Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Firewall, Proxy und SSL Bump?

Frage Sicherheit Firewall

Mitglied: wisebeer

wisebeer (Level 1) - Jetzt verbinden

01.07.2014, aktualisiert 06.09.2014, 2799 Aufrufe, 8 Kommentare

Guten Abend liebe Admin KollegInnen,

Ich bin gerade dabei den Proxy für ein Schulnetzwerk neu aufzusetzen und brauche eure Hilfe: ich hatte bisher pfsense im Einsatz und bin eigentlich sehr zufrieden, aber das filtern mit Backlists ist leider auf das http-Protokoll beschränkt, weshalb ich auf der Suche nach brauchbaren Anleitungen oder Alternativen bin, wie ich das ganze auf https ausweiten kann. Die Lösung mit Diladele Web Safety hab ich probiert, überzeugt mich aber nicht wirklich. Kennt jemand einen Weg mit pfsense SSL-Bumps zu machen oder habt ihr eine Alternative im Einsatz?

Liebe Grüße,
Martin
Mitglied: Dani
02.07.2014 um 09:50 Uhr
Hi Martin,
mit Squid geht es wohl. Allerdings etwas Handarbeit notwendig. - Anleitung.


Gruß,
Dani
Bitte warten ..
Mitglied: AndiEoh
02.07.2014 um 09:54 Uhr
Hallo,

technisch ist vieles möglich z.B. hier :

http://wiki.squid-cache.org/Features/SslBump

Ich habe allerdings eine tiefsitzende Abneigung schon die Kinder daran zu gewöhnen das immer jemand "mitlauscht". Meiner Meinung nach wäre es in diesem Fall besser https ganz zu unterbinden und http wie bisher zu behandeln. Hat allerdings den Nachteil das auch erlaubte Seiten wie z.B. Webmail nur noch unverschlüsselt zu erreichen sind. Eine andere Möglichkeit wäre ebenfalls mit Squid die URLs zu filtern ohne SSL MitM z.B. mit dem hier : http://www.squidguard.org/ und http(s) nur über den Proxy zulassen.

Gruß

Andi
Bitte warten ..
Mitglied: wisebeer
03.07.2014, aktualisiert um 08:43 Uhr
Danke für die Anleitung! Ich hab das SSL Bump mit Squid schon laufen gehabt, aber ich bin mit Diladele Web Safety, das in dieser Anleitung auch verwendet wird, einfach nicht zufrieden, weil ich die Konfiguration nicht übersichtlich finde. Es geht mit einer neueren Version von squid auch (fast) ohne Handarbeit: http://sichent.wordpress.com/2014/02/22/filtering-https-traffic-with-sq ...

Ich tüftel grade an der Integration in Dansguardian oder Squidguard, die find ich einfacher und übersichtlicher zu konfigurieren, aber das ganze sollte transparent sein und das stellt mich vor Rätsel

LG Martin
Bitte warten ..
Mitglied: wisebeer
03.07.2014 um 08:50 Uhr
Hallo Andi,

Danke für den Tipp! Mir ist klar, dass mein Projekt ethisch nicht ganz unumstritten ist, aber in einer Schulumgebung leider sehr wichtig, weil wir viele unbeaufsichtigte Clients und offenes WLAN haben und ich heuer öfters beobachtet habe, dass SchülerInnen auf torrent Seiten unterwegs waren und Seiten aufgerufen haben, die in einem Schulnetzwerk nichts verloren haben. Ich weiß, dass ich es einfach von der anderen Seite aufziehen könnte, und nur Ausnahmen zulassen könnte, aber das entspricht nicht unserer liberalen Schulpolitik. Wie ich die torrent-Clients blocke, weiß ich auch noch nicht...

Ich bastel mal weiter und halt euch auf dem Laufenden!

LG Martin
Bitte warten ..
Mitglied: AndiEoh
03.07.2014 um 09:51 Uhr
Hallo,

Torrent "Seiten" verwenden üblicherweise nicht http(s) sondern die üblichen P2P Protokolle. Deshalb mein Tip http(s) nur über den Proxy (Squid) und alle anderen aus- und eingehenden Verbindungen mit der Firewall sperren. Damit ist "surfen" möglich, aber kein Filesharing mit den übliche Verdächtigen. Dazu noch eine Freigabe- oder Sperrliste im Proxy und dann sind 90% der kritischen Fälle erledigt.

