Wechseln zu:Navigation, Suche
Wiki

Reverse Proxy

Aus Securepoint Wiki





notempty
Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty
Der Artikel für die neueste Version steht hier

notempty
Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht


















































| Name of the network object }}



| Zone of the network object }}









| Authentication for access from the Internet }}











































Thumbnail for

Video laden
Vimeo
Securepoint OpenWeb Reverse Proxy
De.png
En.png
Fr.png






Ziel dieser Anleitung ist es, über den Reverse-Proxy auf einen internen Webserver zuzugreifen
Letzte Anpassung zur Version: 12.6.0
Neu:
  • Aktualisierung zum Redesign des Webinterfaces
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

12.3 12.1 11.7

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115 Anwendungen Reverse-Proxy


Verwendungszweck

Mit einem Reverse-Proxy kann man aus dem Internet heraus, den Zugriff auf die "internen" Webserver steuern. Im Gegensatz zu einer Portweiterleitung, können über den Reverse-Proxy dedizierte Filterregeln erstellt werden. Zudem können, bei nur einer öffentlichen IP-Adresse, mehrere interne Webserver anhand der Domäne angesprochen werden.

Ein weiteres Highlight bietet das Load-Balancing. Server können zu Gruppen zusammen gefasst werden, auf die die Anfragen dann mit dem gewählten Algorithmus (z.B. Round-Robin) verteilt werden.


Voraussetzungen

Für die Beispielkonfiguration werden folgende Werte angenommen:

  • Webserver mit der privaten IP: 10.1.0.150
  • Domäne: www.ttt-point.de


Vorbereitungen

  • Achtung:
    Soll der Zugriff auch auf den Webserver über https erfolgen, so muss zuerst der Port des Userinterfaces umgelegt werden.

Servereinstellungen UTMbenutzer@firewall.name.fqdnNetzwerk UTM v12.6 Reverse Proxy Servereinstellungen UI Port.png

In der Werkseinstellung ist der Port 443 für https schon vom User-Webinterface der UTM belegt. Dieser muss dann auf einen anderen Port umgelegt werden.
Die Einstellungen dazu befinden sich im Menü Netzwerk Servereinstellungen  Bereich Servereinstellungen im Abschnitt
Webserver
  • Ggf. müssen Paketfilterregeln, die den Zugriff auf das User Webinterface erlauben angepasst werden.
    • Speichern

    • Für https benötigt der Reverse-Proxy ein Zertifikat damit er die verschlüsselte Verbindung entgegen nehmen kann
    • Hierzu wird unter Authentifizierung Zertifikate ein Zertifikat benötigt
  • Wird ein lokal selbst erstelltes Zertifikat verwendet, müssen externe Nutzer beim ersten Aufruf eine Zertifikatswarnung bestätigen
  • Besser ist es, ein öffentlich ausgestelltes, käuflich erworbenes Zertifikat zu importieren oder ein ACME-Zertifikat zu erstellen

  • Wichtig: der Name des Zertifikates muss so benannt werden wie die Domäne.
    In diesem Beispiel wird ein Wildcard-Zertifikat *.ttt-point.de verwendet.

    • Paketfilter-Regel

    Damit der Reverse Proxy erreichbar ist, muss folgende Paketfilter-Regel vorhanden sein. Unter Firewall Paketfilter kann dies überprüft werden. Falls diese nicht vorhanden ist, wird mit Regel hinzufügen diese Regel hinzugefügt.

    # Quelle Ziel Dienst NAT Aktion Aktiv
    Dragndrop.png World.svg internet Interface.svg external-interface Tcp.svg https Accept Ein


    notempty
    Gegebenenfalls muss diese Paketfilter-Regel auch mit dem Dienst Tcp.svg http erstellt werden.


    Einrichtung

    Assistent

    Schritt 1 - Intern

    Anwendungen Reverse-Proxy  Bereich Servergruppen Schaltfläche Reverse-Proxy Assistent

    Mit einem Klick auf die Schaltfläche Reverse-Proxy Assistent öffnet sich der Assistent.

    Beschriftung Wert Beschreibung Reverse-Proxy Assistent UTMbenutzer@firewall.name.fqdnAnwendungenReverse-Proxy Datei:UTM v12.6 Reverse Proxy Einrichtung Schritt 1.pngZielserver existiert bereits als Netzwerkobjekt
    Zielserver: www.ttt-point.de Ist der Host schon als Netzwerkobjekt angelegt, kann dieser im Dropdown Menü direkt ausgewählt werden.
    Port: 443Link= Der Webserver soll über eine Verschlüsselte Verbindung angesprochen werden.
    SSL benutzen: Ein SSL sollte unbedingt aktiviert sein
    Zielserver: Server anlegen Sollte der Exchange Server noch nicht als Netzwerkobjekt existieren, kann er über den Auswahlpunkt Server anlegen im Assistenten angelegt werden. Datei:UTM v12.6 Reverse Proxy Einrichtung Schritt 1 Server anlegen.png
    Zielserver existiert noch nicht als Netzwerkobjekt
    Servername: www.ttt-point.de Name des Netzwerkobjektes.
    Der Servername des Netzwerkobjekts kann bei der Neuanlage frei gewählt werden, darf jedoch noch nicht bei anderen Objekten in Verwendung sein. Eine sinnvolle Namenskonventionen sollte berücksichtigt und eingehalten werden. Da hier für den Webserver mit der Homepage die Verbindung konfiguriert und das Ziel später auch als "www.ttt-pint.de" zu erreichen sein soll, wird diese Bezeichnung auch für das Netzwerkobjekt verwendet.
    IP-Adresse: 10.1.0.150/---  IP-Adresse des Webservers
    Zone: dmz1 Zone des Netzwerkobjektes.
    Die Zone wird automatisch eingetragen, wenn die IP-Range der UTM bekannt ist.
  • Wir empfehlen grundsätzlich Systeme, die von außen erreichbar sind, in einem eigenen Netzwerk mit eigener Zone aufzustellen.
    • Port: 443Link= Der Webserver soll über eine Verschlüsselte Verbindung angesprochen werden.
    SSL benutzen: Ja (Default: aus) SSL sollte unbedingt aktiviert sein

    Erweiterte Einstellungen

    notempty

    Diese TLS Einstellungen gelten für die Verbindung zwischen dieser Appliance und dem (lokalen) Server.
    Für TLS Einstellungen zwischen den Clients und dieser Appliance gelten die Einstellungen im Dialog Authentifizierung Verschlüsselung  Bereich Reverse-Proxy

    Standard TLS Einstellungen verwenden: Ja Lässt nur Verbindungen mit TLS 1.2 oder 1.3 zu
    Minimale TLS Version: Standardwert verwenden Es lassen sich die veralteten TLS-Versionen 1.1 und 1.0 auswählen
    Cipher-Suite: Standardwert verwenden Um direkt ein OpenSSL Sicherheitslevel zu verwenden, kann die Notation @SECLEVEL=N im Cipherstring verwendet werden, wobei N für das gewählte Level von 0 bis 5 steht.
  • Damit kann auch das Sicherheitslevel 0 für Server verwendet werden, das veraltete und unsichere Algorithmen anbietet. Dies wird ausdrücklich nicht empfohlen, stattdessen sollte der Server aktualisiert werden.
  • Ein bestimmter Cipher oder Default müssen noch mit angegeben werden.
    • Beispiele:
      • DEFAULT@SECLEVEL=0
      • ECDHE-RSA-AES256-SHA@SECLEVEL=0
    Weiter
    Schritt 2 - Extern

    Eingehende Verbindung definieren

    Externer Domainname: www.ttt-point.de Hier wird eingetragen, wie der Server hinter der UTM angesprochen wird

  • Es kann hier auch die öffentliche IP-Adresse eingetragen werden, die der Client aus dem Internet aufruft. Allerdings ist es dann nicht möglich über zusätzliche Subdomains weitere einzelne Server zu unterscheiden.
    		•  Datei:UTM v12.6 Reverse Proxy Einrichtung Schritt 2.png
    Konfiguration des externen Zugriffs, damit der Reverse-Proxy auf Anfragen reagiert
    Modus HTTPS Der Zugriff soll ausschließlich verschlüsselt über https erfolgen.
    SSL-Proxy Port: 443Link= Proxy-Port ist ebenfalls 443
    SSL-Zertifikat: *.ttt-point.de Das zuvor angelegte Wildcard-Zertifikat (siehe Abschnitt: Vorbereitungen)
    Weiter
    Schritt 3 - Authentifizierung
    Authentifizierung weiterleiten: Zugangsdaten festlegen Leitet fixe Zugangsdaten (hier: Keine) an den Reverse Proxy weiter.
    Der Proxy soll keine Authentifizierung durchführen
    Die Zeichenfolge kann URL-Escapes enthalten (z. B. %20 für Leerzeichen).
    Das bedeutet auch, dass % als %% geschrieben werden muss.
          		 Datei:UTM v12.6 Reverse Proxy Einrichtung Schritt 3.png
    Keine Authentifizierung!
    Zugangsdaten Weiterleiten (Client) Leitet die Authentifizierungs-Header des Clients an die Gegenstelle weiter.
    Von der UTM empfangene Anmeldedaten werden an den Reverse Proxy gesendet.
    Dadurch wird das Proxy-Passwort des Benutzers für die Gegenstelle sichtbar.
    Eine Authentifizierung ist bei dieser Option nicht erforderlich.
    Zugangsdaten Weiterleiten (Client & Proxy) Proxy- und Authentifizierung-Header werden unverändert weitergeleitet
    Sendet die vom Client empfangenen Anmeldedaten an den Reverse Proxy. Sowohl Proxy- als auch WWW-Authorization-Header werden ohne Änderung an die Gegenstelle weitergegeben.
    Anmeldename     Leer
    Passwort     Leer
    Authentifizierung: aus Authentifizierung ist bei einem Webserver, der die öffentliche Homepage vorhält nicht sinnvoll.
    Fertig

    Servergruppen

    Servergruppen
    • Es wird automatisch eine Servergruppe angelegt
    • neue Servergruppen können hinzugefügt werden
    • Vorhandene Servergruppen können mit weiteren Servern erweitert werden
  • Ein Portforwarding ermöglicht eine 1:1 Beziehung, die Verbindung wird an einen Server weitergeleitet. Bei einem Reverse-Proxy ist das anders, hier gibt es die Beziehungen:
    • 1:1 - Eine Domäne/IP : Ein Server
    • 1:N - Eine Domäne/IP : Mehrere Server (Load Balancing)
    • N:1 - Mehrere Domänen/IPs : Ein Server
    • N:M - Mehrere Domänen/IPs : Mehrere Server (Load Balancing)
    Nun ist auch klar, warum sich die Server in Gruppen befinden. Sie können, müssen aber nicht mehrere Objekte in diese Gruppen legen.
    • Mit der Schaltfläche lässt sich eine Servergruppe bearbeiten.     		Reverse-Proxy UTMbenutzer@firewall.name.fqdnAnwendungen Datei:UTM v12.6 Reverse Proxy Einrichtung fertig.pngAutomatisch angelegte Servergruppe
    Mit der Schaltfläche Server hinzufügen lässt sich die Servergruppe erweitern. Servergruppe bearbeiten UTMbenutzer@firewall.name.fqdnAnwendungenReverse-Proxy Datei:UTM v12.6 Reverse Proxy Servergruppe bearbeiten.pngBeispiel mit verschiedenen TLS-Versionen und Cipher-Suiten

    ACL Sets

    ACL Sets
    Anwendungen Reverse-Proxy  Bereich ACLSets Schaltfläche Schaltfläche ACL hinzufügen
    Über ACLs lassen sich Zugriffsrechte zuweisen.    		 ACL hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenReverse-Proxy UTM v12.6 Reverse Proxy ALC-Set bearbeiten.png
    req_header Filter auf den Header des Clients (Es könnte z. B. der Browser bestimmt werden)
    src Gibt die Quell IP des Clients an (87.139.55.127/255.255.255.255)
    dstdomain Gibt die Domäne/IP des Ziel-Servers an (www.ttt-point.de oder IP-Adresse)
    dstdom_regex Regex auf die Ziel-Domäne (.*\ttt-point\.(de|com))
    srcdomain Gibt die Domäne des Absenders an (anyideas.de)
    srcdom_regex Regex auf die Domäne (anyideas)
    urlpath_regex Regex für Pfade
    proto protoProtokoll (http, https)
    time Zeitangabe (M T W H F 9:00-17:00)
    S - Sonntag

    M - Montag
    T - Dienstag
    W - Mittwoch
    H - Donnerstag
    F - Freitag
    A - Samstag

    D - jeden Werktag

    Sites

    Sites
    Anwendungen Reverse-Proxy  Bereich Sites Schaltfläche
    Hier können nun die Zuweisungen von den ACLs, der Aktion "Allow/Deny", der Reihenfolge, den Verteilungsalgorithmus sowie der Bandbreite für dem Server erfolgen.
    Die ACLs werden der Reihenfolge nach abgearbeitet, man kann sie entweder zulassen "Allow" oder verweigern "Deny".
  • Die ACLs vom Typ "Deny" sollten in der Reihenfolge vor den "Allow" ACLs kommen.
    		•  Site bearbeiten UTMbenutzer@firewall.name.fqdnAnwendungenReverse-Proxy Datei:UTM v12.6 Reverse Proxy Sites bearbeiten.png
    Kombinationsbeispiel
    Das Ziel ist es, dass nur eine spezielle öffentliche IP auf deinen bestimmten Pfad, in diesem Fall die Anmeldeseite www․ttt-point․de/login, zugreifen darf.
    Zunächst wird hierfür ein ACL benötigt, welches die dstdomain und die öffentliche IP-Adresse als src beinhaltet. ACLSet hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenReverse-Proxy UTM v12.6.1 Reverse-Proxy Kombinationsbeispiel Allow Set.png
    Anschließend wird noch ein ACL benötigt, welches den Pfand als urlpath_regex beinhaltet. ACLSet hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenReverse-Proxy UTM v12.6.1 Reverse-Proxy Kombinationsbeispiel Deny Set.png
    Zuletzt wird eine Site mit der ersten Regel als allow und mit der zweiten Regel als deny eingerichtet. Site bearbeiten UTMbenutzer@firewall.name.fqdnAnwendungenReverse-Proxy UTM v12.6.1 Reverse-Proxy Kombinationsbeispiel Site.png

    Einstellungen

    Einstellungen
    Hier kann festgelegt werden ob HTTP/HTTPS oder beides verwendet werden soll, die Ports sowie das Zertifikat für den entsprechenden Server. Reverse-Proxy UTMbenutzer@firewall.name.fqdnAnwendungen Datei:UTM v12.6 Reverse Proxy Einstellungen.png
    Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/APP/Reverse_Proxy_v12.6&oldid=91701