UTM/APP/HTTP Proxy-Transparenter Modus

12.6.0

SSL-Interception

			[[Datei: ]]



\|\| \|\|
\|\| \|\|
\|\| CA-SSL-Interception \|\|
\|\| CA-SSL-Interception \|\|
\|\| \|\|


\|\| \|\|
\|\| .\.ttt-point\.de .\.ikarus\.at.\.mailsecurity\.at .91\.212\.136\..* \|\|

HTTP-Proxy UTM HTTP-Proxy Log [[Datei: ]]

			[[Datei: ]]
\|\| HTTPS \|\|
\|\| Include Exclude \|\|
\|\| internal-network \|\|
\|\| internet \|\|

		#				NAT
		2	internal-network	internal-interface	proxy		Accept

Troubleshooting

{{var | Lösung--SNI

| Einfach, aber unsicher:
Unter SSL-Interception die Option SNI validieren: Nein deaktivieren.

Ohne SNI Validierung können Clients die SNI beliebig manipulieren, um den Webfilter zu passieren. Diese Einstellung sollte nur als eine letzte Möglichkeit betrachtet werden, wenn es unmöglich scheint, die DNS-Einstellungen zwischen Clients des HTTP-Proxy und der UTM zu vereinheitlichen.

Situation

ERROR_SSL_PROTOCOL_ERROR
ssl_error_rx_record_too_long

2021-09-15T16:50:20.003+02:00|squid|8933|1631717419.981 1 192.0.2.192 NONE/200 0 CONNECT 104.96.47.5:443 - HIER_NONE/- -
2021-09-15T16:50:20.007+02:00|squid|8933|1631717420.007 27 192.0.2.192 NONE_ABORTED/409 12387 CONNECT loadbalancing.ttt-point.de:443 - HIER_NONE/- text/html
2021-09-15T16:50:20.007+02:00|squid|8933|1631717420.007 27 192.0.2.192 NONE_ABORTED/409 12387 CONNECT loadbalancing.ttt-point.de:443 - HIER_NONE/- text/html
2021-09-15T16:50:22.652+02:00|squid|8933|SECURITY ALERT: Host header forgery detected on local=192.0.2.22:443 remote=192.168.175.10:28144 FD 9 flags=33 (local IP does not match any domain IP)
2021-09-15T16:50:22.654+02:00|squid|8933|SECURITY ALERT: on URL: loadbalancing.ttt-point.de:443

			[[Datei: ]]



\|\| \|\|
\|\| \|\|
\|\| CA-SSL-Interception \|\|
\|\| CA-SSL-Interception \|\|
\|\| \|\|


\|\| \|\|
\|\| .\.ttt-point\.de .\.ikarus\.at.\.mailsecurity\.at .91\.212\.136\..* \|\|

			[[Datei: ]]
\|\| HTTPS \|\|
\|\| Include Exclude \|\|
\|\| internal-network \|\|
\|\| internet \|\|