Transparenter Proxy mit https

  • Hallo zusammen,


    ich bin neu hier und habe folgendes Problem mit meiner Endian 3.2.4 Community:


    ich möchte gerne einen transparenten Proxy nutzen, der für Clients auch HTTPS-Verbindungen transparent durchreicht.

    Dieses sollte möglichst ohne eigenes Proxy-Zertifikat passieren, da nicht die Möglichkeit besteht dieses Zertifikat für alle User (diverse Tablets, Smartphones (Android, iOS,etc) zu installieren und auch die Eingabe eines Proxy nicht in Frage kommt.

    Ein Caching oder eine Veränderung der Daten via https bräuchte ich an dieser Stelle nicht, jedoch sollten die eingestellten Filterprofile des URL FIlters auch an dieser Stelle greifen.

    Laut meiner Recherche müsste dies via Connect-Methode und dem durchreichen des https-traffics möglich sein.

    Hatte dieses "Problem" schon jemand und besteht überhaupt die Möglichkeit via TCP-Redirect die https-Verbindung auf den Proxy-Port umzuleiten, so dass dieser die https-Anfrage als Proxy-Anfrage interpretiert und daraufhin eine Verbindung zum Ziel-https-Server aufbaut und die Daten ohne weiteres an den anfragenden Client durchreicht?


    Ich hoffe mir kann jemand helfen.


    Grüße

  • Hallo,

    afaik ist das glaube ich nicht möglich.

    hei HTTPs wird ja der HTTPS Strom aufgebrochen an der EFW und wird neu verschlüsselt.

    Dafür ist dann das neue Client Zertfikat welches hinterlegt werden muss.

    (Optional ein öffentliches Zertifkat verwenden vll. Letscrypt)


    Alles andere scheint mir dann eher eine Man-in-the-Middle Attacke zu sein.

    Mein Computer kann alles, wegen seiner 32 Bit!
    Wenn ich 32 Bit intus habe, kann ich auch alles!

  • Da hast du natürlich Recht, das der Datenstrom bei https aufgebrochen und mit dem Zertifikat der EFW neu verschlüsselt wird.

    Es müsste doch aber rein theoretisch möglich sein den https-Proxy ganz wegzulassen und den Datenstrom direkt zwischen Client und angefragten Server (Bsp.: https://123ganzviele.de) als https-connect über den http-Proxy (da dort ja auch der Webfilter greift ) umzuleiten, so dass wenigsten dann böse URLs geblockt werden könnten.

  • Das lässt sich über die UI nicht einrichten, da müsstest du dann direkt die Config Files bearbeiten.

    Problem sehe ich dann nur, kommt ein Update ist alles murks.

    Wird über das UI eine Einstellung geändert, Config Murks.


    Alternativ versuch es doch mit einem öffentlichen Zertifikat

    Dann muss man keines bei den Clients hinterlegen.

    Mein Computer kann alles, wegen seiner 32 Bit!
    Wenn ich 32 Bit intus habe, kann ich auch alles!

  • Danke für deine schnellen Antworten,

    gibt es da soetwas wie ein howto um das Zertifikat zu hinterlegen bzw. in welchem format muss es vorliegen? Der nimmt es bei mir irgendwie nicht. Ich brauche natürlich auch einen public und einen private key, richtig?

  • Hallo,

    also ich hab auf die schnelle nur gesehen in der Appliance ist das wohl möglich.

    https://help.endian.com/hc/en-…to-Set-Up-The-HTTPS-Proxy

    dann muss es sicherlich auch gehen, vll. hat aber ffischer ne Idee dazu


    Bzgl. den Keys du machst ja eine zert Anforderung

    mit openssl da erstellt man dann alle Keys und priv key

    Mein Computer kann alles, wegen seiner 32 Bit!
    Wenn ich 32 Bit intus habe, kann ich auch alles!

  • Hallo,

    zufällig mal überflogen.


    Meintest du das hier wolfili?

    Ich kann hier bei mir, und es ist eine Community Ed., ein eigenes Zertifikat angeben.

    Wie kann man aus dem Rahmen fallen, wenn man noch nicht mal im Bilde war?
    efw 3.2.4 Community