Umgehen des Proxy mithilfe von SSL

1. offizieller Beitrag

    Hallo Liebe Gemeinde,

    ich setze Endian seit einigen Monaten als Proxylösung ein, damit die User im Netzwerk nur auf freigegebene Seiten kommen. Jetzt ist mir aufgefallen dass ein User es schafft den Proxy mit hilfe von SSL-Seiten zu umgehen, obwohl ich den Inhaltsfilter auch aktiviert habe. Der Proxy steht auf transparent.

    Dazu benutzt der User z.B.: https://proxy.org oder https://sslunblock.com/

    Kann mir jemand sagen wie ich das unterbinde?

    Lg

    Zitat von "Lownex"

    Hallo Liebe Gemeinde,

    ich setze Endian seit einigen Monaten als Proxylösung ein, damit die User im Netzwerk nur auf freigegebene Seiten kommen. Jetzt ist mir aufgefallen dass ein User es schafft den Proxy mit hilfe von SSL-Seiten zu umgehen, obwohl ich den Inhaltsfilter auch aktiviert habe. Der Proxy steht auf transparent.

    Dazu benutzt der User z.B.: https://proxy.org oder https://sslunblock.com/

    Kann mir jemand sagen wie ich das unterbinde?

    Lg


    Hm die erste URL wird von meinen Filter Geblockt, aber die zweite geht glat durch kann es sein das hier die Liste von Dansguardian nicht Aktuell ist? :(

    Albert Einstein:
    Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit, aber bei dem Universum bin ich mir noch nicht ganz sicher.

    Wenn du den Proxy transparent benutzt wird nur http über den Proxy geschickt, da die transparente Umleitung von HTTPS-Anfragen von jedem HTTPS-Webserver als man-in-the-middle-Attacke interpretiert wird.
    Du müsstest also am Client den Proxy einstellen für HTTP und HTTP/SSL!

    [edit]

    Einmal editiert, zuletzt von StephanSch (10. April 2012 um 15:23)

    Vielen Dank für den Tip, aber wie kann es dann sein dass bei murmel eine URL durch geht und die andere nicht, wenn SSL am transparenten Proxy direkt vorbei geht. Kann mir jemand sagen wie ich meinen Contentfilter aktualisieren kann?

    Zitat von "Lownex"

    @ murmel

    hast Du die beiden Seiten mit https davor eingegeben?

    Ja habe ich, werde es eber nach her noch mal testen und posten. :D

    Albert Einstein:
    Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit, aber bei dem Universum bin ich mir noch nicht ganz sicher.

    ich habe zwar noch keine Rückmeldung aka. Test, aber ich habe jetzt mal die Contentfilter unter /etc/dansguardian/blacklist/proxy und hacking mit der Quelle von http://www.shallalist.de/ aktualisiert. Mal gucken ob das was bringt... Was mich in punkto Aktualisierung mal interessieren würde - was passiert wenn man im Verzeichnis "Blacklist" neue Verzeichnisse anlegt bzw. reinkopiert, werden die automatisch durchsucht und hinzugefügt oder muss man die erst registrieren. Es gibt im Verzeichnis eine Datei "categories" die die Zuordnung der Ordner zu Kategorien macht. Jemand das schonmal gemacht?

    https://www.efw-forum.de/www/forum/view…blacklist#p1047

    Dort steht zwar was von Anpassen der categories, aber ob das nötig ist oder ob die neuen Verzeichnisse automatisch in "uncategorized" rutschen wird da nicht weiter erläutert.

    Gruß

    Also ich habe jetzt mal etwas getestet in der Firma mit folgendem Ergebnis:

    https:// geht immer durch, egal welche Adresse wie StephanSch ja bereits begründet hat. Ich habe zwar die Contentfilter aktualisiert, aber das bringt aus genanntem Grund auch keine Änderung. Ich habe jetzt mit angepassten Firewall-Regeln (blocken von 443, Freigabe für ausgewählte 443 Clients, Freigabe für ausgewählte 443 Ziele) dem Treiben ein Ende gesetzt.

    Vielen Dank für die Hilfe!

    • Offizieller Beitrag

    Moin, habe https://sslunblock.com/ in die „Individuelle schwarze Liste“ aufgenommen und bekomme folgende Meldung:

    DansGuardian - Banned site:
    https://sslunblock.com

    Bei https://proxy.org/ kam das schon vorher, also kein Problem.

    Gruß Sabine

    Das ist seltsam dass es bei mir einfach so durchging... Ist Dein Proxy auf Transparent gestellt?

    Ich habe noch eine andere Frage zur individuellen Blacklist. Gibt es da ne Art Wildcard oder so oder muss ich ernsthaft alle TLD eintragen um alles zu sperren?

    Ziel:

    Alles sperren, und dann über die Whitelist einige Domains freigeben...

    • Offizieller Beitrag

    Hallo,
    Der Proxy läuft nicht auf Transparent, bei den Individuellen Blacklisten musst du leider alles von Hand eingeben, oder von einer Textdatei
    (falls vorhanden) reinkopieren.
    Alles sperren macht wenig Sinn, ich schaue immer mal in den Proxy- Protokollen nach was da so getrieben wird und trage das dann in die
    Individuellen Blacklist ein.

    Gruß Sabine

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final