Wechseln zu:Navigation, Suche
Wiki
K (Lauritzl verschob die Seite APP/HTTP Proxy 11.7 nach UTM/APP/HTTP Proxy 11.7, ohne dabei eine Weiterleitung anzulegen)
KKeine Bearbeitungszusammenfassung
Markierung: Zurückgesetzt
Zeile 1: Zeile 1:
{{DISPLAYTITLE: HTTP-Proxy}}
==Beispiel einer Webfiltereinrichtung mit Benutzer- und Netzwerkgruppen==
{{Archivhinweis|UTM/APP/HTTP_Proxy}}
===Vorgaben===
__TOC__
Dieses Beispiel zeigt die Verwendung des Webfilters im HTTP-Proxy der Version 11.6 in Verbindung mit Benutzer- und Netzwerkgruppen bei folgender Ausgangssituation:
== Informationen ==
Letzte Anpassung zur Version: '''11.7'''
<br>
Bemerkung: Artikelanpassung
<br>
Vorherige Versionen: -
<br>


<h2> <span class="mw-headline" id="HTTP-Proxy_V11"> HTTP-Proxy</span></h2>
1. Benutzergruppen:<br>
<h3> <span class="mw-headline" id="Allgemein"> Allgemein </span></h3>
Es gibt drei Benutzergruppen mit eigenen Regelsätzen. In Regelsätzen werden unterschiedliche Berechtigungen beim Aufrufen von Webseiten definiert. Anhand der Benutzergruppen werden im Webfilter drei Profile erstellt, in denen diese mit ihren Regelsätzen verbunden werden.<br>
<p>Der Proxy dient als Vermittler zwischen Internet und dem zu schützenden Netz. Die Clients stellen Ihre Anfragen an den Proxy und dieser reicht sie an den entsprechenden Servern weiter. Die tatsächliche Adresse des Clients bleibt dem Server verborgen.
*Benutzergruppe "Proxy_chef" soll keine Einschränkungen enthalten, jedoch soll die Geschäftsführung vor Webseiten geschützt werden, auf denen Schadsoftware enthalten ist. Daher werden die Kategorien "Danger" und "Hacking" blockiert.
</p>
*Benutzergruppe ''Proxy_mitarbeiter'' soll ebenfalls vor Webseiten mit Schadsoftware geschützt werden. Weiterhin sollen die Kategorien ''Porno und Erotik'', ''Soziale Netzwerke'' und ''Shopping'' blockiert werden. Es muss allerdings die Möglichkeit bestehen, bei der Wortmann AG online einzukaufen.
[[Datei:UTM_V114_HTTPP-allg.png|600px|thumb|center]]
*Benutzergruppe ''Proxy_azubi'' soll keine Webseiten aufrufen dürfen, mit Ausnahme der Webseite der Securepoint GmbH. Zusätzlich soll hier die Möglichkeit geschaffen werden, dass die Benutzer dieser Gruppe in einem definierten Zeitfenster ihre sozialen Kontakte bei Facebook pflegen können.
<h4> <span class="mw-headline" id="Proxy_Port"> Proxy Port </span></h4>
<p>Der Proxy Port gibt an, auf welchem Port der Proxy anzusprechen ist.
</p>
<h4> <span class="mw-headline" id="Ausgehende_Adresse"> Ausgehende Adresse </span></h4>
<p>Die ausgehende Adresse wird für 2 Szenarien benutzt.
</p>
<ul><li> Wenn Sie den Proxy an ein Interface binden möchten.
</li><li> Wenn Sie über den Proxy einen Webserver im VPN-Netz erreichen wollen. 
</li></ul>
<p><br/>
Beispiel zum 1. Szenario:
</p><p>Der Proxy wird in diesem Beispiel an die schnellere DSL Leitung gebunden.
</p><p>eth0: ppp0 mit DSL 2000
</p><p>eth1: Internes Netz (Internes Interface hat die IP 192.168.175.1)
</p><p>eth2: ppp1 mit DSL 16000
</p>
<ul><li> Tragen Sie die IP des „Internen Interface" in das Feld für die ausgehende Adresse ein.
</li><li> Speichern Sie die Einstellungen.
</li><li> Legen Sie unter "Netzwerk" -> "Netzwerk-Konfiguration" -> "Routing" eine neue Route an:<br />
<ul>
<li>Quelle: &lt;IP des Internen Interfaces&gt;</li>
<li>Router: ppp1</li>
<li>Ziel: 0.0.0.0/0</li>
</ul>
</li><li> Speichern Sie die Route.
</li></ul>
<p>Nun haben Sie den Proxy an die 2. Internetverbindung gebunden.
</p><p><br/>
Beispiel zum 2. Szenario:
</p>
<ul><li> Tragen Sie die IP des „Internen Interface" in das Feld für die ausgehende Adresse ein.
</li><li> Speichern Sie die Einstellungen.
</li></ul>
<p>Verbindungen, die von der Firewall initiiert werden, benötigen keine Extraregeln.
</p>
<h4> <span class="mw-headline" id="IPv4_DNS_lookups_bevorzugen"> IPv4 DNS lookups bevorzugen </span></h4>
<p>Hier können Sie festlegen, ob die Namensauflösung bevorzugt mit IPv4 IP Adressen geschehen soll.
</p>
<h4> <span class="mw-headline" id="Logging"> Logging </span></h4>
<p>Aktivieren sie hier, ob der HTTP Proxy generell mit geloggt werden soll und ob diese Daten auch für die Statistik genutzt werden sollen.
</p>
<h4> <span class="mw-headline" id="Authentifizierung"> Authentifizierung </span></h4>
<p>Der Proxy bietet Ihnen verschiedene Möglichkeiten zur Authentifizierung. Die Möglichkeiten sind „Keine“, „Basic“, „NTLM“, „LDAP“ und „Radius“. 
</p><p>Bei einer Basic Authentifizierung werden die User auf der Firewall abgefragt. Bei „Radius“, „LDAP“ und „NTLM“ müssen Sie erst der Firewall die Server bekanntmachen. Diese können Sie im Webinterface unter Authentifizierung &gt; externe Authentifizierung einrichten.
</p>


