Hallo zusammen,
ich habe eine RC100 mit transparentem Proxy (HTTP/HTTPS) und SSL Interception eingerichtet.
Es funktioniert. Die Clients können Webseiten besuchen etc..
Einige Programme (im speziellen Fall z.B. das Cosinex Bietertool) geben beim Webzugriff eine Fehlermeldung aus.
Die grundlegenden Frage von mir wären:
- Kann ich für die Bietertool-Webseiten einen Exlude-Eintrag im transparenten Modus eintragen?
- Was passiert dann?
Im Portfilter sind Accept-Regeln für HTTP/HTTPS-Transparent eingetragen.
- Wird bei einem Exclude im Transparenten Proxy mit den Regeln danach weitergearbeitet?
- Muss ich dann nachgelagert noch ACCEPT-Regeln für HTTP/HTTPS mit HideNat eintragen, die im Falle vom Exclude im Transparenten-Modus dann abgearbeitet werden?
Vielen Dank und viele Grüße
Thomas
Transparenter Proxy und
Moderator: Securepoint
Hallo,
ich gehe einmal davon aus das Sie die transparente SSL-Interception auf Webfilterbasis aktiv haben. Wenn nein wird jedes HTTPS Paket aufgebrochen was nicht unbedingt Unterstützt wird vom Betreiber. Da die SSL-Interception nichts anders als ein "man-in-the-middle" ist.
- Kann ich für die Bietertool-Webseiten einen Exclude-Eintrag im transparenten Modus eintragen?
-> Ja das geht
- Was passiert dann?
Im Portfilter sind Accept-Regeln für HTTP/HTTPS-Transparent eingetragen.
-> Die Seite geht nicht mehr über den Proxy und wird daher von den Portfilterregeln abgearbeitet.
- Wird bei einem Exclude im Transparenten Proxy mit den Regeln danach weitergearbeitet?
-> Es wird nach einer passenden Portfilterregel gesucht.
- Muss ich dann nachgelagert noch ACCEPT-Regeln für HTTP/HTTPS mit HideNat eintragen, die im Falle vom Exclude im Transparenten-Modus dann abgearbeitet werden?
-> ja da es kein Dienst der Firewall mehr betrifft.
Sie sollten vorher aber schauen ob die Webseite nicht durch den Webfilter geblockt ist. Dazu schauen Sie einfach in das Livelog und Filter bei Applikations- und Kernelmeldungen nach der IP des Clients.
ich gehe einmal davon aus das Sie die transparente SSL-Interception auf Webfilterbasis aktiv haben. Wenn nein wird jedes HTTPS Paket aufgebrochen was nicht unbedingt Unterstützt wird vom Betreiber. Da die SSL-Interception nichts anders als ein "man-in-the-middle" ist.
- Kann ich für die Bietertool-Webseiten einen Exclude-Eintrag im transparenten Modus eintragen?
-> Ja das geht
- Was passiert dann?
Im Portfilter sind Accept-Regeln für HTTP/HTTPS-Transparent eingetragen.
-> Die Seite geht nicht mehr über den Proxy und wird daher von den Portfilterregeln abgearbeitet.
- Wird bei einem Exclude im Transparenten Proxy mit den Regeln danach weitergearbeitet?
-> Es wird nach einer passenden Portfilterregel gesucht.
- Muss ich dann nachgelagert noch ACCEPT-Regeln für HTTP/HTTPS mit HideNat eintragen, die im Falle vom Exclude im Transparenten-Modus dann abgearbeitet werden?
-> ja da es kein Dienst der Firewall mehr betrifft.
Sie sollten vorher aber schauen ob die Webseite nicht durch den Webfilter geblockt ist. Dazu schauen Sie einfach in das Livelog und Filter bei Applikations- und Kernelmeldungen nach der IP des Clients.
Hallo Bjoern,
vielen Dank für die Antwort.
Im Moment habe ich "Webfilter basiert" nicht aktiviert.
D.h. alles läuft über den Proxy (ausgenommen die dort gemachten Ausnahmen).
Wenn ich jetzt "Webfilter basiert" aktiviere, dann werden nur vom Webfilter blockierte Verbindungen abgefangen.
Bedeutet das dann, wenn ich im Webfilter etwas zulasse, dann läuft es nicht über den transparenten Proxy, d.h. die im Portfilter von mir erstellten Regeln für HTTPS mit Hidenat werden angewendet.
