thomasreischer
Goto Top

Fritzbox 6.80 Filter für Internetseiten berücksichtigt gesperrte Domains jetzt auch bei https-Aufrufen

Hallo zusammen,

Seit Fritz Version 6.80 ist es nun auch möglich https Seiten zu Sperren.

Ich Frage noch wie das möglich ist ohne mitm und Zertifikate auf den Clients.
Dafür gibt es nämlich selbst auf der pfsense firewall noch keine ordentliche Lösung.

Hat da jemand von euch eine Ahnung?

LG!

Content-ID: 324300

Url: https://administrator.de/forum/fritzbox-6-80-filter-fuer-internetseiten-beruecksichtigt-gesperrte-domains-jetzt-auch-bei-https-aufrufen-324300.html

Ausgedruckt am: 22.12.2024 um 06:12 Uhr

108012
108012 19.12.2016 um 18:21:08 Uhr
Goto Top
Hallo zusammen,
Hallo,

Seit Fritz Version 6.80 ist es nun auch möglich https Seiten zu Sperren.
Und das ist gut so oder? Finde ich zumindest.

Ich Frage noch wie das möglich ist ohne mitm und Zertifikate auf den Clients.
Wozu das denn? Eventuell verwechselst Du da auch etwas, man kann nicht in den Datenstrom hineinschauen und Ihn auswerten
sondern nur diverse Seiten mit https://...... sperren.

Dafür gibt es nämlich selbst auf der pfsense firewall noch keine ordentliche Lösung.
Zusammen mit Squid & SquidGuard sollte es dort möglich sein. Man blockiert dann dort
alle https:Seiten und erlaubt nur die die aufgerufen werden sollen.

Hat da jemand von euch eine Ahnung?
Wozu jetzt genau bitte? Man kann halt ab Version 6.80 die https:
Seiten blocken und gut ist es.

Gruß
Dobby
horstvogel
horstvogel 19.12.2016 um 18:52:40 Uhr
Goto Top
Tach,
wo gibt's den die 6.80?

2016-12-19 18_50_58-fritz! labor _ avm deutschland - internet explorer
131381
131381 19.12.2016 aktualisiert um 19:17:21 Uhr
Goto Top
Ich Frage noch wie das möglich ist ohne mitm und Zertifikate auf den Clients.
Ganz einfach weil hier ja nur die Verbindung zum Host geprüft werden muss und nicht der Inhalt. IP-Adressen und Ports gehen ja im Klartext durch die Leitung, also kein Problem. Nimm dir Wireshark zur Hand dann siehst du's.

Gruß
thomasreischer
thomasreischer 19.12.2016 um 19:16:43 Uhr
Goto Top
Zitat von @108012:

Hallo zusammen,
Hallo,

Seit Fritz Version 6.80 ist es nun auch möglich https Seiten zu Sperren.
Und das ist gut so oder? Finde ich zumindest.

Ich Frage noch wie das möglich ist ohne mitm und Zertifikate auf den Clients.
Wozu das denn? Eventuell verwechselst Du da auch etwas, man kann nicht in den Datenstrom hineinschauen und Ihn auswerten
sondern nur diverse Seiten mit https://...... sperren.

Dafür gibt es nämlich selbst auf der pfsense firewall noch keine ordentliche Lösung.
Zusammen mit Squid & SquidGuard sollte es dort möglich sein. Man blockiert dann dort
alle https:Seiten und erlaubt nur die die aufgerufen werden sollen.

Hat da jemand von euch eine Ahnung?
Wozu jetzt genau bitte? Man kann halt ab Version 6.80 die https:
Seiten blocken und gut ist es.

Gruß
Dobby



Mit Squid/Squid Guard geht https blocking nur mit MITM. Alle https Seiten zu blockieren mit einer Whitelist wäre auch Schwachsinn..

Schade dass es mit einem Consumer Router leichter geht als mit einer Enterprise firewall.
thomasreischer
thomasreischer 19.12.2016 um 19:19:33 Uhr
Goto Top
Zitat von @131381:

Ich Frage noch wie das möglich ist ohne mitm und Zertifikate auf den Clients.
Ganz einfach weil hier ja nur die Verbindung zum Host geprüft werden muss und nicht der Inhalt. IP-Adressen und Ports gehen ja im Klartext durch die Leitung, also kein Problem. Nimm dir Wireshark zur Hand dann siehst du's.

Gruß

Aber mit IP Adressen Seiten wie bspw. Facebook zu blocken ist sehr schwer bis unmöglich.
131381
131381 19.12.2016 aktualisiert um 19:26:04 Uhr
Goto Top
Die Fritte kann nicht zaubern face-wink dort geht auch nicht alles. Auswerten lassen sich vorher ausgehende DNS-Requests und die Auflösung der Namen zur IP, das damit sich nicht unbedingt alles filtern lässt, ist klar.
tikayevent
tikayevent 19.12.2016 um 19:57:07 Uhr
Goto Top
Es gibt verschiedene Möglichkeiten, SSL-Verbindungen zu prüfen.

