Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

PfSense - Wie funktioniert HTTPS-Filterung ohne SSL-Interception?

Frage Sicherheit Firewall

Mitglied: Christoph2015

Christoph2015 (Level 1) - Jetzt verbinden

13.01.2015, aktualisiert 14:16 Uhr, 7956 Aufrufe, 6 Kommentare

Ich benutze die neueste Version von pfSense und möchte neben http auch https filtern - jedoch ohne SSL aufzubrechen. Installiert ist bereits squid3-dev und squidGuard-squid3. Clients bekommen von pfSense per DHCP die IP-Adresse. Die Firewallregeln sind so eingestellt:

5cd07dc81c26e08fc15e03e18e242292 - Klicke auf das Bild, um es zu vergrößern

Es läuft zur Zeit der transparente Proxy und funktioniert für http einwandfrei, https kann jedoch umgangen werden.

Unter den Einstellungen für den transparenten Proxy ist der folgende Hinweis zu lesen: "To filter both http and https protocol without intercepting ssl connections, enable WPAD/PAC options on your dns/dhcp." Nach der Anleitung unter https://doc.pfsense.org/index.php/WPAD_Autoconfigure_for_Squid habe ich dies bereits gemacht. Die Filterung läuft jedoch weiter wie bisher (https wird nicht gefiltert). Hat jemand eine Idee, was ich falsch mache? Eine Möglichkeit mit festem Proxy zu arbeiten (wie bei IPFire), würde völlig ausreichen...
Mitglied: BirdyB
13.01.2015, aktualisiert um 14:15 Uhr
Hallo Christoph,

In diesem Fall musst du dann die Proxy-Autokonfiguration in deinen Clients aktivieren. alternativ kannst du auch einfach mal die Proxyeinstellungen manuell setzen. solltest du die Benutzung des Proxys erzwingen wollen, würde ich die Ports 80 und 443 aus dem internen Netz sperren.

Beste Grüße!


Berthold
Bitte warten ..
Mitglied: Christoph2015
13.01.2015 um 14:24 Uhr
Hallo Berthold,
danke für Deine Hinweise.
Die Proxy-Einstellungen für IE und Firefox waren bereits auf "automatisch erkennen" eingestellt. Wenn ich den Port 443 aus dem internen Netz blockiere, werden alle https-Seiten gesperrt.
Leider ist noch ein weiteres Problem hinzugekommen: seit einem Neustart von pfSense lässt sich der squidGuard-Dienst (zumindest über die Webschnittstelle) nicht mehr starten...

Für weitere Tipps wäre ich dankbar...

Gruß

Christoph
Bitte warten ..
Mitglied: BirdyB
13.01.2015 um 14:34 Uhr
Das bedeutet dann, dass deine clients den Proxy garnicht verwenden. Setze testweise mal die Proxyeinstellungen selbst...

Was sagen denn die Logs?
Bitte warten ..
Mitglied: Christoph2015
16.01.2015 um 07:30 Uhr
Leider startet der squidGuard-Dienst (Version 3) nicht mehr. Mittlerweile habe ich squid und squidGuard in der Version 2 installiert. Die Dienste laufen jetzt auch. Die Firewall ist so eingestellt, dass Port 80 und 443 nur aus dem WAN-Net erlaubt sind. Der Proxy ist jetzt fest am Client eingerichtet. Der transparente Proxy ist nicht aktiviert. Https- und http-Seiten, die in der Blacklist gesperrt sind, werden auch mit Sperrhinweis geblockt. Alle anderen Seiten können leider nicht geladen werden... Gibt es hier tatsächlich nur die Möglichkeit über transparenten Proxy zu filtern?
Bitte warten ..
Mitglied: Thomas91
16.01.2015 um 12:35 Uhr
Entweder du machst einen WPAD-Server oder du leitest den Traffic HTTP und HTTPS auf den Proxy um. Für https musst du den Squid anpassen (http://roberts.bplaced.net/index.php/linux-guides/centos-6-guides/proxy ...). Der transparente Proxy hat zur Folge das deine User keine Authentifizierung eingeben müssen, sprich keinen Usernamen und Passwort. Du solltest nicht Squidguard V3 und V2 parrallel installieren. Ich glaube das gibt Probleme.
Bitte warten ..
Mitglied: panguu
22.01.2015, aktualisiert um 16:48 Uhr
Ich häng mich mal hier dran, und zwar:

ich nutze ebenfalls die pfSense und habe squid3 als package installiert und auch am Laufen. Soweit funktioniert alles, bis eben auf SSL. Sobald ein Client eine Webseite wie z.B. "www.google.de" oder "www.yahoo.com" aufruft wird er zu https://www.google.de, bzw. https://www.yahoo.com und dann kommt es irgendwann zu einem timeout am client-browser.

