SSL-Interception ausgegraut

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Eikel.edv
Beiträge: 82
Registriert: Sa 03.04.2021, 10:22

SSL-Interception ausgegraut

Beitrag von Eikel.edv »

Hallo zusammen,
ich bin dabei die Schulungsinhalte nocheinmal durch zu arbeiten. Stichwort Proxy. Aktuell scheitere ich an dem Part SQL-Interception. Dort ist alles grau und lässt sich nicht aktivieren.
mfG
 O.Eikel

Figo
Beiträge: 37
Registriert: Mo 23.03.2020, 17:14

Beitrag von Figo »

Moin,

wo genau ist den "dort"?

Cheers
Have you tried turning it off and on again?
And no, shutting down and restarting is not a restart on Windows 10!

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Unter den Zertifikaten ein CA erstellt? Wenn nicht > Laden zu :)
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Eikel.edv
Beiträge: 82
Registriert: Sa 03.04.2021, 10:22

Beitrag von Eikel.edv »

Das wars. Die Reihenfolge. Danke. Nun tuts fast alles wie gewünscht. Porno und zb Heckler wird gefiltert.
Aber das I-Tüpfelchen fehlt.
Zb im Firefox kann man den Proxy einfach löschen und alle Filter sind für die Katz. Kein Passendes Profil gefunden steht auf block. Es soll dann natürlich so sein, dass surfen gar nicht mehr möglich ist.
Ganz simple erstmal nur ne Testumgebung. 1 User in der Gruppe EInkauf soll kein playboy lesen. Proxy rein. Er muss sich anmelden oder aber auch als transparenter proxy wird halt alles für alle gefiltert.
Aber irgendein Schaumeier kommt garantiert auf die Idee und löscht in den Einstellungen des FF den Proxy und schon ist alles offen.

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Transparenter Proxy? Der sollte greifen

Dort Include-Regeln erstellen. Unter gewissen Bedingungen kann man die Nutzung des Proxys auch erzwingen.

Werfen Sie doch einmal einen Blick in unsere "Akademie"

Dort gibt es Schulungen zu dem Thema.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Eikel.edv
Beiträge: 82
Registriert: Sa 03.04.2021, 10:22

Beitrag von Eikel.edv »

Deshalb hatte ich geschrieben, dass ich dabei bin die Schulungsinhalte nochmals durchzuarbeiten.
Natürlich muss die Nutzung des Proxys erzwungen werden.
Der Firefox nutzt doch eine eine Proxykonfig, der Chrome die Win10 interne, oder?
Und den Firefox finde ich nach wie vor interessanter ob der Erweiterungen (Keepass, UBlock, Cookies).
Nur da ist der Haken, dass der Proxy gelöscht werden kann und dann ist alles wieder offen. Im Handout steht im Kapitel 15 die Einrichtung an sich gut beschrieben.

"WICHTIG! Sollten die Benutzer über die Rechte verfügen, den Proxy im Browser zu
entfernen, müssen folgende Sicherungsmaßnahmen getroffen werden: Das PortfilterRegelwerk der NextGen UTM-Firewall darf keine direkten HTTP- oder HTTPS-Verbindungen
zulassen. Auch sollte der transparente Modus über einen gehärteten Regelsatz verfügen."


Wenn ich eine Regel anlege, Quelle internal network auf internet Dienst https, passiert gar nichts. Daraufhin habe ich "Kein passendes profil gefunden" auf Ablehnen gestellt. Der User ist nicht angemeldet, demnach gibt es kein Profil. Auch das hatte leider kein Auswirkungen. Die Regeln werden doch on oben nach unten abgearbeitet. Oben steht noch die Autoregel drin any. Wenn die die deaktiviere, blockiert mir die UTM selbst wikipedia. Auch mit Proxy. Auch wenn ich Sämtliche Regeln überprüfen deaktiiere, also dass er nicht irgendein Schlupfloch findet, sondern einfach von oben nach unten abarbeitet und das letzte zählt, sollte es passen.

