OPNsense SSLsplit Plugin: Unterschied zwischen den Versionen

(Symptom)
 
(2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
 
==='''Symptom'''===
 
==='''Symptom'''===
Erweiterung der OPNsense um ein Plugin, dass mittels SSLsplit eingehende SSL/TLS<br> Kommunikation auswertet. SSLsplit terminiert dabei die eingehende Verbindung und baut eine<br> eigene Verbindung zur ursprünglichen Zieladresse auf (man-in-the-middle). Dabei wird sämtlicher<br> übertragener Traffic im Klar-text geloggt und aufgezeichnet.<br><br>
+
Erweiterung der OPNsense um ein Plugin, dass mittels SSLsplit eingehende SSL/TLS Kommunikation<br> auswertet. SSLsplit terminiert dabei die eingehende Verbindung und baut eine eigene Verbindung<br> zur ursprünglichen Zieladresse auf (man-in-the-middle). Dabei wird sämtlicher übertragener Traffic<br> im Klartext geloggt und aufgezeichnet.<br><br>
  
 
==='''Ursache und Lösung'''===
 
==='''Ursache und Lösung'''===
Zunächst muss der Traffic auf den SSLsplit Service umgeleitet werden. Unverschlüsselter<br> Traffic (HTTP) muss über ein Port-forward an der LAN Seite an die IP 127.0.0.1 und dem im<br> Plugin festgeleg-ten HTTP Port weitergeleitet werden (default 8080). Analog muss verschlüsselter<br> Traffic (HTTPS) an einen festgelegten HTTPS Port weitergeleitet werden (default 8443).<br> Die Ports, an denen der Dienst lauscht, kann in der GUI an den entsprechenden Feldern eingetragen werden.<br><br>
+
Zunächst muss der Traffic auf den SSLsplit Service umgeleitet werden. Unverschlüsselter Traffic (HTTP)<br> muss über ein Port-forward an der LAN Seite an die IP 127.0.0.1 und dem im Plugin festgelegten HTTP<br> Port weitergeleitet werden (default 8080). Analog muss verschlüsselter Traffic (HTTPS) an einen<br> festgelegten HTTPS Port weitergeleitet werden (default 8443). Die Ports, an denen der Dienst lauscht,<br> kann in der GUI an den entsprechenden Feldern eingetragen werden.<br><br>
SSLsplit benötigt Zertifikate. Auf der OPNsense muss daher unter System:Trust:Authorities<br> eine CA erstellt werden. Zudem wird ein zugehöriges Zertifikat unter System:Trust:Certificates<br> benötigt. CA und zugehöriges Zertifikat können anschließend auf der Benutzeroberfläche des<br> Plugins im drop-down Me-nü ausgewählt werden. Sobald die Einstellungen gespeichert und der Haken bei „Enable“ gesetzt ist,<br> startet der Service automatisch.<br>
+
SSLsplit benötigt Zertifikate. Auf der OPNsense muss daher unter System:Trust:Authorities eine CA<br> erstellt werden. Zudem wird ein zugehöriges Zertifikat unter System:Trust:Certificatesbenötigt. CA und<br> zugehöriges Zertifikat können anschließend auf der Benutzeroberfläche des Plugins im drop-down Menü<br> ausgewählt werden. Sobald die Einstellungen gespeichert und der Haken bei „Enable“ gesetzt ist, startet<br> der Service automatisch.<br><br>
  
 
[[Datei:Doku sslsplit misc G1.png|635x498px|gerahmt|left]]
 
[[Datei:Doku sslsplit misc G1.png|635x498px|gerahmt|left]]
 
<br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br>
 
<br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br>
  
Die entschlüsselte Kommunikation wird im Verzeichnis /var/db/sslsplit/ im log- bzw.<br> pcap Format hinter-legt. Der Inhalt des Verzeichnisses kann mit dem Button „Reset“ gelöscht werden,<br> falls sich zu viele ältere Dateien darin befinden. Unter dem Reiter „Content“ wird der Inhalt<br> des Verzeichnisses angezeigt. Die Anzeige aktualisiert sich alle 5 Sekunden. Um die Log Dateien<br> auszuwerten (z.B. Wireshark), müs-sen diese via SCP auf das gewünschte System transferiert werden.<br>
+
Die entschlüsselte Kommunikation wird im Verzeichnis /var/db/sslsplit/ im log- bzw. pcap Format<br> hinterlegt. Der Inhalt des Verzeichnisses kann mit dem Button „Reset“ gelöscht werden, falls<br> sich zu viele ältere Dateien darin befinden. Unter dem Reiter „Content“ wird der Inhalt des<br> Verzeichnisses angezeigt. Die Anzeige aktualisiert sich alle 5 Sekunden. Um die Log Dateien<br> auszuwerten (z.B. Wireshark), müs-sen diese via SCP auf das gewünschte System transferiert werden.<br><br>
  
