OPNsense SSLsplit Plugin

Version vom 17. Mai 2021, 06:56 Uhr von Deko (Diskussion | Beiträge) (Symptom)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Symptom

Erweiterung der OPNsense um ein Plugin, dass mittels SSLsplit eingehende SSL/TLS Kommunikation
auswertet. SSLsplit terminiert dabei die eingehende Verbindung und baut eine eigene Verbindung
zur ursprünglichen Zieladresse auf (man-in-the-middle). Dabei wird sämtlicher übertragener Traffic
im Klartext geloggt und aufgezeichnet.

Ursache und Lösung

Zunächst muss der Traffic auf den SSLsplit Service umgeleitet werden. Unverschlüsselter Traffic (HTTP)
muss über ein Port-forward an der LAN Seite an die IP 127.0.0.1 und dem im Plugin festgelegten HTTP
Port weitergeleitet werden (default 8080). Analog muss verschlüsselter Traffic (HTTPS) an einen
festgelegten HTTPS Port weitergeleitet werden (default 8443). Die Ports, an denen der Dienst lauscht,
kann in der GUI an den entsprechenden Feldern eingetragen werden.

SSLsplit benötigt Zertifikate. Auf der OPNsense muss daher unter System:Trust:Authorities eine CA
erstellt werden. Zudem wird ein zugehöriges Zertifikat unter System:Trust:Certificatesbenötigt. CA und
zugehöriges Zertifikat können anschließend auf der Benutzeroberfläche des Plugins im drop-down Menü
ausgewählt werden. Sobald die Einstellungen gespeichert und der Haken bei „Enable“ gesetzt ist, startet
der Service automatisch.

Doku sslsplit misc G1.png



























Die entschlüsselte Kommunikation wird im Verzeichnis /var/db/sslsplit/ im log- bzw. pcap Format
hinterlegt. Der Inhalt des Verzeichnisses kann mit dem Button „Reset“ gelöscht werden, falls
sich zu viele ältere Dateien darin befinden. Unter dem Reiter „Content“ wird der Inhalt des
Verzeichnisses angezeigt. Die Anzeige aktualisiert sich alle 5 Sekunden. Um die Log Dateien
auszuwerten (z.B. Wireshark), müs-sen diese via SCP auf das gewünschte System transferiert werden.

645 × 277px


















Weiterführende Informationen

Allen Unternehmen, die sich intensiver mit der Open Source Firewall OPNsense beschäftigen möchten,
steht ein aktuelles E-Book zur Verfügung. Das E-Book behandelt die zentralen Vorteile der Software
sowie die Möglichkeit, den Funktionsumfang flexibel mit Plugins zu erweitern.
Sie können das PDF kostenlos bei unserem Partner Thomas-Krenn herunterladen >>

Links und Quellen

SSLsplit - transparent SSL/TLS interception (SSLsplit) (roe.ch)
GitHub - droe/sslsplit: Transparent SSL/TLS interception

Kontakt

Wenn Sie Fragen oder Anmerkungen zu diesem Artikel haben, melden Sie sich bitte bei uns:
TechCor-ner@max-it.de.

Tags

OPNsense, Plugins, SSLsplit