This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Webfilter mit unterschiedlichem Verhalten

Hallo zusammen,

ich teste gerade den Webfilter der XG, aber habe ich ein komisches Verhalten festgestellt.

Ich verwende aktuell folgenden Filter:

Hier sollen nur spezielle URL's blockiert werden:

Rufe ich die Seite "http://www.example.com/" auf, dann werde ich auf https://xg.myhome.de:8090/ips/block/default?cat=29&pl=1&url=aHR0cDovL3d3dy5leGFtcGxlLmNvbS8~ weitergeleitet und die Anwender bekommen die erwartete Fehlerseite.

Rufe ich die Seite "https://www.example.com/" auf, dann werde ich auf "https://www.example.com/" durchgelassen und der Anwender wird nicht blockiert

Rufe ich https://www.test.de/ oder http://www.test.de/ auf, dann bekomme ich einen Zertifikatsfehler (SEC_ERROR_UNKNOWN_ISSUER) weil ein Sophos SSL CA verwendet wird.

Wie kann es sein, dass ich solch ein unterschiedliches Verhalten habe?

Viele Grüße

Marc



Added TAGs
[edited by: Erick Jan at 8:36 AM (GMT -7) on 29 May 2023]
  • Hallo Marc,

    das unterschiedliche verhalten liegt daran, dass der dieser Webfilter für HTTPS nicht aktiviert ist.

    das ist nicht leicht zu finden ... Geh mal langsam mit der maus über das Rote "block" symbol in deiner Konfiguration(es geht ein Kontext-menü für HTTP auf) und nun ganz langsam nach rechts ... da kommt das Menü für HTTPS ... Entwickler möchte ich auch mal sein ...


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Hallo Dirk,

    danke für den Hinweis. Jetzt funktioniert es einheitlich.

    Allerdings bekomme ich auf https-Seiten nun immer einen Zertifikatsfehler:

    C:\Users\marc>curl -v https://www.test.de
    * Rebuilt URL to: https://www.test.de/
    *   Trying 20.82.65.183...
    * TCP_NODELAY set
    * Connected to www.test.de (20.82.65.183) port 443 (#0)
    * schannel: SSL/TLS connection with www.test.de port 443 (step 1/3)
    * schannel: checking server certificate revocation
    * schannel: sending initial handshake data: sending 182 bytes...
    * schannel: sent initial handshake data: sent 182 bytes
    * schannel: SSL/TLS connection with www.test.de port 443 (step 2/3)
    * schannel: failed to receive handshake, need more data
    * schannel: SSL/TLS connection with www.test.de port 443 (step 2/3)
    * schannel: encrypted data got 102
    * schannel: encrypted data buffer: offset 102 length 4096
    * schannel: SSL/TLS connection with www.test.de port 443 (step 2/3)
    * schannel: encrypted data got 1859
    * schannel: encrypted data buffer: offset 1859 length 4096
    * schannel: next InitializeSecurityContext failed: SEC_E_UNTRUSTED_ROOT (0x80090325) - Die Zertifikatkette wurde von einer nicht vertrauenswürdigen Zertifizierungsstelle ausgestellt.
    * Closing connection 0
    * schannel: shutting down SSL/TLS connection with www.test.de port 443
    * schannel: clear security context handle
    curl: (77) schannel: next InitializeSecurityContext failed: SEC_E_UNTRUSTED_ROOT (0x80090325) - Die Zertifikatkette wurde von einer nicht vertrauenswürdigen Zertifizierungsstelle ausgestellt.

    Die XG hat aber ein Let's Encrypt installiert, nutzt aber scheinbar manchmal das Sophos Zertifikat.

    Gibt es hierfür eine Lösung?

    Viele Grüße
    Marc

  • Siehe: https://support.sophos.com/support/s/article/KB-000038420?language=en_US 

    Grundsätzlich benötigst du ein privates CA, auf allen Clients installiert. 

    __________________________________________________________________________________________________________________

  • Okay, ich habe nun den Unterschied zwischen XG- und Proxy-Zertifikat verstanden.

    Für das eigene Netzwerk kann man ja relativ einfach die Zertifikate verteilen, aber was ist allgemein üblich für Gäste? Hier kann ich natürlich keinerlei Zertifikate verteilen und die Gäste würde zwangsläufig Fehler bekommen.

  • Generell kann und sollten Unbekannte Clients nicht "untersucht" werden. Das ist aus technischer sowie rechtlicher Sicht nicht möglich und sollte daher unterlassen werden.

    Wenn du TLS aufbrichst, hast du vollen Einblick in alles. Und für Clients, auf die du keinen Zugriff hast, bist du nicht autorisiert, dass zu machen. 

    Ansonsten würden alle Hotspots dieser Welt genau das machen und TLS hätte "keinen Zweck mehr". 

    __________________________________________________________________________________________________________________

  • Das verstehe ich natürlich, aber wie kann ich dann beispielsweise verhindern, dass bestimmte Kategorien auch für Gäste blockiert werden?

  • Gar nicht. Besonders nun mit dem Beginn von solchen Features wie "Private Relay" von Apple, wird das nicht mehr möglich sein.https://developer.apple.com/de/support/prepare-your-network-for-icloud-private-relay/#:~:text=iCloud%20Private%20Relay%20ist%20ein,verbinden%20und%20darin%20zu%20surfen.

    Das Thema ist grundsätzlich schwierig zu adressieren. Du kannst es nicht aufbrechen, bist aber verpflichtet, nachweisen zu können, wer was getan hat. Effektiv kannst du es aber nicht für Gäste. 

    Wir können in diesem Rahmen keine rechtlichen Rahmenbedingungen besprechen, daher bei Fragen kannst du gerne einen IT-Anwalt kontaktieren. 

    __________________________________________________________________________________________________________________