Verstehe ich nicht, hatte die UTM auf unterschiedlichster Hardware und virtuell laufen, aber die GUI war und ist immer sehr flott.
[Sammelthread] Sophos UTM-Sammelthread
- Ersteller XTaZY
- Erstellt am
Verstehe ich nicht, hatte die UTM auf unterschiedlichster Hardware und virtuell laufen, aber die GUI war und ist immer sehr flott.
ich mag die pfsense/opnsense auch, aber ich finde dort ist der Admin Aufwand höher, liegt aber vllt. auch dran das man die UTM so gewohnt ist. Vieles ist halt vorgegeben was man bei der pfsense manuell einrichten muss. Man muss wissen was man tut, bei der pfense noch mehr als bei der UTM. Die Kurve bei der UTM ist zwar auch nicht ohne, aber doch recht zugänglich imho.
teqqy
Enthusiast
Die UTM gibt einen guten Einsteig in Firewalls finde ich. Man muss dort schon wissen was man tut, aber eben ganz anschaulich aufbereitet.
sleeplessnight2
Neuling
- Mitglied seit
- 13.04.2016
- Beiträge
- 53
Die UTM (free) weißt einige grundlegende fehlende Funktionen auf, zudem ein Monitoring abenteuerlich ist, bis hin zu einfach mal "gibt's nicht"...
Wenn die bezahlte Version nichts mehr bietet, außer das ausgegraute in der free, frage ich mich, wie man für so etwas gescheites Geld ausgeben kann...
Wenn die bezahlte Version nichts mehr bietet, außer das ausgegraute in der free, frage ich mich, wie man für so etwas gescheites Geld ausgeben kann...
teqqy
Enthusiast
Die Features unterscheiden sich da nicht groß. Was fehlt dir denn? Grundsätzlich krieg man einiges via SNMP raus und fast alles via Email.
Allerdings sind alle Sophos Produkte im Bereich Monitoring alle etwas unschön.
Allerdings sind alle Sophos Produkte im Bereich Monitoring alle etwas unschön.
sleeplessnight2
Neuling
- Mitglied seit
- 13.04.2016
- Beiträge
- 53
z.B nen portscan als Angriff anzusehen, nicht lediglich zu droppen... oder in die lease-table manuell einzugreifen, oder states der FW zu löschen...
Alles Feinheiten, die die pfsense mitbringt.
Alles Feinheiten, die die pfsense mitbringt.
hat von euch jemand Zertifikate von Lets encrypt in der UTM eingebunden?
Wenn ja auch zufällig die Web-Protection am Laufen?
Bei mir hängt es schon am normalen https Surfen von allen anderen Anwendungen wie AV-Update geschweige denn Steam/U-Play mal abgesehen.
Als ich noch ein StartSSL Zertifikat verwendet habe lief das alles mehr oder weniger.
Wenn ja auch zufällig die Web-Protection am Laufen?
Bei mir hängt es schon am normalen https Surfen von allen anderen Anwendungen wie AV-Update geschweige denn Steam/U-Play mal abgesehen.
Als ich noch ein StartSSL Zertifikat verwendet habe lief das alles mehr oder weniger.
Rocker
Enthusiast
opticum hat vor kuzem zu dem thema letsencrypt was gefunden, evtl kommt die Anleitung noch auf seinem Blog!
Du findest dort zumindest schon mal die manuelle möglichkeit so ein Zertifikat einzubinden.
Busche.org | Technikzeugs…
Gruß Rocker
Du findest dort zumindest schon mal die manuelle möglichkeit so ein Zertifikat einzubinden.
Busche.org | Technikzeugs…
Gruß Rocker
Danke Rocker für die Info.
Das hat mir beim Einrichten geholfen um das Zertifikat zu bekommen.
Der Webfilter läuft jetzt. Musst nur die CA in den Browser einbauen.
Jedoch ist es ein heiden Aufwand die ganzen Ausnahmen zu definieren.
Uplay läuft jetzt nach ein paar Anpassungen. Aber GData bekomme ich nicht ums verrecken zum Laufen.
Das ist die Zeile vom Log
Und so sieht die Ausnahme-Regel aus
^https?://[A-Za-z0-9.-]+\.gdatasecurity\.de/query
Hatte auch bereits von den vorhandenen Vorlagen den Input genommen und auf GData angepasst.
