Wechseln zu:Navigation, Suche
Wiki
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
 
(5 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 9: Zeile 9:
| Tranparenter Modus für den HTTP-Proxy der UTM
| Tranparenter Modus für den HTTP-Proxy der UTM
| Transparent mode for the http-proxy of the UTM }}
| Transparent mode for the http-proxy of the UTM }}
{{var | neu--Layoutanpassung
{{var | Anwendungen
| Layoutanpassung
| Anwendungen
| Layout adjustment }}
| Applications }}
{{var | Fehlerursache
{{var | Transparenter Modus
| Fehlerursache bei ''Host header forgery detected''
| Transparenter Modus
| Error cause for ''Host header forgery detected'' }}
| Transparent Mode }}
{{var | no-Regex
{{var | Transparenter Proxy--Hinweis
| Die Regex-Ausnahmen gelten nicht für den transparenten Modus!
| Die Regex-Ausnahmen gelten nicht für den transparenten Modus!
| The regex exceptions do not apply to transparent mode! }}
| The regex exceptions do not apply to transparent mode! }}
{{var | Transparenter Proxy
{{var | Transparenter Proxy
| Funtkionsweise des transparenten Proxys
| Funktionsweise des transparenten Proxys
| Functionality of the transparent proxy }}
| Functionality of the transparent proxy }}
{{var | Transparenter Proxy--desc
{{var | Transparenter Proxy--desc
| Der transparente Proxy sorgt dafür, dass Webseitenaufrufe auch ohne Einstellungen im Browser über den HTTP-Proxy geleitet werden, so dass der Virenscanner und der Webfilter auf diese Verbindungen angewendet werden können.<br>
| Der transparente Proxy sorgt dafür, dass Webseitenaufrufe auch ohne Einstellungen im Browser über den HTTP-Proxy geleitet werden, so dass der Virenscanner und der Webfilter auf diese Verbindungen angewendet werden können.<br><br> Um auch SSL-Verschlüsselte Verbindungen auf Viren und Schadsoftware überprüfen zu können, muss sich der Proxy als Client gegenüber dem Webserver im Internet ausgeben, so dass die Daten schon auf der Firewall entschlüsselt werden können.<br> Diese sollen anschließend natürlich wieder verschlüsselt an den eigentlichen Client im internen Netzwerk weitergeleitet werden.<br> Um dieses zu erreichen wird das Feature SSL-Interception genutzt.
 
| The transparent proxy ensures that web page calls are routed through the HTTP proxy even without settings in the browser, so that the virus scanner and web filter can be used for these connections.<br><br> In order to be able to check SSL-encrypted connections for viruses and malware, the proxy must pretend to be a client to the web server on the Internet, so that the data can already be decrypted on the firewall.<br> These are to be passed on coded afterwards again  to the actual Client in the internal network.<br> To achieve this, the feature SSL interception is used. }}
Um auch SSL-Verschlüsselte Verbindungen auf Viren und Schadsoftware überprüfen zu können, muss sich der Proxy als Client gegenüber dem Webserver im Internet ausgeben, so dass die Daten schon auf der Firewall entschlüsselt werden können.<br>
Diese sollen anschließend natürlich wieder verschlüsselt an den eigentlichen Client im internen Netzwerk weitergeleitet werden.<br>
Um dieses zu erreichen wird das Feature SSL-Interception genutzt.
| The transparent proxy ensures that web page calls are routed through the HTTP proxy even without settings in the browser, so that the virus scanner and web filter can be used for these connections.<br>
 
In order to be able to check SSL-encrypted connections for viruses and malware, the proxy must pretend to be a client to the web server on the Internet, so that the data can already be decrypted on the firewall.<br>
These are to be passed on coded afterwards again  to the actual Client in the internal network.<br>
To achieve this, the feature SSL interception is used. }}
{{var | Konfiguration
{{var | Konfiguration
| Konfiguration
| Konfiguration
Zeile 41: Zeile 33:
| Für die SSL-verschlüsselte Übertragung zum Client wird eine CA benötigt.
