OPNsense Forum

International Forums => German - Deutsch => Topic started by: Snoopy325 on February 17, 2019, 09:32:04 AM

Title: Webseiten sperren Blacklist
Post by: Snoopy325 on February 17, 2019, 09:32:04 AM
Hallo zusammen, ich habe da mal 2 Fragen:

1. Ich habe über den Proxy Kategorien gesperrt. Dies funktioniert auch. Bei http bekommt der User auch eine Meldung, dass diese Seite verboten ist. Leider bekommt er bei https nur die Meldung, dass die Seite nicht aufgerufen werden kann.
Transparenten HTTP-Proxy aktivieren (ja)
Aktiviere SSL-Untersuchung (ja)
Protokolliere nur die SNI-Information (ja)
Gibt es irgendeine Möglichkeit, dass der User sowohl bei http und bei https die Sperrseite angezeigt bekommt?

2. Die Blacklist kann ja vom System aktualisiert heruntergeladen werden. Ist dies auch mit einer Whitelist möglich?

Gruß Heiko
Title: Re: Webseiten sperren Blacklist
Post by: fabian on February 17, 2019, 10:07:02 AM
nur wenn du die Option "Protokolliere nur die SNI-Information" ausschaltest geht das  dann must du aber auch ein eigenes Zertifikat verwenden.
Title: Re: Webseiten sperren Blacklist
Post by: Snoopy325 on February 17, 2019, 01:53:41 PM
Das funktioniert doch aber nicht mit einem normalen Zertifikat, oder?
Beispiel?
Gibt es nicht auch eine Lösung ohne die Verschlüsselung aufzubrechen?
Title: Re: Webseiten sperren Blacklist
Post by: fabian on February 17, 2019, 04:47:21 PM
Quote from: Snoopy325 on February 17, 2019, 01:53:41 PM
Das funktioniert doch aber nicht mit einem normalen Zertifikat, oder?
Ein CA-Zertifikat wird benötigt, das ist aber auch ein "normales" Zertifikat bei dem ein spezielles Flag (ca=true) gesetzt ist ;)

Quote from: Snoopy325 on February 17, 2019, 01:53:41 PM
Beispiel?
https://docs.opnsense.org/manual/how-tos/proxytransparent.html (https://docs.opnsense.org/manual/how-tos/proxytransparent.html)
Quote from: Snoopy325 on February 17, 2019, 01:53:41 PM
Gibt es nicht auch eine Lösung ohne die Verschlüsselung aufzubrechen?
Nein, weil der Client glaubt, dass er mit dem Zielserver spricht und sich daher erwartet, dass dieser antwortet. Ensprechend muss das Zertifikat

a) für den richtigen Server ausgestellt werden
b) vom Client als Vertrauenswürdig eingestuft werden
c) das Zertifikat (für die Domain) gültig sein

Wenn eines davon nicht zutrifft, gibt's mindestens eine Zertifikatswarnung, sofern der Client die Validierung nicht deaktiviert.Sollte er das tun, ist HTTPS so sicher wie HTTP.
Title: Re: Webseiten sperren Blacklist
Post by: Snoopy325 on March 11, 2019, 07:44:29 AM
Danke sehr, jetzt funktioniert es sogar mit transparetem Proxi und selbstsigniertem Zertifikat.