Hat aber auch nichts geholfen.
Mein Android Handy muss ich komplett als Ausnahme definieren, sonst ist das nicht benutzbar.
Das hat mir beim Einrichten geholfen um das Zertifikat zu bekommen.
Der Webfilter läuft jetzt. Musst nur die CA in den Browser einbauen.
Jedoch ist es ein heiden Aufwand die ganzen Ausnahmen zu definieren.
Uplay läuft jetzt nach ein paar Anpassungen. Aber GData bekomme ich nicht ums verrecken zum Laufen.
Das ist die Zeile vom Log
2016:10:02-15:44:59 utm httpproxy[1532]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="POST" srcip="192.168.2.20" dstip="85.25.235.156" user="" group="" ad_domain="" statuscode="200" cached="0" profile="REF_HttProContaInterNetwo (internal_LAN)" filteraction="REF_HttCffInternalel (internal_LAN)" size="37" request="0x101c3600" url="http://dlarray-europ-urlcl-pool-2.gdatasecurity.de/query" referer="" error="" authtime="0" dnstime="82" cattime="54" avscantime="1732" fullreqtime="63079" device="0" auth="0" ua="G DATA Agent/1.0" exceptions="" category="175" reputation="trusted" categoryname="Software/Hardware" sandbox="-" content-type="application/octet-stream"
Und so sieht die Ausnahme-Regel aus
^https?://[A-Za-z0-9.-]+\.gdatasecurity\.de/query
Hatte auch bereits von den vorhandenen Vorlagen den Input genommen und auf GData angepasst.
Hat aber auch nichts geholfen.
Mein Android Handy muss ich komplett als Ausnahme definieren, sonst ist das nicht benutzbar.
Rocker
Enthusiast
für was verwendest du die gdata noch, nutze halt den antivirus client den die utm mitbringt.
Gruß Rocker
Gruß Rocker
aus der sophos community hat jemand ein Script gebastelt das per Cronjob das LE Zertifikat erneuert. Ich hab es mal testweise eingerichtet, aber bevor ich das im Blog bewerbe will ich erstmal sehen das es ordentlich läuft 
Der Link ist aber hier zu finden: https://github.com/rklomp/sophos-utm-letsencrypt
Testen auf eigene Gefahr! Man werkelt schon ganz gut im System rum...
Der Link ist aber hier zu finden: https://github.com/rklomp/sophos-utm-letsencrypt
Testen auf eigene Gefahr! Man werkelt schon ganz gut im System rum...
Rocker
Enthusiast
@ Opticum!Gruß Rocker
- Mitglied seit
- 27.03.2007
- Beiträge
- 1.104
@bacon:
Für GDATA kannst du folgende Ausnahmen importieren:
^https?://([A-Za-z0-9.-]*\.)?gdatasecurity\.com/
^https?://([A-Za-z0-9.-]*\.)?dedicated\.hosteurope\.de/
^https?://([A-Za-z0-9.-]*\.)?gdata\.de/
^https?://([A-Za-z0-9.-]*\.)?gdatasecurity\.de/
^https?://([A-Za-z0-9.-]*\.)?lumension\.com/
Da GDATA das Patchmanagement eingekauft hat, liegen die Updates teilweise auf hosteruope und lumension.
Je nach Version wird auch die .de oder .com Domain verwendet.
Für GDATA kannst du folgende Ausnahmen importieren:
^https?://([A-Za-z0-9.-]*\.)?gdatasecurity\.com/
^https?://([A-Za-z0-9.-]*\.)?dedicated\.hosteurope\.de/
^https?://([A-Za-z0-9.-]*\.)?gdata\.de/
^https?://([A-Za-z0-9.-]*\.)?gdatasecurity\.de/
^https?://([A-Za-z0-9.-]*\.)?lumension\.com/
Da GDATA das Patchmanagement eingekauft hat, liegen die Updates teilweise auf hosteruope und lumension.
Je nach Version wird auch die .de oder .com Domain verwendet.
Bist du dir sicher, dass es diese Zeile ist??
Denn der Statuscode 200 besagt im Grunde doch eher, dass der Access geht. Noch dazu, es ist ein http Access. Also abseits des SSL Scannings/URL Scannings.
