Content-Filter für SSL Seiten auf Sophos UTM einrichten

In diesem Beitrag habe ich beschrieben, dass wir neu auch https Verkehr scannen.

Um die https Filterung zu aktivieren, entfernt man unter “Web Protection” –> “Web Filtering” –> Registerkarte “HTTPS” das Häklein bei “Do not proxy HTTPS traffic in Transparent Mode” und wählt “Decrypt and scan”.

image

Damit wird nun der SSL Verkehr aufgebrochen und gescannt. Nun kann kann die SafeSearch Einstellungen der einzelnen Suchdienste erzwingen, indem man unter “Web Protection” –> “Web Filtering” –> Registerkarte “Policies” –> “Additional Options” die entsprechenden Häklein auswählt.

image

Damit wäre nun das Ziel erreicht. Eine entsprechende Bildersuche auf Google läuft nun dank SafeSearch ins Leere.

image

Wie in diesem Dokument beschrieben, reklamieren die Browser, dass das verwendete Zertifikat nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.

image

Das Zertifikat findet sich unter “Web Protection” –> “Filtering Options” –> Registerkarte “HTTPS CAs” –> “Download”.

image

Das Zertifikat ohne privaten Schlüssel (.cer) kann nun über eine Gruppenrichtlinie auf alle Computer verteilt werden. Dazu importiert man das Zertifikat unter “Computerkonfiguration” –> “Richtlinien” –> “Windows-Einstellungen” –> “Sicherheitseinstellungen” –> “Richtlinien für öffentliche Schlüssel” –> “Vertrauenswürdige Stammzertifizierungsstellen”.

image

image

Danach funktioniert der Aufruf von https Seiten ohne Warnhinweis, da dem Zertifikat vertraut wird. Wenn man aber auf das Schloss in der Adresszeile klickt, sieht man, dass der Herausgeber des Zertifikats durch “Schule Altstaetten Proxy CA” ersetzt wurde.

image

Für die internen Computer ist also alles wie gewünscht umgesetzt. Ein Problem bleibt aber. Die privaten Geräte von Lehrpersonen und Schüler/-innen müssen das Zertifikat manuell auch installieren, wenn die Fehlermeldung nicht mehr kommen soll.

Sophos hat dafür die Domain fw-notify.net registriert, auf der aber nichts veröffentlicht ist. Die Sophos UTM besitzt aber diesen DNS Eintrag, der auf die UTM selber zeigt. Das Zertifikat ist so unter http://passthrough.fw-notify.net/cacert.pem erreichbar.

Da diese Seite nicht einfach zu merken ist, habe ich sie auf unserer Homepage verlinkt. Ausserdem habe ich den Hotspot so angepasst, dass man nach erfolgreicher Eingabe des Tagespassworts direkt auf diese Seite weitergeleitet wird.

image

Damit ist auch sichergestellt, dass alle, die unser WLAN benutzen, darauf hingewiesen wurden, dass SSL aufgebrochen wird.

Nachtrag
Das Zertifikat, das unter http://passthrough.fw-notify.net/cacert.pem erreichbar ist, kann unter Android nicht installiert werden. Daher muss für Android das Zertifikat anders abgespeichert werden. Dazu kann man das importierte Zertifikat unter Windows exportieren.

image

image

Das Zertifikat für Android muss man dann noch von .cer auf .crt umbenennen. So musste ich also zwei Zertifikate veröffentlichen, eines für Windows und iOS und ein anderes für Android.

Eine Anleitung für die verschiedenen Geräte findet sich hier.

Nachtrag 2
Der AppStore auf iPads funktioniert nach der Umstellung nicht mehr richtig. Ich habe unter “Filtering Options” –> “Exceptions” eine Ausnahme für “URL Filter” und “SSL scanning” für die Seiten von Apple und mzstatic (gehört zu Apple) erstellt. Danach funktioniert auch der AppStore wieder.

image

16 Gedanken zu „Content-Filter für SSL Seiten auf Sophos UTM einrichten

  1. Andreas

    Hallo,
    eine Frage zum Proxy an euerer Schule hätte ich.
    Läuft der bei euch transparent?
    Bzw. Hast du Schüler und Lehrer mittel authentifizierung zum ad und Filterprofilen versehen.
    Beste Grüße

    Antwort
    1. ictschule Autor

      Der Proxy läuft im „transparent mode“ mit „default authentication“ auf „none“. So muss nur das Zertifikat in die vertrauenswürdigen Zertifizierungsstellen importiert werden. Die Benutzer müssen sich nicht noch am Proxy authentifizieren.

      Antwort
    1. ictschule Autor

      Ja, das war bisher kein Problem. Wenn mir bis jetzt eine Seite gemeldet wurde, für die ich eine Ausnahme erstellen muss, kann dies auch für die Schüler geöffnet werden. Keep it simple, wo immer es möglich ist…

      Antwort
  2. Andreas

    Welche Kategorien hast du auf der Sophos aus „nude“ angewählt?
    Transparenter Proxy wäre schon das einfachste leider hat man nicht wirklich einen überblick wer wann was surft. Wobie das je eh keiner durchsehen bzw kontrollieren kann, da bräuchte man ja einen extra Mann der nichts anderes macht.