| Für die SSL-verschlüsselte Übertragung zum Client wird eine CA benötigt.
| A CA is required for SSL-encrypted transmission to the client. }}
| A CA is required for SSL-encrypted transmission to the client. }}
{{var | Zertifikat-CA--Bild
{{var | Bild Anleitung anzeigen
| UTM v12.2 CA für SSL-Interception.png
| Bild Anleitung anzeigen
| UTM v12.2 CA für SSL-Interception-en.png }}
| Show image instructions }}
{{var | Zertifikat-CA--cap
{{var | Zertifikat-hinzufügen--Bild
| CA erstellen
| UTM v12.6 HTTP Proxy-Tansparenter Modus CA fuer SSL-Interception hinzufuegen.png
| Create CA }}
| UTM v12.6 HTTP Proxy-Tansparenter Modus CA fuer SSL-Interception hinzufuegen-en.png }}
{{var | Zertifikat--Bild
{{var | Zertifikat-hinzufügen--cap
| UTM v12.2 Zertifikate für SSL-Interception.png
| CA erstellen unter {{Menu-UTM|Authentifizierung|Zertifikate|CA|CA hinzufügen|+}}
| UTM v12.2 Zertifikate für SSL-Interception-en.png }}
| Create CA under {{Menu-UTM|Authentication|Certificate|CA|Add CA|+}} }}
{{var | Zertifikat--cap
{{var | CA hinzufügen
| CA hinzufügen
| Add CA }}
{{var | Authentifizierung
| Authentifizierung
| Authentication }}
{{var | Zertifikate
| Zertifikate
| Zertifikate
| Certificates }}
| Certificate }}
{{var | SSL-Interception
{{var | Zertifikat-fertig--Bild
| SSL-Interception
| UTM v12.6 HTTP Proxy-Tansparenter Modus CA fuer SSL-Interception fertig.png
| SSL-Interception }}
| UTM v12.6 HTTP Proxy-Tansparenter Modus CA fuer SSL-Interception fertig-en.png }}
{{var | SSL-Interception--desc
{{var | Zertifikat-fertig--cap
| Konfiguration unter {{Menu|Anwendungen|HTTP-Proxy|SSL-Interception}}
| Übersicht unter {{Menu-UTM|Authentifizierung|Zertifikate|Zertifikate}}
| Configuration under {{Menu|Applications|HTTP Proxy|SSL Interception}}  }}
| Overview under {{Menu-UTM|Authentication|Certificate|Certificate}} }}
{{var | SSL-Interception--Bild
| UTM v12.2 HTTP-Proxy SSL-Interception.png
| UTM v12.2 HTTP-Proxy SSL-Interception-en.png }}
{{var | SSL-Interception--cap
| Reiter SSL-Interception
| SSL Interception tab }}
{{var | CA--erstellen
| Anleitung zum Erstellen einer CA
| Instructions for creating a CA }}
{{var | CA--erstellen--desc
| Eine CA kann im Menü {{Menu|Authentifziernug|Zertifikate|CA|CA hinzufügen|+|x}} erstellt werden.<br>
Die CA bekommt einen eindeutigen Namen, die Schlüssellänge ≥ 2048, eine Gültigkeitsdauer bis max 31.12.2037 und weitere Angaben, die das Zertifikat individualiseren.<br>
Abschließen mit {{Button|Speichern}}
| A CA can be created from the {{Menu|Authentication|Certificates|CA|Add CA|+|x}} menu.<br>
The CA gets a unique name, the key length ≥ 2048, a validity period up to max 31.12.2037 and other information that individualize the certificate.<br>.