Allerdings, und das ist eins der größten Probleme bei der Proxygeschichte, nicht alle Tools und Anwendungen sind in der Lage, A) Credentials mitzuschicken (wie in deinem Fall auch zu sehen -> User/Group ist leer... Und B) verstehen sich nicht alle Anwendungen auf self signed Zertifikaten bzw. auf Zertifikate von CAs, denen das Tools (abseits des OS) nicht vertraut...
-> an der Logzeile erkenne ich zumindest nix, was ein Problem auslöst... Du müsstest also mal nach weiteren Logzeilen suchen bzw. mal am Client mit nem Wireshark Trace oder ähnlichem Prüfen, was überhaupt für Kommunikation stattfindet... Möglicherweise fragt gdata den Proxy überhaupt nicht an. Dann kommt natürlich bei der UTM nix an und wenn es keinen direkten Weg raus gibt, gibts auch keinen Traffic
Interessant wäre noch zu wissen, wie du den Proxy vom Client aus ansprechen willst? Nativ in den Browser Settings mit Host und Port? Proxy Pacfile? Oder hängt der Proxy gar als Transparent Proxy irgendwo zwischen Client und "public" Netzen dazwischen?
aus der sophos community hat jemand ein Script gebastelt das per Cronjob das LE Zertifikat erneuert. Ich hab es mal testweise eingerichtet, aber bevor ich das im Blog bewerbe will ich erstmal sehen das es ordentlich läuft
Also ich persönlich finde den Ansatz, der dort gefahren wird, völlig falsch. Bzw. besser gesagt, es ist falschrum. Warum? Die UTM sollte eigentlich in einer Art DMZ oder ähnlichem stehen. So dass es eben überhaupt sinnig ist, anstatt mit NAT/Portforwardings von außen direkt zum Webserver eben über die UTM zu gehen. Das Script macht (dem Ansatz von LE folgend) aber diese Trennung zunichte, denn es scheint entweder auf SSH/SCP oder FTP Basis eine Verbindung zum Webserver aufzubauen. Das gehört sich doch in dem Fall eigentlich nicht... Der zu "schützende" Webserver sollte nicht aus der DMZ heraus administrierbar sein.
Eigentlich müsste man den Ansatz genau andersrum fahren -> es gibt ein Stück MGMT Netzwerk, welches via SSH auf die UTM zugreifen kann (und von mir aus auch wohin die Webserver-Freigabe für das Cert-Renew hinzeigt). Über diese SSH Session wird von einem Host ausgehend der Renew Prozess angestoßen. Das cert wird via SCP oder ähnlichem auf die UTM geschoben -> kein Get! das wäre wieder mit öffnen von Ports verbunden und dann wird ein Script getriggert oder ähnliches. Möglicherweise kommt man sogar einfacher, wenn ein Cronjob auf der UTM nach einem File auf der UTM sucht bzw. nach einem bestimmten Inhalt und dann, wenn der Host im MGMT Netz den Inhalt/das File dort hin übertragen hat, fürt die UTM den Change der Certs aus.
Wobei mir ehrlich gesagt der vollständig gescriptete SSH Zugriff sogar noch besser zusagen würde
Zuletzt bearbeitet:
Ja da habe ich mich auch leicht gewundert, auch wenn ich diesen Eintrag übersehen habe, dass der Traffic wohl durchgeht.
Ich habe den Web-Proxy als transparent dazwischen.
In der Online Hilfe steht drin, dass wenn man ihn als transparent betreibt, man wohl mit IP Adressen arbeiten muss.
Aber wohl aus gutem Grund habe ich damals den Webfilter wieder deaktiviert. Nachdem ich jetzt auf LE-Certs umgestiegen bin
ist mir das mal wieder in den Sinn gekommen. Die Ausnahmeregeln waren wohl noch vom letzten Versuch, die müssen wohl auch mal funktioniert haben.
Ich lasse jetzt mal den Proxy ohne SSL laufen, was aber ansich für mich nur ne halbe Sache ist.
So wie ich das sehe, ist der Aufwand für mich nicht gerechtfertigt, in meinem Umfeld für jedes SW hier die Ausnahmen zu definieren.
Ich bin semi-haben-will Anwender.
