Securepoint Support Forum

Hallo zusammen,

ich habe eine RC100 mit transparentem Proxy (HTTP/HTTPS) und SSL Interception eingerichtet.
Es funktioniert. Die Clients können Webseiten besuchen etc..
Einige Programme (im speziellen Fall z.B. das Cosinex Bietertool) geben beim Webzugriff eine Fehlermeldung aus.
Die grundlegenden Frage von mir wären:
- Kann ich für die Bietertool-Webseiten einen Exlude-Eintrag im transparenten Modus eintragen?
- Was passiert dann?
  Im Portfilter sind Accept-Regeln für HTTP/HTTPS-Transparent eingetragen.
- Wird bei einem Exclude im Transparenten Proxy mit den Regeln danach weitergearbeitet?
- Muss ich dann nachgelagert noch ACCEPT-Regeln für HTTP/HTTPS mit HideNat eintragen, die im Falle vom Exclude im Transparenten-Modus dann abgearbeitet werden?

Vielen Dank und viele Grüße
Thomas

Hallo,

ich gehe einmal davon aus das Sie die transparente SSL-Interception auf Webfilterbasis aktiv haben. Wenn nein wird jedes HTTPS Paket aufgebrochen was nicht unbedingt Unterstützt wird vom Betreiber. Da die SSL-Interception nichts anders als ein "man-in-the-middle" ist.

- Kann ich für die Bietertool-Webseiten einen Exclude-Eintrag im transparenten Modus eintragen?
-> Ja das geht


- Was passiert dann?
  Im Portfilter sind Accept-Regeln für HTTP/HTTPS-Transparent eingetragen.
-> Die Seite geht nicht mehr über den Proxy und wird daher von den Portfilterregeln abgearbeitet.


- Wird bei einem Exclude im Transparenten Proxy mit den Regeln danach weitergearbeitet?
-> Es wird nach einer passenden Portfilterregel gesucht.


- Muss ich dann nachgelagert noch ACCEPT-Regeln für HTTP/HTTPS mit HideNat eintragen, die im Falle vom Exclude im Transparenten-Modus dann abgearbeitet werden?
-> ja da es kein Dienst der Firewall mehr betrifft.

Sie sollten vorher aber schauen ob die Webseite nicht durch den Webfilter geblockt ist. Dazu schauen Sie einfach in das Livelog und Filter bei Applikations- und Kernelmeldungen nach der IP des Clients.

Hallo Bjoern,

vielen Dank für die Antwort.
Im Moment habe ich "Webfilter basiert" nicht aktiviert.
D.h. alles läuft über den Proxy (ausgenommen die dort gemachten Ausnahmen).

Wenn ich jetzt "Webfilter basiert" aktiviere, dann werden nur vom Webfilter blockierte Verbindungen abgefangen.

Bedeutet das dann, wenn ich im Webfilter etwas zulasse, dann läuft es nicht über den transparenten Proxy, d.h. die im Portfilter von mir erstellten Regeln für HTTPS mit Hidenat werden angewendet.

Bedeutet das im Umkehrschluss, dass wenn ich im Webfilter etwas blockiere, dann wird es gar nicht blockiert, sondern über den Proxy geschickt, gescannt und dann zugelassen?


Vielen Dank,
Thomas

Hallo,

nein es läuft weiterhin über den Proxy. Webfilterbasis liest nur den SNI Wert aus der Verbindung aus und vergleicht diesen mit dem Webfilter. Ist es erlaubt wird das Paket nicht aufgebrochen. Wird die Webseite jedoch verboten greift die SSL-Interception und blockiert die Verbindung.

Hallo Bjoern,

sorry, dass ich noch Mal nachhake.
Ich habe bei mir in der Appliance die verschiedenen Varianten mal nachgestellt.

Ist es also so, dass bei (Webfilter basiert aktiv)

- im Webfilter erlaubten Webseiten (egal, ob über SecurePoint Allow, erlaubte Kategorie, URL URL Regex oder Domaineintrag)
  diese vom transparenten HTTPS Proxy verarbeitet werden, ohne die SSL Verschlüsselung aufzubrechen.

- im Webfilter verbotenen Webseiten (egal, ob über verbotene Kategorie, URL URL Regex oder Domaineintrag)
  diese vom transparenten HTTPS Proxy folgendermaßen verarbeitet werden: Die SSL Verschlüsselung wird immer aufgebrochen und die Verbindung immer blockiert (eine entsprechende Meldung eingefügt).

D.h. ein Aufbrechen der Verschlüsselung zum Zwecke des Virenscans findet nicht mehr statt. Weder bei erlaubten Webseiten (diese werden ja nicht aufgebrochen) und auch nicht bei verbotenen Webseiten
(diese werden immer blockiert).

Habe ich das so richtig verstanden?

Vielen Dank und viele Grüße
Thomas

Hallo,

dies ist so korrekt. Wenn Sie wollen das auch https Webseiten auf Virengescannt werden sollen würde ich den festen Proxy mit normaler SSL-Interception empfehlen. Dann können Sie die Ausnahmen auf Domains setzen.

Servus!
Ich bitte um Entschuldigung, dass ich diesen Thread noch mal hervorkrame. Aber der Sinn der hier beschriebene Funktionsweise des Transparenten Proxys erschließt sich mir nicht.
Wozu soll der Proxy die Verbindung denn überhaupt aufbrechen, wenn sie vom Webfilter so oder so geblockt wird? Offenbar erkennt er ja eh schon vor dem Aufbrechen, woher die Verbindung kommt, sodass es dessen gar nicht mehr bedarf, oder? Bitte klärt mich auf, danke!

Hallo,

achten Sie bitte darauf das sich in 2,5 Jahren einiges geändert hat. Die transparente SSL-Interception ist auch ohne aufbrechen der Pakete möglich in dem Sie auf Webfilterbasis aktivieren.

Hallo Zusammen,
wir haben das gleiche Problem bei einem Kunden mit dem Bietertool.
Wurde das Problem mit aktiviertem Webfilter und Proxy gelöst?
An welcher Stelle sind die Ausnahmen einzutragen?

Wir haben unter anderem die folgende Domain im Webfilter erlaubt: *.gov.vergabe.governikus-asp.de:80/osci-manager-entry/externalentry/*

Im Proxyfilter unter Allowlist wie folgt eingetragen : ^[^:]*://gov\.vergabe\.governikus-asp\.de:80/osci-manager-entry/externalentry

und noch 2 weitere Domains.

Dennoch gehen die Anfragen nicht durch.

Im Log werden mir auch keine geblockten Domains angezeigt während der Übetragung.

Danke vorab

Das Verhalten mit den Bietertool ist ein eigenständiges Problem 
Dies wurde in der v14.0.4 gelöst. 



https://wiki.securepoint.de/UTM/Changelog

Hallo @jansc,

das heißt dann, dass ich gar nichts mehr in die Ausnahmen eintragen muss beim Bietertool? Oder ist "etwas anderes" gefixt worden?

LG

Markus

Hier kann ich nur mit "es kommt drauf an" antworten.

Für das Problem, welches wir in der v14.0.4 gefixt haben, sind keine Ausnahmen im Proxy mehr notwendig.

Für andere Problem bzw Inkompatibilitäten kann es notwendig sein, eine Ausnahme zu setzen.