Transparenter SSL Proxy und Zertifikate



  • Hallo,

    ich befasse mich nun mit dem transparenten Proxy und SSL man in the middle Filtering.
    Ziel ist es, einen Webfilter zu haben, der auch SSL-Geschütze Inhalte Filtern kann.
    Ich habe auf der PfSense ein Zertifikat erstellt und dieses auch in den entspr. Einstellungen im Proxy ausgewählt.
    Natürlich kommt jetzt beim Client eine Meldung, dass dem Zertifikat nicht vertraut werden kann. Das ist auch nachvollziehbar und ok.
    Jetzt möchte ich aber nicht an jedem Client dieses Zertifikat von Hand installieren. Eine Domäne ist nicht verfügbar, also kann ich dies auch nicht per GPO verteilen. Auch bin ich nicht immer vor Ort, wenn neue Clints dem Netzwerk beitreten werden.
    Nur soll das Surfen im Internet ja für die User komfortabel sein und keiner soll zuvor ein Handbuch lesen, wie er denn nun die Zertifikatswarnung weg bekommt.

    Gibt es da eine Lösung? Was für ein Zertifikat muss ich kaufen, damit das ganze Vorhaben funktioniert? Eigentlich dürfte das ja gar nicht funktionieren….
    Ich kenne bisher nur den Weg, das Zertifikat von der PfSense auf den Clients zu verteilen. Aber das kann ich hier leider nicht machen.
    Oder doch? Und wenn nicht, was ist der beste Weg?

    Danke!



  • Wenn ich das richtig im Kopf habe wird nichts anderes übrig bleiben das die Zertifikate zu verteilen weil wie du schon richtig schreibst sonst geht es nicht.

    Ab besten wäre halt eine Domäne wo man einen CA hat dem vertraut wird.
    Wenn das nicht geht muss es von Hand gemacht werden.

    Sollte ja auch nicht einfach aushebelbar sein sonst wäre das ja alles nicht so sicher wie es sein soll  ;)



  • Mhh, Danke schon mal. Das habe ich mir gedacht…

    OK für zu Hause ist das OK. Aber das ganze soll auch in einem Bereich gemacht werden, wo Laufkundschaft ist, die mit ihrem Smartphone ins WLAN können sollen.
    Bedingung des Inhabers ist aber, dass keine "bösen" Seiten aufgerufen werden können. Des weiteren soll ein Traffic-Management und eine Zugangskontrolle stattfinden. Also eine Art Voucher-System.
    Scheitert dann leider wohl an den Zertifikaten.
    Gibt es einen Ausweg? Andere Lösung, anderes Herangehen?



  • Vielleicht mit DNS Blacklisten arbeiten.
    Damit habe ich mich aber leider noch nicht wirklich beschäftigt sollte aber mit PfSense möglich sein.

    Mit dem Proxy für Laufkunden ist ja eh schwierig wegen Datenschutz und so da müssten die ja immer informiert werden das du das mitscheidest.

    Mit DNS Blacklisten können die Seite halt einfach nicht ansurfen ohne das du reinschauen musst.



  • Es gibt noch die Wpad Proxy Autokonfiguration
    Da legst du auf irgend einem Webserver (zur Not auch die Pfsense) eine ProxyPac namens Wpad.dat ab und schreibst dort rein, dass alle Internetanfragen über Proxy gehen, sowohl Http als auch Https.
    Dann trägst du noch im DNS Forwarder wpad.example.com in Richtung Webserver ein. Fertig
    Somit benötigst du kein Zertifikat.

    Leider schützt das in keinster Weise vor kriminelle Energie und nicht alle Browser bzw. Betriebssysteme nutzen die automatische Konfiguration.

    Windows Rechner in Verbindung mit IE, Chrome und Opera sind zumindest mit standard Einstellungen damit abgedeckt.
    Unter Android funktioniert es meines Wissens nicht. Zu Win Mobile und IOS kann ich nix sagen.

    Ich wollte das auch schon machen, aber das mit dem Zertifikat ist leider nicht für "Laufkundschaft" händelbar.