So würde ich zb auch gerne das WLAN darüber laufen lassen. Dafür habe ich mir auf anraten den TP Link Archer C7 gekauft und mit openwrt bespielt.
Aber mehr kam nie rum. Das VLAN will mir in Kombination mit Proxmox nicht in den Kopf.
Ansonsten würde ich mir auch HW-seitig komplett vom ISP-Router abtrennen.
Ich habe den Web-Proxy als transparent dazwischen.
In der Online Hilfe steht drin, dass wenn man ihn als transparent betreibt, man wohl mit IP Adressen arbeiten muss.
Aber wohl aus gutem Grund habe ich damals den Webfilter wieder deaktiviert. Nachdem ich jetzt auf LE-Certs umgestiegen bin
ist mir das mal wieder in den Sinn gekommen. Die Ausnahmeregeln waren wohl noch vom letzten Versuch, die müssen wohl auch mal funktioniert haben.
Ich lasse jetzt mal den Proxy ohne SSL laufen, was aber ansich für mich nur ne halbe Sache ist.
So wie ich das sehe, ist der Aufwand für mich nicht gerechtfertigt, in meinem Umfeld für jedes SW hier die Ausnahmen zu definieren.
Ich bin semi-haben-will Anwender.
So würde ich zb auch gerne das WLAN darüber laufen lassen. Dafür habe ich mir auf anraten den TP Link Archer C7 gekauft und mit openwrt bespielt.
Aber mehr kam nie rum. Das VLAN will mir in Kombination mit Proxmox nicht in den Kopf.
Ansonsten würde ich mir auch HW-seitig komplett vom ISP-Router abtrennen.
SSL Scanning zu nutzen ist IMMER ein Aufwand. Egal wie rum man das dreht... Der Grund liegt einfach darin, dass eben ein Gerät sich in die Verbindung einklingt (gewollterweise), die eigentlich nicht aufzubrechen ist... Du wirst also immer mit Problemen zu kämpfen haben, wenn du die Verbindungen "MITM" like aufbrichst.
Was die Ausnahmen angeht, ich denke allerdings (aus eigener Erfahrung herraus), dass ein gewisses Regelwerk, was man sich über die Zeit aufbaut, nach ein paar Wochen der Implementierung/Definition ein solider Basisstamm ist und bleibt. So extrem häufig kommt es ja dann nicht vor... Und so extrem viele Seiten nutzen auch kein SSL/HTTPS und man hätte damit Probleme. Zumindest meiner Erfahrung nach...
Im Zuge von LE und dem Trend, dass INet auf SSL "zumzustellen", kann das natürlich anders ausfallen... Aber im großen und ganzen, ich wüsste ehrlich gesagt nicht, wann ich das letzte mal bei mir am Proxy wirklich gezwungen war, da Ausnahmen zu definieren... Der Aufwand war initial recht hoch, mittlerweile flüppt das aber.
Was die Ausnahmen angeht, ich denke allerdings (aus eigener Erfahrung herraus), dass ein gewisses Regelwerk, was man sich über die Zeit aufbaut, nach ein paar Wochen der Implementierung/Definition ein solider Basisstamm ist und bleibt. So extrem häufig kommt es ja dann nicht vor... Und so extrem viele Seiten nutzen auch kein SSL/HTTPS und man hätte damit Probleme. Zumindest meiner Erfahrung nach...
Im Zuge von LE und dem Trend, dass INet auf SSL "zumzustellen", kann das natürlich anders ausfallen... Aber im großen und ganzen, ich wüsste ehrlich gesagt nicht, wann ich das letzte mal bei mir am Proxy wirklich gezwungen war, da Ausnahmen zu definieren... Der Aufwand war initial recht hoch, mittlerweile flüppt das aber.
Was ich jetzt nur nicht verstehe:
Was unterscheidet eine Anwendung FireFox beim SSL-Surfen zu einer Anwendung GData/UPlay/Steam .... die ihre Daten auch per SSL in der Welt herumschicken?
Denn je nach Installationsaufwand am PC sind das dann wohl etliche Ausnahmen die man da anlegen muss.
Für mich als Laien gesehen, sind das doch alles nur Packet die da unterwegs sind.
