Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 10661 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL / HTTPS proxy

petermiller
Hallo,

wir haben uns hier in der Firma eine ASTARO Firewall angeschafft (es ist Version 7.5) und sind jetzt dabei diese zu testen.
Dabei kommen ich mit den SSL Verbindungen nicht weiter. Das SSL Zertifikat von uns ist bereits in die Firewall geladen worden, jedoch kann ich keine HTTPS verbindungen aufbauen.

Bisher war die Option Transparent aktiviert, mit der aber (laut Anleitung) nur Port 80 geht, richtig? 
Daher habe ich auf Standard umgestellt, sodass ich den Proxy im Browser eintragen muss, damit kann ich auch auf alle HTTPS Seiten zugreiben, beispielsweise von der Commerzbank. Allerdings kann ich unsere eigenen Seiten darüber nicht erreichen, dann erscheint eine Fehlermeldung das das Zertifikat nicht geladen werden konnte. Bei externen seiten Klappt es allerdings wunderbar.
Da wir einige server haben, die SSL verbindungen benötigen, wäre es für mich einfacher wenn man es irgendwie transparent lösen könnte. Allerdings bin ich noch nicht so durch das system durchgestiegen, da unsere jetztige symantec doch etwas anders tickt [[:D]]

Wenn ich den HTTPS Proxy als Standard einrichte, muss ich doch für jeden server den proxy eintragen, oder kann ich auch eine ausnahme für die server erstellen, die sozusagen den Proxy umgeht?

Sorry, bin blutiger ASTARO anfänger [[:D]]

Grüße
PeterMiller


This thread was automatically locked due to age.
  • 0
    Hi Peter,

    Zunächst: Astaro kannst Du nur über den Channel kaufen, also von einem Partner. Nimm' den ruhig in die Pflicht, Dir bei der Systeminstallation und in der Testphase zu helfen; wäre ja doof, wenn Du allein das Produkt nicht in den Griff bekommst und dann bei Symantec bleiben müsstest. Wenn der Partner, bei dem Du kaufen willst, ne Flachpfeife ist und Dir nicht helfen kann, wechsel' besser den Partner, denn über den wird auch der Support im First Level abgewickelt; sofern Du nicht Premium Support kaufst.

    That said:


    a) wenn Du den transparenten Modus nutzt, greift das auch für Port 443.
    b) Du kannst Ausnahmen für den transparenten Proxy erstellen, aber auch für einzelne Quell IP Adressen. Ausnahmen können sein "scanne nicht nach SSL, umgehe den Proxy" usw.
    c) SSL Scanning ist nicht so einfach. Schau' doch am Besten mal unter https://support.astaro.com/support/index.php/Category:Web_Security nach, ob Du ein passendes Howto findest. Das Ding hat nämlich folgende Konsequenzen:

    1. um eine Zertifikatswarnung auf Clientseite (ungültiges Zertifikat) zu umgehen, musst Du das HTTPS Proxy CA Zertifikat als trusted root CA in allen Clients importieren (geht auch über ne Gruppenrichtlinie)
    2. musst Du nun noch dafür sorgen, dass die Astaro die CA als vertrauenswürdig akzeptiert, die Serverzertifikate ausstellt, damit es nicht zu einer Fehlermeldung durch die ASG kommt, die ja den Tunnel stellvertretend für den Browser beendet. Standardmäßig sind hier eine ganze Reihe von Root CA Zertifikaten hinterlegt (deckungsgleich mit Browsern), aber eben keine eigenen CAs. Die kann man aber importieren.

    Hoffe das hilft Dir erstmal ein wenig.

    Liebe Grüße
    Christian
  • 0
    a) wenn Du den transparenten Modus nutzt, greift das auch für Port 443.

    ... wenn 'Scan HTTPS (SSL) Traffic' aktiviert ist... [;)]

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    ... wenn 'Scan HTTPS (SSL) Traffic' aktiviert ist... [;)]

    MfG - Bob


    wie läuft die Verbindung ab, wenn ich SSL Scanning bei Transparent aus lasse, ist dann gar kein SSL möglich, oder läuft es dann am Proxy vorbei?

    Ich muss mich erst noch was in die ASTARO reinarbeiten, da ich es erst seit 3 Tagen dran ist, und der chef (mit dem wissen über den Support-kontakt) erstmal im Urlaub ist. 
    Scheinbar gibt es auch ein DNS Problem, muss ich in den Paketfilterregeln ausgehende DNS anfragen zulassen, oder werden diese Regeln automatisch hinzugefügt wenn ich DNS Forwarder eingetragen habe?
  • 0
    wie läuft die Verbindung ab, wenn ich SSL Scanning bei Transparent aus lasse,

    Die läuft via Paketfilterregel oder wird blockiert.  Gibt's in der Paketfilterdatei irgendetwas unerwartet?

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    also in den logs finde ich den eintrag

    2010:07:23-13:26:14 Astaro httpd[19978]: [error] [client 127.0.0.1] access to /var/webadmin/ failed, reason: SSL connection required


    etwas merkwürdig, kennt jemand die Bedeutung?

    Außerdem werden immer pakete nach der regel 60001 und 60002 gedropped. Ich habe allerdings noch nicht die gefunden, wo ich sehen kann, welche Regel welche nummer hat.

    Hier die Paketfilter findet ihr im Anhang.

    EDIT: Wenn ich unter HTTPS Proxy die Methode Standard nehme, kann ich alle SSL seiten besuchen, außer die unserer Firma. Ich muss zwar bei jedem Client einen Proxy eintragen (bzw. man kann die einstellungen ja auch verteilen), aber das ist ja halb so wild.
    Wenn ich jedoch unsere eigenen Services aufrufe, kommt die Fehlermeldung: "Error message:  Unable to get peer certificate". Ich habe schon etwas danach gegoogelt, scheinbar ist es ein vertrauensproblem. Jedoch ist mir noch unklar wieso es nur bei unseren Zerfifikaten nicht geht, da diese auch von Zertifizierungsanbietern stammen.
    packetfilter.zip
  • 0
    srcip="208.50.223.240" dstip="192.168.30.100" [...] srcport="80" dstport="46624"

    208.50.223.240 versucht, auf eine Bitte von 192.168.30.100 zu antworten, aber die Astaro erkennt die Antwort nicht als ein eingeladenes Paket.  Vielleicht fehlt's eine masq Regel?

    srcip="192.168.2.173" dstip="62.153.105.39" [...] dstport="443"

    Da brauchst Du eine Paketfilterregel und eine masq Regel:

    'Network Security >> Packet Filter': Internal (Network) -> HTTPS -> Internet : Allow

    'Network Security >> NAT' 'Msquerading': Internal (Network) -> External


    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    also scheinbar ist es jetzt funktionsfähig. eine abschließende aussage kann ich jedoch noch nicht vornehmen, da die ASTARO noch hinter der Produktivfirewall hängt und diese SSL anfragen der ASTARO auf das interne Netzwerk verbietet. Ansonsten funktionieren alle SSL verbindungen wie gewünscht.

    Besten dank für die Hilfe!