Finish with {{Button|Save}} }}
{{var | Aktivierung
| Aktiviert die SSL-Interception
| Activates the SSL interception }}
{{var | Webfilter basiert
| Webfilter basiert:
| Webfilter based: }}
{{var | Webfilter basiert--desc
| Bei Aktivierung werden  lediglich vom Webfilter blockierte Verbindungen abgefangen.<br>
Dadurch wird das Problem umgangen, daß es Seiten gibt, die ein Unterbrechen der Verschlüsselung nicht tolerieren (z.B. Banking-Software), ohne das man dafür extra eine Ausnahme definieren muss.
| When enabled, only connections blocked by the web filter are intercepted.<br>
This avoids the problem that there are sites that do not tolerate an interruption of the encryption (e.g. banking software) without having to define an exception for it. }}
{{var | Nicht erkannte Protokolle erlauben
| Nicht erkannte Protokolle erlauben:
| Allow non identified protocols: }}
{{var | Nicht erkannte Protokolle erlauben--desc
| {{f|Was genau bedeutet das? § Und seit wann gibt es das?}}
|  }}
{{var | CA-Zertifikat
| CA-Zertifikat:
| CA-Certificate: }}
{{var | CA-Zertifikat--desc
| Hier muss eine CA ausgewählt werden, die die Verbindung nach dem entschlüsseln (und scannen) wieder verschlüsseln kann.<br>Der Public-Key der CA muss auf allen Client Rechnern, die SSL-Interception nutzen sollen, installiert werden. Herunterladen kann hier direkt mit {{ButtonD|Public-Key herunterladen}} erfolgen.
| Here, a CA must be selected that can re-encrypt the connection after decryption (and scanning).<br>The public key of the CA must be installed on all client computers that are to use SSL Interception. Download can be done here directly with {{ButtonD|Download public key}}. }}
{{var | Zertifikatsverifizierung
| Zertifikatsverifizierung:
| Peer verification: }}
{{var | Zertifikatsverifizierung--desc
| {{Hinweis|!}} Sollte unbedingt aktiviert werden! Damit überprüft der HTTP-Proxy, ob das Zertifikat der aufgerufenen Seite vertrauenswürdig ist. Da der Browser nur noch das lokale Zertifikat sieht, ist eine Überprüfung durch den Browser nicht mehr möglich.
| {{Hinweis|!}} This should definitely be enabled! With this, the HTTP proxy checks whether the certificate of the called page is trustworthy. Since the browser only sees the local certificate, a check by the browser is no longer possible. }}
{{var | Ausnahmen für SSL-Interception
| Ausnahmen für SSL-Interception
| Exceptions for SSL-Interception  }}
{{var | Ausnahmen für SSL-Interception--desc
| Es besteht die Möglichkeit Ausnahmen im  Format der [[UTM/APP/Regex | Regular Expressions]] zu definieren. Da hier aber nur https ankommen kann, wird hier, anders als bei dem Virenscanner,  nicht auf Protokolle gefiltert. <br>Mit {{Button|+ Regex}} werden neue Ausnahmen hinzu gefügt. {{info| 1=Eine Ausnahme für www.securepoint.de würde also lauten:&#10;.*\.securepoint\.de"}}
| It is possible to define exceptions in the format of [[UTM/APP/Regex | Regular Expressions]]. However, since only https can arrive here, it is not filtered for protocols, unlike the virus scanner. <br>With {{Button|+ Regex}} new exceptions are added. {{info| 1=So an exception for www.securepoint.de would be:&#10;.*\.securepoint\.de"}}  }}
{{var | Ausnahmen für Zertifikatsverifizierung
| Ausnahmen für Zertifikatsverifizierung
| Peer verification exceptions }}
{{var | Ausnahmen für Zertifikatsverifizierung--desc
| Hier können ausnahmen für die Zertifikatsverifizierung im Regex-Format hinzugefügt werden.
