HTTP-Proxy

Aus Securepoint Wiki
Wechseln zu:Navigation, Suche


Letze Anpassung zur Version: 11.8

Bemerkung:
Neu in Version 11.8:  Mit dieser Version wird eine neue Funktion im HTTP-Proxy für die SSL-Interception eingeführt.
Es ist möglich die SSL-Interception auf Seiten zu beschränken, die vom Webfilter abgefangen wurden.

Vorherige Versionen: 11.7

Einleitung

Der Proxy dient als Vermittler zwischen Internet und dem zu schützenden Netz. Die Clients stellen Ihre Anfragen an den Proxy und dieser reicht sie an den entsprechenden Servern weiter. Die tatsächliche Adresse des Clients bleibt dem Server verborgen.

Auf diesem Weg ist es möglich, den Datenverkehr auf Viren und ungewollte Inhalte zu überprüfen.



Allgemein

HTTP-Proxy - Allgemein
╭╴ Allgemein╶╮

 Proxy Port  8080 gibt an, auf welchem Port der Proxy anzusprechen ist.
 IPv4 DNS lookups bevorzugen  Hier kann festgelegt werden, ob die Namensauflösung bevorzugt mit IPv4 IP Adressen geschehen soll.
 Ausgehende Adresse  Die ausgehende Adresse wird für 2 Szenarien benutzt.:
  • Wenn der Proxy an ein Interface gebunden werden soll.
  • Wenn über den Proxy ein Webserver im VPN-Netz erreicht werden wollen.

 Logging  Auswahl, wie bzw. ob der HTTP Proxy generell mit geloggt werden soll und ob diese Daten auch für die Statistik genutzt werden sollen.  syslog & statistics 

 Anfragen an den systemweiten
Parent-Proxy weiterleiten: 
Falls vor dem HTTP-Proxy noch ein weiterer Proxy benutzt wird, muss diese Funktion aktiviert werden. Die Konfiguration erfolgt unter →Netzwerk→Servereinstellungen Systemweiter Proxy

 Authentifizierungsmethode  Der Proxy bietet verschiedene Möglichkeiten zur Authentifizierung. Die Möglichkeiten sind:

            ●    Keine  Der HTTP-Proxy verarbeitet ohne Authentifizierung alle Anfragen
            ●    Basic  Bei einer Basic Authentifizierung werden die User auf der Firewall abgefragt.
            ●    NTLM / Kerberos 
 Radius 
Hier muss die Firewall dem Server bekannt gemacht werden.
Dies kann im Webinterface unter →Authentifizierung→AD / LDAP bzw.→Radius-Authentifizierung eingerichtet werden.

 Authentifizierungsausnahmen  Die angesurfte URLwird ohne vorherige Authentifizierung aufgerufen. Beispiele



Virenscanner

Virensacanner
╭╴ Virenscanner-Einstelungen╶╮

 Virenscanner:  aktivieren / deaktivieren
 Virenscanner-Typ:  Es kann zwischen zwei  Virenscannern  gewählt werden.
  • Clam AntiVirus und
  • Cyren Scan Daemaon
 Größenbeschränkung
von geprüften Dateien: 
2 Megabytes. Legt fest, wie groß die Dateien sein dürfen, die vom Virenscanner überprüft werden sollen.
 Trickle Time:  5 Sekunden. Intervall, in dem Daten vom Proxy an den Browser übergeben werden, damit während der Virenprüfung der Browser das Laden nicht abbricht.
 Whitelist ICY-Protokoll:  Aus Ein Webradio-Protokoll das hier von der Prüfung ausgenommen werden kann
 Whitelist:  Ein Damit werden die folgenden Whitelists aktiviert oder deaktiviert.
Link=  Die Blocklist ist immer aktiviert!



 Mime-Type-Blocklist 

Hier aufgeführte Mime-Typen werden in jedem Falle geblockt.
Hinzufügen neuer Einträge mit + MIME Type

 Mime-Type-Whitelist  Hier aufgeführte Mime-Typen werden nicht gescannt ! Standard-Vorgabe

  • audio/*
  • image/*
  • video/*

 Webseiten-Whitelist 

Hier ist es möglich eigene Filter aufgrund von Regular Expressions (Regex) zu erstellen. Link=   Viren von diesen Seiten werden nicht erkannt !  

Einige Update-Server, die unter Verwendung eines Virenscanners Probleme bereiten, sind bereits vorkonfiguriert.




Bandbreite

Bandbreite
╭╴Bandbreiten-Einstellungen╶╮

 Bandbreitenbegrenzung-Policy: 
Auswahl von:

  •  None  Die Bandbreite wird nicht begrenzt.

  •  Gesamte Bandbreite begrenzen  Der Proxy verwendet in diesem Fall nur die angegebene maximale Bandbreite und lässt den Rest der Bandbreite von Ihrer Internetverbindung unberührt. (Diese Bandbreite teilen sich alle Hosts die mit dem Proxy verbunden sind.)

  •  Bandbreite per Host begrenzen  Bandbreite für jeden einzelnen Host. Die limitierte Bandbreite für Hosts kann nicht die globale Bandbreite übersteigen.