Für transparentes MitM braucht man auch eine eigene CA denen die Clients "vertrauen", was üblicherweise nur in streng zentral verwalteten Netzen (Windows AD) zu machen ist. Aber wie gesagt halte ich das für den komplett falschen Weg wenn es sich nicht um eine Hochsicherheits-Zone handelt bei der sowas vorgeschrieben ist.

Gruß

Andi
Bitte warten ..
Mitglied: Dobby
LÖSUNG 05.07.2014, aktualisiert 06.09.2014
Hallo,

man kann das so wie es schon beschrieben wurde eigentlich mittels
Squid gut erledigen und/oder sogar ganz unterbinden, nur wird mir noch
nicht ganz klar wie man denn sooooo liberal sein kann und dann die lieber
in den SSL Verbindungen "herumschnüffelt" was sicherlich nicht mit dem
Datenschutzbeauftragten des Landes abgesprochen ist bzw. wurde.

Ein SchulrouterPlus mit Schulfilter Plus und einem Squid erledigt das so das
man keinen Ärger bekommt, den Kindern genügend Freiheiten lässt und dennoch
kein Problem mit den hiesigen Gesetzen hat.

Liberal heißt für mich freiheitlich und auch wenn es Kinder sind die noch zu lernen
haben kann man Ihnen sehr wohl einiges von vorne herein unzugänglich machen,
denn dort wo die Freiheit des einen anfängt, hört die Freiheit des anderen auf!

Und auch so etwas können Kinder lernen und sollte es nicht in Euer pädagogisches
Konzept passen, würde ich einfach mal dafür plädieren das Du uns hier den
pädagogischen Effekt von der Verletzung der Privatsphäre der Kinder nennst.

Gruß
Dobby
Bitte warten ..
Mitglied: wisebeer
06.09.2014 um 21:45 Uhr
Ich hab mich in Absprache mit meinem Chef dazu entschieden, auf SSL Bumping zu versichten und weiter den herkömmlichen Filter zu verwenden. Abgesehen davon war die Absicht nie "herumzuschnüffeln", sondern ausschließlich unerwünschte Inhalte wie z.B. Pornoseiten oder Warez von der Schule fernzuhalten. Wie auch immer, ich bin auch Dobbys Meinung, dass Verbote keinen Lerneffekt haben, außer dass sie dazu anregen, herauszufinden wie man sie umgeht...
Bitte warten ..
Mitglied: Dobby
06.09.2014 um 22:07 Uhr
Hallo,

noch hinzu kommt das man auch HTTPS Seiten unterdrücken kann.

Ich hab mich in Absprache mit meinem Chef dazu entschieden, auf SSL Bumping zu
versichten und weiter den herkömmlichen Filter zu verwenden.
Man kann ja einen Squi Proxy aufsetzen und dann abwarten und wenn einmal Probleme
auftreten kann man sicherlich zeitnah reagieren und dann gezielt ausfindig machen wer
oder was das Problem verursacht hat.

Abgesehen davon war die Absicht nie "herumzuschnüffeln", sondern ausschließlich
unerwünschte Inhalte wie z.B. Pornoseiten oder Warez von der Schule fernzuhalten.
Es gibt immer mehrere Möglichkeiten die man nutzen kann, aber der Schulrouter
und der SchulfilterPlus sind IMHO zur Zeit die einzigste wirklich gute Lösung um im
Fall eines Falles einiger maßen glimpflich davon zu kommen!

Wie auch immer, ich bin auch Dobbys Meinung, dass Verbote keinen Lerneffekt haben,
außer dass sie dazu anregen, herauszufinden wie man sie umgeht...
Das geht dann halt auch schon wieder auf die pädagogische Schiene
und davon habe ich jetzt nicht so Ahnung, nur eines ist jetzt schon sicher
das kann auch Schule alleine nicht vermitteln, da sind auch die Eltern und
andere Einrichtungen gefragt die mitwirken.

Gruß
Dobby
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Microsoft Office
Proxy-Firewall Einstellungen in Excel? (4)

Frage von BlueShadow9 zum Thema Microsoft Office ...

Sicherheitsgrundlagen
Reicht die Firewall des AVM 7390? (6)

Frage von Biriel zum Thema Sicherheitsgrundlagen ...

Netzwerkmanagement
IPTV hinter einer Firewall (T-Entertain an Fritzbox+ZyWALL) (10)

Frage von Venator zum Thema Netzwerkmanagement ...

Sicherheits-Tools
Tor hinter (eigenem) Proxy (10)

Frage von mrserious73 zum Thema Sicherheits-Tools ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...