Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Merkwürdiges Verhalten des HTTPS Proxy

Hey!

Folgendes Spielchen, bei dem ich noch nicht durchblicke: Es sollen auch HTTPS Anfragen über den Proxy gefiltert werden.
Im ersten Schritt hatte ich bei Web Protection -> Webfilter die Option "HTTPS-Verkehr (SSL) scannen" aktiviert.

Resultat:
Wenn der Proxy im Browser eingestellt war konnte normal gesurft werden, im Transparenten Modus war der Aufruf von HTTPS Seiten nicht möglich.

Dann ist mir eingefallen dass ich ja zwei Proxyprofile eingerichtet habe:
[LIST=1]
  • Betriebsmodus Standard mit AD SSO
  • Betriebsmodus Transparent mit Browser Authentifizierung
[/LIST]

Wenn ich nun bei 1 (Standard Modus) auch die Option "HTTPS-Verkehr (SSL) scannen" aktiviere, kommt auf einmal bei allen Clients, bei denen der Proxy eingetragen wurde, ein Zertifikatfehler wenn eine HTTPS Seite aufgerufen wird.
Warum der Zertifikatfehler kommt ist mir bekannt (Astaro Zertifikat nicht verteilt)

Aber warum konnten die Webseiten vorher (also als nur in den globalen Proxyeinstellungen die Option "HTTPS-Verkehr (SSL) scannen" aktiviert war) die HTTPS Seiten ohne Zertifikat aufgerufen werden?

Nächste Frage:
Im WLAN (also einem Netzwerk wo ich die Clients nicht konfigurieren kann) sollen auch HTTPS Seiten gescannt werden.
Wie kann ich dies OHNE Zertifikatverteilung umsetzen?

Grüße

Christian


This thread was automatically locked due to age.
  • Hi Christian,

    zu deiner ersten Frage: weil der https traffic ohne unterbrochen zu werden von dem Profil verarbeitet wird (siehe Logfile). Wenn ich richtig informiert bin, wird in dem Fall nur der URL check gegen die url db durchgeführt, aber kein av scan gemacht. (kann das bitte noch jemand bestätigen...ich bin nicht 100% sicher)

    zu deiner zweiten Frage: ohne Zertifikat funktioniert der SSL Scan nicht. In nem Gäste WLAN wirst du ja nur den transparenten Modus nutzen wollen - da gilt meines Wissens nach das gleiche wie oben.

    Gruß
    Manfred

  • Aber warum konnten die Webseiten vorher (also als nur in den globalen Proxyeinstellungen die Option "HTTPS-Verkehr (SSL) scannen" aktiviert war) die HTTPS Seiten ohne Zertifikat aufgerufen werden?


    Weil immer nur ein Profil genommen wird, die globalen Proxyeinstellungen werden dann erst gezogen, wenn vorher kein Profil "getroffen" hat. 

    Das Schaubild, dass erscheint, wenn man auf Proxy-Profile klickt, veranschaulicht die Abarbeitungsreihenfolge ganz gut.

    Dort ist auch ersichtlich, dass das globale Profil ganz am Ende der Kette steht.
  • Weil immer nur ein Profil genommen wird, die globalen Proxyeinstellungen werden dann erst gezogen, wenn vorher kein Profil "getroffen" hat.


    Soweit logisch, aber da keine Firewall Regel existiert die HTTPS zulässt, und im Profil nur HTTP aktiv war (zumindest die HTTPS Option nicht aktiv) hätte es ja überhaupt nicht funktionieren dürfen?!

    Bzw. wenn die Aussage von Manfred stimmt, wovon ich nun mal ausgehe bedeutet die Option "HTTPS-Verkehr (SSL) scannen" eigentlich nur dass dann der HTTPS Traffic auch noch auf Viren untersucht wird?
    Oder anders gesagt: Mit aktiven (transparenten) Proxy (Ohne die aktive Option "HTTPS-Verkehr (SSL) scannen") werden HTTP Seiten vollständig und HTTPS Seiten zumindest URL Filter mäßig untersucht?!

