Support-Forum

Probleme mit Slider-Einstellungen

Fragen zum anonymen und spurlosen Surfen im Internet. Fragen zur Konfiguration, zum Security Slider und das Tor-Netzwerk.
Hallo,

ich nutze die TB im Transparentmodus.
Seid einigen Tagen bin ich im Besitz eines neuen Musikservers und bei der Einarbeitung usw.
Die Trutzbox hat normalerweise hin und wieder geblockt. Bestimmte Verbindungen wollte ich natürlich freigeben.
Bei der ersten Kontrolle der Slidereinstellungen stellte ich fest, das einige Slider schon auf "10" stehen. Ich
habe diese Adressen bisher noch nie eingestellt (alle default auf "1").

Was ist hier los? Stellen die Webseiten ihre Slider-Einstellungen selbst ein ? Ist die TB jetzt geknackt ?

Unter Slidereinstellungen habe ich ca. 40 neue Slider auf "10" und das fängt erstmalig am 10.März 2018 an !!!
Alle haben die gleiche Fehlermeldung wie im Anhang.

Dateianhänge

Wenn die TrutzBox eine verschlüsselte Verbindung zu einem Server erkennt, dann versucht sie diese Verbindung zu entschlüsseln. Dies allerdings nur, wenn das Flag "HTTPS Daten für dieses Gerät filtern" für das Gerät, das die Verbindung aufbaut, aktiviert ist. Was standardmässig der Fall ist.

Hier zunächst eine Erklärung, wie ein Browser und auch die TrutzBox, eine sichere Verbindung zu einem Server aufbauen kann. Immerhin kann der Browser keinen festen Schlüssel für alle Web-Seiten kennen:
Beim Aufruf einer Web-Seite mit einem Browser, ist der entsprechende Schlüssel dieser Verbindung durch eine Root-Ca signiert. Dann ist eine Authentisierung des angesteuerten Servers und ein Schlüsselaustausch technisch möglich, da ansonsten der Browser auch keine sichere Verbindung aufbauen könnte. Wenn also ein Browser über eine verschlüsselte Verbindung (TLS) eine Web-Seite aufruft, dann kann auch die TrutzBox den angesteuerten Server authentisieren, den Schlüssel austauschen, die Daten analysieren und für die Kommunikation mit dem Browser wieder mit einem neuen Zertifikat, dass jetzt allerdings mit dem TrutzBox-Stamm-Zertifikat verschlüsselt wurde, wieder verschlüsseln.

Andere Programme (nicht Browser), die eine Verbindung immer zum gleichen Server aufbauen, haben das Zertifikat des Servers, mit dem sie kommunizieren, fest im Programm einprogrammiert. Das Zertifikat kennt die TrutzBox nicht und somit ist es für die TrutzBox technisch nicht möglich, die Daten zu entschlüsseln.

Die TrutzBox hat in diesem Fall zwei Möglichkeiten:
- die Verbindung standardmässig nicht erlauben, also sperren und es dem TrutzBox Administrator frei stellen, den angesteuerten Server frei zu schalten
- oder die Verbindung standardmässig zu erlauben und es dem TrutzBox Administrator frei stellen, den angesteuerten Server zu sperren

Welche dieser beiden Alternativen gewünscht wird, wird durch den Schalter "Falls SSL-Fehler auftreten, Filtering für angesteuerte Domain automatisch ausschalten", den Sie unter "Filter konfigurieren" finden, gesteuert. Standardmässig ist dieser Schalter so gesetzt, dass im Falle, dass die TrutzBox solche verschlüsselte Verbindungen nicht aufbrechen kann, der aufgerufene Server automatisch auf L10 gesetzt wird. Beim zweiten Versuch auf diesen Server zuzugreifen, wird das dann auch funktionieren. So ist die Administration der TrutzBox einfacher.
Sie können diesen Schalter auch deaktivieren. Dann müssen Sie aber jeden dieser verschlüsselten Zugriffe, die die TrutzBox nicht entschlüsseln kann, manuell auf L10 setzen. Das ist etwas sicherer, aber auch etwas höherer administrativen Aufwand.

Weitere Details hierzu sind im Handbuch im Kapitel "5.3 TrutzBox Filter" beschrieben: https://wiki.trutzbox.de/view/Main_Page ... .AE_Filter.
Oder im Kompendium unter "Spezielle Security-Slider Einstellungen" https://trutzbox.de/trutzbox/#support
Hallo Comidio,

vielen Dank für die umfangreiche Beantwortung.

comidio support hat geschrieben:
Mi 21. Mär 2018, 09:40

.... Welche dieser beiden Alternativen gewünscht wird, wird durch den Schalter "Falls SSL-Fehler auftreten, Filtering für angesteuerte Domain automatisch ausschalten", den Sie unter "Filter konfigurieren" finden, gesteuert. Standardmässig ist dieser Schalter so gesetzt, dass im Falle, dass die TrutzBox solche verschlüsselte Verbindungen nicht aufbrechen kann, der aufgerufene Server automatisch auf L10 gesetzt wird. Beim zweiten Versuch auf diesen Server zuzugreifen, wird das dann auch funktionieren. So ist die Administration der TrutzBox einfacher.
Sie können diesen Schalter auch deaktivieren. Dann müssen Sie aber jeden dieser verschlüsselten Zugriffe, die die TrutzBox nicht entschlüsseln kann, manuell auf L10 setzen. Das ist etwas sicherer, aber auch etwas höherer administrativen Aufwand.
.......
Ich sehe hier folgendes Sicherheits-Problem:

