HTTPS Traffic über Squid oder anders absichern?



  • Hallo,

    ich bin gerade dabei meine IPCOPs gegen pfsense zu ersetzten.
    Daher bin ich was pfsense angeht noch entwas unbedarft.

    Ich möchte gerne an meinem OPT1 Interface den Traffic Scannen bzw. Filtern.
    Momentan mache ich das per Squid mit clamav und aktivierten Google Safe Browsing.
    Funktioniert soweit auch wunderbar Transparent für den HTTP Traffic.
    Da ich am OPT1 Interface alle möglichen nicht verwalteten Geräte habe (WLAN-Radios, IOS, Android, Windowsphone, …) kann ich kein root-ca auf die Geräte verteilen. Daher ist hierfür "SSL Man In the Middle Filtering" keine Option.

    Wie würdet ihr den Traffic sichern?
    HTTP Transparent und HTTPS verbieten und per WPAD/PAC die Clients dazu animieren über den Proxy zu gehen?
    Funktioniert das mit IOS/Android und co?

    Danke für eure Hilfe
    Multi



  • …auf einem Android funktioniert es nur wenn ich die PAC-URL eingebe.
    Eigentlich sollte er diese ja auch per DHCP pushen...macht er aber nicht  >:(
    Ist also vermutlich auch keine saubere Lösung...



  • @Multimania:

    Wie würdet ihr den Traffic sichern?
    HTTP Transparent und HTTPS verbieten und per WPAD/PAC die Clients dazu animieren über den Proxy zu gehen?
    Funktioniert das mit IOS/Android und co?

    Wenn Du HTTPS blockst, wirst Du wenig Freude erzeugen.
    Inzwischen habe ich hier höchstens noch 25% HTTP-Traffic, der Rest ist HTTPS.

    Du kannst alternativ/zusätzlich mit dem pfBlockerNG unabhängig vom Protokoll IP-Adressen blocken.