Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

PfSense - Wie funktioniert HTTPS-Filterung ohne SSL-Interception?

Frage Sicherheit Firewall

Mitglied: Christoph2015

Christoph2015 (Level 1) - Jetzt verbinden

13.01.2015, aktualisiert 14:16 Uhr, 5807 Aufrufe, 6 Kommentare

Ich benutze die neueste Version von pfSense und möchte neben http auch https filtern - jedoch ohne SSL aufzubrechen. Installiert ist bereits squid3-dev und squidGuard-squid3. Clients bekommen von pfSense per DHCP die IP-Adresse. Die Firewallregeln sind so eingestellt:

5cd07dc81c26e08fc15e03e18e242292 - Klicke auf das Bild, um es zu vergrößern

Es läuft zur Zeit der transparente Proxy und funktioniert für http einwandfrei, https kann jedoch umgangen werden.

Unter den Einstellungen für den transparenten Proxy ist der folgende Hinweis zu lesen: "To filter both http and https protocol without intercepting ssl connections, enable WPAD/PAC options on your dns/dhcp." Nach der Anleitung unter https://doc.pfsense.org/index.php/WPAD_Autoconfigure_for_Squid habe ich dies bereits gemacht. Die Filterung läuft jedoch weiter wie bisher (https wird nicht gefiltert). Hat jemand eine Idee, was ich falsch mache? Eine Möglichkeit mit festem Proxy zu arbeiten (wie bei IPFire), würde völlig ausreichen...
Mitglied: BirdyB
13.01.2015, aktualisiert um 14:15 Uhr
Hallo Christoph,

In diesem Fall musst du dann die Proxy-Autokonfiguration in deinen Clients aktivieren. alternativ kannst du auch einfach mal die Proxyeinstellungen manuell setzen. solltest du die Benutzung des Proxys erzwingen wollen, würde ich die Ports 80 und 443 aus dem internen Netz sperren.

Beste Grüße!


Berthold
Bitte warten ..
Mitglied: Christoph2015
13.01.2015 um 14:24 Uhr
Hallo Berthold,
danke für Deine Hinweise.
Die Proxy-Einstellungen für IE und Firefox waren bereits auf "automatisch erkennen" eingestellt. Wenn ich den Port 443 aus dem internen Netz blockiere, werden alle https-Seiten gesperrt.
Leider ist noch ein weiteres Problem hinzugekommen: seit einem Neustart von pfSense lässt sich der squidGuard-Dienst (zumindest über die Webschnittstelle) nicht mehr starten...

Für weitere Tipps wäre ich dankbar...

Gruß

Christoph
Bitte warten ..
Mitglied: BirdyB
13.01.2015 um 14:34 Uhr
Das bedeutet dann, dass deine clients den Proxy garnicht verwenden. Setze testweise mal die Proxyeinstellungen selbst...

Was sagen denn die Logs?
Bitte warten ..
Mitglied: Christoph2015
16.01.2015 um 07:30 Uhr
Leider startet der squidGuard-Dienst (Version 3) nicht mehr. Mittlerweile habe ich squid und squidGuard in der Version 2 installiert. Die Dienste laufen jetzt auch. Die Firewall ist so eingestellt, dass Port 80 und 443 nur aus dem WAN-Net erlaubt sind. Der Proxy ist jetzt fest am Client eingerichtet. Der transparente Proxy ist nicht aktiviert. Https- und http-Seiten, die in der Blacklist gesperrt sind, werden auch mit Sperrhinweis geblockt. Alle anderen Seiten können leider nicht geladen werden... Gibt es hier tatsächlich nur die Möglichkeit über transparenten Proxy zu filtern?
Bitte warten ..
Mitglied: Thomas91
16.01.2015 um 12:35 Uhr
Entweder du machst einen WPAD-Server oder du leitest den Traffic HTTP und HTTPS auf den Proxy um. Für https musst du den Squid anpassen (http://roberts.bplaced.net/index.php/linux-guides/centos-6-guides/proxy ...). Der transparente Proxy hat zur Folge das deine User keine Authentifizierung eingeben müssen, sprich keinen Usernamen und Passwort. Du solltest nicht Squidguard V3 und V2 parrallel installieren. Ich glaube das gibt Probleme.
Bitte warten ..
Mitglied: panguu
22.01.2015, aktualisiert um 16:48 Uhr
Ich häng mich mal hier dran, und zwar:

ich nutze ebenfalls die pfSense und habe squid3 als package installiert und auch am Laufen. Soweit funktioniert alles, bis eben auf SSL. Sobald ein Client eine Webseite wie z.B. "www.google.de" oder "www.yahoo.com" aufruft wird er zu https://www.google.de, bzw. https://www.yahoo.com und dann kommt es irgendwann zu einem timeout am client-browser.

In der Squid/Proxy Konfigurationsseite innerhalb der WebGUI von pfSense schaut es so aus bei mir:

http://abload.de/img/clipboard01y7jhg.jpg

(PS: Ich weiß wie man Bilder hinzufügt, aber diese Funktion scheint wohl nur zu funktionieren, wenn ich einen eigenen Beitrag erstellt habe. Dort kann ich nämlich Bilder auswählen für den Upload. Hier aber finde ich diesen Tab oben nicht, demnach konnte ich das Bild nicht direkt auf administrator.de hochladen und habe den dienst abload.de verwendet. Man mag mir verzeihen und erklären, ob und wie ch auch in fremden Beiträgen als Kommentar Fotos hochladen kann)

den Haken habe ich bei "resolve ipv4 DNS first" habe ich gesetzt, denn in der Beschreibung wird gesagt, dass man das machen sollte vor allem wenn es zu Problemen mit https:// Zugriffen kommt. Leider hilft das nichts. Wenn ich jetzt nach meiner Google-Recherche richtig verstanden habe, dann müsste doch irgendwo und irgendwie jemand als MAN-IN-THE-MIDDLE agieren und die SSL-Anfrage des webclients an den eigentlich Server durchschleifen (via squid/proxy). Müsste dann aber dieser MITM-Prozess nicht auch ein gültiges Zertifikat dem Client vorweisen? Wie zum Geier macht man das hier mit der pfsense? Ich möchte unbedingt einen transparenten Proxy verwenden, das muss so bleiben.

Bin für jede Hilfestellung sehr dankbar.

Grüße,
Pangu
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
SEO
Wie funktioniert eine HTTPS Verschlüsselung? (5)

Frage von Yanmai zum Thema SEO ...

Netzwerkmanagement
Pfsense ist wegen SSL-Fehler nicht zu erreichen (2)

Frage von istike2 zum Thema Netzwerkmanagement ...

Router & Routing
gelöst PFsense nach Update funktioniert CP nicht korrekt (3)

Frage von killtec zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...