Content-Filter für SSL Seiten auf Sophos UTM einrichten

In diesem Beitrag habe ich beschrieben, dass wir neu auch https Verkehr scannen.

Um die https Filterung zu aktivieren, entfernt man unter “Web Protection” –> “Web Filtering” –> Registerkarte “HTTPS” das Häklein bei “Do not proxy HTTPS traffic in Transparent Mode” und wählt “Decrypt and scan”.

image

Damit wird nun der SSL Verkehr aufgebrochen und gescannt. Nun kann kann die SafeSearch Einstellungen der einzelnen Suchdienste erzwingen, indem man unter “Web Protection” –> “Web Filtering” –> Registerkarte “Policies” –> “Additional Options” die entsprechenden Häklein auswählt.

image

Damit wäre nun das Ziel erreicht. Eine entsprechende Bildersuche auf Google läuft nun dank SafeSearch ins Leere.

image

Wie in diesem Dokument beschrieben, reklamieren die Browser, dass das verwendete Zertifikat nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.

image

Das Zertifikat findet sich unter “Web Protection” –> “Filtering Options” –> Registerkarte “HTTPS CAs” –> “Download”.

image

Das Zertifikat ohne privaten Schlüssel (.cer) kann nun über eine Gruppenrichtlinie auf alle Computer verteilt werden. Dazu importiert man das Zertifikat unter “Computerkonfiguration” –> “Richtlinien” –> “Windows-Einstellungen” –> “Sicherheitseinstellungen” –> “Richtlinien für öffentliche Schlüssel” –> “Vertrauenswürdige Stammzertifizierungsstellen”.

image

image

Danach funktioniert der Aufruf von https Seiten ohne Warnhinweis, da dem Zertifikat vertraut wird. Wenn man aber auf das Schloss in der Adresszeile klickt, sieht man, dass der Herausgeber des Zertifikats durch “Schule Altstaetten Proxy CA” ersetzt wurde.

image

Für die internen Computer ist also alles wie gewünscht umgesetzt. Ein Problem bleibt aber. Die privaten Geräte von Lehrpersonen und Schüler/-innen müssen das Zertifikat manuell auch installieren, wenn die Fehlermeldung nicht mehr kommen soll.

Sophos hat dafür die Domain fw-notify.net registriert, auf der aber nichts veröffentlicht ist. Die Sophos UTM besitzt aber diesen DNS Eintrag, der auf die UTM selber zeigt. Das Zertifikat ist so unter http://passthrough.fw-notify.net/cacert.pem erreichbar.

Da diese Seite nicht einfach zu merken ist, habe ich sie auf unserer Homepage verlinkt. Ausserdem habe ich den Hotspot so angepasst, dass man nach erfolgreicher Eingabe des Tagespassworts direkt auf diese Seite weitergeleitet wird.

image

Damit ist auch sichergestellt, dass alle, die unser WLAN benutzen, darauf hingewiesen wurden, dass SSL aufgebrochen wird.

Nachtrag
Das Zertifikat, das unter http://passthrough.fw-notify.net/cacert.pem erreichbar ist, kann unter Android nicht installiert werden. Daher muss für Android das Zertifikat anders abgespeichert werden. Dazu kann man das importierte Zertifikat unter Windows exportieren.

image

image

Das Zertifikat für Android muss man dann noch von .cer auf .crt umbenennen. So musste ich also zwei Zertifikate veröffentlichen, eines für Windows und iOS und ein anderes für Android.

Eine Anleitung für die verschiedenen Geräte findet sich hier.

Nachtrag 2
Der AppStore auf iPads funktioniert nach der Umstellung nicht mehr richtig. Ich habe unter “Filtering Options” –> “Exceptions” eine Ausnahme für “URL Filter” und “SSL scanning” für die Seiten von Apple und mzstatic (gehört zu Apple) erstellt. Danach funktioniert auch der AppStore wieder.

image

10 Gedanken zu „Content-Filter für SSL Seiten auf Sophos UTM einrichten

  1. Andreas

    Hallo,
    eine Frage zum Proxy an euerer Schule hätte ich.
    Läuft der bei euch transparent?
    Bzw. Hast du Schüler und Lehrer mittel authentifizierung zum ad und Filterprofilen versehen.
    Beste Grüße

    Antwort
    1. ictschule Autor

      Der Proxy läuft im „transparent mode“ mit „default authentication“ auf „none“. So muss nur das Zertifikat in die vertrauenswürdigen Zertifizierungsstellen importiert werden. Die Benutzer müssen sich nicht noch am Proxy authentifizieren.

      Antwort
    1. ictschule Autor

      Ja, das war bisher kein Problem. Wenn mir bis jetzt eine Seite gemeldet wurde, für die ich eine Ausnahme erstellen muss, kann dies auch für die Schüler geöffnet werden. Keep it simple, wo immer es möglich ist…

      Antwort
  2. Andreas

    Welche Kategorien hast du auf der Sophos aus „nude“ angewählt?
    Transparenter Proxy wäre schon das einfachste leider hat man nicht wirklich einen überblick wer wann was surft. Wobie das je eh keiner durchsehen bzw kontrollieren kann, da bräuchte man ja einen extra Mann der nichts anderes macht.

    Antwort
    1. ictschule Autor

      Die Standardeinstellungen. Bis jetzt musste ich nicht wissen, wer wann was surft. Wir entsprechen der kantonalen Vorgabe und filtern auch verschlüsselte Verbindungen, wie das die Schulen machen, die über das Swisscom Angebot „Schulen ans Internet“ verbunden sind.

      Antwort
  3. Andreas

    Hast du eigentlich den Firefox auch im Einsatz? Bzw. wie hast du das Zertifikat von der Sophos auf dem Firefox verteilt?

    Antwort
    1. ictschule Autor

      Nein, ich versuche möglichst wenig Software zu verteilen, die ich zusätzlich aktuell halten muss. Es genügen ja Adobe Reader, Java, …. Bis jetzt sind wir mit Edge und IE gut durchgekommen.

      Antwort
  4. Manfred Nefzger

    Hallo, funktioniert das oben beschriebene Content-Filtering auch mit der kostenlosen Home-Version, oder muss man für ein Schulnetzwerk die Business-Version kaufen. Wenn ja, bietet Sophos Lizenzen für Bildungseinrichtungen an?

    Antwort
    1. ictschule Autor

      Ich kenne mich nicht aus bei der Home Version, meine aber, dass man dort alle Funktionen einsetzen kann wie bei der sogenannten „Full Guard“ Lizenz. Für eine Schule darf man aber nicht die Home Version einsetzen, da benötigt man eine richtige Lizenz. Als Schule kann man aber beim Sophos Partner nach Bildungskonditionen anfragen und bekommt dann entsprechende Rabatte.

      Antwort

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s