlich die Downgradeattacken, die eine Kommunikation so lange stören, bis der Browser eine niedrige TLS Version, z.b. TSLv.1 aushandelt, die der Angreifer dann mit relativ geringem Aufwand aushebeln kann. Im privaten LAN ist das zwar weniger ein Problem, aber im Internet ist das relevant und im Firmennetzwerk kann es auch relevant sein. Langfristig ist damit zu rechnen, dass die Browser die alten TLS Versionen gar nicht mehr unterstützen. Dann wird man ohnehin nicht um so einen Proxy herumkommen, wenn man die alte Hardware nicht austauschen möchte.
Nano schrieb: > hinter einen Proxy zu hängen Das scheint aber nur eine zeitweilige Notlösung zu werden, da böse Geister oder Skype von hinten aufbohren werden?
Da kommt mir ne super Produktidee: Ein kleines Böxchen, bestehend nur aus einem LAN Stecker und einer LAN Buchse, nicht breiter oder höher als die Buchse selbst. Eine art Adapter sozusagen. Davon dann diverse Ausführungen. Eine Version, die nur als Bridge zwischen einem einstellbarem VLan und einem Lan fungiert, und eine Version, die als SSL Proxy funktioniert, und dann noch eine teurere Kombiversion. Die Produktserie vermarkte ich dann als "LAN-Kondome", "IoT Kondome" oder als "LAN Segregation Kompromittierungsschutz", etc. Einziges Problem währe wohl die Stromversorgung, das würde recht aufwendig das nicht-umständlich zu gestalten.
Die Stromversorgung machst du über PoE.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.