| Here exceptions for certificate verification in regex format can be added. }}
{{var | Zertifikat dem Browser hinzufügen
{{var | Zertifikat dem Browser hinzufügen
| Zertifikat dem Browser hinzufügen
| Zertifikat dem Browser hinzufügen
Zeile 126: Zeile 67:
| Transparent mode }}
| Transparent mode }}
{{var | Transparenter Modus--desc
{{var | Transparenter Modus--desc
| Aktivierung mit {{KastenGrau|{{#var:Transparenter Modus}} }} {{ButtonAn|{{#var:ein}} }}
| Aktivierung mit {{KastenGrau|Transparenter Modus}} {{ButtonAn|Ein}} }}
| Activation with {{KastenGrau|{{#var:Transparenter Modus}} }} {{ButtonAn|{{#var:ein}} }} }}
| Activation with {{KastenGrau|Transparent mode}} {{ButtonAn|On}} }}
{{var | Transparenter Modus--Bild
{{var | Transparenter Modus--Bild
| UTM v12.2 HTTP-Proxy Transparent.png
| UTM v12.6 HTTP Proxy-Tansparenter Modus aktiviert.png
| UTM v12.2 HTTP-Proxy Transparent-en.png }}
| UTM v12.6 HTTP Proxy-Tansparenter Modus aktiviert-en.png }}
{{var | Transparenter Modus--cap
{{var | Transparenter Modus--cap
| Reiter ''Transparenter Modus''
| Transpatenter Modus aktiviert
| Tab ''Transparent mode'' }}
| Transparent mode activated }}
{{var | HTTPS-Regel--desc
{{var | Transparenter Modus--desc
| In der Standard Einstellung ist der transparente Modus für das HTTP Protokoll über Port 80 schon aktiviert. <br>Um diesen auch für das HTTPS Protokoll und Port 443 einzurichten, wird durch einen Klick auf die Schaltfläche {{Button|Transparente Regel hinzufügen|+}} eine weitere Regel hinzugefügt.
| Aktivierung unter {{Menu-UTM|Anwendungen|HTTP-Proxy|Transparenter Modus}} mit {{Kasten|Transparenter Modus|grau}} {{ButtonAn|Ein}}
| In the default setting, transparent mode is already enabled for the HTTP protocol over port 80. <br>To set this up for the HTTPS protocol and port 443 as well, another rule is added by clicking the {{Button|Add Transparent Rule|+}} button.  }}
| ACtivate under {{Menu-UTM|Application|HTTP Proxy|Transparent mode}} with {{Kasten|Transparent mode|grau}} {{ButtonAn|On}} }}
{{var | HTTPS-Regel
{{var | HTTPS-Regel anlegen
| HTTPS-Regel anlegen
| HTTPS-Regel anlegen
| Create HTTPS rule }}
| Create HTTPS rule }}
{{var | HTTPS-Regel--Bild
{{var | HTTPS-Regel anlegen--desc
| UTM v12.2 HTTP-Proxy Transparent Regel-hinzufügen.png
| In der Standard Einstellung ist der transparente Modus für das HTTP Protokoll über Port 80 schon aktiviert. <br>Um diesen auch für das HTTPS Protokoll und Port 443 einzurichten, wird durch einen Klick auf die Schaltfläche {{Button|Transparente Regel hinzufügen|+}}  eine weitere Regel hinzugefügt.
