In diesem Beitrag habe ich beschrieben, dass wir neu auch https Verkehr scannen.
Um die https Filterung zu aktivieren, entfernt man unter “Web Protection” –> “Web Filtering” –> Registerkarte “HTTPS” das Häklein bei “Do not proxy HTTPS traffic in Transparent Mode” und wählt “Decrypt and scan”.
Damit wird nun der SSL Verkehr aufgebrochen und gescannt. Nun kann kann die SafeSearch Einstellungen der einzelnen Suchdienste erzwingen, indem man unter “Web Protection” –> “Web Filtering” –> Registerkarte “Policies” –> “Additional Options” die entsprechenden Häklein auswählt.
Damit wäre nun das Ziel erreicht. Eine entsprechende Bildersuche auf Google läuft nun dank SafeSearch ins Leere.
Wie in diesem Dokument beschrieben, reklamieren die Browser, dass das verwendete Zertifikat nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.
Das Zertifikat findet sich unter “Web Protection” –> “Filtering Options” –> Registerkarte “HTTPS CAs” –> “Download”.
Das Zertifikat ohne privaten Schlüssel (.cer) kann nun über eine Gruppenrichtlinie auf alle Computer verteilt werden. Dazu importiert man das Zertifikat unter “Computerkonfiguration” –> “Richtlinien” –> “Windows-Einstellungen” –> “Sicherheitseinstellungen” –> “Richtlinien für öffentliche Schlüssel” –> “Vertrauenswürdige Stammzertifizierungsstellen”.
Danach funktioniert der Aufruf von https Seiten ohne Warnhinweis, da dem Zertifikat vertraut wird. Wenn man aber auf das Schloss in der Adresszeile klickt, sieht man, dass der Herausgeber des Zertifikats durch “Schule Altstaetten Proxy CA” ersetzt wurde.
Für die internen Computer ist also alles wie gewünscht umgesetzt. Ein Problem bleibt aber. Die privaten Geräte von Lehrpersonen und Schüler/-innen müssen das Zertifikat manuell auch installieren, wenn die Fehlermeldung nicht mehr kommen soll.
Sophos hat dafür die Domain fw-notify.net registriert, auf der aber nichts veröffentlicht ist. Die Sophos UTM besitzt aber diesen DNS Eintrag, der auf die UTM selber zeigt. Das Zertifikat ist so unter http://passthrough.fw-notify.net/cacert.pem erreichbar.
Da diese Seite nicht einfach zu merken ist, habe ich sie auf unserer Homepage verlinkt. Ausserdem habe ich den Hotspot so angepasst, dass man nach erfolgreicher Eingabe des Tagespassworts direkt auf diese Seite weitergeleitet wird.
Damit ist auch sichergestellt, dass alle, die unser WLAN benutzen, darauf hingewiesen wurden, dass SSL aufgebrochen wird.
Nachtrag
Das Zertifikat, das unter http://passthrough.fw-notify.net/cacert.pem erreichbar ist, kann unter Android nicht installiert werden. Daher muss für Android das Zertifikat anders abgespeichert werden. Dazu kann man das importierte Zertifikat unter Windows exportieren.
Das Zertifikat für Android muss man dann noch von .cer auf .crt umbenennen. So musste ich also zwei Zertifikate veröffentlichen, eines für Windows und iOS und ein anderes für Android.
Eine Anleitung für die verschiedenen Geräte findet sich hier.
Nachtrag 2
Der AppStore auf iPads funktioniert nach der Umstellung nicht mehr richtig. Ich habe unter “Filtering Options” –> “Exceptions” eine Ausnahme für “URL Filter” und “SSL scanning” für die Seiten von Apple und mzstatic (gehört zu Apple) erstellt. Danach funktioniert auch der AppStore wieder.
ictschule 
Hallo,
eine Frage zum Proxy an euerer Schule hätte ich.
Läuft der bei euch transparent?
Bzw. Hast du Schüler und Lehrer mittel authentifizierung zum ad und Filterprofilen versehen.
Beste Grüße
Der Proxy läuft im „transparent mode“ mit „default authentication“ auf „none“. So muss nur das Zertifikat in die vertrauenswürdigen Zertifizierungsstellen importiert werden. Die Benutzer müssen sich nicht noch am Proxy authentifizieren.
Dann hast du auch nur ein Filterprofil für Lehrer und Schüler?
Ja, das war bisher kein Problem. Wenn mir bis jetzt eine Seite gemeldet wurde, für die ich eine Ausnahme erstellen muss, kann dies auch für die Schüler geöffnet werden. Keep it simple, wo immer es möglich ist…
Welche Kategorien hast du auf der Sophos aus „nude“ angewählt?
Transparenter Proxy wäre schon das einfachste leider hat man nicht wirklich einen überblick wer wann was surft. Wobie das je eh keiner durchsehen bzw kontrollieren kann, da bräuchte man ja einen extra Mann der nichts anderes macht.
Die Standardeinstellungen. Bis jetzt musste ich nicht wissen, wer wann was surft. Wir entsprechen der kantonalen Vorgabe und filtern auch verschlüsselte Verbindungen, wie das die Schulen machen, die über das Swisscom Angebot „Schulen ans Internet“ verbunden sind.