Was ich mir jetzt vorstellen könnte, wäre das die Header-Info der Packet sich soweit unterscheiden, dass der Proxy zwischen surfen und "file-transfer" unterscheiden kann.
Denn im Log habe ich mal was von Header error gelesen.
Was unterscheidet eine Anwendung FireFox beim SSL-Surfen zu einer Anwendung GData/UPlay/Steam .... die ihre Daten auch per SSL in der Welt herumschicken?
Denn je nach Installationsaufwand am PC sind das dann wohl etliche Ausnahmen die man da anlegen muss.
Für mich als Laien gesehen, sind das doch alles nur Packet die da unterwegs sind.
Was ich mir jetzt vorstellen könnte, wäre das die Header-Info der Packet sich soweit unterscheiden, dass der Proxy zwischen surfen und "file-transfer" unterscheiden kann.
Denn im Log habe ich mal was von Header error gelesen.
Naja, wenn Du die SSL-Verschlüsselung per UTM-Proxy aufbrichst ("Man in the middle") und die Anwendung somit nicht mehr das SSL-Zertifikat des ursprünglichen Servers, sondern der UTM präsentiert bekommt, muss die damit auch umgehen können bzw. diesem Zertifikat vertrauen.
Firefox kannst Du beibringen, dass Du dem SSL-Zertifikat, was im Web-Proxy der UTM installiert ist, vertraut. Bei den anderen Anwendungen kann es sein, dass die starr sagen "wenn das SSL-Zertifikat nicht passt, ist das eine Man-in-the-middle-Attacke und sich nicht mehr mit dem ursprünglichen Server verbinden.
Firefox kannst Du beibringen, dass Du dem SSL-Zertifikat, was im Web-Proxy der UTM installiert ist, vertraut. Bei den anderen Anwendungen kann es sein, dass die starr sagen "wenn das SSL-Zertifikat nicht passt, ist das eine Man-in-the-middle-Attacke und sich nicht mehr mit dem ursprünglichen Server verbinden.
Ja da hast du recht, wenn ich jetzt mal so darüber nachdenke.
Welche Logs können mir dann weiterhelfen wenn ich versuchen möchte zB Gdata durch den Proxy zu bekommen?
Mal in die Runde gefragt:
Da die UTM noch 10 Lizenzen für die Endpoint mitbringt habe ich mir mal überlegt von meiner Workstation die AV Suit zu verbannen und auf allen Endgeräten die Endpoint zu nutzen.
Gesendet von meinem GT-I9305 mit der Hardwareluxx App
Welche Logs können mir dann weiterhelfen wenn ich versuchen möchte zB Gdata durch den Proxy zu bekommen?
Mal in die Runde gefragt:
Da die UTM noch 10 Lizenzen für die Endpoint mitbringt habe ich mir mal überlegt von meiner Workstation die AV Suit zu verbannen und auf allen Endgeräten die Endpoint zu nutzen.
Gesendet von meinem GT-I9305 mit der Hardwareluxx App
Ich würde an deiner Stelle in erster Linie erstmal eine Exception erstellen, welche die IP deines (Test)Clients mal komplett von allen Filterregeln ausnimmt... Dann prüfst du, ob es überhaupt grundsätzlich erstmal geht...
Im Transparenten Modus hört der Proxy ja wenn ich das jetzt auf die schnelle recht in Erinnerung hab, nur auf TCP Port 80 und 443... Es wäre also bspw. auch die Frage, sind das überhaupt HTTP/HTTPS Aufrufe??
Sollte es dann erstmal gehen mit dem GData Update, dann kannst du im Log zur Webprotection schauen, was von deiner Client IP zum Testzeitpunkt überhaupt angefragt wurde. Diese Anfragen kann man dann nochmal ausfiltern durch etwas logischen Nachdenken. So nach dem Motto, wenn da update.microsoft.com angefragt wird, du aber GData Updates ziehst, wird diese Anfrage wohl wenig damit zu tun haben
Mit den URLs bzw. Domains kannst du dich dann dran machen, Exceptions zu schreiben. Möglicherweise wird dir die Ausnahme der SSL Scanning Geschichten schon helfen, möglicherweise musst du noch AV Scanning und Co. deaktivieren.
