OPNsense SSLsplit Plugin

Version vom 17. Mai 2021, 06:23 Uhr von Deko (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „==='''Symptom'''=== Erweiterung der OPNsense um ein Plugin, dass mittels SSLsplit eingehende SSL/TLS Kommunikation auswertet. SSLsplit terminiert dabei die ein…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Symptom

Erweiterung der OPNsense um ein Plugin, dass mittels SSLsplit eingehende SSL/TLS Kommunikation auswertet. SSLsplit terminiert dabei die eingehende Verbindung und baut eine eigene Verbindung zur ursprünglichen Zieladresse auf (man-in-the-middle). Dabei wird sämtlicher übertragener Traffic im Klar-text geloggt und aufgezeichnet.

Ursache und Lösung

Zunächst muss der Traffic auf den SSLsplit Service umgeleitet werden. Unverschlüsselter Traffic (HTTP) muss über ein Port-forward an der LAN Seite an die IP 127.0.0.1 und dem im Plugin festgeleg-ten HTTP Port weitergeleitet werden (default 8080). Analog muss verschlüsselter Traffic (HTTPS) an einen festgelegten HTTPS Port weitergeleitet werden (default 8443). Die Ports, an denen der Dienst lauscht, kann in der GUI an den entsprechenden Feldern eingetragen werden. SSLsplit benötigt Zertifikate. Auf der OPNsense muss daher unter System:Trust:Authorities eine CA erstellt werden. Zudem wird ein zugehöriges Zertifikat unter System:Trust:Certificates benötigt. CA und zugehöriges Zertifikat können anschließend auf der Benutzeroberfläche des Plugins im drop-down Me-nü ausgewählt werden. Sobald die Einstellungen gespeichert und der Haken bei „Enable“ gesetzt ist, startet der Service automatisch.

Doku sslsplit misc G1.png

Die entschlüsselte Kommunikation wird im Verzeichnis /var/db/sslsplit/ im log- bzw. pcap Format hinter-legt. Der Inhalt des Verzeichnisses kann mit dem Button „Reset“ gelöscht werden, falls sich zu viele ältere Dateien darin befinden. Unter dem Reiter „Content“ wird der Inhalt des Verzeichnisses angezeigt. Die Anzeige aktualisiert sich alle 5 Sekunden. Um die Log Dateien auszuwerten (z.B. Wireshark), müs-sen diese via SCP auf das gewünschte System transferiert werden.

645 × 277px

Weiterführende Informationen

Allen Unternehmen, die sich intensiver mit der Open Source Firewall OPNsense beschäftigen möchten, steht ein aktuelles E-Book zur Verfügung. Das E-Book behandelt die zentralen Vorteile der Software sowie die Möglichkeit, den Funktionsumfang flexibel mit Plugins zu erweitern. Sie können das PDF kostenlos bei unserem Partner Thomas-Krenn herunterladen >>

Links und Quellen

SSLsplit - transparent SSL/TLS interception (SSLsplit) (roe.ch)
GitHub - droe/sslsplit: Transparent SSL/TLS interception

Kontakt

Wenn Sie Fragen oder Anmerkungen zu diesem Artikel haben, melden Sie sich bitte bei uns: TechCor-ner@max-it.de.

Tags

OPNsense, Plugins, SSLsplit