| UTM v12.2 HTTP-Proxy Transparent Regel-hinzufügen-en.png }}
| In the default setting, transparent mode is already enabled for the HTTP protocol over port 80. <br>To set this up for the HTTPS protocol and port 443 as well, another rule is added by clicking the {{Button|Add Transparent Rule|+}} button. }}
{{var | HTTPS-Regel--cap
{{var | HTTPS-Regel anlegen--Bild
| UTM v12.6 HTTP Proxy-Tansparente Regel hinzufuegen HTTPS.png
| UTM v12.6 HTTP Proxy-Tansparente Regel hinzufuegen HTTPS-en.png }}
{{var | HTTPS-Regel anlegen--cap
| Transparente Regel für HTTPS hinzufügen
| Transparente Regel für HTTPS hinzufügen
| Add transparent rule for HTTPS }}
| Add transparent rule for HTTPS }}
{{var | Transparente Regel hinzufügen
| Transparente Regel hinzufügen
| Add transparent rule }}
{{var | Protokoll
{{var | Protokoll
| Protokoll
| Protokoll
Zeile 159: Zeile 106:
| Determines whether transparent mode should be applied to the following network groups or not.<br>If a specific network object or network group is to be excluded from transparent mode as a source or destination, an ''Exclude'' rule can define an exception before the general ''Include'' rule. }}
| Determines whether transparent mode should be applied to the following network groups or not.<br>If a specific network object or network group is to be excluded from transparent mode as a source or destination, an ''Exclude'' rule can define an exception before the general ''Include'' rule. }}
{{var | Quelle
{{var | Quelle
| Quelle:
| Quelle
| Source: }}
| Source }}
{{var | Quelle--desc
{{var | Quelle--desc
| Quell-{{Button|Netzwerkobjekt|d}}, angelegt unter [[UTM/RULE/Portfilter#Netzwerkobjekte_erstellen | {{Menu | Firewall | Portfilter|Netzwerkobjekte}}]]<br>Als Quelle muss das Netzwerk aus dem die Anfragen kommen, z.B. ''internal-network''.
| Quell-{{Button|Netzwerkobjekt|d}}, angelegt unter [[UTM/RULE/Paketfilter#Netzwerkobjekte_erstellen | {{Menu-UTM|Firewall|Netzwerkobjekte}}]]<br> Als Quelle muss das Netzwerk aus dem die Anfragen kommen, z.B. ''internal-network''.
| Source {{Button|network object|d}}, created under [[UTM/RULE/Portfilter#Create_network_objects | {{Menu | Firewall | Portfilter|network object}}]] <br>The source must be the network from which the requests come, e.g. ''internal-network''. }}
| Source {{Button|network object|d}}, created under [[UTM/RULE/Paketfilter#Create_network_objects | {{Menu-UTM|Firewall|Network Objects}}]]<br> The source must be the network from which the requests come, e.g. ''internal-network''. }}
{{var | Ziel
{{var | Ziel
| Ziel:
| Ziel
| Destination: }}
| Destination }}
{{var | Ziel--desc
{{var | Ziel--desc
| Ziel-Netzwerkobjekt in dem die Webserver stehen die angesprochen werden sollen, in diesem Beispiel ''internet''.
| Ziel-Netzwerkobjekt in dem die Webserver stehen die angesprochen werden sollen, in diesem Beispiel ''internet''.
| Target network object in which the web servers to be addressed are located, in this example ''internet''. }}
| Target network object in which the web servers to be addressed are located, in this example ''internet''. }}
{{var | Speichern--desc
{{var | Speichern--desc
| Ein Klick auf {{Button|Speichern}} speichert die neue Regel.<br>Ein weiterer Klick auf {{Button|Speichern}} im HTTP-Proxy Fenster sorgt für eine Aktualisierung der Regeln.
| Ein Klick auf {{Button-dialog||fa-floppy-disk-circle-xmark|hover=Speichern und schließen}} speichert die neue Regel und schließt den Dialog.<br> Ein weiterer Klick auf {{Button-dialog||fa-save|hover=Speichern}} im HTTP-Proxy Fenster sorgt für eine Aktualisierung der Regeln.
|  Clicking {{Button|Save}} will save the new rule.<br>Another click on {{Button|Save}} in the HTTP proxy window will update the rules. }}
|  Clicking {{Button-dialog||fa-floppy-disk-circle-xmark|hover=Save and close}} will save the new rule and close the dialog.<br> Another click on {{Button-dialog||fa-save|hover=Save}} in the HTTP proxy window will update the rules. }}
{{var | Portfilterregeln
{{var | Paketfilterregeln
| Portfilterregeln
| Paketfilterregeln
| Port filter rules }}
| Packet filter rules }}
{{var | Portfilterregeln--desc
{{var | Paketfilterregeln--desc
| <p>Da nun sowohl HTTP mit Port 80 als auch HTTPS mit Port 443 über den Proxy umgeleitet werden, muss gewährleistet sein, dass die Namensauflösung erfolgen kann. <br>Sofern die UTM als Nameserver bei den Clients eingetragen ist, wird also eine Regel benötigt die DNS aus den lokalen (privaten) Netzwerken auf die dazugehörige Netzwerkschnittstelle erlaubt.</p>
| Paketfilterregel für Zugriff auf DNS-Auflösung
<p>In der Werkseinstellung existiert schon eine entsprechende Regel mit der Dienstgruppe ''Proxy''. Diese enthält auch den Nameserver Port 53 für UDP und TCP.</p>
| Packet filter rule for access to DNS resolution }}
Abschließend sollte also noch im Memü {{Menu|Firewall|Portfilter}} überprüft werden, ob eine entsprechende Regel vorhanden ist.
