Fragen zu Squid (Guard), Suricata & Pfblocker



  • hey,

    ich habe leider Probleme mit Squid und HTTPS Traffic via MITM. Ich bekomme bei diversen Seiten die Meldung:

    (92) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE)

    Zertifikat von der PFSense ist installiert.

    Wenn ich PFBlocker nutze benötige ich doch keinen SquidGuard mehr oder?

    Wenn ich Suricata verwende und kein MITM mit Squid mache, kann Suricata trotzdem HTTPS Traffic überwachen oder benötige ich für alle HTTPS Verbindungen immer Squid?

    Danke für die Hilfe!

    EDIT: Wie kann ich denn beim DNS Server einstellen das auch die url mit www. an die angegebene IP weitergeleitet wird?



  • Hallo,

    ich verstehe ehrlich nicht was du fragen willst.

    Also zu deinem Edit. Du machst im DNS Server zwei Einträge:

    Domäne: test.de
    .                        A      1.1.1.1
    www                  A      1.1.1.1

    Damit werden Anfragen an den DNS mit der Frage test.de und www.test.de mit der Antwort 1.1.1.1 beantwortet. Ergo wird der Browser eine Verbindung zur 1.1.1.1 aufbauen.
    Wie man das einrichtet und in welchem Format hängt stark von dem eingesetztem DNS Server ab.

    Weil du von HTTPs sprichst bitte beachte folgendes:

    • Ein Webserver muss ein Zertifikat vorzeigen was entweder beide DNS Namen enthält.
    • Sollten es unterschiedliche Seiten auf dem Webserver sein die beide auf Port 443 lauschen und unterschiedliche Zertifikate verwenden MUSS der Client (Browser) SNI unterstützen als auch der Webserver

    pfBlocker blockiert soweit ich weiß Einträge auf Basis von IPs in der Firewall (sprich es wird alle blockiert egal ob der Traffic über Squid geht oder nur durch die Firewall)
    SquidGuard hat eine Black liste für URL Adressen und arbeitet in dem SquidProzess (sprich er greift nur bei Traffic der durch den Proxy läuft)
    Suricata: Kann NICHT in den Inhalt der durch HTTPs geschützen Kommunikation reinschauen. (ist ja auch sinn von HTTPS). Wenn man in solche Kommunikation rein schauen will muss man eine "Man in the Middle" attacke auf die SSL Verbindung auf der Firewall machen oder aber den Proxy dazwischen schalten und dort den Inhalt prüfen.

    ACHTUNG:Bei "Man in the Middle" Attacken und generell dem Aufbrechen von SSL Inhalten muss man als Admin die Vorgaben des Telemediengesetze beachten. Wenn du das für dich machst kein Problem. Nutzt Jemand anderes den Anschluss muss, Freundin, Kollegen oder der gleichen wird es Haarig!

    Gruß blex



  • hey,

    vielen Dank für deinen Post :)

    wo kann ich das denn mit dem www einstellen? Ich mache das aktuell via Host Überschreibung im Resolver, sollte ich das anders machen?

    Wie mache ich denn einen MITM mit der FW ohne Squid?

    Gibt es eine andere Möglichkeit ausser Squid einen Virenscanner zu benutzen?

    Vielen Dank.



  • Hallo,

    also ein MITM kannst du mit Bordmitteln nicht machen.

    Einen Virenscanner kannst du auf jedem Endgerät installieren. Dort sind die Daten ja auch dann nicht mehr verschlüsselt. ;)

    Was du machen kannst, wäre nach einer Anleitung eine Konfiguration mit "transparent squid".

    Gruß blex


Log in to reply