Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Firewall, Proxy und SSL Bump?

Mitglied: wisebeer

wisebeer (Level 1) - Jetzt verbinden

01.07.2014, aktualisiert 06.09.2014, 3295 Aufrufe, 8 Kommentare

Guten Abend liebe Admin KollegInnen,

Ich bin gerade dabei den Proxy für ein Schulnetzwerk neu aufzusetzen und brauche eure Hilfe: ich hatte bisher pfsense im Einsatz und bin eigentlich sehr zufrieden, aber das filtern mit Backlists ist leider auf das http-Protokoll beschränkt, weshalb ich auf der Suche nach brauchbaren Anleitungen oder Alternativen bin, wie ich das ganze auf https ausweiten kann. Die Lösung mit Diladele Web Safety hab ich probiert, überzeugt mich aber nicht wirklich. Kennt jemand einen Weg mit pfsense SSL-Bumps zu machen oder habt ihr eine Alternative im Einsatz?

Liebe Grüße,
Martin
Mitglied: Dani
02.07.2014 um 09:50 Uhr
Hi Martin,
mit Squid geht es wohl. Allerdings etwas Handarbeit notwendig. - Anleitung.


Gruß,
Dani
Bitte warten ..
Mitglied: AndiEoh
02.07.2014 um 09:54 Uhr
Hallo,

technisch ist vieles möglich z.B. hier :

http://wiki.squid-cache.org/Features/SslBump

Ich habe allerdings eine tiefsitzende Abneigung schon die Kinder daran zu gewöhnen das immer jemand "mitlauscht". Meiner Meinung nach wäre es in diesem Fall besser https ganz zu unterbinden und http wie bisher zu behandeln. Hat allerdings den Nachteil das auch erlaubte Seiten wie z.B. Webmail nur noch unverschlüsselt zu erreichen sind. Eine andere Möglichkeit wäre ebenfalls mit Squid die URLs zu filtern ohne SSL MitM z.B. mit dem hier : http://www.squidguard.org/ und http(s) nur über den Proxy zulassen.

Gruß

Andi
Bitte warten ..
Mitglied: wisebeer
03.07.2014, aktualisiert um 08:43 Uhr
Danke für die Anleitung! Ich hab das SSL Bump mit Squid schon laufen gehabt, aber ich bin mit Diladele Web Safety, das in dieser Anleitung auch verwendet wird, einfach nicht zufrieden, weil ich die Konfiguration nicht übersichtlich finde. Es geht mit einer neueren Version von squid auch (fast) ohne Handarbeit: http://sichent.wordpress.com/2014/02/22/filtering-https-traffic-with-sq ...

Ich tüftel grade an der Integration in Dansguardian oder Squidguard, die find ich einfacher und übersichtlicher zu konfigurieren, aber das ganze sollte transparent sein und das stellt mich vor Rätsel

LG Martin
Bitte warten ..
Mitglied: wisebeer
03.07.2014 um 08:50 Uhr
Hallo Andi,

Danke für den Tipp! Mir ist klar, dass mein Projekt ethisch nicht ganz unumstritten ist, aber in einer Schulumgebung leider sehr wichtig, weil wir viele unbeaufsichtigte Clients und offenes WLAN haben und ich heuer öfters beobachtet habe, dass SchülerInnen auf torrent Seiten unterwegs waren und Seiten aufgerufen haben, die in einem Schulnetzwerk nichts verloren haben. Ich weiß, dass ich es einfach von der anderen Seite aufziehen könnte, und nur Ausnahmen zulassen könnte, aber das entspricht nicht unserer liberalen Schulpolitik. Wie ich die torrent-Clients blocke, weiß ich auch noch nicht...

Ich bastel mal weiter und halt euch auf dem Laufenden!

LG Martin
Bitte warten ..
Mitglied: AndiEoh
03.07.2014 um 09:51 Uhr
Hallo,

Torrent "Seiten" verwenden üblicherweise nicht http(s) sondern die üblichen P2P Protokolle. Deshalb mein Tip http(s) nur über den Proxy (Squid) und alle anderen aus- und eingehenden Verbindungen mit der Firewall sperren. Damit ist "surfen" möglich, aber kein Filesharing mit den übliche Verdächtigen. Dazu noch eine Freigabe- oder Sperrliste im Proxy und dann sind 90% der kritischen Fälle erledigt.

Für transparentes MitM braucht man auch eine eigene CA denen die Clients "vertrauen", was üblicherweise nur in streng zentral verwalteten Netzen (Windows AD) zu machen ist. Aber wie gesagt halte ich das für den komplett falschen Weg wenn es sich nicht um eine Hochsicherheits-Zone handelt bei der sowas vorgeschrieben ist.

Gruß

Andi
Bitte warten ..
Mitglied: 108012
LÖSUNG 05.07.2014, aktualisiert 06.09.2014
Hallo,

man kann das so wie es schon beschrieben wurde eigentlich mittels
Squid gut erledigen und/oder sogar ganz unterbinden, nur wird mir noch
nicht ganz klar wie man denn sooooo liberal sein kann und dann die lieber
in den SSL Verbindungen "herumschnüffelt" was sicherlich nicht mit dem
Datenschutzbeauftragten des Landes abgesprochen ist bzw. wurde.

Ein SchulrouterPlus mit Schulfilter Plus und einem Squid erledigt das so das
man keinen Ärger bekommt, den Kindern genügend Freiheiten lässt und dennoch
kein Problem mit den hiesigen Gesetzen hat.