In der Squid/Proxy Konfigurationsseite innerhalb der WebGUI von pfSense schaut es so aus bei mir:

http://abload.de/img/clipboard01y7jhg.jpg

(PS: Ich weiß wie man Bilder hinzufügt, aber diese Funktion scheint wohl nur zu funktionieren, wenn ich einen eigenen Beitrag erstellt habe. Dort kann ich nämlich Bilder auswählen für den Upload. Hier aber finde ich diesen Tab oben nicht, demnach konnte ich das Bild nicht direkt auf administrator.de hochladen und habe den dienst abload.de verwendet. Man mag mir verzeihen und erklären, ob und wie ch auch in fremden Beiträgen als Kommentar Fotos hochladen kann)

den Haken habe ich bei "resolve ipv4 DNS first" habe ich gesetzt, denn in der Beschreibung wird gesagt, dass man das machen sollte vor allem wenn es zu Problemen mit https:// Zugriffen kommt. Leider hilft das nichts. Wenn ich jetzt nach meiner Google-Recherche richtig verstanden habe, dann müsste doch irgendwo und irgendwie jemand als MAN-IN-THE-MIDDLE agieren und die SSL-Anfrage des webclients an den eigentlich Server durchschleifen (via squid/proxy). Müsste dann aber dieser MITM-Prozess nicht auch ein gültiges Zertifikat dem Client vorweisen? Wie zum Geier macht man das hier mit der pfsense? Ich möchte unbedingt einen transparenten Proxy verwenden, das muss so bleiben.

Bin für jede Hilfestellung sehr dankbar.

Grüße,
Pangu
Bitte warten ..
Ähnliche Inhalte
Firewall
Filterung von HTTPS-Aufrufen mit Mikrotik
gelöst Frage von daarmaFirewall4 Kommentare

Servus miteinander, ich komme jetzt irgendwie nicht weiter. Meine Aufgabenstellung in kurzen Worten: Für eine Anzahl von WLAN-Usern soll ...

Verschlüsselung & Zertifikate
SSL Zertifikat für HTTPS
gelöst Frage von Hendrik2586Verschlüsselung & Zertifikate34 Kommentare

Guten Tag an alle! :) Ich habe eine kurze Frage an euch. Ich hab mein Synologie nun fertig eingerichtet ...

Firewall
PFsense + SSL Bump + SquidGuard
Frage von webstorFirewall

Hi Leute, ich schaffe irgendwie nicht den redirect auf squidguard. SSL Bumping funkt (MITM). Aber ich weiss nicht ganz ...

Verschlüsselung & Zertifikate
Wie funktioniert ein HTTPS Proxy? Ist das zeitgemäß?
gelöst Frage von flyingKangarooVerschlüsselung & Zertifikate6 Kommentare

Hallo, ich war bisher immer der Meinung wenn im Browser ein Proxyserver für HTTPS eingetragen ist, dann stellt der ...

Neue Wissensbeiträge
Microsoft Office

Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei

Anleitung von SarekHL vor 1 StundeMicrosoft Office2 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...

Erkennung und -Abwehr

Sicherheitslücke Spectre und Meltdown: Status prüfen

Anleitung von Frank vor 7 StundenErkennung und -Abwehr2 Kommentare

Nach all den Updates der letzten Woche sollte man unbedingt auch den Status prüfen, ob die Sicherheitslücken Spectre, Meltdown ...

Microsoft Office

Office 2010 Starter erneut auf einer frischen Windows-Version installieren

Tipp von Lochkartenstanzer vor 1 TagMicrosoft Office9 Kommentare

Moin, vor ein paar Tagen schlug bei mir ein Kunde auf, der sein Widnows 7 geschrottet und es inklusive ...

Datenbanken

Upgrade MongoDB 3.4 auf 3.6

Erfahrungsbericht von Frank vor 1 TagDatenbanken

Seit kurzem gibt es das 3.6 Update für die MongoDB: Sicherheit, das Sortieren, Aggregation und auch die Performance wurde ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

Drucker und Scanner
Gesucht DIN A3 Drucker
Frage von NebellichtDrucker und Scanner15 Kommentare

Hallo, ich möchte einen neuen DIN A3 Drucker kaufen. Um ab und zu, ca. 1 mal die Woche Farbausdrucke ...

iOS
Einladung vom iphone kalender
Frage von jensgebkeniOS15 Kommentare

Hallo Gemeinschaft, folgendes Problem - immer wenn ich von meinem Iphone einen Termin einztrage und diesem Termin Teilnehmer zuweise, ...

Batch & Shell
Dateien verschieben mit batch
gelöst Frage von michi-ffmBatch & Shell13 Kommentare

Hallo Zusammen hat jemand evtl eine Idee? Zunächst hier das Skript: Leider werden keine UNC-Pfade unterstüzt, kann mir jemand ...