Reverse Proxy

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
axel@glitza.eu
Beiträge: 9
Registriert: Di 27.12.2022, 15:18

Reverse Proxy

Beitrag von axel@glitza.eu »

Ich betreibe eine UTM v12 mit aktueller Firmware und möchte die Funktion "Reverse Proxy" nutzen um, entsprechend der gerufenen URL auf unterschiedliche Webserver in meinem Netz zu verteilen.

Info:
Da eine Unternehmens-Zertifizierungsstelle, mit entsprechender Intermediate CA verwendet wird, werden diese mittels Gruppenrichtlinien verteilt.
Entsprechend sind diese Informationen auf den Maschinen vorhanden.

- Die ROOT-CA und auch die UNTERGEORDNETE-CA jeweils über mmc.exe mit Key exportiert und in die Firewall importiert.
- Im Anschluss dann ein entsprechendes SAN-Zertifikat erzeugt und ebenfalls eingebunden.
- Jetzt den Assistenten durchgeklickt und beide Server entsprechend für die Kommunikation freigeschaltet.
- Alles super bis hierhin... Komme zumindest 2 Schritte weiter...
- Jetzt bekomme ich beim Zugriff auf die Seiten den folgenden, ekeligen Fehler...

(71) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE)
Handshake with SSL server failed: error:1408F10B:SSL routines:ssl3_get_record:wrong version number

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Die Firewall mag gerne mit einer aktuellen TLS-Version quatschen. Wenn Ihr Server nur TLS1.0/ TLS1.1 oder so beherrscht, kann da schon passieren. Zumindest waere das meine erste Idee.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

axel@glitza.eu
Beiträge: 9
Registriert: Di 27.12.2022, 15:18

Beitrag von axel@glitza.eu »

Hallo, ich habe mal eine meiner beiden Domains auf der Seite https://www.ssllabs.com/ssltest/ eingetragen und die Analyse gestartet.

Demnach wird ausgewiesen, dass der Server TLS 1.3 unterstützt, allerdings ist hier wohl eher die Firewall gemeint.
Bei dem Test wurde ebenfalls ausgegeben, dass die Zertifikate nicht bekannt sind (weltweit) was ja richtig ist.

Auf den betreffenden Linux-Maschinen (Webserver-Rechner; Debian) habe ich mal den folgenden Befehl eingegeben:
openssl ciphers -v | awk '{print $2}' | sort | uniq

Der Output lautet:
SSLv3
TLSv1
TLSv1.2
TLSv1.3

Weitere Ideen?

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Haben Sie die Zertifikatsbasierte Authentifizierung aktiviert? Dort bitte testweise das CA entfernen
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

axel@glitza.eu
Beiträge: 9
Registriert: Di 27.12.2022, 15:18

Beitrag von axel@glitza.eu »

Die Methode ist leider nicht aktiviert.

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Welche TSL-Version wird denn bei Aufruf des Webservers genutzt um die Verbindung auszuhandeln?

Auf der Firewall koennte man mit curl versuchen, Kontakt aufzunehmen.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

axel@glitza.eu
Beiträge: 9
Registriert: Di 27.12.2022, 15:18

Beitrag von axel@glitza.eu »

In den Internet Properties unter Security sind die Haken für "Use TLS 1.2" und "Use TLS 1.3" gesetzt.

Nicht gesetzt hingegen bei "Use SSL 3.0", "Use TLS 1.0" und "Use TLS 1.1" .

So, wie ich das sehe, ist das System aktuell. Hilft mir nur ein international anerkanntes Intermediate Zertifikat?

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Von einem Kollegen kam der Vorschlag, temporaer eine Portweiterleitung auf das Ziel zu machen. Dann bitte ueber die Entwicklerwerkzeuge des Browsers schauen, welche TLS Version ausgehandelt wird.

Die Firewall kann ueber "Verschluesselung" auch aeltere TLS-Versionen nutzen. Ob man das moechte steht auf einem anderen Blatt.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

axel@glitza.eu
Beiträge: 9
Registriert: Di 27.12.2022, 15:18

Beitrag von axel@glitza.eu »

Hallo, ich habe die Portweiterleitung eingerichtet, welche jetzt direkt auf den Webserver zeigt.

Der Rechner, auf dem ich die Seite aufrufe, hat die eigenen Zertifizierungsstellen (Stammzertifizierungsstelle des Unternehmens + eine untergeordnete CA) eingebunden.

Die Seite wird angezeigt und das Ergebnis (Entwickler-Tools; Edge; Sicherheit) weist aus:

Die Seite ist sicher (gültiges HTTPS).
  • Zertifikat - Gültig und vertrauenswürdig.
    Für die Verbindung mit dieser Website wird ein gültiges, vertrauenswürdiges Serverzertifikat verwenden, das von XXX ausgestellt wurde
  • Verbindung (Sichere Verbindungseinstellungen)
    Die Verbindung mit dieser Website wurde mit TLS 1.3,X25519 und AES_128_GCM verschlüsselt und authentifiziert.
  • Ressourcen (Sichere Bereitstellung aller Elemente)
    Alle Ressourcen auf dieser Seite werden auf sichere Weise bereitgestellt.
Oje... Das sieht doch gar nicht so schlecht aus...

axel@glitza.eu
Beiträge: 9
Registriert: Di 27.12.2022, 15:18

Beitrag von axel@glitza.eu »

Kurze Frage: Kann es sein, dass der über den Reverse Proxy angesteuerte Webserver selbst KEINE Zertifikate besitzen sollte? Wenn ich eine Site OHNE SSL anlege und über den Reverse Proxy darauf zugreife, ist die Übertragung durch den Reverse Proxy verschlüsselt (also dieser überträgt sein Zertifikat), nicht aber der Webserver selbst?

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Der Proxy sitzt dazwischen: Nach Außen wird mit dem Zertifikat des Reverse Proxy verschluesselt, nach Intern redet der reverse Proxy je nach gewuenschten Protokoll mit dem internen Webserver, der ein eigenes Zertifikat besitzen kann.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

axel@glitza.eu
Beiträge: 9
Registriert: Di 27.12.2022, 15:18

Beitrag von axel@glitza.eu »

Sehr seltsam das Ganze. Muss ich weiter untersuchen. Danke für die Info. Der Task könnte für den Moment geschlossen werden.

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Aktuell kann es passieren, das der Reverse Proxy und der interne Webserver nicht reden moegen, wenn der interne Server nur TLS 1.0 oder TLS1.1 versteht, selbst wenn Sie das in den Verschluesselungsoptionen in der UTM anpassen. Auch wenn ich dazu sagen muss das es besser waere, den Server in dem Fall zu aktualisieren.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Antworten