    Antwort
    1. ictschule Autor

      Die Standardeinstellungen. Bis jetzt musste ich nicht wissen, wer wann was surft. Wir entsprechen der kantonalen Vorgabe und filtern auch verschlüsselte Verbindungen, wie das die Schulen machen, die über das Swisscom Angebot „Schulen ans Internet“ verbunden sind.

      Antwort
  3. Andreas

    Hast du eigentlich den Firefox auch im Einsatz? Bzw. wie hast du das Zertifikat von der Sophos auf dem Firefox verteilt?

    Antwort
    1. ictschule Autor

      Nein, ich versuche möglichst wenig Software zu verteilen, die ich zusätzlich aktuell halten muss. Es genügen ja Adobe Reader, Java, …. Bis jetzt sind wir mit Edge und IE gut durchgekommen.

      Antwort
      1. Manfred Nefzger

        Das Thema Firefox-Einsatz würde ich doch gerne noch einmal aufgreifen, da beim Firefox anscheinend das Importieren des Zertifikats von Sophos nicht ausreicht. Der Zertifikatsaustausch wird beim Aufrufen von google.de mit der Fehlermeldung „www.google.de verwendet ein ungültiges Sicherheitszertifikat.“ abgebrochen. Unter dem Fehlercode SEC_ERROR_UNKNOWN_ISSUE findet man dann einen Hinweise auf einen „Strict Transport Security“-Fehler. Vielleicht hat sich schon jemand mit diesem Fehler beschäftigt und möglicherweise eine Lösung gefunden, ich bisher leider nicht.

      2. ictschule Autor

        Firefox hat eine eigene Zertifikatsverwaltung. Wenn man unter „Einstellungen“ -> „Datenschutz und Sicherheit“ zu „Zertifikate“ scrolle und auf „Zertifikate anzeigen…“ klickt, kann man „Importieren“ wählen. Wenn man nun das Zertifikat importiert, muss man noch auswählen für welche Zwecke vertraut werden soll. Hier kann man alle 3 Häklein setzen und auf „OK“ klicken und dann nochmals mit „OK“ bestätigen. Danach funktionieren bei mir auch verschlüsselte Seiten.

      3. Manfred Nefzger

        Vielen Dank für die schnelle Antwort. Das aus der UTM heruntergeladene Zertifikat lässt sich bei mir nur in „Ihre Zertifikate“ importieren. Die dort importierten Zertifikate kann ich nicht bearbeiten, sondern nur anzeigen. Folglich kann ich auch die drei Optionen
        Dieses Zertifikat kann Websites identifizieren.
        Dieses Zertifikat kann Mail-Benutzer identifizieren.
        Dieses Zertifikat kann Software-Hersteller identifizieren.
        nicht aktivieren.
        Wenn ich versuche, das Zertifikat unter „Zertifizierungsstellen“ zu importieren, passiert nichts.

      4. ictschule Autor

        Um zu überprüfen, ob es sich um das richtige Zertifikat handelt, könnte man testhalber unseres importieren und danach wieder löschen. Unseres ist öffentlich verfügbar (http://www.schalt.ch/online-schalter/content-filter/). Wenn es mit unserem funktioniert, war vielleicht die Erstellung des Zertifikats fehlerhaft. Ansonsten weiss ich auch nicht wirklich weiter. Im Sophos Forum (https://community.sophos.com/products/unified-threat-management/) gibt es aber viele hilfsbereite Leute, die weit mehr wissen als ich. Allenfalls mal da nachfragen. Auf jeden Fall viel Erfolg.

  4. Manfred Nefzger

    Hallo, funktioniert das oben beschriebene Content-Filtering auch mit der kostenlosen Home-Version, oder muss man für ein Schulnetzwerk die Business-Version kaufen. Wenn ja, bietet Sophos Lizenzen für Bildungseinrichtungen an?

    Antwort
    1. ictschule Autor

      Ich kenne mich nicht aus bei der Home Version, meine aber, dass man dort alle Funktionen einsetzen kann wie bei der sogenannten „Full Guard“ Lizenz. Für eine Schule darf man aber nicht die Home Version einsetzen, da benötigt man eine richtige Lizenz. Als Schule kann man aber beim Sophos Partner nach Bildungskonditionen anfragen und bekommt dann entsprechende Rabatte.

      Antwort
  5. Zee

    Thanks for posting.
    I’m interested to know more about the android certificate please.

    Does the certificate work well with android N devices?
    Do the android applications honour the cert? (e.g. if you use YouTube app vs browsing to YouTube.com)

    Antwort
    1. ictschule Autor

      Hello Zee.

      Sorry, I don’t have an Android N device here to test. But I try to answer in a more general way. The certificate works with Windows, iOS, and Android Devices. Surfing with a browser is no problem (at least no one reported me that there would be a problem).

      But we have problems with apps. If the developer of the app has hardcoded his certificate and doesn’t trust the root certificates imported to the device, there is no way to make the app working through the content filter. The only way then is to make an exeption for the domain names used by the app. Sometime it is hard to collect all the domain names used by the app, sometime it is not possible. For example WhatsApp uses a lot of IPs in addition to domain names (see https://wp.me/p1Ml8G-1lK).

      It would be way more easier to not use the content filter for encrypted traffic. But we have to. If you search in google pictures for example for por… you see pictures that our children shouldn’t. Schools in our Kanton (comparable to a State in the US) have to protect them from such sites.

      Regards
      Christian

      Antwort

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s