Man in the Middle und redirect mode
-
Hallo an alle
ich hab eher ein kleiner Denkfehler als Problem
die Sache ist folgendesich hab Squid und Squidguard installiert und als Proxy eingestellt
im Squidguard hab ich die Shalla Blackliste rein und Webseiten zu Filtern und Man in the middle eingestellt damit auch die Sperrungen bei HTTPS Seiten funktioniertdas klappt auch alles wunderbar
auf meinem Webserver hab ich eine Webseite erstellt wo die Leute drauf verlinkt werden wenn sie auf seiten gehen wo sie nicht drauf dürfen
funktioniert aber nur bei HTTP Seitenbei HTTPS Seiten kommt ein Zertifikat Sicherheits Risiko Seite wo man dann nicht weiter geleitet werden kann
gut es würde ja auch sein Zweck erfüllen den die Leute kommen ja nicht drauf wo sie nicht sollenaber dennoch würde ich es gerne auch bei HTTPS Seiten haben das sie auf die Sperrseite kommen
um das Problem zu beheben hab ich das Zertifikat an der PfSense runtergeladen und bei den Rechnern in Verstrauenswürdige Stammzertifikate installiert
aber ohne Erfolgdann hab ich ich es in alle anderen Zertifikat Verzeichnisse Probiert und da ging es dann auch nicht
mach ich einen Fehler? hab ich was übersehen?
ich bedanke mich schonmal für alle Antworten
MfG
Timm -
bei HTTPS Seiten kommt ein Zertifikat Sicherheits Risiko Seite wo man dann nicht weiter geleitet werden kann
Sicher dass die Meldung von der pfSense kommt und nicht von dem System auf das du die Leute dann weiterleitest? Da wird ja potentiell auch irgendein self signed Zertifikat drauf sein, dass nicht wirklich "gültig" ist…
wenn ich auf https://www.google.de gehe und du mich interceptest und umleitest - je nachdem wie du das machst - leitest du ja die Anfrage auf nen anderen Server um, der dann ggf. auch per https antworten soll. Sicher, dass dessen Zertifikat nicht das Problem macht? Oder der richtig konfiguriert ist?
-
Würde mich an dieser Stelle mal einklinken… stehe nämlich ebenfalls gerade vor der Erkenntnis das in der Grundkonfiguration keine https-Seiten geblockt werden.
Wenn ich unter Squid im General-Tab "Enabling SSL filtering" einschalte und ich von der Pfsense eine selbstsignierte interne CA verwende, dann blockt er einfach jeglichen https-Verkehr und so sieht es unter Firefox aus...
 -
Ich glaube ich konnte einen Teil der Lösung finden… ich habe die CA.crt auf dem Rechner installiert und ebenfalls im Firefox importiert. Danach hat es funktioniert. Lustigerweise ist Youtube gesperrt, wie es sein soll, aber Facebook ist immer noch erreichbar. Daraufhin hatte ich unter "Target Categories" eine Blacklist neuangelegt. Inhalt war zum Beispiel... facebook.com www.facebook.com usw.
Diese habe ich dann in den Group ACLs mit deny versehen.... auf facebook komme ich aber noch drauf... ???
Edit: Ok... konnte eine etwas unsaubere Lösung finden. Scheinbar kommt Squidguard absolut nicht mit https klar. Habe die entsprechenden Domänen direkt ins das Squid-Package unter "ACLs > Blacklist" eingetragen. Somit funktioniert es vorerst. Leider ist es dann für jeden gesperrt. Aber eventuell gibt es ja noch eine Lösung für Squidguard...
-
Hallo an alle
JeGr die Seite/Seiten sind bsp. Facebook und Twitter bei denen das kommt
es sieht dann so aus wie im Bild vom haithabu84Nur sollte da die Sperrseite von mir kommen
MfG
Tim -
Hallo an alle
JeGr die Seite/Seiten sind bsp. Facebook und Twitter bei denen das kommt
es sieht dann so aus wie im Bild vom haithabu84Nur sollte da die Sperrseite von mir kommen
MfG
TimSiehe Post #3 von mir. Squidguard beherrscht das Sperren von https-Seiten leider nicht so sauber. Als Alternative kannst du die zu sperrenden Seiten direkt in Squid eintragen und du musst das CA Zertifikat auf den Clients verteilen. Am besten das Zertifikat erst in Windows installieren und dann beim Firefox unter "Einstellungen > Erweitert > Zertifikate" importieren. Dnach einen Reload und du solltest auf die Seite kommen oder eben nicht.
-
Hallo haithabu84
Das mit dem sperren der https Seiten funktioniert ja das ist auch nicht das Problem
ich will nur das wenn jemand der auf eine gesperrte https Seite geht auf die von mir erstellte Seite kommt
so wie bei den normalen http Seiten da klappt das auch
das sperren funktioniert Einwand frei
das Zertifikat hab ich in Windows per Regel am Windows Server verteilen lassen
in den Ordner Vertrauenswürdige Stamm ZertifikateAuf den Client Rechnern wird der IE11 verwendet oder vereinzelnd auf Kunden wunsch Google Chrome
MfG
Tim -
Ok. Dann habe ich dein Problem falsch verstanden. Sorry.
Für Webseiten Redirect kann ich unter "Squid Proxy Server" nichts finden. Unter "Squid Reverse Proxy" scheint es solche Funktionen allerdings zu geben.
-
Hallo und danke für die Antwort
ja das stimmt das muss ich mir mal anschauen
aber das Webseiten Redirect hab ich im Squidguard eingerichtet und funktioniert ja auch
halt nur für HTTP Seiten und nicht für HTTPS Seitenich melde mich nochmal wenn es geklappt hat oder nicht
danke nochmal
MfG
Tim
