HOWTO: HTTPS-DPI mit dem WebBlocker inkl. WatchGuard Deny Messages

Bevor die Content Inspection aktiviert werden kann, wird ein Proxy Zertifikat für die WatchGuard Firebox benötigt, welchem Ihre Clients vertrauen.

Um zu erfahren, wie ein Zertifikat importiert, ein Certificate Signing Request erstellt oder das selbstsignierte WatchGuard Zertifikat im AD bekannt gemacht wird, empfehlen wir folgende Blog-Artikel:

Im letzten Blog-Artikel >> Keine Fehlermeldung von HTTPS Proxy (deny message) haben wir erklärt warum Benutzer bei gesperrten HTTPS Webseiten keine Blockbenachrichtigung angezeigt bekommen. In diesem Artikel zeigen wir Ihnen wie Sie die Content Inspection aktivieren und konfigurieren können, sodass entsprechende Deny Messages ausgegeben werden.

1) In der HTTPS Policy die Proxy Action bearbeiten:


2) Die Action auf Allow belassen:

Seit der Firmware Version 12.7 wird die vordefinierte Ausnahmeliste von WatchGuard auch automatisch aktualisiert und nicht wie vorher nur per Firmwareupgrade. Die vordefinierte Liste enthält Ausnahmen für Domänen und Services, bei denen bereits Kompatibilitätsprobleme mit der WatchGuard Content Inspection bekannt sind. Zertifikats Pinning (ca-pinning) oder die Zertifikatsvalidierung (certificate validation) verursachen zum Beispiel diese Inkompatibilitäten.

3) Einen neuen WebBlocker in der HTTPS-Proxy Action “HTTPS-DPI.Out” erstellen und sämtliche Kategorien auf Inspect stellen, außer bei den Kategorien bei der man kein Inspect haben möchte z. B. “Financial Data and Services”:

4) Zusätzliche Aktivierung der Funktion “Inspect when a URL is uncategorized” sowie Auswahl der korrekten Proxy Action. Ansonsten wird auf HTTP Ebene nur die Default Action ohne die konfigurierten Änderungen herangezogen:

Um nicht zwei HTTP Proxy Actions zu pflegen, empfiehlt es sich hier dieselbe HTTP Action auszuwählen, die bereits für den HTTP Proxy eingerichtet wurde.

5) Sämtliche Deny Kategorien werden innerhalb der Proxy Action “HTTP-Client.http_standard” (HTTPS-Proxy FW-Rule “HTTPS-Client.DPI) wie folgt konfiguriert:

6) Nun wird seitens der WatchGuard eine entsprechende Deny Message dargestellt:

Ein Kommentar zu “HOWTO: HTTPS-DPI mit dem WebBlocker inkl. WatchGuard Deny Messages”

Leave a Reply

Your email address will not be published. Required fields are marked *