kubus0815
Goto Top

Pfsense Blacklist für Gästenetz

Hallo zusammen,
Ich habe nach der Anleitung von Aqui meine FW mit PFsense und Gästenetz aufgebaut.

Nun möchte ich fürs Gästenetz eine Blacklist um illegale Inhalte von vornherein zu filtern.
Dazu hätte ich Squid + Squidguard verwendet.
Bin ich damit auf dem richtigen Weg?

Bei meiner Recherche bin ich nun darauf gestoßen dass https nicht so einfach erfasst werden kann.
Verstehe ich das nun richtig, wenn per https auf eine Seite zugegriffen wird, sie nicht von der Blacklist Regelung erfasst wird?
Mittlerweile werden ja immer mehr Seiten per https angesprochen.
Lohnt sich denn dann überhaupt der Aufwand?

Schon mal Danke für die Antworten.

Content-Key: 330451

Url: https://administrator.de/contentid/330451

Ausgedruckt am: 28.03.2024 um 09:03 Uhr

Mitglied: michi1983
michi1983 24.02.2017 um 15:14:01 Uhr
Goto Top
Hallo,

ob es sich lohnt, kannst nur du entscheiden.
Du müsstest auf jeden Fall die PfSense im transpsrency mode laufen lassen, ein Zertifikat erstellen und dieses Zertifikat auf allen Clients im Netz deployen. Dann klappt das.

Gruß
Mitglied: Kubus0815
Kubus0815 24.02.2017 aktualisiert um 15:19:43 Uhr
Goto Top
Hallo Michi,


ein Zertifikat erstellen und dieses Zertifikat auf allen Clients im Netz deployen. Dann klappt das.

Ich denke das bezieht sich auf die SSL Filterung.
Muss dazu bei den Clients (Gäste) etwas gemacht werden oder übernimmt der Browser z.B. eines Smartphones automatisch dieses Zertifikat?
Mitglied: michi1983
Lösung michi1983 24.02.2017 aktualisiert um 15:27:19 Uhr
Goto Top
Jeder der über den Proxy ins Netz geht muss dieses Cert manuell installieren das erste mal.

Die Blacklist alleine sollte aber auch so funktionieren. Das Problem besteht hier dass Websiten nicht mehr so einfach geblocked werden können weil sie mehrerer IP Ranges verwenden.
Mitglied: aqui
aqui 24.02.2017 um 17:03:45 Uhr
Goto Top
Wenn FW Regel, dann sollte man auch immer eine Whitelist nehmen. Ist erheblich einfacher zu pflegen als eine Blacklist. Also explizit nur das erlauben was man will.
Bei privaten Gästen reicht in der Regel dann Surfen und Email.
Bei Business Gästen ggf. zusätzlich dann noch VPN.
Wenn irgendwas nicht geht meckern die Gäste schon und du weisst was sie da verzapfen und kannst das dann sukzessive weiter öffenen wenn du willst.
Mitglied: Kubus0815
Kubus0815 24.02.2017 um 18:06:46 Uhr
Goto Top
Hi aqui,

also du meinst eine ergänzende FW-Regel die nur surfen und email erlaubt?
Bei mir ist aktuell Port 53,80,443 offen also noch kein Mail aber wie du bereits gesagt hast solang sich keiner beschwert...
Die Blacklist verhindert ja m.E. den Zugang zu unerwünschten Seiten die über Port 80 + 443 angesprochen werden oder?
Mitglied: aqui
aqui 24.02.2017 um 18:15:36 Uhr
Goto Top
Ja, da sist OK, damit erlaubst du nur DNS (das muss sein sonst klappt die DNS Auflösung nicht) und dann nur Surfen mit HTTP und HTTPs.
Das ist OK so wenn du die Gäste so limitieren willst.
Leider nutzen manche File Sharing Portale auch TCP 80 als Transfer. Dem kann man aber nur mit einem Proxy beikommen, weil man da tiefer in den Paket Content sehen muss um zu checken ob das HTTP ist oder z.B. irgendein Torrent.
Mitglied: Kubus0815
Kubus0815 24.02.2017 aktualisiert um 18:21:48 Uhr
Goto Top
Dem kann man aber nur mit einem Proxy beikommen, weil man da tiefer in den Paket Content sehen muss um zu checken ob das HTTP ist oder z.B. irgendein Torrent.
Kann das Squid?
Ich würde auch gern Video Streaming dicht machen solange ich noch mit meiner LTE Verbindung klar kommen muss
Mitglied: eagle2
eagle2 26.02.2017 um 15:33:17 Uhr
Goto Top
Moin Kubus,

eine Alternative für dich wäre vielleicht die Filterung per DNS. Damit kannst du zwar nur auf Domain-Ebene arbeiten, dafür deckt das dann aber auch HTTPS-Aufrufe ab. Früher wäre die Empfehlung OpenDNS gewesen, da gibt es jetzt aber nur noch die Privatkundenvariante (mit der du kategoriebasiert blocken kannst) - für Businesskunden ist das jetzt alles bei Cisco integriert, damit habe ich mich bisher aber noch nicht auseinandergesetzt. Es scheint aber noch einige andere Anbieter für DNS-basierende Filter zu geben.

Das Grundprinzip ist aber immer gleich: einen filternden DNS-Server in der pfSense einstellen und dann per Firewall-Rule UDP/53 nur auf die pfSense-IP zulassen. Außerdem (oder alternativ, falls dir das reicht) kannst du in pfSense im DNS Resolver/Forwarder für bestimmte Domains ein "Override" einstellen und dadurch auf 0.0.0.0 oder 127.0.0.1 weiterzuleiten (und dadurch effektiv zu blockieren). Schau dir mal diesen Beitrag im pfSense-Forum an, da sieht man auf dem Screenshot ganz unten wie Werbung blockiert wird. Anstatt "ads.youtube.com" kannst du natürlich auch nur "youtube.com" blockieren.

Es sei allerdings dazu gesagt, dass Geräte DNS-Einträge zwischenspeichern oder Apps direkt auf IP-Adressen zugreifen - es ist daher keine komplett zuverlässige Methode, aber deutlich praktikabler als HTTPS komplett zu ignorieren.

Viele Grüße
eagle2