    Viele Grüße

    Christian
    PS: Zu Frage 2 kommen wir dann wieder wenn Frage 1 vollständig geklärt wurde [:)]
  • Soweit logisch, aber da keine Firewall Regel existiert die HTTPS zulässt, und im Profil nur HTTP aktiv war (zumindest die HTTPS Option nicht aktiv) hätte es ja überhaupt nicht funktionieren dürfen?!


    Der Haken steuert (im Standard Mode) nicht ob HTTPS erlaubt ist oder nicht, sondern nur ob er den Inhalt des HTTPS-Verkehrs (quasi per "Man-in-the-middle"-Attack) aufbrechen und untersuchen soll. Ist der Haken nicht gesetzt ist HTTPS zwar erlaubt, aber da er den Inhalt dann nicht sehen kann wird das ganze einfach per CONNECT weiter ins Internet geleitet. URL-Filtering wird wie Manfred richtig geschrieben hat trotzdem funktionieren, da ja die URL selbst nicht verschlüsselt ist. (Allerdings zeigt er mir bei HTTPS keine block-Seite sondern der Browser meint die Verbindung wäre "refused")


    Bzw. wenn die Aussage von Manfred stimmt, wovon ich nun mal ausgehe bedeutet die Option "HTTPS-Verkehr (SSL) scannen" eigentlich nur dass dann der HTTPS Traffic auch noch auf Viren untersucht wird?


    Ja. Viren, Mimetype-Blocking und Content-Removal.


    Oder anders gesagt: Mit aktiven (transparenten) Proxy (Ohne die aktive Option "HTTPS-Verkehr (SSL) scannen") werden HTTP Seiten vollständig und HTTPS Seiten zumindest URL Filter mäßig untersucht?!


    Hmmmmm.  Mal nachdenken. Ich glaube mit deaktiviertem "HTTPS-Verkehr (SSL) scannen" wird im Transparent Mode HTTPS nicht "interceptet" also auch garnicht überprüft. (Hier würde ich mich aber notfalls eines besseren belehren lassen)

    Viele Grüße,
    Matthias
  • Hallo alle zusammen!


    Hmmmmm.  Mal nachdenken. Ich glaube mit deaktiviertem "HTTPS-Verkehr (SSL) scannen" wird im Transparent Mode HTTPS nicht "interceptet" also auch garnicht überprüft. (Hier würde ich mich aber notfalls eines besseren belehren lassen)

    Ne, ich habe im Moment das Problem dass HTTPS Seiten dann garnicht aufgerufen werden können. Siehe weiter unten.

    Erst mal zu dem bisherigen Anliegen:
    OK, dann ist mir nun klar was mit der Option "HTTPS-Verkehr (SSL) scannen" eigentlich gemeint ist. Es ist einfach nur der Schalter um HTTPS nicht einfach nur durchzureichen, sondern auch zu untersuchen. Dann würde ich nun folgende Einstellungen vornehme:
    Default: Option "HTTPS-Verkehr (SSL) scannen" ist deaktiviert, Proxy läuft im Transparenten Modus, Authentifizierung über Browser
    Proxy Profil 1: Ersatzaktion Default, Betriebsmodus: Standard, Authentifizierung mit SSO mit aktivierter Option "HTTPS-Verkehr (SSL) scannen"
    Proxy Profil 2: Ersatzaktion Default, Betriebsmodus: Transparent, Authentifizierung über Browser 

    Alle Clients in der Domain bekommen via GPO den Proxy und zusätzlich gibt es noch eine PAC Datei. Das klappt soweit super!

    Im WLAN (also bei den nicht konfigurierbaren Clients) gibt die PAC Datei an das direkt ins Internet gegangen werden soll. Hierbei sollte nun Proxy Profil 2 zum Einsatz kommen.