Liberal heißt für mich freiheitlich und auch wenn es Kinder sind die noch zu lernen
haben kann man Ihnen sehr wohl einiges von vorne herein unzugänglich machen,
denn dort wo die Freiheit des einen anfängt, hört die Freiheit des anderen auf!

Und auch so etwas können Kinder lernen und sollte es nicht in Euer pädagogisches
Konzept passen, würde ich einfach mal dafür plädieren das Du uns hier den
pädagogischen Effekt von der Verletzung der Privatsphäre der Kinder nennst.

Gruß
Dobby
Bitte warten ..
Mitglied: wisebeer
06.09.2014 um 21:45 Uhr
Ich hab mich in Absprache mit meinem Chef dazu entschieden, auf SSL Bumping zu versichten und weiter den herkömmlichen Filter zu verwenden. Abgesehen davon war die Absicht nie "herumzuschnüffeln", sondern ausschließlich unerwünschte Inhalte wie z.B. Pornoseiten oder Warez von der Schule fernzuhalten. Wie auch immer, ich bin auch Dobbys Meinung, dass Verbote keinen Lerneffekt haben, außer dass sie dazu anregen, herauszufinden wie man sie umgeht...
Bitte warten ..
Mitglied: 108012
06.09.2014 um 22:07 Uhr
Hallo,

noch hinzu kommt das man auch HTTPS Seiten unterdrücken kann.

Ich hab mich in Absprache mit meinem Chef dazu entschieden, auf SSL Bumping zu
versichten und weiter den herkömmlichen Filter zu verwenden.
Man kann ja einen Squi Proxy aufsetzen und dann abwarten und wenn einmal Probleme
auftreten kann man sicherlich zeitnah reagieren und dann gezielt ausfindig machen wer
oder was das Problem verursacht hat.

Abgesehen davon war die Absicht nie "herumzuschnüffeln", sondern ausschließlich
unerwünschte Inhalte wie z.B. Pornoseiten oder Warez von der Schule fernzuhalten.
Es gibt immer mehrere Möglichkeiten die man nutzen kann, aber der Schulrouter
und der SchulfilterPlus sind IMHO zur Zeit die einzigste wirklich gute Lösung um im
Fall eines Falles einiger maßen glimpflich davon zu kommen!

Wie auch immer, ich bin auch Dobbys Meinung, dass Verbote keinen Lerneffekt haben,
außer dass sie dazu anregen, herauszufinden wie man sie umgeht...
Das geht dann halt auch schon wieder auf die pädagogische Schiene
und davon habe ich jetzt nicht so Ahnung, nur eines ist jetzt schon sicher
das kann auch Schule alleine nicht vermitteln, da sind auch die Eltern und
andere Einrichtungen gefragt die mitwirken.

Gruß
Dobby
Bitte warten ..
Ähnliche Inhalte
Firewall
PFsense + SSL Bump + SquidGuard
Frage von webstorFirewall

Hi Leute, ich schaffe irgendwie nicht den redirect auf squidguard. SSL Bumping funkt (MITM). Aber ich weiss nicht ganz ...

Apache Server

Rerverse Proxy mit SSL Verschlüsselung

gelöst Frage von DragonValorApache Server3 Kommentare

Hi, ich bin gerade am internen Weiterleiten eines neu aufgesetzten Seafile Cloud-Servers. Im internen Netz komme ich über den ...

Firewall

Proxy Firewall o.Ä. installieren?

Frage von SchottiFirewall4 Kommentare

Hallo ich bin leider noch sehr neu auf diesem Gebiet, also bitte habt Nachsicht mit mir. Ich suche nach ...

Firewall

Skype durch Firewall und Proxy keine Verbindung

Frage von blauschleicheFirewall3 Kommentare

Hallo, bei uns in der Fa. läuft eine Astaro Appliance parallel zu einer Mikrotik Router/Firewall. Die Astaro ist für ...

Neue Wissensbeiträge
Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 5 StundenGoogle Android2 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Sicherheit

Intel gibt neue Spectre V2-Microcode-Updates frei (20.02.2018)

Information von kgborn vor 5 StundenSicherheit

Intel hat zum 20. Februar 2018 weitere Microcode-Updates für OEMs freigegeben, um Systeme mit neueren Prozessoren gegen die Spectre ...

Microsoft
ARD-Doku - Das Microsoft Dilemma
Tipp von Knorkator vor 8 StundenMicrosoft3 Kommentare

Hallo zusammen, vor einigen Tagen lief in der ARD u.a. Reportage. Das Youtube Video dazu dürfte länger verfügbar sein. ...

Windows 10

Neue Sicherheitslücke in Windows 10 (Version 1709) durch Google öffentlich geworden

Information von kgborn vor 1 TagWindows 10

Vor ein paar Tagen haben Googles Sicherheitsforscher vom Projekt Zero eine Sicherheitslücke im Edge-Browser publiziert. Jetzt wurde eine weitere ...

Heiß diskutierte Inhalte
Windows Server
AD DS findet Domäne nicht, behebbar?
Frage von schapitzWindows Server39 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

Router & Routing
ISC DHCP 2 Subnetze
gelöst Frage von janosch12Router & Routing18 Kommentare

Hallo, ich betreibe bei mir im Netzwerk einen ISC DHCP Server auf Debian, der DHCP verwaltet aktuell ein /24 ...

CPU, RAM, Mainboards
32 gb RAM zu wenig?
Frage von pcguyCPU, RAM, Mainboards13 Kommentare

Hallo zusammen, mein PC verfügt über 32GB Ram. Nun kriege ich bei grossen Dateien im Illustrator die Fehlermeldung das ...