<h4> <span class="mw-headline" id=".C3.9Cbergeordneter_Proxy_.28Parent_Proxy.29"> Übergeordneter Proxy (Parent Proxy) </span></h4>
<p>Den Parent Proxy benötigen Sie, falls Sie vor dem Proxy noch einen weiteren Proxy benutzen. In diesem Fall tragen Sie die IP des davor geschalteten Proxy ein, dadurch wird der Proxy auf der Securepoint seine Daten zum Parent Proxy weiterleiten.
</p>
<h3> <span class="mw-headline" id="Transparenter_Modus"> Transparenter Modus </span></h3>
[[Datei:UTMV11_HTTPP_TM.png|600px|thumb|center]]
<p>Durch den transparenten Modus ist der Proxy für die Clients nicht sichtbar, der Client sieht seine Internetverbindung (HTTP) als ob kein Proxy davorgeschaltet wäre. Dennoch geht der gesamte HTTP Stream über den Proxy, wodurch Sie keine Einstellungen auf dem Client vornehmen müssen, dabei haben Sie aber die gleichen Möglichkeiten den Datenstrom zu analysieren / blocken / filtern / manipulieren, als ob Sie einen fest eingetragenen Proxy benutzen würden.
</p>
<h4> <span class="mw-headline" id="Netzwerkobjektgruppen_zuweisen"> Netzwerkobjektgruppen zuweisen </span></h4>
<p>In der Version 11 ist es nun möglich, dem transparenten Modus selbst definierte Netzwerkobjektgruppen zuzuweisen.
Dazu legen Sie unter Firewall → Portfilter im Bereich Netzwerkobjekte entsprechende Netzwerkgruppen an und weisen diesen die entsprechenden Netzwerkobjekte zu. Das geschieht entweder beim Anlegen neuer Netzwerkobjekte oder bei bestehenden mit dem Markieren der Gruppe per Mausklick auf den Gruppennamen. Wenn das Feld Orange hinterlegt ist, wählen Sie ein Netzwerkobjekt aus und klicken auf das „+“ in der Zeile des Netzwerkobjektes. Nun erscheint dieses Objekt in dem Fensterteil „Netzwerkobjekte in der Gruppe“.
</p><p>Anschließend kann definiert werden, ob diese Gruppe den transparenten Modus des http-Proxy nutzen soll oder davon ausgenommen wird.
[[Datei:UTMV11_HTTPP_TMRegel.png|400px|thumb|center]]
</p>
<h3> <span class="mw-headline" id="Virenscan"> Virenscan </span></h3>
<p>In dieser Version haben Sie jetzt die Wahl zwischen zwei Virenscannern. Zum einen den bisher bekannten Clam AntiVirus und neu den Virenscanner von Comtouch.
</p>
[[Datei:Image006.png|600px|thumb|center]]
<h4> <span class="mw-headline" id="Maximum_scan_size_limit_und_Trickle_Time"> Maximum scan size limit und Trickle Time </span></h4>
<p>Maximum scan size limit legt fest, wie groß die Dateien sein dürfen, die vom Virenscanner überprüft werden sollen.</p>
<p>Mit Trickle Time wird ein Intervall eingestellt, damit während der Virenprüfung der Browser den Download nicht abbricht.
</p>
[[Datei:Image008.png|400px|thumb|center]]
<h4> <span class="mw-headline" id="Whitelist_Ausnahmen"> Whitelist Ausnahmen </span></h4>
<p>Zusätzlich sind Whitelist Ausnahmen definierbar. Zum einen auf Basis der MIME Typen, das heißt der Inhalts-Klassifizierung die bei der Datenübertragung im Internet vorgenommen wird.
Zum anderen ist es möglich eigene Filter aufgrund von Regular Expressions (Regex) zu erstellen.
</p><p><b>Wichtig:</b>
</p><p>Testviren von diesen Seiten werden nicht erkannt!!!
</p>
<h4> <span class="mw-headline" id="Regular_Expressions"> Regular Expressions </span></h4>
<p>Als Regular Expression oder auch Regulärer Ausdruck wird eine Zeichenkette bezeichnet die der Beschreibung von Mengen an Zeichenketten dient. Beispiele für die Anwendung von Regular Expressions finden Sie schon im Bereich Websites Whitelist.</p>
<p>Der Einsatz von Regulären Ausdrücken bietet eine große Flexibilität beim anlegen individueller Filterregeln.</p>
<p>Einen Einführungskurs zu Regulären Ausdrücken finden Sie z.B. unter [http://www.regenechsen.de/phpwcms/index.php?regex_allg http://www.regenechsen.de]. Reguläre Ausdrücke können auf der Seite [http://regexr.com/ regexr.com] überpüfen.
</p>
<h3> <span class="mw-headline" id="Bandbreite"> Bandbreite </span></h3>
[[Datei:hp11img009.png|600px|thumb|center]]
<h4> <span class="mw-headline" id="Globale_Bandbreite"> Globale Bandbreite </span></h4>
<p>Sie können eine globale Bandbreite für den Proxy einstellen. Der Proxy verwendet in diesem Fall nur die maximale Bandbreite und lässt den Rest der Bandbreite von Ihrer Internetverbindung unberührt. (Diese Bandbreite teilen sich alle Hosts die mit dem Proxy verbunden sind.)</p>
<h4> <span class="mw-headline" id="Host_Einstellungen "> Host Einstellungen </span></h4>
<p>Wie bei der globalen Bandbreite können Sie auch für jeden einzelnen Host eine Bandbreite bereitstellen. Die limitierte Bandbreite für Hosts kann nicht die globale Bandbreite übersteigen.
</p>
<h3> <span class="mw-headline" id="Anwendung_blocken"> Anwendung blocken </span></h3>
[[Datei:hp11img011.png|600px|thumb|center]]
<p>Nach wie vor haben Sie die Möglichkeit gewisse Anwendungen zu blocken. Dieses geschieht einfach per Markierung der unerwünschten Anwendung.
</p>
<h4>iTunes</h4>
<p>'''Hinweis''': Damit iTunes korrekt mit dem Internet kommunizieren kann, sind [[ITunes|Ausnahmen im HTTP-Proxy]] anzulegen</p>