╭╴Bandbreitenbegrenzung╶╮

 Globale Bandbreite: 
2.000.000 kbit/s
 Bandbreite per Host: 
64.000 kbit/s


App Blocking

App Blocking
 Anwendung zulassen / blockieren 

Hier gibt es die Möglichkeit Anwendungen gezielt zu blocken. Dieses geschieht einfach per Aktivierung Markierung der unerwünschten Anwendung. Weitere, noch umfangreichere Möglichkeiten des Blocking gibt es unter →Anwendungen→Webfilter

Aktiviert bzw. deaktiviert werden können hier folgende Anwendungen:

  • Instant Massenger (Andere IMs)
  • AOL
  • ICQ
  • Netviewer
  • Skype
  • Teamviewer
  • Trillian
  • Webradio
  • Yahoo

SSL-Interception

SSL-Interception
Mit dem Feature SSL-Interception ist es möglich, Schadcode in SSL-verschlüsselten Datenströmen bereits am Gateway zu erkennen. Es unterbricht die verschlüsselten Verbindungen und macht die Datenpakete für Virenscanner und andere Filter sichtbar. Die Datenübertragung zum Client erfolgt dann wieder verschlüsselt. Dazu ist es allerdings notwendig, ein Zertifikat zu erstellen und dieses im Feld Zertifikat auszuwählen.

╭╴ SSL-Interception╶╮

 SSL-Interception:  Aus Aktivierung bzw. Deaktivierung der SSL-Interception.
 Webfilter basiert: 
Neue Filteroption in 11.8 
Aktivieren Sie diese Funktion, falls lediglich vom Webfilter blockierte Verbindungen abgefangen werden sollen.
Dadurch wird das Problem umgangen, daß es Seiten gibt, die ein Unterbrechen der Verschlüsselung nicht tolerieren (z.B. Banking-Software), ohne das man dafür extra eine Ausnahme definieren muss.
 Zertifikat:  Hier muss eine CA ausgewählt werden, die die Verbindung nach dem entschlüsseln (und scannen) wieder verschlüsselt kann.
Eine Anleitung zum Erstellen von CAs gibt es hier.
Der Public-KEy der CA muss auf allen Client Rechnern, die SSL-Interception nutzen sollen, installiert werden. Herunterladen kann hier direkt mit  Public-Key herunterladen  erfolgen.
 Zertifikatsverifizierung:  Aus Sollte unbedingt aktiviert werden! Damit überprüft der HTTP-Proxy, ob das Zertifikat der aufgerufenen Seite vertrauenswürdig ist. Da der Browser nur noch das lokale Zertifikat sieht, ist eine überprüfung durch den Browser nicht mehr möglich.


 Ausnahmen für SSL-Interception  Aus

Es besteht die Möglichkeit Ausnahmen im Format der Regular Expressions zu definieren. Da hier aber nur https ankommen kann, wird hier, anders als bei dem Virenscanner, nicht auf Protokolle gefiltert. Mit + Regex werden neue Ausnahmen hinzu gefügt.


 Ausnahmen für Zertifikatsverifizierung  Aus

Hier können ausnahmen für die Zertifikatsverifizierung im Regex-Format hinzugefügt werden.


Transparenter Modus

 Transparenter Modus  Aus

Transparenter Modus
Durch den transparenten Modus ist der Proxy für die Clients nicht sichtbar, der Client sieht seine Internetverbindung (HTTP) als ob kein Proxy davor geschaltet wäre. Dennoch geht der gesamte HTTP Stream über den Proxy, wodurch keine Einstellungen auf dem Client vorgenommen werden müssen. Dabei gibt es aber die gleichen Möglichkeiten, den Datenstrom zu analysieren / blocken / filtern / manipulieren, als ob ein fest eingetragener Proxy benutzt würde.


Hinzufügen einer Transparenten Regel
Mit dem Button +Transparente Regel hinzufügen werden neue Regeln hinzugefügt.:

 Protokoll:  Auswahl  HTTP  oder  HTTPS 
 Typ:  Gibt an, ob der transparente Modus angewendet (  Include  )
oder nicht angewendet (  Exclude  ) werden soll.
 Quelle:  Quell- Netzwerkobjekt 
angelegt unter →Firewall→Portfilter Netzwerkobjekte
 Ziel:  Ziel- Netzwerkobjekt 


Captive Portal

Captive Portal Konfiguration
Das Captive Portal leitet einen Client in einem Netzwerk auf eine spezielle Webseite (sog. Landingpage) um, bevor dieser sich normal in das Internet verbinden kann. So muss die Annahme der Nutzungsbedingung erfolgen und es kann eine zusätzliche Authentifizierung konfiguriert werden. Eine vollständige Anleitung findet sich unter Captive_Portal.

An dieser Stelle erfolgt die Konfiguration, die Auswirkungen auf den HTTP-Proxy hat.

 Captive Portal:  Dieser Schalter aktiviert oder deaktiviert Aus das Captive Portal.
 Authentifizierung:  Aus Hier kann, wenn gewünscht, eine Authentifizierung der Benutzer erzwungen werden.
 Zertifikat:  Zertifikat, mit dem sich das Captive Portal beim Benutzer ausweist.
 Maximale Verbindungszeit:  1800 (Sekunden). Der Zeitraum, in dem eine Anmeldung im Captive Portal gültig ist.
Ist die voreingestellte Zeit abgelaufen, wird der Web-Zugriff ins Internet gesperrt und eine erneute Bestätigung der Nutzungsbedingungen (und, wenn gewünscht, der Authentifizierung) ist von Nöten.
 Hostname der Portalseite:  Dieser sollte, bei einem Zertifikat für einen FQDN, dem Common Name des Zertifikats entsprechen.
Bei einem Wildcardzertifikat muss der Hostname der Antwort auf eine DNS-Anfrage des Clients entsprechen.
 Port der Portalseite:  8085 Es muss ein Port für das Captive Portal definiert sein, dieser kann aber geändert werden.
 Netzwerkobjekte:  In dieser Select-Box müssen die Netzwerkobjekte ausgewählt werden, die auf die Landingpage umgeleitet werden sollen.
 Nutzungsbedingungen:  Aus Haftungsgründen können wir hier keine Vorlage bereitstellen.