Mit deaktiverter any regel habe ich dann zwei Regeln angelagt internal network internet proxy. Ohne Erfolg. Vor allen wenn ich any deaktiviere, muss ich doch zwei dutzend Regeln anlegen , oder? STichwort,Imap, SMTP, http, https, ftp, diverse Sondergeschichten, Drucker,, Elster, ....vlc ...Das möchte ich im zweiten Schritt machen. Wenn der Rest sicher läuft.

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Der Firefox nimmt im Normalfall eigene Proxy-Einstellungen. Aus meiner Sicht ist der nicht ideal.

Ublock und andere Addons gibt es auch fuer den neuen Edge oder Chrome. Beide genannten Kandidaten duerften im Schnitt schneller sein als Firefox und nutzen den vom Betriebssystem vorgeschriebenen Proxy. Mit Gruppenrichtlinien duerften sich zwar alle Browser biegen lassen, den Firefox habe ich jedoch eher als schwierig in Erinnerung diesbezueglich.

Auf das Interface brauchen Sie nur die Dienstgruppe "Proxy" freigeben. HTTPS waere fuer das Userinterface der Firewall oder z.B. den Reverse Proxy. Ueber den Transparenten Proxy und den festen Proxy ist dann das Surfen moeglich. Im Transparenten Proxy die Include-Regeln nicht vergessen.


Am Proxy vorbei zu kommen ueber den Browser duerfte in irgendeiner Form immer moeglich sein. Zu verbieten, entsprechend nach draußen zu kommunizieren, duerfte dieses Problem loesen. Wenn man nur den festen Proxy fuer den Internetzugriff nutzen kann ist das Thema naemlich erledigt: Entweder man benutzt den Proxy oder Ende...
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Eikel.edv
Beiträge: 82
Registriert: Sa 03.04.2021, 10:22

Beitrag von Eikel.edv »

"Zu verbieten, entsprechend nach draußen zu kommunizieren, duerfte dieses Problem loesen. Wenn man nur den festen Proxy fuer den Internetzugriff nutzen kann ist das Thema naemlich erledigt: Entweder man benutzt den Proxy oder Ende..."
Genau da hake ich, wie müssen die Regeln genau aussehen?
Es ist für mich erstmal zum Verständnis. Ob Edge oder Chrome ist letztendlich erstmal egal. Es geht mir auch zb um kleinere Unternehmen, ohne AD.
Transparenter Modus, grundlegende Dinge wie Amazon, Facebook und Porno verbieten. Fertig. Und in der Regel ist da immer ein Schlaumeier, der setzt die Firefox Einstellung auf kein Proxy und Surft lustig weiter auf Amazon und Facebook. Ich möchte halt, dass Verbindungen am Proxy vorbei alle gekappt werden. Also wie gesagt, surfen über Proxy oder gar nicht.

Im Wiki und in der Schulung steht fast genau derselbe Satz. Aber nicht wie. Deswegen war die Idee: https verbieten, Proxy erlauben. Aber das funktioniert nicht.
mfG
O. Eikel

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Sie brauchen in dem Fall keine Internet-Regel. Es reicht, wenn das Interface der Firewall ansprechbar ist mit den entsprechenden Ports (Dafuer gibt es eine vordefinierte Diensgruppe) Z.B: internal Network > Internal Interface : Proxy

Der Transparente Proxy greift dann, wenn Sie entsprechend Include Regeln erstellen. Das erstellt auch Umleitungs-Regeln im Portfilter. Sonst den festen Proxy hinterlegen und damit ueber die 8080 im Internet surfen.

Dem transparenten Proxy ist es total egal, was in den Proxy-Einstellungen des Clients steht. Es schnappt sich alles was Port 80 oder Port 443 ueber die Firewall erreichen will, wenn Sie die entsprechenden Include Regeln im Transparenten Proxy gesetzt haben. Nur das Sie die SSL-Interception zusaetzlich benoetigen, damit der Transparente Proxy auch bei Port 443 greift.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Eikel.edv
Beiträge: 82
Registriert: Sa 03.04.2021, 10:22

Beitrag von Eikel.edv »

Hm,
nun habe ich die any-Regel deaktviert, den Transparenten Modus eingeschaltet. Firefox macht das was er soll.
Chrome meckert nun alle Seiten als unsicher an...