2. Netzwerkgruppen:<br>
Durch Netzwerkgruppen, die auch in Profilen Regelsätzen zugeordnet werden, soll gewährleistet werden, dass Geräte die sich nicht authentifizieren können, trotzdem einen Schutz über den HTTP-Proxy und den Webfilter erhalten. Dazu wird hier zwischen drei Netzwerkgruppen unterschieden:<br>
*Netzwerkgruppe "nw_grp_GF" soll für Geräte der Geschäftsführung mit dem IP-Netz 10.1.10.0/24 eingesetzt werden. Auch hier sollen die Clients wieder durch das Blockieren der Kategorien ''Danger'' und ''Hacking'' vor Schadsoftware geschützt werden.
*Netzwerkgruppe "nw_grp_IT" soll Geräte in der technischen Abteilung mit dem IP-Netz 10.1.20.0/24, wie auch schon Geräte der Geschäftsführung, mit den gleichen Maßnahmen vor Schadsoftware geschützt werden.
*Netzwerkgruppe "nw_grp_VT" mit den IP-Netz 10.1.30.0/24 für den Vertrieb bekommt dieselben Einstellungen wie auch schon die Geschäftsführung und die technische Abteilung. Zusätzlich sollen beim Vertrieb ''Werbe Dienste'' geblockt werden.