Hast du eigentlich den Firefox auch im Einsatz? Bzw. wie hast du das Zertifikat von der Sophos auf dem Firefox verteilt?
Nein, ich versuche möglichst wenig Software zu verteilen, die ich zusätzlich aktuell halten muss. Es genügen ja Adobe Reader, Java, …. Bis jetzt sind wir mit Edge und IE gut durchgekommen.
Das Thema Firefox-Einsatz würde ich doch gerne noch einmal aufgreifen, da beim Firefox anscheinend das Importieren des Zertifikats von Sophos nicht ausreicht. Der Zertifikatsaustausch wird beim Aufrufen von google.de mit der Fehlermeldung „www.google.de verwendet ein ungültiges Sicherheitszertifikat.“ abgebrochen. Unter dem Fehlercode SEC_ERROR_UNKNOWN_ISSUE findet man dann einen Hinweise auf einen „Strict Transport Security“-Fehler. Vielleicht hat sich schon jemand mit diesem Fehler beschäftigt und möglicherweise eine Lösung gefunden, ich bisher leider nicht.
Firefox hat eine eigene Zertifikatsverwaltung. Wenn man unter „Einstellungen“ -> „Datenschutz und Sicherheit“ zu „Zertifikate“ scrolle und auf „Zertifikate anzeigen…“ klickt, kann man „Importieren“ wählen. Wenn man nun das Zertifikat importiert, muss man noch auswählen für welche Zwecke vertraut werden soll. Hier kann man alle 3 Häklein setzen und auf „OK“ klicken und dann nochmals mit „OK“ bestätigen. Danach funktionieren bei mir auch verschlüsselte Seiten.
Vielen Dank für die schnelle Antwort. Das aus der UTM heruntergeladene Zertifikat lässt sich bei mir nur in „Ihre Zertifikate“ importieren. Die dort importierten Zertifikate kann ich nicht bearbeiten, sondern nur anzeigen. Folglich kann ich auch die drei Optionen
Dieses Zertifikat kann Websites identifizieren.
Dieses Zertifikat kann Mail-Benutzer identifizieren.
Dieses Zertifikat kann Software-Hersteller identifizieren.
nicht aktivieren.
Wenn ich versuche, das Zertifikat unter „Zertifizierungsstellen“ zu importieren, passiert nichts.
Um zu überprüfen, ob es sich um das richtige Zertifikat handelt, könnte man testhalber unseres importieren und danach wieder löschen. Unseres ist öffentlich verfügbar (http://www.schalt.ch/online-schalter/content-filter/). Wenn es mit unserem funktioniert, war vielleicht die Erstellung des Zertifikats fehlerhaft. Ansonsten weiss ich auch nicht wirklich weiter. Im Sophos Forum (https://community.sophos.com/products/unified-threat-management/) gibt es aber viele hilfsbereite Leute, die weit mehr wissen als ich. Allenfalls mal da nachfragen. Auf jeden Fall viel Erfolg.
Hallo, funktioniert das oben beschriebene Content-Filtering auch mit der kostenlosen Home-Version, oder muss man für ein Schulnetzwerk die Business-Version kaufen. Wenn ja, bietet Sophos Lizenzen für Bildungseinrichtungen an?
Ich kenne mich nicht aus bei der Home Version, meine aber, dass man dort alle Funktionen einsetzen kann wie bei der sogenannten „Full Guard“ Lizenz. Für eine Schule darf man aber nicht die Home Version einsetzen, da benötigt man eine richtige Lizenz. Als Schule kann man aber beim Sophos Partner nach Bildungskonditionen anfragen und bekommt dann entsprechende Rabatte.
Thanks for posting.
I’m interested to know more about the android certificate please.
Does the certificate work well with android N devices?
Do the android applications honour the cert? (e.g. if you use YouTube app vs browsing to YouTube.com)
Hello Zee.
Sorry, I don’t have an Android N device here to test. But I try to answer in a more general way. The certificate works with Windows, iOS, and Android Devices. Surfing with a browser is no problem (at least no one reported me that there would be a problem).
But we have problems with apps. If the developer of the app has hardcoded his certificate and doesn’t trust the root certificates imported to the device, there is no way to make the app working through the content filter. The only way then is to make an exeption for the domain names used by the app. Sometime it is hard to collect all the domain names used by the app, sometime it is not possible. For example WhatsApp uses a lot of IPs in addition to domain names (see https://wp.me/p1Ml8G-1lK).
It would be way more easier to not use the content filter for encrypted traffic. But we have to. If you search in google pictures for example for por… you see pictures that our children shouldn’t. Schools in our Kanton (comparable to a State in the US) have to protect them from such sites.
Regards
Christian
Hallo,
könnte man das Importieren des „sophos-Zertifikats“ durch verwenden eines eigenen gekauften Zertifikats, dass die gängigen Browser kennen nicht umgehen?
Leider nein, es handelt sich um ein Zertifizierungsstellenzertifikat, mit dem Zertifikate für die aufgerufenen Seiten ausgegeben werden. So eines kann man nicht kaufen.