Kiddies vs. Sysadmin: unerwünschte HTTPS-Verbindungen im ISA Server unterbinden

Das Internet – eine schier unendliche Informationsquelle, eine riesengrosse Spielwiese, ein Welt mit süssen Verlockungen und Abgründen so schwarz wie die tiefste Nacht. Es gibt viel zu entdecken. Besonders reizvoll wird das Ganze, wenn das surfende Individuum eigentlich andere, weitaus weniger reizvolle Aufgaben zu erledigen hätte, wie zum Bespiel die Aufmerksamkeit dem drögen Lehrer zu schenken – es lockt die neue Facebook-Bekanntschaft und die Tilllate-Dokumentation des letzten Wochenendes!

Internet-Nutzungsrichtlinien sollten und können diese Versuchungen im Berufsleben gut eindämmen; grundsätzliches Vertrauen und das Wissen über eine mögliche Stichkontrolle der Internet-Nutzungsprotokolle reichen bei einer guten Unternehmenskultur meist aus. Anders sieht dies bei Schulen aus: hier sind die Verlockungen bei gleichzeitig überschaubarem Strafenkatalog offensichtlich einfach zu gross. Nicht zu vergessen der zusätzliche Kudos bei erfolgreichen Kampf gegen den System-Administrator – hail to the thief!

Hier kommen nun die technischen Hilfsmittel zum Zug. In unserem Fall hat der Sysadmin ein gut bestücktes Arsenal an Kontroll- und Abwehrmechanismen, bestehend unter anderem aus einer Rollen-basierenden, restriktiv konfigurierten Anwendungs-Firewall mit einem dynamisch aktualisierten Content-Filter, einem ISA Server 2006 mit einem GFI WebMonitor PlugIn. Durch die ActiveDirectory-Intergration und die erforderliche Authentifizierung führt kein Weg an diesen Schranken vorbei – vermeintlich!

Da HTTPS-Verbindungen direkt zwischen Client und Webserver aufgebaut und verschlüsselt werden, fehlt dem ISA Server sowie dem Content-Filter die Möglichkeit, diesen Netzwerkverkehr zu untersuchen und bei Bedarf einzuschränken. Findige Studenten finden früher oder später heraus, das viele einschlägige Seiten im Internet, wie zum Beispiel Facebook, auch per https://www.facebook.com antworten:

217:216 für die Kiddies!

Doch mit dem Wissen um diese Lücke ist sie auch bereits schon wieder gestopft: der SysAdmin schaut sich regelmässig die ISA-Web-Nutzungsprotokolle mit besonderem Augenmerk auf verdächtige HTTPS-Websites:

217:217 – Gleichstand!

Die unerwünschten HTTPS-Websites können zwar nicht automatisch vom ContentFilter gesperrt werden – wohl aber über eine Deny-Regel unter Einbezug eines Domain Name Sets im ISA Server:

Domain Name Set: Blocked Web Sites, beinhaltet:
*.facebook.com 

217:218 für den Sysadmin – momentan!

Wichtig in diesem Zusammenhang ist, dass die DNS-Auflösung auf dem ISA Server korrekt funktioniert, da die URL Sets ansonsten nicht korrekt ausgewertet werden können. 

Übrigens: die kurz vor dem Release stehende nächste Version des ISA Servers, der Forefront TMG, unterstützt die Analyse von HTTPS-Verbindungen – damit wird dann auch obige zusätzliche Deny-Regel überflüssig!