| <p>Since both HTTP with port 80 and HTTPS with port 443 are redirected via the proxy, it must be ensured that the name resolution can take place. <br>If the UTM is registered as a name server with the clients, a rule is required that allows DNS from the local (private) networks to the associated network interface.</p>
<p>In the factory settings, a corresponding rule already exists with the service group ''Proxy''. This also contains the nameserver port 53 for UDP and TCP.</p>
Finally you should check in the memu {{Menu|Firewall|Portfilter}} if a corresponding rule exists. }}
{{var | Regel--internal-interface
| Portfilterregel für Zugriff auf DNS-Auflösung
| Port filter rule for access to DNS resolution }}
{{var | Beispiele für Ausnahmen für Windows-Updateserver
{{var | Beispiele für Ausnahmen für Windows-Updateserver
| Beispiele für Ausnahmen für Windows-Updateserver
| Beispiele für Ausnahmen für Windows-Updateserver
Zeile 201: Zeile 141:
| Aktion
| Aktion
| Action }}
| Action }}
{{var | Troubleshooting
| Troubleshooting
| Troubleshooting }}
{{var | display--Host-header-forgery
| Fehlermeldung bei transparentem Proxy
| Error message for transparent proxy }}
{{var | head--Host-header-forgery
| Fehlgeschlagene DNS-Auflösung bei transparentem Proxy mit HTTPS und Webfilterbasierter SSL-Interception
| Failed DNS resolution for transparent proxy with HTTPS }}
{{var | Situation
| Situation
| Situation }}
{{var | Situation--desc
|* UTM mit aktivem transparenten HTTP-Proxy für HTTP und HTTPS.
* Die SSL-Interception läuft im Modus "Webfilterbasierend". 
|* UTM with active transparent HTTP proxy for HTTP and HTTPS.
* SSL interception running in "Web Filter Based" mode.  }}
{{var | Logmeldung im Squid
| Logmeldung in der UTM
| Log message in the UTM }}
{{var | Logmeldung im Squid--desc
| Logmdeldung des Squid (Menü {{Menu|Log}}) in der UTM:
| Log message of Squid (menu {{Menu|Log}}) in the UTM: }}
{{var | Bedeutung
| Bedeutung
| Meaning }}
{{var | Bedeutung--desc
|* Der Client startet eine TCP-Verbindung zu einem HTTPS-Server
* Die Verbindung wird durch die UTM → Transparenter Proxy abgefangen
* Der HTTP-Proxy (Squid) prüft die Verbindung und analysiert den TLS-Handshake.
* Die gewonnen Informationen wie der SNI werden dabei aufgelöst und mit der ursprünglichen IP-Adresse verglichen
* In diesem Fall stimmen ursprüngliche IP und die aufgelöste IP für den SNI (Hostnamen) nicht überein und werden daher durch den HTTP-Proxy blockiert und es kommt zu oben stehender Fehlermeldung
|* The client starts a TCP connection to an HTTPS server
* The connection is intercepted by the UTM → Transparent Proxy
* The HTTP proxy (Squid) checks the connection and analyzes the TLS handshake
* The information obtained, such as the SNI, is thereby resolved and compared with the original IP address
* In this case, the original IP and the resolved IP for the SNI (hostname) do not match and are therefore blocked by the HTTP proxy, resulting in the above mentioned error message }}
{{var | Ursache
| Ursache
| Cause }}
{{var | Ursache--desc
| Dieses Verhalten ist bei Hostnamen mit einer intensiven Lastenverteilung zu beobachten. <br>Wenn der Anbieter in kurzer Zeit unterschiedliche Antworten auf DNS-Anfragen gibt, können sich die Ergebnisse in der DNS-Auflösung zwischen Client und UTM unterscheiden.
