wisebeer
Goto Top

Firewall, Proxy und SSL Bump?

Guten Abend liebe Admin KollegInnen,

Ich bin gerade dabei den Proxy für ein Schulnetzwerk neu aufzusetzen und brauche eure Hilfe: ich hatte bisher pfsense im Einsatz und bin eigentlich sehr zufrieden, aber das filtern mit Backlists ist leider auf das http-Protokoll beschränkt, weshalb ich auf der Suche nach brauchbaren Anleitungen oder Alternativen bin, wie ich das ganze auf https ausweiten kann. Die Lösung mit Diladele Web Safety hab ich probiert, überzeugt mich aber nicht wirklich. Kennt jemand einen Weg mit pfsense SSL-Bumps zu machen oder habt ihr eine Alternative im Einsatz?

Liebe Grüße,
Martin

Content-ID: 242396

Url: https://administrator.de/forum/firewall-proxy-und-ssl-bump-242396.html

Ausgedruckt am: 26.12.2024 um 04:12 Uhr

Dani
Dani 02.07.2014 um 09:50:59 Uhr
Goto Top
Hi Martin,
mit Squid geht es wohl. Allerdings etwas Handarbeit notwendig. - Anleitung.


Gruß,
Dani
AndiEoh
AndiEoh 02.07.2014 um 09:54:00 Uhr
Goto Top
Hallo,

technisch ist vieles möglich z.B. hier :

http://wiki.squid-cache.org/Features/SslBump

Ich habe allerdings eine tiefsitzende Abneigung schon die Kinder daran zu gewöhnen das immer jemand "mitlauscht". Meiner Meinung nach wäre es in diesem Fall besser https ganz zu unterbinden und http wie bisher zu behandeln. Hat allerdings den Nachteil das auch erlaubte Seiten wie z.B. Webmail nur noch unverschlüsselt zu erreichen sind. Eine andere Möglichkeit wäre ebenfalls mit Squid die URLs zu filtern ohne SSL MitM z.B. mit dem hier : http://www.squidguard.org/ und http(s) nur über den Proxy zulassen.

Gruß

Andi
wisebeer
wisebeer 03.07.2014 aktualisiert um 08:43:43 Uhr
Goto Top
Danke für die Anleitung! Ich hab das SSL Bump mit Squid schon laufen gehabt, aber ich bin mit Diladele Web Safety, das in dieser Anleitung auch verwendet wird, einfach nicht zufrieden, weil ich die Konfiguration nicht übersichtlich finde. Es geht mit einer neueren Version von squid auch (fast) ohne Handarbeit: http://sichent.wordpress.com/2014/02/22/filtering-https-traffic-with-sq ...

Ich tüftel grade an der Integration in Dansguardian oder Squidguard, die find ich einfacher und übersichtlicher zu konfigurieren, aber das ganze sollte transparent sein und das stellt mich vor Rätsel face-smile

LG Martin
wisebeer
wisebeer 03.07.2014 um 08:50:30 Uhr
Goto Top
Hallo Andi,

Danke für den Tipp! Mir ist klar, dass mein Projekt ethisch nicht ganz unumstritten ist, aber in einer Schulumgebung leider sehr wichtig, weil wir viele unbeaufsichtigte Clients und offenes WLAN haben und ich heuer öfters beobachtet habe, dass SchülerInnen auf torrent Seiten unterwegs waren und Seiten aufgerufen haben, die in einem Schulnetzwerk nichts verloren haben. Ich weiß, dass ich es einfach von der anderen Seite aufziehen könnte, und nur Ausnahmen zulassen könnte, aber das entspricht nicht unserer liberalen Schulpolitik. Wie ich die torrent-Clients blocke, weiß ich auch noch nicht...

Ich bastel mal weiter und halt euch auf dem Laufenden!

LG Martin
AndiEoh
AndiEoh 03.07.2014 um 09:51:16 Uhr
Goto Top
Hallo,

Torrent "Seiten" verwenden üblicherweise nicht http(s) sondern die üblichen P2P Protokolle. Deshalb mein Tip http(s) nur über den Proxy (Squid) und alle anderen aus- und eingehenden Verbindungen mit der Firewall sperren. Damit ist "surfen" möglich, aber kein Filesharing mit den übliche Verdächtigen. Dazu noch eine Freigabe- oder Sperrliste im Proxy und dann sind 90% der kritischen Fälle erledigt.

