Hallo zusammen,
ich möchte folgendes Szenario mit meiner OPNsense realisieren:
Ein Client hat Zugriff auf bestimmte URLs (z.B. Antivirus-Definitionen, Branchensoftware) über den transparenten Proxy, alle anderen URLs erreicht er nur über den direkten Proxy, welcher im Firefox Browser hinterlegt ist.
Hintergrund: ich möchte verhindern, dass Drittanbieter-Programme nach Hause telefonieren und ungewollt Updates installieren.
Ist das via OPNsense so überhaupt abbildbar?
Vg
Philipp
Niemand? :(
Ist meine Anforderung denn so weit hergeholt?
Zudem kommt noch folgendes: wie kann ich für bestimmte Netze definieren, dass SSL-Traffic untersucht werden soll, für andere aber nicht?
Da der Client die Pakete über ein NAT zum transparenten Proxy umgeleitet bekommt, ist hier keine Unterscheidung anhand von URLs möglich. In der NAT Regel oder Firewall Regel ist da nichts einstellbar. Sobald das Paket zum Proxy gezwungen wird, muss dieser das Paket verarbeiten.
Wenn nicht alle Clients SSL untersucht haben sollen, ist das über die NAT Regeln steuerbar. Einfach die Regel einschränken, die Client Pakete zum SSL Port des Proxy NATed.
Quote from: philipp86720 on October 15, 2023, 05:57:36 PM
Hintergrund: ich möchte verhindern, dass Drittanbieter-Programme nach Hause telefonieren und ungewollt Updates installieren.
Ich habe das zar inhaltlich verstanden, was Du machen willst. Ich frage mich nur: Warum dieser Aufwand?
Ist eine Proxy-Einstellung ein lokales Ding. In Windows-AD Netzen kannst Du das auch unternehmensweit vorgeben. Inkl. Ausnahmen etc.. Es gibt auch eine automatische Proxy-Erkennung, die hat aber mWn keine Ausnahmendefinitionen. Du müsstest also alle Deine Clients anfassen und in den Systemeinstellungen Proxy-Ausnahmen definieren, die der Client dann direkt versucht zu erreichen. Und des weiteren dann im Proxy selbst diese Seiten blocken...
Ein Riesenaufwand....
Also ganz ehrlich.... da wäre es einfacher, wenn Du den Clients diese URLs per Firewall oder sonstiger Richtlinie blockst und gut ist.
Oder im Proxy je nach Client filterst... das ist wahrscheinlich auch einfacher.
Aber ist nur so meine Meinung...
/KNEBB
Hallo philipp86720,
wenn der Transparaente Proxy aktiv ist, werden grundsätzlich alle Packete (HTTP, HTTPS) darüber geschickt. Sollen diesbezüglich Ausnahmen gemacht werden, z.B. Microsoftupdates oder andere Packete so kann das mithilfe der Port Forward NAT-Regel geschehen in Kombination mit einem Firewall Alias. Ich habe Dir zwei Screenshots angehängt. Einmal von der geänderten Port Forward Regel und einmal von dem angelegten Alias.
In dem Alias trägst Du alle Domains ein, die nicht über den Transparenten Proxy geschickt werden sollen.
Grüße
Hallo an die Runde,
aufbauend auf den Anwendungsfall von philipp86720 eine generelle Verständnis-Frage:
Zwecks ClamAV und Adguard habe ich mir ebenso einen transparenten Proxy eingerichtet, über den der gesamte Datenverkehr laufen soll.
Nach Recherche und dem Hinweis auf der Opnsense Doc machte es mich stutzig, dass ja klarerweise ein transparenter Web Proxy SSL Zertifikate aufbricht und somit als man in the middle fungiert.
Würdet ihr aus Sicherheitsbedenken sämtlichen "kritischen" Datentransfer, wie z.B. E-Banking, generell vom Verkehr über den Web Proxy ausschließen, eben auf jenem Wege, die Lochkartenknipser vorgeschlagen hat?
Grüße
neuling10
Der typische Weg läuft anders. Für einen transparenten SSL-Proxy benötigt man ja sowieso auf den Clients die Eintragung der eigenen Proxy-CA, d.h. der Traffic kann immer aufgebrochen werden. Da mit der Umstellung von SSL auf TLS bei HTTPS der Host-Header immer unverschlüsselt übertragen wird, kann man am Proxy normalerweise wirklich URL- (genauer: Hostname-) anstelle von IP-basierten Ausnahmen machen.
Tatsächlich arbeiten Virenscanner ja genauso, also stellt sich die Frage, ob man dem Virenscanner mehr traut als der selbst aufgesetzten OpnSense...
Ernstzunehmende Banking-Websites nutzen zur Vermeidung solcher Ansätze sowieso Zertifikats-Pinning, was die Antivirus-Hersteller dazu zwingt, diese Sites als Ausnahmen zu definieren, weil sonst der Browser meckert.
Danke für die Erklärung meyergru
Ich werde den Web Proxy mit ClamAV ausschließlich für Smart Home Geräte nutzen. PCs mit Virenscanner und Apple Geräte werde ich nicht über den Web Proxy schleusen.
Grüße
neuling10
Fragt sich nur, ob das mit IoT-Geräten überhaupt geht:
1. Die IoT-Hersteller könnten auch darauf kommen, Zertifikats-Pinning zu betreiben.
2. Einige nutzen bekanntermaßen eigene CAs, um Geld zu sparen.
3. Du kannst auf diesen Geräten Deine Proxy-CA auch nicht einspielen.
4. Wenn sie proprietäre Protokolle verwenden (z.B. weil HTTPS für die schwachen CPUs zu komplex ist), kommst Du ebenfalls nicht dran.
Mit TLS aufbrechen ist also Essig bei denen.
Ich mache das anders: IoT kommt bei mir in ein separates VLAN, bei dem die Geräte gegeneinander zusätzlich weitgehend abgeschottet sind. Aus diesem VLAN führen nur reglementierte Wege in mein LAN. Lass die Dinger doch nach Hause telefonieren - die meisten brauchen das, um überhaupt zu funktionieren.
Das Höchste, was Du noch machen kannst, ist, sie auf Ihre eigenen Clouds zu beschränken, allerdings ist das ein Hase- und Igel-Spiel, weil sich die IPs ja ändern können.
Im LAN wäre TLS aufzubrechen interessant, weil, wenn dort ein Client z.B. einen Trojaner hat, kann er ja Schaden durch "Lateral Movement" anrichten. Das will man ja erkennen. Außerdem kann man dort eigene CAs einbringen.
Wäre es in dem Fall nicht besser, herauszustellen welche Clients schützenswert sind, und auf denen einfach eine Endpoint Protection zu installieren?
Ich mache weder das eine, noch das andere. Endpoint Protection finde ich kritisch, weil die Dinger meist selbst in die Cloud kommunizieren. Dann bist Du:
a. nur so sicher, wie Du dem Anbieter der Lösung vertraust. War da nicht gerade ein Einbruch bei Microsoft?
b. im Zugriff desjenigen Geheimdienstes, in dessen Deutungshoheit der Hersteller (oder dessen Cloud) liegt.
Bei IoT ist es vollkommen klar: Raus aus dem Sicherheits-Perimeter, ab ins VLAN. Wenn man so sieht, wie "deutsche" Webcam-Lösungen mit der Alibaba-Cloud Verbindung aufnehmen, weiß man, warum. Wo immer möglich, flashe ich die Geräte auf OS-Lösungen wie Tasmota um.