  • Hallo,

    also das mit dem Datenschutz ist bereits ein Thema. Es soll so sein, dass zuvor eine Erklärung unterschrieben werden soll. Dann soll das Voucher ausgehändigt werden. Somit sollte das sauber sein. Eine entspr. Anfrage soll aber noch über einen Anwalt bearbeitet werden, wenn die technische Machbarkeit gewährleistet ist. Logging werden wir wahrscheinlich so weit es geht abschalten. Wenn dies geht. Im Schadensfall müssen wir ja bestimmt aufzeigen können, wer der Verursacher war.

    Autokonfig habe ich schon verworfen, da fast ausschließlich Smartphones benutzt werden. Mit meinem Handy bin ich daran schon gescheitert. Muss ja einfach zu handeln sein.

    DNS-Blacklist kann ich mir ja mal anschauen.

    Wie wird das denn in öffentlichen WLAN´s gemacht? Kann ich von dort aus jede Pornoseite ansurfen? Oder z.B. Filme downloaden?

    Downloads könnte man dann ja über das Traffic-Management nahezu unmöglich machen.
    Musik-Streaming über Webradio muss aber z.B. weiterhin möglich sein. Ggf. mittels W-Lists? Ist aber bestimmt zumindest in der ersten Zeit ein großer Pflegeaufwand.

    Also wenn da noch jemand Tipps hat und Möglichkeiten kennt, die ich nicht kenne, dann gerne her damit. Ich bin für alles offen.

    Und echt vielen Dank!


  • LAYER 8 Moderator

    Wie wird das denn in öffentlichen WLAN´s gemacht? Kann ich von dort aus jede Pornoseite ansurfen? Oder z.B. Filme downloaden?

    Ganz dumm gesagt: meistens ja. Was die meisten öffentlichen WLANs machen ist entweder gar nicht zu filtern oder eben den Zugriff auf IP bzw. MAC Ebene zu filtern. Da die meisten public Hotspots eine vorgeschaltete Seite mit Login/Voucher/sonstwas haben, ist es recht einfach, das Gerät, welches sich identifiziert mit dessen MAC/IP Kombo und dem Voucher abzulegen. Und dann eben IP Log schreiben, mit wem die IP gesprochen hat. Ggf. sind dann auch IP Blacklists hintendran, aber das ist dann ein anderes Thema, denn eigentlich will ich mich als Anbieter ja nur absichern. Warum sollte ich dem Kunden X denn verbieten (Hotel oder Freifunk o.ä.) als Beispiel irgendwelche Pornoseiten anzusurfen. Das kann mir ja recht egal sein. Downloadseiten mögen da ein anderes Thema sein aber das ist meist eh unattraktiv, da per WLAN und bei größeren Anbietern oftmals kaum große Bandbreite zur Verfügung steht.



  • Hallo,
    mit ganzen Host Sperrlisten zu arbeiten, ist ganz einfach.

    Man kann im DNS Forwarder unter "Host Overrides" aber auch manuell einzelne Hosts eintragen und diese z. B. auf 0.0.0.0 oder 127.0.0.1 verweisen lassen.

    Für ganze Domänen geht das natürlich auch.
    Leider habe ich hier keine Möglichkeit einer Listenverwaltung gefunden.
    Man kann entweder einen manuellen Eintrag unter "Advanced" mit z. B. address=/facebook.com/0.0.0.0 hinzufügen,
    oder im Bereich "Domain Overrides" die Domäne auf eine ungültige IP verweisen lassen (0.0.0.0 geht hier nicht).

    Zu beachten ist noch folgendes:
    Damit der Client nicht irgendeinen anderen DNS Server als die pfsense verwenden kann (denn damit kann er Sperrlisten aushebeln), muss man
    noch 2 Rules festlegen.
    z. B.:
    pass: TCP/UDP  - LAN net *  - LAN address  - 53 (DNS)
    block: TCP/UDP  - LAN net *  - *  - 53 (DNS)

    Gruß
    Peter



  • Moin,

    @peterhart:

    oder im Bereich "Domain Overrides" die Domäne auf eine ungültige IP verweisen lassen (0.0.0.0 geht hier nicht).

    Ich trage dort keine IP sondern einfach "!" in das Feld IP address ein, Zitat:" … Or enter ! for lookups for this host/subdomain to NOT be forwarded anywhere….

    -teddy


Log in to reply