[[Datei:Doku sslsplit misc G2.png|645 × 277px|gerahmt|left]]<br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br>
+
[[Datei:Doku sslsplit misc G2.png|645 × 277px|gerahmt|left]]<br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br>
  
 
==='''Weiterführende Informationen'''===  
 
==='''Weiterführende Informationen'''===  
Allen Unternehmen, die sich intensiver mit der Open Source Firewall OPNsense beschäftigen<br> möchten, steht ein aktuelles E-Book zur Verfügung. Das E-Book behandelt die zentralen Vorteile<br> der Software sowie die Möglichkeit, den Funktionsumfang flexibel mit Plugins zu erweitern.<br>
+
Allen Unternehmen, die sich intensiver mit der Open Source Firewall OPNsense beschäftigen möchten,<br> steht ein aktuelles E-Book zur Verfügung. Das E-Book behandelt die zentralen Vorteile der Software<br> sowie die Möglichkeit, den Funktionsumfang flexibel mit Plugins zu erweitern.<br>
 
[https://www.it-administrator.de/themen/sicherheit/fachartikel/332891.html Sie können das PDF kostenlos bei unserem Partner Thomas-Krenn herunterladen >>] <br><br>
 
[https://www.it-administrator.de/themen/sicherheit/fachartikel/332891.html Sie können das PDF kostenlos bei unserem Partner Thomas-Krenn herunterladen >>] <br><br>
  

Aktuelle Version vom 17. Mai 2021, 06:56 Uhr

Symptom

Erweiterung der OPNsense um ein Plugin, dass mittels SSLsplit eingehende SSL/TLS Kommunikation
auswertet. SSLsplit terminiert dabei die eingehende Verbindung und baut eine eigene Verbindung
zur ursprünglichen Zieladresse auf (man-in-the-middle). Dabei wird sämtlicher übertragener Traffic
im Klartext geloggt und aufgezeichnet.

Ursache und Lösung

Zunächst muss der Traffic auf den SSLsplit Service umgeleitet werden. Unverschlüsselter Traffic (HTTP)
muss über ein Port-forward an der LAN Seite an die IP 127.0.0.1 und dem im Plugin festgelegten HTTP
Port weitergeleitet werden (default 8080). Analog muss verschlüsselter Traffic (HTTPS) an einen
festgelegten HTTPS Port weitergeleitet werden (default 8443). Die Ports, an denen der Dienst lauscht,
kann in der GUI an den entsprechenden Feldern eingetragen werden.

SSLsplit benötigt Zertifikate. Auf der OPNsense muss daher unter System:Trust:Authorities eine CA
erstellt werden. Zudem wird ein zugehöriges Zertifikat unter System:Trust:Certificatesbenötigt. CA und
zugehöriges Zertifikat können anschließend auf der Benutzeroberfläche des Plugins im drop-down Menü
ausgewählt werden. Sobald die Einstellungen gespeichert und der Haken bei „Enable“ gesetzt ist, startet
der Service automatisch.

Doku sslsplit misc G1.png



























Die entschlüsselte Kommunikation wird im Verzeichnis /var/db/sslsplit/ im log- bzw. pcap Format
hinterlegt. Der Inhalt des Verzeichnisses kann mit dem Button „Reset“ gelöscht werden, falls
sich zu viele ältere Dateien darin befinden. Unter dem Reiter „Content“ wird der Inhalt des
Verzeichnisses angezeigt. Die Anzeige aktualisiert sich alle 5 Sekunden. Um die Log Dateien
auszuwerten (z.B. Wireshark), müs-sen diese via SCP auf das gewünschte System transferiert werden.

645 × 277px


















Weiterführende Informationen

Allen Unternehmen, die sich intensiver mit der Open Source Firewall OPNsense beschäftigen möchten,
steht ein aktuelles E-Book zur Verfügung. Das E-Book behandelt die zentralen Vorteile der Software
sowie die Möglichkeit, den Funktionsumfang flexibel mit Plugins zu erweitern.
Sie können das PDF kostenlos bei unserem Partner Thomas-Krenn herunterladen >>

Links und Quellen

SSLsplit - transparent SSL/TLS interception (SSLsplit) (roe.ch)
GitHub - droe/sslsplit: Transparent SSL/TLS interception

Kontakt

Wenn Sie Fragen oder Anmerkungen zu diesem Artikel haben, melden Sie sich bitte bei uns:
TechCor-ner@max-it.de.

Tags

OPNsense, Plugins, SSLsplit