Stichwort AV Scanning, es kann dir bspw. auch passieren, dass die UTM das Update zwar zieht und formal dann auch runterlädt, durch das AV-Scanning beim Client aber diese Download/Scanpage angezeigt wird -> das kann die Clientsoftware sicher nicht verarbeiten (ein Browser hingegen schon -> weil du oben nach Unterschieden fragtest). Teils (je nach definierten Regeln) kommt es bspw. auch zu blocking pages -> der Browser kann es wieder, Software idR kann damit aber nix anfangen usw.
Was die Zertifikate angeht, hier solltest du aus meiner Sicht auch nochmal klar nachprüfen, ob das LE Cert überhaupt funktionieren KANN. Warum? Möglicherweise (und das könnte ich mir nämlich vorstellen), wird bei LE nämlich definiert, dass von ihnen ausgestellte Zertifikate keine CAs signieren dürfen. Das wäre genau das, was du damit vor hast. Mit dem einspielen des Zertifikates auf der UTM wird eine interne (OpenSSL??) CA erstellt, und das Ding wird mit dem eingespielten Zertifikat signiert. Verbietet nun aber die Zertifikatskette seitens Lets Encrypt und den anderen drüber liegenden CAs den Betrieb einer CA, welches mit einem LE Zertifikat signiert wird, dann hast du ein Problem.
Warum? Möglicherweise fragt deine Software genau diese Info ab. Dann kommt als Status zurück, dass die CA nicht vertrauenswürdig ist und du bekommst mindestens mal Warnungen, ggf. gehts gar nicht. -> das ist aber Client/Software abhängig, da nicht jede Software derartige Sachen prüft!
Ich kann mir aber nur unschwer vorstellen, dass LE da das Signieren von CAs zulässt... Weil welchen Sinn sollte das haben? Würde man das tun, könnte ich mir ein LE Certifikat ausstellen und damit eine eigene CA signieren, die dann für ALLE erdenklichen Domains valide Zertifikate ausstellt. Das KANN schlicht nicht erlaubt sein, wenn doch, wäre es ein massivster Fail!!!
Sag ich ja... Wäre nur die Frage, ist das wirklich so?
Man hat ja schon Pferde vor die Apotheke kotzen sehen
Ne im Ernst, das könnte aber ggf. erklären, warum er Probleme meldet, die seit dem Einsatz des LE Certs scheinbar? auftauchen...
Anderseits kann ich mir aber auch nicht vorstellen, dass StartSSL (oder was er da vorher nutzte) sowas fabriziert.
Man hat ja schon Pferde vor die Apotheke kotzen sehen
Ne im Ernst, das könnte aber ggf. erklären, warum er Probleme meldet, die seit dem Einsatz des LE Certs scheinbar? auftauchen...Anderseits kann ich mir aber auch nicht vorstellen, dass StartSSL (oder was er da vorher nutzte) sowas fabriziert.
Überleg doch mal. Er macht MitM mit einem beliebigen Zertifikat einer CA, und das soll ohne Probleme funktionieren? Was würde denn jeden anderen MitM daran hindern, dasselbe zu tun? Irgendwas passt da nicht zusammen. Und dass das mit StartSSL funktioniert haben soll, glaube ich keine Sekunde. Da herrscht irgendwo Verwirrung.
Zuletzt bearbeitet:
Wenn du mit Probleme die Notwendigkeit von Exceptions meinst, dann muss ich dir aber trotzdem etwas widersprechen... Ich nutze seit ner ganzen Weile schon ne UTM mit aktivem SSL Scanning und hab keine wirklichen Probleme... Auf der Arbeit nutzen wir das ebenso und das läuft. Man muss halt die Entsprechenden Regeln definieren... Dann klappt es auch mit dem gewollten MitM. Zumindest wenn das Zertifkat passt. Oder hab ich dich gerade falsch verstanden??
Das Problem bei der ganzen Zertifikatsthematik ist doch eigentlich eher die, dass die Prüfung auf Plausibilität nicht dauerhaft oder besser, nicht zwangsweise gegeben ist... Bei Browsern ist das vielleicht mittlerweile alles in Butter. Aber wer weis, welche Software da im Hintergrund wirklich CRLs/OCSP Checks durchführt? Welche Software wirklich sich dran stört, ob da nun eine CA mit einem nicht CA-signierungsfähigen Zertifikat signiert wurde usw?