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Haben Sie denn das CA exportiert und unter Windows als Vertrauenswuerdiges Stammzertifikat eingebunden?
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Eikel.edv
Beiträge: 82
Registriert: Sa 03.04.2021, 10:22

Beitrag von Eikel.edv »

Ah, ok....

Eikel.edv
Beiträge: 82
Registriert: Sa 03.04.2021, 10:22

Beitrag von Eikel.edv »

Guten Tag,
nun die hoffentlich letzte Frage:
Wie trage ich die Ausnahmen ein (IP der BD):
- 192.168...254
- https://192.168...254
- https://192.168...254:11115
192.168...254:11115
Nicht das ich mich dann wirklich rauskicke.

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Das haengt vom Wo und Wie ab. Hierzu am besten das Wiki Konsultieren. Regex und Proxy als Stichwort

Beim Transparenten Proxy laufen die Exclude/ Include-Regeln ueber Netzwerkobjekte
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Eikel.edv
Beiträge: 82
Registriert: Sa 03.04.2021, 10:22

Beitrag von Eikel.edv »

Im Wiki hatte ich nur den Hinweis gefunden, dass man unter Proxy-Ausnahme die UT; entragen solle, um sich selbst nicht aus zu sperren. Leider kein Wort zum Format.

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Achso, Sie meinem im Browser. Da muesste es entsprechend eine Hilfe zu geben. Das ist ja nicht direkt die Firewall.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Eikel.edv
Beiträge: 82
Registriert: Sa 03.04.2021, 10:22

Beitrag von Eikel.edv »

Jein. Einmal ist es der Browsee (Firefox), alle anderen verlassen sich auf die Systemeinstellung. Und da gibt es den Eintrag "Proxyserver nicht für Adressen verwenden, die mit folgenden EInträgen beginnen..."
Ok,Genaugenommen ist es WIndows Kram, nicht UTM.
Vielleicht hat es jemand anders schon gemacht. Weil jedesmal probieren, Fehlschlag UTM Neustart, Konfiguration neu laden, neuer Versuch ist blöd. Vor allem wenn man uU mehrere Fehler hat, könnte man sagen Ok die Ausnahme muss in dem Formal "192.168*" eingegeben werden (oder wie auch immer), ok daran liegt es nicht, dass stimmt so schon mal und weiter suchen. Ansonsten potenziert sich die Fehlersuche und der Lerneffekt wird frustrierend.

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Das Format ist beim Firewfox ein wenig anders als bei den Windows Ausnahmen mit Pech. Also besser sauber mit Netzen/ Adressen und FQDNs arbeiten.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Eikel.edv
Beiträge: 82
Registriert: Sa 03.04.2021, 10:22

Beitrag von Eikel.edv »

Was dann bedeutet??
meineFirewall.local statt 192.... ?

Den Satz Also besser sauber mit Netzen/ Adressen und FQDNs arbeiten. verstehe ich nicht. Ich habe einen Filter etabliert und möchte logischweise, dass die Fw nicht über nen Proxy aufgerufen wird.

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Ja, dann also das Netz angeben und die Domain/ den FQDN


Also: 192.168.0.0/24; firewall.huberthans.local Im Internet Explorer. Beim Firewox wird mit Komma getrennt wenn ich mich recht entsinne. Und es gibt eine leicht andere Synthax, jedoch kann der Firefox auf die Proxy-Einstellungen fuer den Internet Explorer auslesen.

Im den interneteinstellungen funktioniert auch folgendes: 192.168.0.*; *.huberthans.local

Aber wie gesagt: Testen/ Vorsicht walten lassen
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Eikel.edv
Beiträge: 82
Registriert: Sa 03.04.2021, 10:22

Beitrag von Eikel.edv »

Ok, danke. Also kein https oder :11115, sondern mit wildcards arbeiten.
Ich teste es!

Antworten