Für transparentes MitM braucht man auch eine eigene CA denen die Clients "vertrauen", was üblicherweise nur in streng zentral verwalteten Netzen (Windows AD) zu machen ist. Aber wie gesagt halte ich das für den komplett falschen Weg wenn es sich nicht um eine Hochsicherheits-Zone handelt bei der sowas vorgeschrieben ist.

Gruß

Andi
108012
Lösung 108012 05.07.2014, aktualisiert am 06.09.2014 um 21:39:14 Uhr
Goto Top
Hallo,

man kann das so wie es schon beschrieben wurde eigentlich mittels
Squid gut erledigen und/oder sogar ganz unterbinden, nur wird mir noch
nicht ganz klar wie man denn sooooo liberal sein kann und dann die lieber
in den SSL Verbindungen "herumschnüffelt" was sicherlich nicht mit dem
Datenschutzbeauftragten des Landes abgesprochen ist bzw. wurde.

Ein SchulrouterPlus mit Schulfilter Plus und einem Squid erledigt das so das
man keinen Ärger bekommt, den Kindern genügend Freiheiten lässt und dennoch
kein Problem mit den hiesigen Gesetzen hat.

Liberal heißt für mich freiheitlich und auch wenn es Kinder sind die noch zu lernen
haben kann man Ihnen sehr wohl einiges von vorne herein unzugänglich machen,
denn dort wo die Freiheit des einen anfängt, hört die Freiheit des anderen auf!

Und auch so etwas können Kinder lernen und sollte es nicht in Euer pädagogisches
Konzept passen, würde ich einfach mal dafür plädieren das Du uns hier den
pädagogischen Effekt von der Verletzung der Privatsphäre der Kinder nennst.

Gruß
Dobby
wisebeer
wisebeer 06.09.2014 um 21:45:18 Uhr
Goto Top
Ich hab mich in Absprache mit meinem Chef dazu entschieden, auf SSL Bumping zu versichten und weiter den herkömmlichen Filter zu verwenden. Abgesehen davon war die Absicht nie "herumzuschnüffeln", sondern ausschließlich unerwünschte Inhalte wie z.B. Pornoseiten oder Warez von der Schule fernzuhalten. Wie auch immer, ich bin auch Dobbys Meinung, dass Verbote keinen Lerneffekt haben, außer dass sie dazu anregen, herauszufinden wie man sie umgeht...
108012
108012 06.09.2014 um 22:07:07 Uhr
Goto Top
Hallo,

noch hinzu kommt das man auch HTTPS Seiten unterdrücken kann.

Ich hab mich in Absprache mit meinem Chef dazu entschieden, auf SSL Bumping zu
versichten und weiter den herkömmlichen Filter zu verwenden.
Man kann ja einen Squi Proxy aufsetzen und dann abwarten und wenn einmal Probleme
auftreten kann man sicherlich zeitnah reagieren und dann gezielt ausfindig machen wer
oder was das Problem verursacht hat.

Abgesehen davon war die Absicht nie "herumzuschnüffeln", sondern ausschließlich
unerwünschte Inhalte wie z.B. Pornoseiten oder Warez von der Schule fernzuhalten.
Es gibt immer mehrere Möglichkeiten die man nutzen kann, aber der Schulrouter
und der SchulfilterPlus sind IMHO zur Zeit die einzigste wirklich gute Lösung um im
Fall eines Falles einiger maßen glimpflich davon zu kommen!

Wie auch immer, ich bin auch Dobbys Meinung, dass Verbote keinen Lerneffekt haben,
außer dass sie dazu anregen, herauszufinden wie man sie umgeht...
Das geht dann halt auch schon wieder auf die pädagogische Schiene
und davon habe ich jetzt nicht so Ahnung, nur eines ist jetzt schon sicher
das kann auch Schule alleine nicht vermitteln, da sind auch die Eltern und
andere Einrichtungen gefragt die mitwirken.

Gruß
Dobby