OPNsense Transparenter Proxy: Unterschied zwischen den Versionen

Aus xinux.net
Zur Navigation springen Zur Suche springen
 
(2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
=Einrichten eines Transparenten Proxys=
+
*[[OPNsense Transparenter Proxy Einrichten]]
OPNsense bietet einen leistungsstarken Proxy, der in Kombination mit kategorienbasierter Webfilterung und jeder ICAP-fähigen Antivirus-/Malware-Engine verwendet werden kann. Der Proxy kann so konfiguriert werden, dass er im transparenten Modus ausgeführt wird. Das bedeutet, dass der Browser des Clients nicht für den Webproxy konfiguriert werden muss, sondern der gesamte Verkehr automatisch zum Proxy umgeleitet wird, indem die Network Address Translation verwendet wird.
+
*[[OPNsense Transparenter Proxy Schritt für Schritt]]
=Warnung=
 
Der transparente SSL/HTTPS-Proxy-Modus verwendet eine Technik, die auch als Man-in-the-Middle bezeichnet wird. Konfigurieren und verwenden Sie dies nur, wenn Sie wissen, was Sie tun. Bei falscher Konfiguration können Ihre Sicherheitsvorkehrungen erheblich reduziert statt verbessert werden. Die Verwendung eines transparenten HTTPS-Proxys kann eine riskante Praxis sein und von den von Ihnen genutzten Diensten möglicherweise nicht gestattet sein, z. B. beim Online-Banking.
 
=Grundlegende Proxy-Einrichtung=
 
Um die transparenten Modi einzurichten, ist eine funktionale grundlegende Proxy-Konfiguration erforderlich. Für die grundlegende Konfiguration verweisen Sie bitte auf die Einrichtung eines Caching-Proxys.
 
*Installiere Sie das Plugin os-squid
 
 
 
=Transparentes HTTP=
 
Gehen Sie zu Dienste ‣ Webproxy ‣ Verwaltung
 
 
 
Wählen Sie dann unter dem Tab "Forward Proxy" die Option Allgemeine Weiterleitungseinstellungen.
 
 
 
Aktivieren Sie Transparenten HTTP-Proxy und klicken Sie auf Übernehmen.
 
 
 
=NAT/Firewall-Regel=
 
Eine einfache Möglichkeit, die NAT-/Firewall-Regel hinzuzufügen, besteht darin, auf das (i)-Symbol links neben der Option Transparenten HTTP-Proxy aktivieren zu klicken und eine neue Firewall-Regel hinzuzufügen.
 
 
 
Für den Verweis sind dies die Standardeinstellungen:
 
 
 
=CA für Transparentes SSL=
 
Bevor wir einen transparenten SSL/HTTPS-Proxy einrichten können, müssen wir eine Zertifizierungsstelle erstellen. Gehen Sie zu System ‣ Vertrauen ‣ Behörden oder verwenden Sie das Suchfeld, um dorthin zu gelangen.
 
 
 
Klicken Sie in der oberen rechten Ecke des Bildschirms auf Hinzufügen oder Importieren, um eine neue CA zu erstellen.
 
 
 
Für unser Beispiel verwenden wir die folgenden Daten:
 
 
 
[[Datei:Opnsense-ca-1.png]]
 
 
 
=Transparentes SSL=
 
 
 
Gehen Sie zu Dienste ‣ Webproxy ‣ Verwaltung
 
 
 
Wählen Sie dann unter dem Tab "Forward Proxy" die Option Allgemeine Weiterleitungseinstellungen.
 
 
 
Aktivieren Sie den SSL-Modus und setzen Sie die CA, die Sie gerade erstellt haben. Klicken Sie dann auf Übernehmen.
 
 
 
=Kein SSL-Bump konfigurieren=
 
 
 
Dieser Schritt ist sehr wichtig und erfordert sorgfältige Überlegung! Um sicherzustellen, dass bekannte Websites nicht gebumpt werden und ihre ursprüngliche Sicherheitsschicht intakt bleibt, muss man diese einschließlich aller Subdomains in das Feld SSL no bump sites eintragen.
 
 
 
Geben Sie ein neues Element in das Feld ein und drücken Sie die Eingabetaste, um es zu akzeptieren. Beginnen Sie mit einem . (Punkt), um auch alle Subdomains hinzuzufügen. Beispiel: Um alle von paypal.com hinzuzufügen, geben Sie .paypal.com ein und drücken Sie die Eingabetaste.
 
 
 
Hinweis
 
 
 
Stellen Sie sicher, dass alle Bankseiten und Websites, auf denen Sie persönliche oder Anmeldeinformationen angeben, zu diesem Feld hinzugefügt werden. Wenn Sie nicht sicher sind, was hinzuzufügen ist, überlegen Sie bitte, transparentes SSL nicht zu verwenden, da es offensichtlich nicht für Sie gedacht ist!
 
 
 
=SSL-NAT-/Firewall-Regel=
 
 
 
Eine einfache Möglichkeit, die NAT-/Firewall-Regel hinzuzufügen, besteht darin, auf das (i)-Symbol links neben der Option SSL-Modus aktivieren zu klicken und eine neue Firewall-Regel hinzuzufügen.
 
 
 
=OS/Browser konfigurieren=
 
 
 
Da das CA-Zertifikat von Ihrem Browser nicht vertraut wird, erhalten Sie für jede besuchte Seite eine entsprechende Meldung. Um dies zu lösen, können Sie den Schlüssel in Ihr Betriebssystem importieren und als vertrauenswürdig festlegen. Um den Schlüssel zu exportieren, gehen Sie zu System
 
=Links=
 
* https://docs.opnsense.org/manual/how-tos/proxyicapantivirusinternal.html
 
* https://www.zenarmor.com/docs/network-security-tutorials/how-to-enable-antivirus-protection-in-opnsense
 

Aktuelle Version vom 16. April 2024, 16:53 Uhr

Abgerufen von „https://xinux.net/index.php?title=OPNsense_Transparenter_Proxy&oldid=53016