Forum

Pfsense SSL Https B...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Pfsense SSL Https Block

8 Yazılar
3 Üyeler
4 Reactions
3,508 Görüntüleme
(@SevanAKAL)
Gönderiler: 130
Estimable Member
Konu başlatıcı
 

Herkese merhaba,

Pfsense üzerinde https siteleri block edebilmek için SSL kurulması gerekiyor bilindiği gibi. 

Fakat bu SSL sertifikasının her client a yüklenmesi lazım. 
Bunun yerine verified bir sertifika nasıl import edebilir veya nereden alabiliriz.

Demek istediğim google girdiğimizde https diye sertifika yüklememiz gerekmiyor gibi.

Umarım net anlatabilmişimdir.
Teşekkürler

 
Gönderildi : 13/03/2019 19:27

(@cumhuraltan)
Gönderiler: 704
Üye
 

Selamlar,

 

Active Directory  kullanıyorsanız Group Policy ile  tüm clientlara sertifikayı dağıtabilirsiniz.

Alternatif  olarak daha önce  denemedim ancak Comodo gibi güvenilir  bir  sertifika  otoritesinden  alınan sertifika ile SSL inspection'da  kullanılırsa  clientşara  sertifika yükleme  zorunluluğu olmayabilir. 

***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.

 
Gönderildi : 13/03/2019 22:29

(@turancoskun)
Gönderiler: 4100
Üye
 

merhaba,

sertifika dağıtımına gerek kalmadan e2guardian ile ssl filter gerçekleştirmeniz mümkün.

https://lifeoverlinux.com/how-to-block-http-and-https-websites-with-e2guardian/

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 14/03/2019 00:44

(@cumhuraltan)
Gönderiler: 704
Üye
 

@turancoskun hocam tam e2guardian aklıma gelmişti onu yazmak için girmiştim ? 

***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.

 
Gönderildi : 14/03/2019 01:00

(@SevanAKAL)
Gönderiler: 130
Estimable Member
Konu başlatıcı
 

@turancoskun hocam o makaleyi ben de okudum aslında sorumun amacı sadece https block için değildi bu tip bir durumda pfsense verified bir sertifika yüklenebilir mi diye de merak ediyorum. Cevabınız ve çözümünüz için çok teşekkürler.

@cumhuraltan üstad sizin sunduğunuz öneri de bir çözüm GPO dan sertifika dağıtımı yapılabiliyor. Fakat bu sefer de mobile cihazlarda sorun oluşuyor veya sisteme misafir bir pc bağlandığında sorun oluşuyur. Size de çok teşekkürler.

 
Gönderildi : 14/03/2019 13:08

(@cumhuraltan)
Gönderiler: 704
Üye
 

@SevanAKAL O sebepten alternatif  olarak 3rd party güvenilir  bir sertifika otoritesinden ssl sertifika le  ssl inspection'ı  test  etmenizi önerdim test  için  trial sertifikalar  oluşturabilirsiniz comodo vb sertifika  otoritesinden.

***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.

 
Gönderildi : 14/03/2019 15:11

(@turancoskun)
Gönderiler: 4100
Üye
 
Gönderen: Sevan AKAL

@turancoskun hocam o makaleyi ben de okudum aslında sorumun amacı sadece https block için değildi bu tip bir durumda pfsense verified bir sertifika yüklenebilir mi diye de merak ediyorum. Cevabınız ve çözümünüz için çok teşekkürler.

pfsense üzerinde daha önce internal ca haricinde ihtiyaç olmadığından çözüm aramadım.

ancak @cumhuraltan hocanın belirttiği gibi test etmeden sonucu bilmek mümkün değil.

kurumsal sertifikanız için import işlemi adımları referans adreslerde mevcut.

"https://www.informaticar.net/how-to-import-pfx-certificate-to-pfsense "

pfsense üzerinde acme addonu ile let's encrypt tarafında çözüm üretilmiş görünüyor, inceleyebilirsiniz.

"https://www.youtube.com/watch?time_continue=3&v=h7Rlru3agdA"

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 15/03/2019 00:05

(@SevanAKAL)
Gönderiler: 130
Estimable Member
Konu başlatıcı
 

@turancoskun @cumhuraltan sorumun cevabını biraz araştırdım ve biraz deneyimledim bunları da burdan paylaşmak istedim.

Öncelikle araştırmama göre squid e yetkili bir servisden SSL sertifikası alarak kullanamayız.
Bunun nedeni SSL sertifikasının domain bazlı çalışması. Yani Oluşturacağımız sertifika hangi domain veya domainleri içerecek, çünkü biz squid kullanırken rastgele sitelere girmek istiyoruz. Dolayısıyla comodo veya herhangi bir servisten SSL alarak bu işi yapmak mümkün değil.

Squid aslında https bir siteye girmek istediğimizde bu isteği kendi CA yapısına alıyor generate ediyor da diyebiliriz herhalde. Bu sayede zaten bizim hangi siteye girdiğimizi anlayabiliyor aksi halde zaten https bir siteye girdiğimizde loglarda site ismi yerine ip adresini görüyoruz.  Clientlara bu sertifikayı yükleyip buna güven dememizin nedeni de bu aslında. 

Şöyle bir soru gelebilir aklımıza, "Peki Fortigate, Sonicwall veya CheckPoint" cihazlarda neden böyle bir sertifika yükleme gereksinimi olmadan çalışıyor. Bu sorunun cevabı da sanırım bu cihazların Uygulama Katmanında çalışan cihazlar olması. Bu cihazlardaki engelleme veya filtreleme biçimi Pfsense Squid yapısındaki gibi değil.

 

 
Gönderildi : 16/03/2019 18:36

Paylaş: