Ausnahmen SSL Interception
Moderator: Securepoint
Ausnahmen SSL Interception
Hallo zusammen,
ich muss bestimmte Verbindungen durchlassen, ohne dass SSL-Interception aktiv wird (betriff z.B. WSUS da es hier zu Problemen bei Verwendung von SSL-Interception kommt). Wie kann ich das am elegantesten lösen?
ich muss bestimmte Verbindungen durchlassen, ohne dass SSL-Interception aktiv wird (betriff z.B. WSUS da es hier zu Problemen bei Verwendung von SSL-Interception kommt). Wie kann ich das am elegantesten lösen?
Ah, okay. Dann hab ich den Punkt Ausnahmen falsch gedeutet bzw. den Eintrag im Handbuch falsch verstanden:Erik hat geschrieben:Anwendungen -> HTTP-Proxy -> SSL-Interception ->
1) [x] Ausnahmen aktivieren
2) Unter "Ausnahmen" die entsprechenden Regexes hinzufügen
Die Verbindungen hatte ich dort auch schon hinterlegt - jedoch ohne erfolgt. Ich schaue mir das nochmal an und prüfen meine Regexes.Die Checkbox Enable exception list aktiviert die Ausnahme Liste. Diese beinhaltet Ausnahmen für nicht vertrauenswürdig eingestufte Zertifikate. Die Ausnahmen werden mit regulären Ausdrücken definiert.
Ich habs jetzt nochmal getestet, jedoch leider ohne Erfolg.
Getestet mit folgendem Regex:
Das Zertifikat wird jedoch weiterhin vom Proxy ausgestellt.
Getestet mit folgendem Regex:
Code: Alles auswählen
^[^:]*:\/\/[^\/]*\.dropbox\.com/
Der Slash hat nur dann eine spezielle Bedeutung in einem Regex, wenn er als Delimiter verwendet wird. Probieren Sie mal bitte:
Welche URL rufen Sie auf, um zu testen, von wem das Zertifikat ausgestellt wurde?
Code: Alles auswählen
^[^:]*://[^/]*\.dropbox\.com/
Gut zu wissen. Regular Expressions sind eine Sache für sich.
Zum Testen wurde https://www.dropbox.com aufgerufen.
Zertifikatsaussteller ist dann die CA der Firewall.
Zum Testen wurde https://www.dropbox.com aufgerufen.
Zertifikatsaussteller ist dann die CA der Firewall.
Ja... Denkfehler... an der Stelle, an der diese Whitelist greift, ist schon klar, dass der Protocol-Teil (der Teil vor dem "://") nur noch "https" sein kann. Deshalb wird der schon gar nicht mehr mitgeschickt.
Der korrekte Regex an DIESER Stelle ist also
Der korrekte Regex an DIESER Stelle ist also
Code: Alles auswählen
^[^/]*\.dropbox\.com
Hallo Erik!
Das hat funktioniert!
Das hat funktioniert!
Wie würde der korrekte Regex für eine IP-Adresse lauten?
für eine beliebige IP:
Für eine spezielle IP schreiben Sie einfach vor jeden Punkt einen Backslash und beginnen die Zeile mit einem Zirkumflex.
Code: Alles auswählen
^([1-9]?\d|1\d\d|2[0-4]\d|25[0-5])\.([1-9]?\d|1\d\d|2[0-4]\d|25[0-5])\.([1-9]?\d|1\d\d|2[0-4]\d|25[0-5])\.([1-9]?\d|1\d\d|2[0-4]\d|25[0-5])
Perfekt. Vielen Dank!Erik hat geschrieben:für eine beliebige IP:Für eine spezielle IP schreiben Sie einfach vor jeden Punkt einen Backslash und beginnen die Zeile mit einem Zirkumflex.Code: Alles auswählen
^([1-9]?\d|1\d\d|2[0-4]\d|25[0-5])\.([1-9]?\d|1\d\d|2[0-4]\d|25[0-5])\.([1-9]?\d|1\d\d|2[0-4]\d|25[0-5])\.([1-9]?\d|1\d\d|2[0-4]\d|25[0-5])