Dieses Verhalten kann hervorgerufen werden durch:
* unterschiedliche DNS-Server auf Client und UTM
* Hostnamen, die mit einer sehr kleinen TTL durch intensive Lastenverteilung, von UTM und Client unterschiedlich aufgelöst werden. 
* Nutzung von DNS-Servern an unterschiedlichen geografischen Standorten.<br>Dabei kann über den entfernten Standort für die aufgerufenen Hostnamen eine andere IP-Adresse zurückgegeben werden als am lokalen Standort der UTM. (Geographic DNS Routing)
| This behavior can be observed for hostnames with intensive load balancing. <br>If the provider gives different responses to DNS queries in a short period of time, the results in DNS resolution may differ between the client and the UTM.
This behavior can be caused by:
* different DNS servers on client and UTM.
* Hostnames that are resolved differently by UTM and client with a very small TTL due to intensive load balancing.
* Use of DNS servers at different geographical locations.<br>In this case, a different IP address can be returned via the remote location for the called host names than at the local location of the UTM. (Geographic DNS Routing) }}
{{var | Lösung
| Lösung
| Solution }}
{{var | Lösung--desc
|* '''Best Practice:'''<br>Auf dem Client wird die UTM als globaler Proxy-Server und ggf. für jede Anwendung als Proxy-Server eingetragen.
* '''Workaround:'''<br>Auf Client und UTM werden die gleichen DNS-Server eingetragen.
| * On the client, the UTM is entered as the global proxy server and, if necessary, as the proxy server for each application.
* Workaround: The same DNS servers are entered on the client and UTM. }}
{{var | Lösung--Hinweis
| Dieses Vorgehen minimiert die Fehlerrate, kann das Problem aber vor allem bei Servern, die Loadbalancing mit sehr kurzen TTLs-betreiben nicht sicher verhindern.<br>
Zusätzlich muss darauf geachtet werden, daß auch keine DNS-Server verwendet werden, die selber bereits über ''Geographic DNS Routing'' angesprochen werden.<br>Die Google-Server z.B. unterscheiden sich trotz identischer IP-Adresse je nach Region, von der aus sie aufgerufen werden!
| This procedure minimizes the error rate, but cannot reliably prevent the problem, especially with servers that use load balancing with very short TTLs.
In addition, it must be ensured that no DNS servers are used that are themselves already addressed via ''Geographic DNS Routing''.<br>The Google servers, for example, differ despite identical IP address depending on the region from which they are called! }}
{{var | Lösung--SNI
|* '''Einfach, aber unsicher:'''<br>Unter  {{Menu|Anwendungen|HTTP-Proxy|SSL-Interception}} die Option {{b|SNI validieren:}} {{ButtonAus|Nein}} deaktivieren. {{info|Ohne SNI Validierung können Clients die SNI beliebig manipulieren, um den Webfilter zu passieren. Diese Einstellung sollte nur als eine letzte Möglichkeit betrachtet werden, wenn es unmöglich scheint, die DNS-Einstellungen zwischen Clients des HTTP-Proxy und der UTM zu vereinheitlichen.}}
|  }}
{{var | Fehlermeldung im Browser
| Fehlermeldung im Browser
| Error message in the browser }}
{{var | Fehlermeldung im Browser--desc
| ERROR_SSL_PROTOCOL_ERROR
| ERROR_SSL_PROTOCOL_ERROR }}
{{var | oder  
{{var | oder  
| oder
| oder
| or }}
| or }}
{{var | Fehlermeldung im Browser--Firefox--desc
| ssl_error_rx_record_too_long
| ssl_error_rx_record_too_long }}
{{var | Version12.2
| Ab Version '''v12.1.9''' <small>(12.2021)</small>
| Only with UTM '''v12.2''' (09.2021) }}
{{var | Details zeigen
| Details zeigen
| Show details }}
{{var | Zertifikat dem Browser hinzufügen--desc
{{var | Zertifikat dem Browser hinzufügen--desc
| <br>
| Dazu wird der öffentliche Teil des CA über den Button [[Datei:UTMV11_SI_PKdladenB.png|140px]] heruntergeladen.<br> Entweder dadurch, dass sich von jedem einzelnen Client auf der UTM einloggen um auf diesen das CA zu speichern oder es wird einmal heruntergeladen und auf einem USB-Stick oder einem Netzwerkspeicher abgelegt. Anschließend wird über diesen Weg dem Browser das Zertifikat hinzugefügt.  
