This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL/TLS inspection für SSL-VPN-Verbindungen

Hallo ihr lieben,

unsere Familie ist ein bisschen verstreut unterwegs, aber alle greifen auf Zuhause zu. Das klappt hervorragend und fast so, wie ich und wir es mir wünschen.

Ich habe eine Catch All-Regel für die SSL/TLS Inspection hinterlegt und diese einer Firewall-Regel zugeordnet, welche den internen Zugriff auf das WWW regelt. Das funktioniert prima.

Dieses würde ich gerne mit SSL-VPN Verbindungen machen, allerdings wird, wenn ich entsprechendes in der Firewallregel aktiviere, der Datenfluss sofort unterbrochen. Es wird nichts mehr über VPN übertragen. Demnach läuft der Datenverkehr aktuell ohne entsprechende Inspection.

Ich habe schon oft darüber nachgedacht, vieles ausprobiert und jetzt das Momentum genutzt und frage euch. Ist das generell möglich? Gerne liefere ich Informationen über meine Konfiguration.

Was ist eure Meinung, kann eventuell jemand helfen?

Beste Grüße und vielen Dank für eure Zeit!

Beste Grüße

Torsten

This thread was automatically locked due to age.

Parents

0 dirkkotte 5 months ago

Hallo Torsten,

macht die Sophos-Firewall das VPN? Dann bräuchtest du aber dafür keine extra Regel.

Wenn der VPN-Tunnel nur "durch" die FW geht ... einen SSL-VPN-Tunnel aufzubrechen zerstört diesen. Das wird wahrscheinlich nicht funktionieren.

Konfigurationsdetails wären natürlich hilfreich.

Dirk

Systema Gesellschaft für angewandte Datentechnik mbH // Sophos Platinum Partner
Sophos Solution Partner since 2003
If a post solves your question, click the 'Verify Answer' link at this post.
Cancel
Vote Up 0 Vote Down

Cancel

Reply

0 dirkkotte 5 months ago

Hallo Torsten,

macht die Sophos-Firewall das VPN? Dann bräuchtest du aber dafür keine extra Regel.

Wenn der VPN-Tunnel nur "durch" die FW geht ... einen SSL-VPN-Tunnel aufzubrechen zerstört diesen. Das wird wahrscheinlich nicht funktionieren.

Konfigurationsdetails wären natürlich hilfreich.

Dirk

Systema Gesellschaft für angewandte Datentechnik mbH // Sophos Platinum Partner
Sophos Solution Partner since 2003
If a post solves your question, click the 'Verify Answer' link at this post.
Cancel
Vote Up 0 Vote Down

Cancel

Children

0 Torsten Rueter 5 months ago in reply to dirkkotte

Hallo Dirk,

vielen Dank für deine Rückmeldung. Leuchtet mir ein, den Tunnel aufzubrechen ist der falsche Ansatz :-) Morgen kann ich mir etwas Zeit dafür nehmen, und werde Informationen zur Konfiguration mitgeben :-)

Grundsätzlich habe ich eine erste FW-Regel, die alle nicht unmittelbar genutzten IP nach außen sperrt, gefolgt von einer FW-Regel zum Country Blocking. Dann kommt die FW-Regel LAN-WAN in welcher ich den Webproxy sowie "Decrypt HTTPS during web proxy filtering" aktiviert habe. Dazu habe ich in den SSL/TLS Settings meine Catch All Regel.

Darauf folgt eine Regel VPN-WAN, in welcher ich den Webproxy aktiviert habe. Das läuft gut. Aktiviere ich "Decrypt HTTPS during web proxy filtering" blockiert es. Da habe ich vielleicht einen Denkfehler. Allerdings müsste das ja irgendwie doch auch funktionieren :-)

Zum VPN: Ja, die Sophos macht das. Sophos läuft virtuell auf einem Proxmox-Server mit drei dedizierten Netzwerkkarten.

Morgen kann ich wie gesagt etwas genaueres zur Konfiguration schreiben. Was könnte die explizit helfen?

Vielen Dank noch einmal & leibe Grüße

Torsten
Cancel
Vote Up 0 Vote Down

Cancel
0 Torsten Rueter 5 months ago in reply to Torsten Rueter

Hallo Dirk,

ich kann doch heute schon ein paar weitere Infos geben und hoffe, dass du damit wieterführend etwas anfangen kannst.

Die SSL-VPN Verbindung wird über de Sophos kontrolliert. Der Indernetverkehr läuft hierfür über eine FW-Regel VPN-WAN:

Source Zone: VPN

Source Networks VPN Netz

Destination Zone: WAN

Destination NEtworks: any

Merke: Decrypt HTTPS during web proxy ist deaktiviert.

Meine SSL/TLS inspection rules sind die standardmäßig aktivierte Exclusion und mein Catch-All:

Source Zones: VPN, LAN

Source Networks: Any

Destination Zone: WAN

Destination Networks: Any

Services: Any

-> aktiviere ich Decrypt HTTPS during web proxy, fangen die probleme an...

Wie beschrieben habe ich vielleicht einen Denkfehler. Ich denke halt dass SSL-Verbindungen auch dann gescannt werden können, wenn ich mich per SSL-VPN einwähle.

Ich hoffe es hilft! Lasse mich wissen, wenn du weitere Angaben benötigst! Vielen Dank noch einmal dafür, dass du dich damit beschäftigst!

Beste Grüße

Torsten
Cancel
Vote Up 0 Vote Down

Cancel
0 dirkkotte 5 months ago in reply to Torsten Rueter

Momentan sehe ich noch nicht durch. Ich muss mir das morgen in Ruhe ansehen.

Warum verwendet du den WebProxy statt DPI? Der hat nur wenige Vorteile, aber viele Nachteile.

Dein Ziel ist es, die Nutzertraffic, welche durch den Tunnel kommt und ins Internet geht zu decrypten und zu untersuchen?

PS: Ich verwende meist einen offensichtlichen Port (ungleich 443) für SSL-VPN (z.B. 1194). Dieser kann einfacher in AusnahmeRegeln verwendet werden.

Meist hilft der Log-Viewer weiter. Suche hier mal nach der externen IP des VPN-Clients und was mir den Paketen passiert.

Dirk

Systema Gesellschaft für angewandte Datentechnik mbH // Sophos Platinum Partner
Sophos Solution Partner since 2003
If a post solves your question, click the 'Verify Answer' link at this post.
Cancel
Vote Up 0 Vote Down

Cancel
0 Torsten Rueter 5 months ago in reply to dirkkotte

Hallo Dirk,

sorry, de letzten Tage waren wirklich voll gestopft mit allem möglichen...

Warum verwende ich den WebProxy? Zu den Nutzern der VPN Verbindung (und insgesamt des Netzwerkes) zählt unter anderem meine noch weit von der Volljährigkeit entferte Tochter. Da liefert der WebProxy SafeSeach und limitiert Youtube. Darin sehe ich den Vorteil, denn Sophos hat dieses für das DPI nicht entsprechend dokumentiert.

Ich hoffe das ich am Wochenende dazu komme, mir den Log-Viewer genauer anzusehen.

Beste Grüße

Torsten
Cancel
Vote Up 0 Vote Down

Cancel