-> im Endeffekt ist das doch einer der größten Schwachpunkte an der ganzen Zertifikatsthematik. Das Nachprüfen hängt am Client. Tut der das nicht, nutzt mir all der "Schutz" nix.
Was die StartSSL Angaben angeht, vielleicht hat er ja in seine lokale Cert-DB vom OS/den Browsern die Zertifikate alle reingehoben... Dann ist auch nicht mehr so viel mit Prüfung. Vor allem, wenn es um revoked Certs geht und diese noch gültig sind Ich muss aber ehrlich sagen, auf diese Idee -> ein public Zertifikat auf einem SSL Proxy zu nutzen, bin ich noch NIE gekommen, habs also selbst nie probiert, wie das Verhalten für Client/Browser und andere Software ausfällt...
Das Problem bei der ganzen Zertifikatsthematik ist doch eigentlich eher die, dass die Prüfung auf Plausibilität nicht dauerhaft oder besser, nicht zwangsweise gegeben ist... Bei Browsern ist das vielleicht mittlerweile alles in Butter. Aber wer weis, welche Software da im Hintergrund wirklich CRLs/OCSP Checks durchführt? Welche Software wirklich sich dran stört, ob da nun eine CA mit einem nicht CA-signierungsfähigen Zertifikat signiert wurde usw?
-> im Endeffekt ist das doch einer der größten Schwachpunkte an der ganzen Zertifikatsthematik. Das Nachprüfen hängt am Client. Tut der das nicht, nutzt mir all der "Schutz" nix.
Was die StartSSL Angaben angeht, vielleicht hat er ja in seine lokale Cert-DB vom OS/den Browsern die Zertifikate alle reingehoben... Dann ist auch nicht mehr so viel mit Prüfung. Vor allem, wenn es um revoked Certs geht und diese noch gültig sind
Ich muss aber ehrlich sagen, auf diese Idee -> ein public Zertifikat auf einem SSL Proxy zu nutzen, bin ich noch NIE gekommen, habs also selbst nie probiert, wie das Verhalten für Client/Browser und andere Software ausfällt...
Zuletzt bearbeitet:
Ok ich bin total überfordert, da ich von dem Ganzen keine Ahnung habe.
Was ihr so schreibt ergibt für mich Sinn ohne den genauen Background zu kennen bzw. zu verstehen.
Wenn ihr aber die Web Protection nutzt, mit welchem Cert. arbeitet ihr?
Ich kann mich nicht so recht erinnern wie ich damals damit angefangen hatte.
Ich habe mir damals von StartSSL ein Class 2 Cert geholt um mit Wildcards zu arbeiten. Welche Domains ich damals alles eingetragen habe weiß ich nicht mehr.
Aber untern Strich hat es für meine Zwecke getan ich konnte meinen Webserver mit der handvoll Subdomains mit SSL betreiben ohne auf den Fehler von selbsterstellten Zertifikaten zu laufen.
Irgendwann habe ich dann mit der Web Protection experimentiert und das wohl auch mehr oder weniger funktionsfähig hinbekommen und ein paar Exceptions anlegen können.
So wie ich eure Posts verstehe kann die Web Protection out of the Box wohl nicht 100%ig funktionieren.
Oder ich verstehe euer nerdisch nicht
edit:
Ich habe nun für meinen PC eine Exception erstellt in dem ich alle Optionen aktiviert habe. Damit läuft das bishe mal alles.
Was ihr so schreibt ergibt für mich Sinn ohne den genauen Background zu kennen bzw. zu verstehen.
Wenn ihr aber die Web Protection nutzt, mit welchem Cert. arbeitet ihr?
Ich kann mich nicht so recht erinnern wie ich damals damit angefangen hatte.
Ich habe mir damals von StartSSL ein Class 2 Cert geholt um mit Wildcards zu arbeiten. Welche Domains ich damals alles eingetragen habe weiß ich nicht mehr.
Aber untern Strich hat es für meine Zwecke getan ich konnte meinen Webserver mit der handvoll Subdomains mit SSL betreiben ohne auf den Fehler von selbsterstellten Zertifikaten zu laufen.
Irgendwann habe ich dann mit der Web Protection experimentiert und das wohl auch mehr oder weniger funktionsfähig hinbekommen und ein paar Exceptions anlegen können.