Dazu wird der öffentliche Teil des CA über den Button [[Datei:UTMV11_SI_PKdladenB.png|140px]] heruntergeladen.<br>
| To do this, the public part of the CA is downloaded via the button [[File:UTMV11_SI_PKdladenB.png|140px]].<br> Either by logging in from each individual client on the UTM to store the CA on them or it is downloaded once and stored on a USB stick or network storage. The certificate is then added to the browser via this route. }}
Entweder dadurch, dass sich von jedem einzelnen Client auf der UTM einloggen um auf diesen das CA zu speichern oder es wird einmal heruntergeladen und auf einem USB-Stick oder einem Netzwerkspeicher abgelegt. Anschließend wird über diesen Weg dem Browser das Zertifikat hinzugefügt.  
| <br>
To do this, the public part of the CA is downloaded via the button [[File:UTMV11_SI_PKdladenB.png|140px]].<br>
Either by logging in from each individual client on the UTM to store the CA on them or it is downloaded once and stored on a USB stick or network storage. The certificate is then added to the browser via this route. }}
{{var | Gallery
{{var | Gallery
     |{{Gallery3| Cl_Chrome_Zertverw.png|Zertifikatsverwaltung<br>1. In den Einstellungen des Browser befindet sich die Zertifikatsverwaltung
     |{{Gallery3| Cl_Chrome_Zertverw.png|Zertifikatsverwaltung<br>1. In den Einstellungen des Browser befindet sich die Zertifikatsverwaltung
Zeile 309: Zeile 157:
| Cl_Chrome_ZMZsWv.png|Certificate for websites<br>3. The downloaded CA is selected from the appropriate directory.
| Cl_Chrome_ZMZsWv.png|Certificate for websites<br>3. The downloaded CA is selected from the appropriate directory.
| Cl_Chrome_ZMZsmCA.png|Certification Authorities with CA<br>4. When asked if the CA should be trusted as a certification authority, the line "Trust this certificate to identify websites" is checked.<br>5. Finally, click ''OK''.
| Cl_Chrome_ZMZsmCA.png|Certification Authorities with CA<br>4. When asked if the CA should be trusted as a certification authority, the line "Trust this certificate to identify websites" is checked.<br>5. Finally, click ''OK''.
|i=4}}
|i=4}} }}
|  
{{var | SSL-Interception--desc
|  }}
| Konfiguration unter {{Menu-UTM|Anwendungen|HTTP-Proxy|SSL-Interception}}
{{var |  
| Configuration under {{Menu-UTM|Applications|HTTP Proxy|SSL Interception}} }}
|  
{{var | SSL-Interception--Bild
| }}
| UTM v12.2 HTTP-Proxy SSL-Interception.png
 
| UTM v12.2 HTTP-Proxy SSL-Interception-en.png }}


----
----
{{var |  
{{var |  
|  
|  

Aktuelle Version vom 5. Juni 2024, 11:47 Uhr