Frage zu Transparentem Proxy und SSL

1. offizieller Beitrag

    Hallo Community,

    schön dass ich ein deutsches Forum für die Firewall gefunden habe. Ich hoffe Ihr könnt mir eine Frage beantworten.
    Ich habe im Netzwerk den DHCP Server am laufen (der jedem Client die endian firewall als Gateway einträgt)
    Und den Proxy auf transparent mit einem WebFilter.

    Irgendwie bekomme ich es mit dem Zertifikat für https-filter nicht hin. Und obwohl ich eine Blacklist mit ** habe,
    werden alle Seiten angezeigt.

    Jetzt zu meiner Frage. Wieso muss das mit den Zertifikaten gemacht werden.
    Der Client frägt eine Seite an (z.B. facebook.com) da sollte doch das Protokoll keine rolle spielen.
    Da der Client ja keine andere Möglichkeit hat ins Internet zu kommen und die IP von facebook zu ermitteln, oder an
    andere DNS informationen zu kommen... sollte der WebFilter doch nur den Domainnamen blocken können. ODER?

    Wieso reagiert der Proxy-Web-Filter nicht nur auf Domainnamen, egal ob https oder nicht.
    (und wieso funktioniert in der Blacklist ** nicht, obwohl ich das hier schon mal gelesen habe, aber das nur so nebenbei ;))

    vielen Dank
    grüße
    Andreas

    Hi, vielen Dank. Das habe ich schon gemacht.
    Chrome sagt trotzdem, dass ich nicht auf die Seite darf. Ich kann das nicht mal umgehen.

    Aber wie gesagt, eigentlich will ich das auch gar nicht. Ich will ja den Inhalt gar nicht filtern.
    Das Zertifikat brauche ich ja nur, um den Inhalt der Seite lesen zu können um ggf. danach zu filtern.

    Ich will ganze Domains Blocken. d.h. eigentlich will ich alle Domains blocken, bis auf eine Whiteliste.
    Und da sollte es ja egal sein, ob das per HTTP/HTTPS oder sonstwas gemacht wird.

    Jetzt habe ich mich nochmal umgeschaut und den DNS Proxy gefunden.

    Der könnte ja genau das machen, was ich will. -> nach domainname filtern.
    Aber da kann ich keine liste mit PC anlegen, die das ignorieren sollen.
    d.h. facebook.com für alle PC's oder keinen.
    und eine ** Blacklist kann der auch nicht.

    Gruß

    Hallo,
    also alles sperren bist auf Whitelist.

    Das geht auch, wenn ich mich nicht irre, glaube auch von @Sabine
    Du musst im Filter glaube ich alles verbieten als Regel 1 und dann als Regel 2 deine Whitelist.

    Bin mir jedoch nicht ganz sicher, glaube das das im Transp. Modus nicht klappt.

    Wie kann man aus dem Rahmen fallen, wenn man noch nicht mal im Bilde war?
    efw 3.3.0 Community

    Hallo,

    sorry für die späte Rückmeldung.

    aber nein, es kappt leider gar nichts. Der Frustfaktor mit dieser Firewall solution ist echt hoch.
    Aber vielleicht ist das auch, weil die 3.2.2 so viel neues hat. Wer weiß schon, wie die getestet worden ist.

    Du hast recht, im transparenten Modus klappt das nicht, weil dort nur der Port 80 gefiltert wird.
    Aber das war ja auch nicht meine frage. Aber immerhin hast du geantwortet, das hat ja sonst
    keiner gemacht. Vielen dank dafür.

    Lassen wir das mit dem https etc. mal weg, funktioniert das mit dem WebFilter auch nicht wirklich.
    Habe ich nur eine Access Policy mit einem Web Filter drin, der nur eine Blacklist hat mit wildcards funktioniert das auch nicht.
    Das Problem ist hier im Forum auch schon beschrieben, und da hat auch keiner eine Lösung dafür.

    z.B. eine die Blacklist die funktioniert
    Yahoo.de
    ebay.com
    foo.bar

    Will man aber sowas wie eine wildcard:
    **

    oder
    .de
    .com
    .net

    machen, wird schon überhaupt nichts mehr gefiltert.
    Das klappt auch nicht mit "*.de" oder "\.de" oder "*.de*" etc.

    Ich habe das bei DNS Proxy auch versucht, weil das eigentlich das richtige wäre...
    aber da funktionieren gar keine wildcards in der Blacklist. Nicht mal ".de"


    Ich werde bei Gelegenheit noch die 2.5.1 versuchen, aber ich habe wenig Hoffnung.
    Und ich habe jetzt inzwischen sehr viele Firewalls und Proxys getestet, keine kann das.
    Wie gesagt, ich verstehe nicht wieso. Dabei wäre das so einfach ;)

    gruß
    Andreas

    • Offizieller Beitrag

    Moin,

    Zitat von timeceeper

    Wieso reagiert der Proxy-Web-Filter nicht nur auf Domainnamen, egal ob https oder nicht.
    Da die HTTPS Seiten ja Verschlüsselt sind kann der Proxy die wohl nicht erkennen.

    **.de geht nicht, warum auch immer.

    Alle Seiten wie "Yahoo.de, ebay.com " kannst du Filtern, wenn es http Seiten sind.
    HTTPS Seiten gehen nur wenn du den Proxy auf NICHT Transparent hast, Anleitung : HTTPS Proxy


    Hast du den Filter den du erstellet hast auch in den Zugriffsrichtlinen des Proxys eingestellt ?


    Grüße Sabine

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final

    Hallo,

    ich habe mir auch gedacht, dass ich ja wohl nicht doof sein kann.
    Also habe ich mir gestern Abend noch eine 2.5.2 Installiert.

    Da geht das mit den Filtern. Nur in der 3.2.2 nicht.

    Was mich auch gewundert hat: Die 3.2.2 hatte 2 GB RAM und war sau langsam..
    Die ganze GUI hat ewig gebraucht. Hatte immer wieder Hänger. Wechsel zwischen
    Richtlinie und Filter haen ewig geraucht.
    Die 2.5.2 hat 265 MB und ist komplett flüssig zu bedienen.

    Ich habe auch festgestellt, das die DHCP fixed-leases in der 2.5.2 10 mal schneller eingetragen sind,
    Weil die nicht so ein bekloppten MAC-Adressen-Input-Field hat.
    Trage mal fast 240 Adressen mit C&P da ein.. da wirst wahnsinnig.

    Da du auch keine 3.2.2 im Einsatz hast, vermute ich den Fehler wohl da.
    Und das ist hier komplett reproduzierbar.

    Ich habe das nun auch alles in einem Filter/Zugriffsrichtlinie gelöst. Erst wollte ich die Zugriffsrichtlinien
    einzeln haben und nacheinander, aber das funktioniert in der 2.5.2 auch nicht.

    1 Richtlinie alles Blocken
    2 Richtlinie bestimmtes freigeben
    -> es wird alles immer geblockt

    1 Richtlinie bestimmtes freigeben
    2 Richtlinie alles Blocken
    -> es wird überhaupt nicht mehr gefiltert.

    Und irgendwie ist das mit den automatischen URl-Filtern und Contentfiltern
    in der 2.5.2 auch besser gelöst als in der neunen Version.

    Wie du siehst, habe ich das Prinzip eigentlich verstanden ;)
    Vielen Dank für die Unterstützung.

    gruß
    Andreas