    Problem (wie oben schon kurz angedeutet):
    HTTPS Seiten können aus dem WLAN Netz nicht aufgerufen werden. Es kommt die Fehlermeldung (FireFox) "Netzwerk Zeitüberschreitung".


    Nachtrag:
    Habe eben noch mal ein wenig getestet: Wenn ich vom Client (kein Proxy eingetragen) aus versuche eine HTTPS Seite aufzurufen, spricht die standard- Drop Regel der Firewall an.
    Die HTTPS Anfrage kommt also garnicht zum Proxy?! Dachte der Proxy schaltet sich im Transparenten- Modus direkt auf Port 80 und 443 auf und leitet alle Anfragen um?



    Was das denn schon wieder? Dachte das ginge?

    Grüße!

  • Nachtrag:
    Habe eben noch mal ein wenig getestet: Wenn ich vom Client (kein Proxy eingetragen) aus versuche eine HTTPS Seite aufzurufen, spricht die standard- Drop Regel der Firewall an.
    Die HTTPS Anfrage kommt also garnicht zum Proxy?! 



    Jepp, genau so. Wenn im Transparenten Modus SSL Scanning nicht aktiviert ist, fängt er den HTTPS Verkehr auch nicht ab. D.h. man muss sich per Firewall-/Nat-Regeln selbst drum kümmern dem Client HTTPS zum Internet zu erlauben.

    Viele Grüße,
    Matthias
  • Wenn im Transparenten Modus SSL Scanning nicht aktiviert ist, fängt er den HTTPS Verkehr auch nicht ab.


    Dass ist aber doch leicht verwirrend:
    [LIST=1]
    • Im Standard Modus werden auch ohne aktive SSL Scan Option HTTPS Anfragen vom Proxy bearbeitet
    • Der Transparente Modus ist doch eigentlich dafür gedacht dass man nichts an den Clients verändern muss. Wenn ich die Funktion aber aktiviere, muss ich das Proxy CA verteilen...
    [/LIST]

    Grüße

    Christian
  • Dass ist aber doch leicht verwirrend:
    [LIST=1]
    • Im Standard Modus werden auch ohne aktive SSL Scan Option HTTPS Anfragen vom Proxy bearbeitet
    • Der Transparente Modus ist doch eigentlich dafür gedacht dass man nichts an den Clients verändern muss. Wenn ich die Funktion aber aktiviere, muss ich das Proxy CA verteilen...
    [/LIST]


    Verwirrend ja, aber leider technisch nicht anders zu lösen. 

    Im Standard Modus ist es für den Proxy kein Problem HTTP und HTTPS zu bedienen. Bei HTTPS schickt der Browser eben kein GET sondern ein CONNECT zur gewünschten URL und die verschlüsselten Daten werden dann 1:1 durchgereicht. (Der Browser hilft dem Proxy sozusagen,  indem er ihm die Ziel-URL nennt bzw. ist das eher Selbstzweck, da man sonst HTTPS über einen Proxy garnicht verarbeiten könnte)

    Im Transparenten Modus kann er das aber nicht machen, da er nur verschlüsselte HTTPS Pakete auf Port 443 zu einer bestimmten IP Adresse sieht. Er weiss also nicht welche URL aufgerufen wurde. An die vom Browser angeforderte URL kommt der Browser so also nicht. Im Falle von HTTP kann sich der Proxy die Daten aus dem GET (oder POST) im klartext Paket fischen.

    Grüße,
  • OK; dann stellt sich mir nun folgende Frage:

    Im WLAN Netz kann ich, wie gesagt, keine Einstellungen an den Clients vornehmen.
    Wie kann ich dennoch gewährleisten dass die Clients im Internet surfen können, aber bestimmte Webseiten gesperrt sind.

    Beispiel:
    Proxy läuft im Transparent- Mode. Es versucht jemand http://www.facebook.de zu öffnen -> Webfilter schlägt an.
    Nun öffnet er einfach https://www.facebook.de -> Aufruf da (ehemals) Firewall Regel existiert möglich.

    Grüße!