Anasayfa » Forum

Pfsense SSL Https B...
 

[Çözüldü] Pfsense SSL Https Block  

  RSS
Sevan AKAL
(@SevanAKAL)
Yeni Üye

Herkese merhaba,

Pfsense üzerinde https siteleri block edebilmek için SSL kurulması gerekiyor bilindiği gibi. 

Fakat bu SSL sertifikasının her client a yüklenmesi lazım. 
Bunun yerine verified bir sertifika nasıl import edebilir veya nereden alabiliriz.

Demek istediğim google girdiğimizde https diye sertifika yüklememiz gerekmiyor gibi.

Umarım net anlatabilmişimdir.
Teşekkürler

Alıntı
Gönderildi : 13/03/2019 19:27
CumhurAltan
(@cumhuraltan)
Üye Forum Yöneticisi

Selamlar,

 

Active Directory  kullanıyorsanız Group Policy ile  tüm clientlara sertifikayı dağıtabilirsiniz.

Alternatif  olarak daha önce  denemedim ancak Comodo gibi güvenilir  bir  sertifika  otoritesinden  alınan sertifika ile SSL inspection'da  kullanılırsa  clientşara  sertifika yükleme  zorunluluğu olmayabilir. 

***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.

CevapAlıntı
Gönderildi : 13/03/2019 22:29
Turan COŞKUN
(@turancoskun)
Tanınmış Üye Forum Yöneticisi

merhaba,

sertifika dağıtımına gerek kalmadan e2guardian ile ssl filter gerçekleştirmeniz mümkün.

https://lifeoverlinux.com/how-to-block-http-and-https-websites-with-e2guardian/

Bu ileti 2 ay önce Turan COŞKUN tarafından düzenlendi

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 14/03/2019 00:44
CumhurAltan beğendi
CumhurAltan
(@cumhuraltan)
Üye Forum Yöneticisi

@turancoskun hocam tam e2guardian aklıma gelmişti onu yazmak için girmiştim 👍 

***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.

CevapAlıntı
Gönderildi : 14/03/2019 01:00
Turan COŞKUN beğendi
Sevan AKAL
(@SevanAKAL)
Yeni Üye

@turancoskun hocam o makaleyi ben de okudum aslında sorumun amacı sadece https block için değildi bu tip bir durumda pfsense verified bir sertifika yüklenebilir mi diye de merak ediyorum. Cevabınız ve çözümünüz için çok teşekkürler.

@cumhuraltan üstad sizin sunduğunuz öneri de bir çözüm GPO dan sertifika dağıtımı yapılabiliyor. Fakat bu sefer de mobile cihazlarda sorun oluşuyor veya sisteme misafir bir pc bağlandığında sorun oluşuyur. Size de çok teşekkürler.

CevapAlıntı
Gönderildi : 14/03/2019 13:08
CumhurAltan
(@cumhuraltan)
Üye Forum Yöneticisi

@SevanAKAL O sebepten alternatif  olarak 3rd party güvenilir  bir sertifika otoritesinden ssl sertifika le  ssl inspection'ı  test  etmenizi önerdim test  için  trial sertifikalar  oluşturabilirsiniz comodo vb sertifika  otoritesinden.

***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.

CevapAlıntı
Gönderildi : 14/03/2019 15:11
Turan COŞKUN
(@turancoskun)
Tanınmış Üye Forum Yöneticisi
Gönderen: Sevan AKAL

@turancoskun hocam o makaleyi ben de okudum aslında sorumun amacı sadece https block için değildi bu tip bir durumda pfsense verified bir sertifika yüklenebilir mi diye de merak ediyorum. Cevabınız ve çözümünüz için çok teşekkürler.

pfsense üzerinde daha önce internal ca haricinde ihtiyaç olmadığından çözüm aramadım.

ancak @cumhuraltan hocanın belirttiği gibi test etmeden sonucu bilmek mümkün değil.

kurumsal sertifikanız için import işlemi adımları referans adreslerde mevcut.

"https://www.informaticar.net/how-to-import-pfx-certificate-to-pfsense "

pfsense üzerinde acme addonu ile let's encrypt tarafında çözüm üretilmiş görünüyor, inceleyebilirsiniz.

"https://www.youtube.com/watch?time_continue=3&v=h7Rlru3agdA"

Bu ileti 2 ay önce 6 defa Turan COŞKUN tarafından düzenlendi

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 15/03/2019 00:05
Sevan AKAL
(@SevanAKAL)
Yeni Üye

@turancoskun @cumhuraltan sorumun cevabını biraz araştırdım ve biraz deneyimledim bunları da burdan paylaşmak istedim.

Öncelikle araştırmama göre squid e yetkili bir servisden SSL sertifikası alarak kullanamayız.
Bunun nedeni SSL sertifikasının domain bazlı çalışması. Yani Oluşturacağımız sertifika hangi domain veya domainleri içerecek, çünkü biz squid kullanırken rastgele sitelere girmek istiyoruz. Dolayısıyla comodo veya herhangi bir servisten SSL alarak bu işi yapmak mümkün değil.

Squid aslında https bir siteye girmek istediğimizde bu isteği kendi CA yapısına alıyor generate ediyor da diyebiliriz herhalde. Bu sayede zaten bizim hangi siteye girdiğimizi anlayabiliyor aksi halde zaten https bir siteye girdiğimizde loglarda site ismi yerine ip adresini görüyoruz.  Clientlara bu sertifikayı yükleyip buna güven dememizin nedeni de bu aslında. 

Şöyle bir soru gelebilir aklımıza, "Peki Fortigate, Sonicwall veya CheckPoint" cihazlarda neden böyle bir sertifika yükleme gereksinimi olmadan çalışıyor. Bu sorunun cevabı da sanırım bu cihazların Uygulama Katmanında çalışan cihazlar olması. Bu cihazlardaki engelleme veya filtreleme biçimi Pfsense Squid yapısındaki gibi değil.

 

CevapAlıntı
Gönderildi : 16/03/2019 18:36
Paylaş:
  
Çalışıyor

Lütfen Giriş yap yada Kayıt ol