12
Fritzbox 6.80 Filter für Internetseiten berücksichtigt gesperrte Domains jetzt auch bei https-Aufrufen
Hallo zusammen,
Seit Fritz Version 6.80 ist es nun auch möglich https Seiten zu Sperren.
Ich Frage noch wie das möglich ist ohne mitm und Zertifikate auf den Clients.
Dafür gibt es nämlich selbst auf der pfsense firewall noch keine ordentliche Lösung.
Hat da jemand von euch eine Ahnung?
LG!
Seit Fritz Version 6.80 ist es nun auch möglich https Seiten zu Sperren.
Ich Frage noch wie das möglich ist ohne mitm und Zertifikate auf den Clients.
Dafür gibt es nämlich selbst auf der pfsense firewall noch keine ordentliche Lösung.
Hat da jemand von euch eine Ahnung?
LG!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 324300
Url: https://administrator.de/contentid/324300
Printed on: April 25, 2024 at 00:04 o'clock
12 Comments
Latest comment
Hallo zusammen,
Hallo,Seit Fritz Version 6.80 ist es nun auch möglich https Seiten zu Sperren.
Und das ist gut so oder? Finde ich zumindest.Ich Frage noch wie das möglich ist ohne mitm und Zertifikate auf den Clients.
Wozu das denn? Eventuell verwechselst Du da auch etwas, man kann nicht in den Datenstrom hineinschauen und Ihn auswertensondern nur diverse Seiten mit https://...... sperren.
Dafür gibt es nämlich selbst auf der pfsense firewall noch keine ordentliche Lösung.
Zusammen mit Squid & SquidGuard sollte es dort möglich sein. Man blockiert dann dortalle https:Seiten und erlaubt nur die die aufgerufen werden sollen.
Hat da jemand von euch eine Ahnung?
Wozu jetzt genau bitte? Man kann halt ab Version 6.80 die https: Seiten blocken und gut ist es.Gruß
Dobby
Tach,
wo gibt's den die 6.80?
wo gibt's den die 6.80?
Ich Frage noch wie das möglich ist ohne mitm und Zertifikate auf den Clients.
Ganz einfach weil hier ja nur die Verbindung zum Host geprüft werden muss und nicht der Inhalt. IP-Adressen und Ports gehen ja im Klartext durch die Leitung, also kein Problem. Nimm dir Wireshark zur Hand dann siehst du's.Gruß
Zitat von @108012:
sondern nur diverse Seiten mit https://...... sperren.
alle https:Seiten und erlaubt nur die die aufgerufen werden sollen.
Gruß
Dobby
Hallo zusammen,
Hallo,Seit Fritz Version 6.80 ist es nun auch möglich https Seiten zu Sperren.
Und das ist gut so oder? Finde ich zumindest.Ich Frage noch wie das möglich ist ohne mitm und Zertifikate auf den Clients.
Wozu das denn? Eventuell verwechselst Du da auch etwas, man kann nicht in den Datenstrom hineinschauen und Ihn auswertensondern nur diverse Seiten mit https://...... sperren.
Dafür gibt es nämlich selbst auf der pfsense firewall noch keine ordentliche Lösung.
Zusammen mit Squid & SquidGuard sollte es dort möglich sein. Man blockiert dann dortalle https:Seiten und erlaubt nur die die aufgerufen werden sollen.
Hat da jemand von euch eine Ahnung?
Wozu jetzt genau bitte? Man kann halt ab Version 6.80 die https: Seiten blocken und gut ist es.Gruß
Dobby
Mit Squid/Squid Guard geht https blocking nur mit MITM. Alle https Seiten zu blockieren mit einer Whitelist wäre auch Schwachsinn..
Schade dass es mit einem Consumer Router leichter geht als mit einer Enterprise firewall.
Zitat von @131381:
Gruß
Ich Frage noch wie das möglich ist ohne mitm und Zertifikate auf den Clients.
Ganz einfach weil hier ja nur die Verbindung zum Host geprüft werden muss und nicht der Inhalt. IP-Adressen und Ports gehen ja im Klartext durch die Leitung, also kein Problem. Nimm dir Wireshark zur Hand dann siehst du's.Gruß
Aber mit IP Adressen Seiten wie bspw. Facebook zu blocken ist sehr schwer bis unmöglich.
Die Fritte kann nicht zaubern 
dort geht auch nicht alles. Auswerten lassen sich vorher ausgehende DNS-Requests und die Auflösung der Namen zur IP, das damit sich nicht unbedingt alles filtern lässt, ist klar.
dort geht auch nicht alles. Auswerten lassen sich vorher ausgehende DNS-Requests und die Auflösung der Namen zur IP, das damit sich nicht unbedingt alles filtern lässt, ist klar.
Es gibt verschiedene Möglichkeiten, SSL-Verbindungen zu prüfen.
1. Man in the Middle => großes Sicherheitsproblem, dem Zertifikat, was für die Wiederverschlüsselung verwendet wird, muss über das Vertrauen der Browser verfügen
2. Es wird nur anhand der IP-Adresse entschieden. War früher möglich, heute gibt es aber auch die Möglichkeit, mehrere Zertifikate pro IP-Adresse laufen zu lassen
3. der Contentfilter nimmt die Verbindung auf und hält diese erstmal fest, in der Zeit wird vom Contentfilter eine eigene Verbindung aufgebaut und der Inhalt, alternativ nur das Zertifikat, wird geprüft. Wenn die Verbindung OK ist, wird die Verbindung vom Client durchgewunken.