So wie ich eure Posts verstehe kann die Web Protection out of the Box wohl nicht 100%ig funktionieren.
Oder ich verstehe euer nerdisch nicht
edit:
Ich habe nun für meinen PC eine Exception erstellt in dem ich alle Optionen aktiviert habe. Damit läuft das bishe mal alles.
Zuletzt bearbeitet:
Ähm, Moment mal, schreibst Du jetzt von Web Protection (Webverkehr, der von innen nach außen geht, wird gescannt) oder von Web Application Firewall (ein Webserver steht im internen Netzwerk oder der DMZ und es wird von außen auf diesen Webserver zugegriffen)?
Dann wie gesagt schau dir die Logs an, was für URLs aufgerufen werden und baue entsprechende Ausnahmen dafür...
Ggf. kannst du im Quertest die Exception nochmal deaktivieren und die gleichen Aktionen nochmal ausführen um zu checken, welche Aufrufe dann genau nicht gehen. Für das, was halt nicht geht, baust du die Exceptions entsprechend auf URL Basis und nimmst alles aus, was eben zu Problemen führt.
Selfsigned von der eigenen CA.
Wie auch sonst? Ist die einzige Lösung, die funktionieren kann... Der Rest mit public Zertifikaten kann bzw. darf, siehe oben, eigentlich nicht funktionieren...
Und eigene CA deswegen, weil so oder so Zertifikate intern benötigt werden um nicht alle Nase lang in Warnungen zu laufen. Man muss halt die CA richtig konfigurieren und mit dieser einen CA bzw. mit einer speziellen Konfig die UTM interne CA signieren -> und dabei dem dafür verwendeten Zertifikat erlauben, auch EINE! CA zu signieren.
Kannst dafür bspw. OpenSSL nutzen. Kost nix, braucht etwas Einarbeitung, Anleitungen gibts zu Hauf im Netz. Läuft auf effektiv eigentlich jedem erdenklichen OS usw.
Wenn man es richtig macht, macht man sich gleich noch Gedanken über CRLs/OCSP Checks usw. -> das ist allerdings nicht zwangsweise notwendig, eher nice to have für privat oder besser gesagt, die sauberere Implementierung.
Du könntest theoretisch auch die UTM CA einfach standalone betreiben. Geht ebenso... Musst halt das UTM CA Zertifikat an die Clients entsprechend verteilen
Zuletzt bearbeitet:
Dann .
Du könntest theoretisch auch die UTM CA einfach standalone betreiben. Geht ebenso... Musst halt das UTM CA Zertifikat an die Clients entsprechend verteilen
Ist aber nicht die beste Lösung. Das cert wird bei erstem Start erzeugt und ich bezweifele dass dann genügend Entropie zur Verfügung steht.
Gesendet von meinem ZTE A2017G mit Tapatalk
Spielt das wirklich hier eine Rolle?
Wir reden hier von privat, wir reden hier von Traffic rein intern und wir reden hier von SSL Scanning... Wenn dir dort jemand in deiner eigenen Wohnung den Traffic mitsniffern kann um dann anhand der möglicherweise mauen Entropie das Ding aufzubrechen -> läuft doch ganz gewaltig was anderes schief. Zumal, was hindert dich einfach ein eigenes Zertifikat dort hin zu schieben mit angepassten Paramenter und so, dass es passt?
Ich habe ja nicht gesagt, nimm den Auslieferungszustand. Sondern ich sagte ja, die CA standalone betreiben... WIE man das Teil dann betankt, steht auf nem anderen Blatt
Wir reden hier von privat, wir reden hier von Traffic rein intern und wir reden hier von SSL Scanning... Wenn dir dort jemand in deiner eigenen Wohnung den Traffic mitsniffern kann um dann anhand der möglicherweise mauen Entropie das Ding aufzubrechen -> läuft doch ganz gewaltig was anderes schief. Zumal, was hindert dich einfach ein eigenes Zertifikat dort hin zu schieben mit angepassten Paramenter und so, dass es passt?
Ich habe ja nicht gesagt, nimm den Auslieferungszustand. Sondern ich sagte ja, die CA standalone betreiben... WIE man das Teil dann betankt, steht auf nem anderen Blatt