ssl-Proxy und Windows 10-Update

Started by hpl, May 24, 2020, 07:54:58 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
May 24, 2020, 07:54:58 PM
Eine Frage in die Runde:
hat jemand Erfahrung mit einem transparenten Proxy incl. ssl und Windows 10-Updates.
Alles funktioniert soweit, der transp. Proxy läuft auf 3128 bzw 3129...nur Windows updates gehen nicht durch.
Wenn ich SNI nur protokolliere, dann gehen auch die updates, aber diese Einstellung ist nicht gewollt.
May 25, 2020, 06:30:24 AM #1
Hallo,
Soweit ich weiß, verwendet Microsoft hier certificate pinning bei Windows Update. https://de.m.wikipedia.org/wiki/HTTP_Public_Key_Pinning
Hast Du Mal probiert eine Ausnahme für windowsupdate zu konfigurieren?

Gesendet von meinem IN2023 mit Tapatalk

May 25, 2020, 09:29:47 AM #2
Bei mir ähnlich,
leider ohne Erfolg die Domainnamen in die Ausnahme oder Whitelist einzutragen.
Win Updates ist das einzige, was nicht geht.
May 25, 2020, 09:39:25 AM #3
Ihr könnt eine Bypass Regel erstellen, so daß windowsupdate am Proxy vorbeigeschickt wird.

Gesendet von meinem IN2023 mit Tapatalk

May 25, 2020, 10:54:43 AM #4
Mit welchen Zielen?
Wenn es nur über die Quelle geht, kann man es auch gleich ausstellen
May 25, 2020, 10:59:42 AM #5
Windowsupdate.microsoft.com, update.microsoft.com


Gesendet von meinem IN2023 mit Tapatalk

May 25, 2020, 05:56:53 PM #6
schon mal Danke für die vielen Infos.
Habe die Umleitung mal eingestellt aber irgendwie will das nicht. Hat jemand das auch mal probiert ?
May 25, 2020, 06:12:54 PM #7 Last Edit: May 25, 2020, 06:24:08 PM by amichel
Hallo,
zuerst entschuldige bitte meine kurzen Antworten, ich habe das am Telefon getippt.
Nur um das richtig zu verstehem, reden wir darüber, daß Windowsupdates überhaupt nicht funktionieren, oder möchtest Du die Option zum Cachen im Squid nutzen?
Bei zweiterem ist die Frage ob das überhaupt sinnvol ist, da W10 ja sowieso delivery optimization:
https://docs.microsoft.com/en-us/windows/deployment/update/waas-delivery-optimization

Hier steht auch
QuoteWhat hostnames should I allow through my firewall to support Delivery Optimization?:

For communication between clients and the Delivery Optimization cloud service: *.do.dsp.mp.microsoft.com.

For Delivery Optimization metadata:

    *.dl.delivery.mp.microsoft.com
    *.emdl.ws.microsoft.com

For the payloads (optional):

    *.download.windowsupdate.com
    *.windowsupdate.com

Ersteres funktioniert bei mir, ich habe aber nicht SSL inspection aktiv sondern nur "Log SNI Information only" und noch .windowsupdate.com und .microsoft.com in den SSL no bump Sites drinnen.
Habt Ihr die oben angeführten domains in die SSL no Bump Sites honzugefügt?

LG
amichel


May 25, 2020, 06:28:14 PM #8
Hallo und Danke für die schnelle Antwort. Ja, die Tipperei auf dem Handy ist schon was für sich.
Zum Thema:
ich möchte im Hinblick auf Windows-Update den Proxy NICHT als Cache nutzen. Da stimmt soweit.
Die Updates gehen überhaupt nicht, sofern ich ssl auch über den Proxy laufen lasse. Richtig ist, das bei eingeschaltetem "nur SNI protokolieren" die Updates laufen.
Ich müßte also alles was mit dem Update an anfragen aufkommt, am Proxy vorbei leiten.
Aber das funktioniert nicht bei mir. Daher die Frage, ob jemand diese Konfiguration schon am Laufen hat.
May 25, 2020, 06:29:59 PM #9
Quote from: hpl on May 25, 2020, 06:28:14 PM
Hallo und Danke für die schnelle Antwort. Ja, die Tipperei auf dem Handy ist schon was für sich.
Zum Thema:
ich möchte im Hinblick auf Windows-Update den Proxy NICHT als Cache nutzen. Da stimmt soweit.
Die Updates gehen überhaupt nicht, sofern ich ssl auch über den Proxy laufen lasse. Richtig ist, das bei eingeschaltetem "nur SNI protokolieren" die Updates laufen.
Ich müßte also alles was mit dem Update an anfragen aufkommt, am Proxy vorbei leiten.
Aber das funktioniert nicht bei mir. Daher die Frage, ob jemand diese Konfiguration schon am Laufen hat.
Hast Du schon die erwähnten Sites in die ssl no bump config aufgenommen?

Gesendet von meinem IN2023 mit Tapatalk

May 25, 2020, 06:38:12 PM #10
jawoll, habe ich aufgenommen, bringt aber leider nix..... >:( >:( >:(
May 25, 2020, 06:49:59 PM #11
Ich habe da noch etwas gefunden:
https://wiki.squid-cache.org/SquidFaq/WindowsUpdate#Squid_with_SSL-Bump_and_Windows_Updates
So sollte das eigentlich gehen.
LG
amichel
May 25, 2020, 06:58:43 PM #12
hab ich mir auch schon mal durchgelesen. Es ist nur die Frage, wie man das bei opnsense umsetzt...
May 25, 2020, 07:08:29 PM #13
ich denke, ich muß einen anderen Weg zuerstl umsetzen, sodaß ich einen Windows-Client generell am Proxy vorbei leite. Wenn das funktioniert, kann ich das auf die Windows-Updates beschränken.
May 25, 2020, 07:39:52 PM #14
Print
Go Up Pages1
User actions