Die Contentfilterung für Version 1 und 3 sind sehr ressourcenhungrig, ich bezweifel, dass die CPU der Fritzbox dieses verkraftet.
1. Man in the Middle => großes Sicherheitsproblem, dem Zertifikat, was für die Wiederverschlüsselung verwendet wird, muss über das Vertrauen der Browser verfügen
2. Es wird nur anhand der IP-Adresse entschieden. War früher möglich, heute gibt es aber auch die Möglichkeit, mehrere Zertifikate pro IP-Adresse laufen zu lassen
3. der Contentfilter nimmt die Verbindung auf und hält diese erstmal fest, in der Zeit wird vom Contentfilter eine eigene Verbindung aufgebaut und der Inhalt, alternativ nur das Zertifikat, wird geprüft. Wenn die Verbindung OK ist, wird die Verbindung vom Client durchgewunken.
Die Contentfilterung für Version 1 und 3 sind sehr ressourcenhungrig, ich bezweifel, dass die CPU der Fritzbox dieses verkraftet.
1
Hallo,
also ich kann an meinem Squid auch HTTPS Seiten blocken.
http_access deny CONNECT Liste_Mit_URLS - tut's bei mir.
Gruß PiLoT
also ich kann an meinem Squid auch HTTPS Seiten blocken.
http_access deny CONNECT Liste_Mit_URLS - tut's bei mir.
Gruß PiLoT
Mit Squid/Squid Guard geht https blocking nur mit MITM.
Man in the middle braucht man nur um den gesamten HTTPS Verkehr zu untersuchen bzw. zu entschlüsseln,hier geht es aber lediglich darum https Seiten zu blockieren und nicht mehr!
Alle https Seiten zu blockieren mit einer Whitelist wäre auch Schwachsinn..
Nein ist es nicht denn dann kann man genau sagen was genau aufgerufen wird.Schade dass es mit einem Consumer Router leichter geht als mit einer Enterprise firewall.
??? Ich denke wenn man den Rest der Einstellungen, Funktionen, Optionen und Features anschaut solltejedem klar sein wer hier was kann und was nicht!
Ganz einfach weil hier ja nur die Verbindung zum Host geprüft werden muss und nicht der Inhalt.
Jo genau das ist es, der TO hat hier ein paar Sachen durcheinander gebracht so wie ich das sehe.Tach,
wo gibt's den die 6.80?
Die gibt es zur zeit nur für die AVM FB 7580 und FB 7560!wo gibt's den die 6.80?
Hier ein Artikel dazu: FritzOS 6.80
FritzOS 6.80 Neuerungen
Verbesserung - Filter für Internetseiten berücksichtigt gesperrte Domains jetzt auch bei https-Aufrufen
also ich kann an meinem Squid auch HTTPS Seiten blocken.
http_access deny CONNECT Liste_Mit_URLS - tut's bei mir.
pfSense - Blocking Websiteshttp_access deny CONNECT Liste_Mit_URLS - tut's bei mir.
pfSense - SquidGuard package
pfSense - How to block https web sites
Alternativ kann man auch noch OpenDNS mit ins Spiel bringen, um den Altersgrenzen gerecht zu werden.
Gruß
Dobby
Mit Squid/Squid Guard geht https blocking nur mit MITM. Alle https Seiten zu blockieren mit einer Whitelist wäre auch Schwachsinn..
Schade dass es mit einem Consumer Router leichter geht als mit einer Enterprise firewall.
Ich kenne mich jetzt mit der pfsense nicht aus, aber da pfsense ebenfalls squid als Proxy nutzt, müsste das gehen. Meine OPNSense (Fork von pfsense) zu Hause kann jedenfalls problemlos auch https-Seiten sperren, ohne dass ich SSL-Interception machen muss.
Unsere (kommerzielle) Firmen-FW macht das auch ohne SSL-Interception (ebenfalls squid).
Die Sperrung von Webseiten über die Blacklist scheint nur zu funktionieren wenn der Client so nett ist die DNS Anfragen durch die Fritzbox filtern zu lassen. Anders ausgedrückt. Datenverkehr über Port 53, freiwillig beim Standardgateway 192.168.178.1 abgefragt wird wird nicht gefiltert.
Wenn auf dem Client ein Programm läuft welches einen anderen DNS Server ab fragt, da filtert die Fritzbox den Datenverkehr nicht da sie sich scheinbar nicht alles an sieht was über Port 53 läuft.
Wenn auf dem Client ein Programm läuft welches einen anderen DNS Server ab fragt, da filtert die Fritzbox den Datenverkehr nicht da sie sich scheinbar nicht alles an sieht was über Port 53 läuft.
Auch scheint der Webseitenfilter der Blacklist nicht reguläre Ausdrücke verwenden zu können um Domains zu filtern die bestimmte Begriffe beinhalten.
Bsp.:
*.*xx*.* um Domains raus zu filtern die "xx" im Namen beinhalten.
Bsp.:
*.*xx*.* um Domains raus zu filtern die "xx" im Namen beinhalten.