Bedeutet das im Umkehrschluss, dass wenn ich im Webfilter etwas blockiere, dann wird es gar nicht blockiert, sondern über den Proxy geschickt, gescannt und dann zugelassen?
Vielen Dank,
Thomas
vielen Dank für die Antwort.
Im Moment habe ich "Webfilter basiert" nicht aktiviert.
D.h. alles läuft über den Proxy (ausgenommen die dort gemachten Ausnahmen).
Wenn ich jetzt "Webfilter basiert" aktiviere, dann werden nur vom Webfilter blockierte Verbindungen abgefangen.
Bedeutet das dann, wenn ich im Webfilter etwas zulasse, dann läuft es nicht über den transparenten Proxy, d.h. die im Portfilter von mir erstellten Regeln für HTTPS mit Hidenat werden angewendet.
Bedeutet das im Umkehrschluss, dass wenn ich im Webfilter etwas blockiere, dann wird es gar nicht blockiert, sondern über den Proxy geschickt, gescannt und dann zugelassen?
Vielen Dank,
Thomas
Hallo,
nein es läuft weiterhin über den Proxy. Webfilterbasis liest nur den SNI Wert aus der Verbindung aus und vergleicht diesen mit dem Webfilter. Ist es erlaubt wird das Paket nicht aufgebrochen. Wird die Webseite jedoch verboten greift die SSL-Interception und blockiert die Verbindung.
nein es läuft weiterhin über den Proxy. Webfilterbasis liest nur den SNI Wert aus der Verbindung aus und vergleicht diesen mit dem Webfilter. Ist es erlaubt wird das Paket nicht aufgebrochen. Wird die Webseite jedoch verboten greift die SSL-Interception und blockiert die Verbindung.
Hallo Bjoern,
sorry, dass ich noch Mal nachhake.
Ich habe bei mir in der Appliance die verschiedenen Varianten mal nachgestellt.
Ist es also so, dass bei (Webfilter basiert aktiv)
- im Webfilter erlaubten Webseiten (egal, ob über SecurePoint Allow, erlaubte Kategorie, URL URL Regex oder Domaineintrag)
diese vom transparenten HTTPS Proxy verarbeitet werden, ohne die SSL Verschlüsselung aufzubrechen.
- im Webfilter verbotenen Webseiten (egal, ob über verbotene Kategorie, URL URL Regex oder Domaineintrag)
diese vom transparenten HTTPS Proxy folgendermaßen verarbeitet werden: Die SSL Verschlüsselung wird immer aufgebrochen und die Verbindung immer blockiert (eine entsprechende Meldung eingefügt).
D.h. ein Aufbrechen der Verschlüsselung zum Zwecke des Virenscans findet nicht mehr statt. Weder bei erlaubten Webseiten (diese werden ja nicht aufgebrochen) und auch nicht bei verbotenen Webseiten
(diese werden immer blockiert).
Habe ich das so richtig verstanden?
Vielen Dank und viele Grüße
Thomas
sorry, dass ich noch Mal nachhake.
Ich habe bei mir in der Appliance die verschiedenen Varianten mal nachgestellt.
Ist es also so, dass bei (Webfilter basiert aktiv)
- im Webfilter erlaubten Webseiten (egal, ob über SecurePoint Allow, erlaubte Kategorie, URL URL Regex oder Domaineintrag)
diese vom transparenten HTTPS Proxy verarbeitet werden, ohne die SSL Verschlüsselung aufzubrechen.
- im Webfilter verbotenen Webseiten (egal, ob über verbotene Kategorie, URL URL Regex oder Domaineintrag)
diese vom transparenten HTTPS Proxy folgendermaßen verarbeitet werden: Die SSL Verschlüsselung wird immer aufgebrochen und die Verbindung immer blockiert (eine entsprechende Meldung eingefügt).
D.h. ein Aufbrechen der Verschlüsselung zum Zwecke des Virenscans findet nicht mehr statt. Weder bei erlaubten Webseiten (diese werden ja nicht aufgebrochen) und auch nicht bei verbotenen Webseiten
(diese werden immer blockiert).
Habe ich das so richtig verstanden?
Vielen Dank und viele Grüße
Thomas