Forum
Bildirimler
Hepsini Temizle
Güvenlik Genel
8
Yazılar
3
Üyeler
4
Reactions
3,471
Görüntüleme
Konu başlatıcı
Herkese merhaba,
Pfsense üzerinde https siteleri block edebilmek için SSL kurulması gerekiyor bilindiği gibi.
Fakat bu SSL sertifikasının her client a yüklenmesi lazım.
Bunun yerine verified bir sertifika nasıl import edebilir veya nereden alabiliriz.
Demek istediğim google girdiğimizde https diye sertifika yüklememiz gerekmiyor gibi.
Umarım net anlatabilmişimdir.
Teşekkürler
Gönderildi : 13/03/2019 19:27
Selamlar,
Active Directory kullanıyorsanız Group Policy ile tüm clientlara sertifikayı dağıtabilirsiniz.
Alternatif olarak daha önce denemedim ancak Comodo gibi güvenilir bir sertifika otoritesinden alınan sertifika ile SSL inspection'da kullanılırsa clientşara sertifika yükleme zorunluluğu olmayabilir.
***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.
Gönderildi : 13/03/2019 22:29
merhaba,
sertifika dağıtımına gerek kalmadan e2guardian ile ssl filter gerçekleştirmeniz mümkün.
https://lifeoverlinux.com/how-to-block-http-and-https-websites-with-e2guardian/
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 14/03/2019 00:44
CumhurAltan and CumhurAltan reacted
@turancoskun hocam tam e2guardian aklıma gelmişti onu yazmak için girmiştim ?
***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.
Gönderildi : 14/03/2019 01:00
Turan COŞKUN and Turan COŞKUN reacted
Konu başlatıcı
@turancoskun hocam o makaleyi ben de okudum aslında sorumun amacı sadece https block için değildi bu tip bir durumda pfsense verified bir sertifika yüklenebilir mi diye de merak ediyorum. Cevabınız ve çözümünüz için çok teşekkürler.
@cumhuraltan üstad sizin sunduğunuz öneri de bir çözüm GPO dan sertifika dağıtımı yapılabiliyor. Fakat bu sefer de mobile cihazlarda sorun oluşuyor veya sisteme misafir bir pc bağlandığında sorun oluşuyur. Size de çok teşekkürler.
Gönderildi : 14/03/2019 13:08
@SevanAKAL O sebepten alternatif olarak 3rd party güvenilir bir sertifika otoritesinden ssl sertifika le ssl inspection'ı test etmenizi önerdim test için trial sertifikalar oluşturabilirsiniz comodo vb sertifika otoritesinden.
***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.
Gönderildi : 14/03/2019 15:11
@turancoskun hocam o makaleyi ben de okudum aslında sorumun amacı sadece https block için değildi bu tip bir durumda pfsense verified bir sertifika yüklenebilir mi diye de merak ediyorum. Cevabınız ve çözümünüz için çok teşekkürler.
pfsense üzerinde daha önce internal ca haricinde ihtiyaç olmadığından çözüm aramadım.
ancak @cumhuraltan hocanın belirttiği gibi test etmeden sonucu bilmek mümkün değil.
kurumsal sertifikanız için import işlemi adımları referans adreslerde mevcut.
"https://www.informaticar.net/how-to-import-pfx-certificate-to-pfsense "
pfsense üzerinde acme addonu ile let's encrypt tarafında çözüm üretilmiş görünüyor, inceleyebilirsiniz.
"https://www.youtube.com/watch?time_continue=3&v=h7Rlru3agdA"
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 15/03/2019 00:05
Konu başlatıcı
@turancoskun @cumhuraltan sorumun cevabını biraz araştırdım ve biraz deneyimledim bunları da burdan paylaşmak istedim.
Öncelikle araştırmama göre squid e yetkili bir servisden SSL sertifikası alarak kullanamayız.
Bunun nedeni SSL sertifikasının domain bazlı çalışması. Yani Oluşturacağımız sertifika hangi domain veya domainleri içerecek, çünkü biz squid kullanırken rastgele sitelere girmek istiyoruz. Dolayısıyla comodo veya herhangi bir servisten SSL alarak bu işi yapmak mümkün değil.
Squid aslında https bir siteye girmek istediğimizde bu isteği kendi CA yapısına alıyor generate ediyor da diyebiliriz herhalde. Bu sayede zaten bizim hangi siteye girdiğimizi anlayabiliyor aksi halde zaten https bir siteye girdiğimizde loglarda site ismi yerine ip adresini görüyoruz. Clientlara bu sertifikayı yükleyip buna güven dememizin nedeni de bu aslında.
Şöyle bir soru gelebilir aklımıza, "Peki Fortigate, Sonicwall veya CheckPoint" cihazlarda neden böyle bir sertifika yükleme gereksinimi olmadan çalışıyor. Bu sorunun cevabı da sanırım bu cihazların Uygulama Katmanında çalışan cihazlar olması. Bu cihazlardaki engelleme veya filtreleme biçimi Pfsense Squid yapısındaki gibi değil.
Gönderildi : 16/03/2019 18:36