Wenn ich unter "Trutzbox Filter" > "Filter konfigurieren" > Tab "Geräte" die Option "Falls SSL-Fehler auftreten, Filtering für angesteuerte Domain automatisch ausschalten" aktiviere, so gilt die Einstellung im "Transparent-Modus" für alle Geräte im Trutzbox-Netzwerk.
D.h. das die TB bei einer App-Anwendung (z.B. TV, NAS oder Handy-App) bei SSL-Fehlern automatisch auf Slider L10 geht und die Browser-Anwendungen im gleichen Netzwerk für die gleiche Internet-Adresse dann auch auf L10 steht. Das bedeutet, die TB prüft keine sicheren Verbindungen mehr. Man könnte diesen Sachverhalt auch ausnutzen!!

Meine TB läuft seit einem Jahr mit den gleichen Einstellungen, aber erst seit letzter Woche habe ich ca. 40 neue "automatische" Slidereinstellungen auf "L10". Und das von verschiedenen Geräten im Netzwerk. Haben Sie vielleicht etwas verändert ?

Ich habe so meine Bedenken, wenn immer weniger beblockt wird, hat dann die TB noch eine Bedeutung?

Die Einstellung der Option "Falls SSL-Fehler auftreten, Filtering für angesteuerte Domain automatisch ausschalten" für jedes Gerät einzeln oder getrennt für App-Anwedungen bzw. Browser-Anwendungen ist vielleicht eine Verbesserung.
Ich hatte vergessen zu erwähnen, dass die TrutzBox nur für solche Domains den SecLevel auf L10 stellt, wenn es für diesen Server noch keinen Eintrag gibt.

Wenn Sie also möchten, dass trotz eingeschaltetem Flag "Falls SSL-Fehler auftreten, Filtering für angesteuerte Domain automatisch ausschalten" ein bestimmter Server nicht ungehindert kontaktiert werden darf, dann stellen Sie diesen Server manuell z.B. auf L1.

D.H. Sie können grundsätzlich entscheiden, ob Sie Ihren Geräten erlauben möchten dass sie eine verschlüsselte Verbindung zu einem bestimmten Server aufbauen dürfen. Es macht wenig Sinn das pro Gerät unterschiedlich zu definieren. Also fest zu legen, dass Gerät1 zu diesem Server ungehindert kommunizieren darf und Gerät2 darf es nicht.

Ihr Trutzbox Support
hier vielleicht ein Beispiel für getrennte Slider-Einstellungen (also je Gerät im Transparent-Modus):
  • Der Samsung-TV soll nicht nach Hause telefonieren können.
  • Das Samsung-Tablet soll aber mit Updates versorgt werden.
In dieser Art und Weise gibt es noch mehrere Anwendungsbeispiele.
Auf dem einen Gerät möchte ich diese Webseite sperren und es ist so ok. Am nächsten Gerät bin gezwungen auf der selben Webseite den Slider höher einzustellen.

Oder wie kann ich es anders lösen?
Hier zuerst noch mal eine Erklärung zur Unterscheidung TrutzContent und TrutzBrowse:

TrutzContent (Content-Filter) regelt, ob eine Seite direkt aufgerufen werden darf. TrutzBrowse regelt, ob eine Domain indirekt aufgerufenen werden darf. Ich kann somit über TrutzContent erlauben, dass ein Gerät Facebook aufrufen darf, aber wenn ich otto.de aufrufe, dann kann ich über TrutzBrowse festlegen, dass dann die otto.de-Seite facebook nicht aufrufen darf. TrutzBrowse wird über die SecSlider Einstellung gesteuert und über Blacklists, die Sie in TrutzBrowse einstellen.

In Ihrem Fall soll das TV-Gerät bestimmte Domains nie erreichen. Da die Geräte den Server direkt aufrufen, wird so etwas mit TrutzContent gesteuert.

Da hier die Geräte bestimmte Server gar nicht kontaktieren dürfen sollen, muss das in "Filter konfigurieren" eingestellt werden (TrutzContent). Das ist logisch so zu verstehen, wie ein PC, der einem Jugendlichen gehört, der bestimmte Seiten gar nicht aufrufen darf. Und mit TrutzContent kann man für jedes Gerät unterschiedliche Black- und White-Lists zuordnen.

Wenn also der Samsung-TV bestimmte Server gar nicht kontaktieren darf, dann einfach eine neue Blacklist "TV-Hersteller" anlegen und dort die Samsung Domains eintragen. Dann eine neue Benutzergruppe "TV" anlegen, dort die Blacklist "TV-Hersteller" und evtl. andere Blacklists aktivieren. Dann unter Filter-konfigurieren den Samsung-TV der Benutzergruppe "TV" zuordnen.

Wenn das Samsung-Tablet, das wie jedes Gerät standardmässig erst mal zur Benutzergruppe "Default" gehört, auch irgendwelche Seiten nie aufrufen können soll, dann dazu auch eine neue Benutzergruppe anlegen das Samsung-Tablet dieser Benutzergruppe zuordnen.