Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

PfSense - Wie funktioniert HTTPS-Filterung ohne SSL-Interception?

Frage Sicherheit Firewall

Mitglied: Christoph2015

Christoph2015 (Level 1) - Jetzt verbinden

13.01.2015, aktualisiert 14:16 Uhr, 6932 Aufrufe, 6 Kommentare

Ich benutze die neueste Version von pfSense und möchte neben http auch https filtern - jedoch ohne SSL aufzubrechen. Installiert ist bereits squid3-dev und squidGuard-squid3. Clients bekommen von pfSense per DHCP die IP-Adresse. Die Firewallregeln sind so eingestellt:

5cd07dc81c26e08fc15e03e18e242292 - Klicke auf das Bild, um es zu vergrößern

Es läuft zur Zeit der transparente Proxy und funktioniert für http einwandfrei, https kann jedoch umgangen werden.

Unter den Einstellungen für den transparenten Proxy ist der folgende Hinweis zu lesen: "To filter both http and https protocol without intercepting ssl connections, enable WPAD/PAC options on your dns/dhcp." Nach der Anleitung unter https://doc.pfsense.org/index.php/WPAD_Autoconfigure_for_Squid habe ich dies bereits gemacht. Die Filterung läuft jedoch weiter wie bisher (https wird nicht gefiltert). Hat jemand eine Idee, was ich falsch mache? Eine Möglichkeit mit festem Proxy zu arbeiten (wie bei IPFire), würde völlig ausreichen...
Mitglied: BirdyB
13.01.2015, aktualisiert um 14:15 Uhr
Hallo Christoph,

In diesem Fall musst du dann die Proxy-Autokonfiguration in deinen Clients aktivieren. alternativ kannst du auch einfach mal die Proxyeinstellungen manuell setzen. solltest du die Benutzung des Proxys erzwingen wollen, würde ich die Ports 80 und 443 aus dem internen Netz sperren.

Beste Grüße!


Berthold
Bitte warten ..
Mitglied: Christoph2015
13.01.2015 um 14:24 Uhr
Hallo Berthold,
danke für Deine Hinweise.
Die Proxy-Einstellungen für IE und Firefox waren bereits auf "automatisch erkennen" eingestellt. Wenn ich den Port 443 aus dem internen Netz blockiere, werden alle https-Seiten gesperrt.
Leider ist noch ein weiteres Problem hinzugekommen: seit einem Neustart von pfSense lässt sich der squidGuard-Dienst (zumindest über die Webschnittstelle) nicht mehr starten...

Für weitere Tipps wäre ich dankbar...

Gruß

Christoph
Bitte warten ..
Mitglied: BirdyB
13.01.2015 um 14:34 Uhr
Das bedeutet dann, dass deine clients den Proxy garnicht verwenden. Setze testweise mal die Proxyeinstellungen selbst...

Was sagen denn die Logs?
Bitte warten ..
Mitglied: Christoph2015
16.01.2015 um 07:30 Uhr
Leider startet der squidGuard-Dienst (Version 3) nicht mehr. Mittlerweile habe ich squid und squidGuard in der Version 2 installiert. Die Dienste laufen jetzt auch. Die Firewall ist so eingestellt, dass Port 80 und 443 nur aus dem WAN-Net erlaubt sind. Der Proxy ist jetzt fest am Client eingerichtet. Der transparente Proxy ist nicht aktiviert. Https- und http-Seiten, die in der Blacklist gesperrt sind, werden auch mit Sperrhinweis geblockt. Alle anderen Seiten können leider nicht geladen werden... Gibt es hier tatsächlich nur die Möglichkeit über transparenten Proxy zu filtern?
Bitte warten ..
Mitglied: Thomas91
16.01.2015 um 12:35 Uhr
Entweder du machst einen WPAD-Server oder du leitest den Traffic HTTP und HTTPS auf den Proxy um. Für https musst du den Squid anpassen (http://roberts.bplaced.net/index.php/linux-guides/centos-6-guides/proxy ...). Der transparente Proxy hat zur Folge das deine User keine Authentifizierung eingeben müssen, sprich keinen Usernamen und Passwort. Du solltest nicht Squidguard V3 und V2 parrallel installieren. Ich glaube das gibt Probleme.
Bitte warten ..
Mitglied: panguu
22.01.2015, aktualisiert um 16:48 Uhr
Ich häng mich mal hier dran, und zwar:

ich nutze ebenfalls die pfSense und habe squid3 als package installiert und auch am Laufen. Soweit funktioniert alles, bis eben auf SSL. Sobald ein Client eine Webseite wie z.B. "www.google.de" oder "www.yahoo.com" aufruft wird er zu https://www.google.de, bzw. https://www.yahoo.com und dann kommt es irgendwann zu einem timeout am client-browser.

In der Squid/Proxy Konfigurationsseite innerhalb der WebGUI von pfSense schaut es so aus bei mir:

http://abload.de/img/clipboard01y7jhg.jpg

(PS: Ich weiß wie man Bilder hinzufügt, aber diese Funktion scheint wohl nur zu funktionieren, wenn ich einen eigenen Beitrag erstellt habe. Dort kann ich nämlich Bilder auswählen für den Upload. Hier aber finde ich diesen Tab oben nicht, demnach konnte ich das Bild nicht direkt auf administrator.de hochladen und habe den dienst abload.de verwendet. Man mag mir verzeihen und erklären, ob und wie ch auch in fremden Beiträgen als Kommentar Fotos hochladen kann)

den Haken habe ich bei "resolve ipv4 DNS first" habe ich gesetzt, denn in der Beschreibung wird gesagt, dass man das machen sollte vor allem wenn es zu Problemen mit https:// Zugriffen kommt. Leider hilft das nichts. Wenn ich jetzt nach meiner Google-Recherche richtig verstanden habe, dann müsste doch irgendwo und irgendwie jemand als MAN-IN-THE-MIDDLE agieren und die SSL-Anfrage des webclients an den eigentlich Server durchschleifen (via squid/proxy). Müsste dann aber dieser MITM-Prozess nicht auch ein gültiges Zertifikat dem Client vorweisen? Wie zum Geier macht man das hier mit der pfsense? Ich möchte unbedingt einen transparenten Proxy verwenden, das muss so bleiben.

Bin für jede Hilfestellung sehr dankbar.

Grüße,
Pangu
Bitte warten ..
Ähnliche Inhalte
Exchange Server
gelöst Exchange 2016 nach Einbindung SSL Zertifikat funktioniert AutoDiscover nicht mehr (3)

Frage von DKowalke zum Thema Exchange Server ...

SEO
Wie funktioniert eine HTTPS Verschlüsselung? (5)

Frage von Yanmai zum Thema SEO ...

Windows Netzwerk
RDP-Verbindung funktioniert nicht über Fritz!Box-VPN (7)

Frage von MIlexx zum Thema Windows Netzwerk ...

Neue Wissensbeiträge
Tipps & Tricks

Wie Hackt man sich am besten in ein Computernetzwerk ein

(38)

Erfahrungsbericht von Herbrich19 zum Thema Tipps & Tricks ...

Humor (lol)

Bester Vorschlag eines Supporttechnikers ever: APC

(15)

Erfahrungsbericht von DerWoWusste zum Thema Humor (lol) ...

Heiß diskutierte Inhalte
Webbrowser
Windows 7 unbeliebte Internetseite sperren (15)

Frage von Daoudi1973 zum Thema Webbrowser ...

ISDN & Analoganschlüsse
gelöst Splitter - RJ45 zu RJ11? (13)

Frage von Waishon zum Thema ISDN & Analoganschlüsse ...

Linux Desktop
KDE Slimbook (11)

Link von Frank zum Thema Linux Desktop ...

LAN, WAN, Wireless
gelöst Suche Firmware Image für Cisco Aironet 1252 (10)

Frage von Herbrich19 zum Thema LAN, WAN, Wireless ...