1. Man in the Middle => großes Sicherheitsproblem, dem Zertifikat, was für die Wiederverschlüsselung verwendet wird, muss über das Vertrauen der Browser verfügen
2. Es wird nur anhand der IP-Adresse entschieden. War früher möglich, heute gibt es aber auch die Möglichkeit, mehrere Zertifikate pro IP-Adresse laufen zu lassen
3. der Contentfilter nimmt die Verbindung auf und hält diese erstmal fest, in der Zeit wird vom Contentfilter eine eigene Verbindung aufgebaut und der Inhalt, alternativ nur das Zertifikat, wird geprüft. Wenn die Verbindung OK ist, wird die Verbindung vom Client durchgewunken.

Die Contentfilterung für Version 1 und 3 sind sehr ressourcenhungrig, ich bezweifel, dass die CPU der Fritzbox dieses verkraftet.
PiLoT
PiLoT 19.12.2016 um 21:20:22 Uhr
Goto Top
Hallo,

also ich kann an meinem Squid auch HTTPS Seiten blocken.
http_access deny CONNECT Liste_Mit_URLS - tut's bei mir.

Gruß PiLoT
108012
108012 19.12.2016 aktualisiert um 21:49:18 Uhr
Goto Top
Mit Squid/Squid Guard geht https blocking nur mit MITM.
Man in the middle braucht man nur um den gesamten HTTPS Verkehr zu untersuchen bzw. zu entschlüsseln,
hier geht es aber lediglich darum https Seiten zu blockieren und nicht mehr!

Alle https Seiten zu blockieren mit einer Whitelist wäre auch Schwachsinn..
Nein ist es nicht denn dann kann man genau sagen was genau aufgerufen wird.

Schade dass es mit einem Consumer Router leichter geht als mit einer Enterprise firewall.
??? Ich denke wenn man den Rest der Einstellungen, Funktionen, Optionen und Features anschaut sollte
jedem klar sein wer hier was kann und was nicht!

Ganz einfach weil hier ja nur die Verbindung zum Host geprüft werden muss und nicht der Inhalt.
Jo genau das ist es, der TO hat hier ein paar Sachen durcheinander gebracht so wie ich das sehe.

Tach,
wo gibt's den die 6.80?
Die gibt es zur zeit nur für die AVM FB 7580 und FB 7560!
Hier ein Artikel dazu: FritzOS 6.80
FritzOS 6.80 Neuerungen
Verbesserung - Filter für Internetseiten berücksichtigt gesperrte Domains jetzt auch bei https-Aufrufen

also ich kann an meinem Squid auch HTTPS Seiten blocken.
http_access deny CONNECT Liste_Mit_URLS - tut's bei mir.
pfSense - Blocking Websites
pfSense - SquidGuard package
pfSense - How to block https web sites
Alternativ kann man auch noch OpenDNS mit ins Spiel bringen, um den Altersgrenzen gerecht zu werden.

Gruß
Dobby
monstermania
monstermania 20.12.2016 um 12:01:31 Uhr
Goto Top

Mit Squid/Squid Guard geht https blocking nur mit MITM. Alle https Seiten zu blockieren mit einer Whitelist wäre auch Schwachsinn..

Schade dass es mit einem Consumer Router leichter geht als mit einer Enterprise firewall.

Ich kenne mich jetzt mit der pfsense nicht aus, aber da pfsense ebenfalls squid als Proxy nutzt, müsste das gehen. Meine OPNSense (Fork von pfsense) zu Hause kann jedenfalls problemlos auch https-Seiten sperren, ohne dass ich SSL-Interception machen muss.
Unsere (kommerzielle) Firmen-FW macht das auch ohne SSL-Interception (ebenfalls squid).
Brunium
Brunium 20.12.2016 um 12:40:13 Uhr
Goto Top
Die Sperrung von Webseiten über die Blacklist scheint nur zu funktionieren wenn der Client so nett ist die DNS Anfragen durch die Fritzbox filtern zu lassen. Anders ausgedrückt. Datenverkehr über Port 53, freiwillig beim Standardgateway 192.168.178.1 abgefragt wird wird nicht gefiltert.

Wenn auf dem Client ein Programm läuft welches einen anderen DNS Server ab fragt, da filtert die Fritzbox den Datenverkehr nicht da sie sich scheinbar nicht alles an sieht was über Port 53 läuft.
Brunium
Brunium 20.12.2016 um 12:46:13 Uhr
Goto Top
Auch scheint der Webseitenfilter der Blacklist nicht reguläre Ausdrücke verwenden zu können um Domains zu filtern die bestimmte Begriffe beinhalten.

Bsp.:
*.*xx*.* um Domains raus zu filtern die "xx" im Namen beinhalten.