<h3> <span class="mw-headline" id="SSL-Interception"> SSL-Interception </span></h3>
===Einrichtung der Gruppen===
<p>Mit dem Feature SSL-Interception ist es möglich, Schadcode in SSL-Verschlüsselten Datenströmen bereits am Gateway zu erkennen. Es unterbricht die verschlüsselten Verbindungen und macht die Datenpakete für Virenscanner und andere Filter sichtbar.
====Benutzergruppen====
Die Datenübertragung zum Client erfolgt dann wieder verschlüsselt. Dazu ist es allerdings notwendig, ein Zertifikat zu erstellen und dieses im Feld Zertifikat auszuwählen.</p>
[[Datei:UTM116_AI_AuBpcgrp.png|200px|thumb|right|Proxy Gruppe anlegen]]
[[Datei:hp11img012.png|600px|thumb|center]]
Benutzergruppen werden im Menü ''Authentifizierung'', Untermenü ''Benutzer'' unter dem Reiter ''Gruppen'' mit einem Klick auf den Button [[Datei:UTM116_AI_AuBGrphinzB.png|100px]] hinzugefügt.<br>
<p>Auch hier besteht wieder die Möglichkeit, anhand von Regular Expressions, Ausnahmen zu definieren. Da hier aber nur https ankommen kann, brauchen Sie hier, anders als bei dem Virenscanner,  nicht mehr auf die Protokolle zu Filtern. Eine Ausnahme für www.securepoint.de würde also lauten:
Im Feld ''Gruppenname:'' wird ein Name für die Benutzergruppe vergeben.
</p>
 
.*\.securepoint\.de
Damit diese Gruppe auf den HTTP-Proxy und den Webfilter zugreifen kann, muss hier die Berechtigung ''HTTP-Proxy'' aktiviert werden.
<h3> <span class="mw-headline" id="Webfilter"> Webfilter </span></h3>
 
[[Datei:hp11img013.png|600px|thumb|center]]
Sollen Active Directory Gruppen zur Authentifizierung verwendet werden, wird die entsprechende AD-Gruppe im Reiter ''Verzeichnis Dienst'' ausgewählt. Eine genaue Beschreibung dazu befindet sich im Wiki zu den[[UTM/AUTH/AD_Anbindung-v11.4| AD-Benutzergruppen]] ab der Version 11.5.
<p>Der Webfilter ist so aufgebaut, dass Webfilter-Regeln bestimmten Profilen zugeordnet werden. Diese Profile können Netzwerk- oder Nutzer-Gruppen zugeordnet werden.
 
Um Nutzergruppen anzulegen, gehen Sie auf Authentication und wählen Sie das Menü Benutzer hier haben Sie nun die Möglichkeit bestimmten Usern eine Gruppe zuzuweisen, welche z.B. durch den Active Directory Service authentifiziert werden können (siehe auch [[Benutzergruppen_Anbindung-AD]]).
[[Datei:UTM116_AI_AuBpgrp.png|200px|thumb|right|Drei Proxy Gruppen angelegt]]
Wenn Sie keine externe User-Authentifizierung nutzen, haben Sie die Möglichkeit Netzwerkobjekte zu Gruppen zusammenzufassen und diese für die Webfilter Profile zu nutzen.
Für jeden der drei Benutzergruppen ''Proxy_chef'', ''Proxy_mitarbeiter'' und ''Proxy_azubi'' wird eine eigene Benutzergruppe angelegt.
Um eine Netzwerkgruppe zu erstellen, gehen Sie auf Firewall und den Menüpunkt Portfilter. Wenn Sie dann in den Bereich Netzwerkobjekte wechseln, können Sie neue Netzwerkgruppen anlegen und diesen entweder bestehende Netzwerkobjekte zuweisen oder bei der Erstellung neuer Objekte die Netzwerkgruppe mit angeben.
 
</p>
 
<h4> <span class="mw-headline" id="Webfilter-Regelsatz"> Webfilter-Regelsatz </span></h4>
 
[[Datei:hp11img015.png|600px|thumb|center]]
 
<p>Als nächstes legen Sie die gewünschten Webfilterregeln an.</p>
 
[[Datei:hp11img017.png|300px|thumb|center]]
 
<p>Mit Regelsatz hinzufügen, erhält dieser eine Bezeichnung.
 
Anschließend klicken Sie auf das Editier Symbol in der neu angelegten Zeile.</p>
 
[[Datei:hp11img018.png|600px|thumb|center]]
 
<p><b><i>Allgemein</i></b></p>
 
<p>Mit Block Access können Sie entscheiden, ob mit dieser Regel alles blockiert werden soll.</p>
[[Datei:UTM116_AI_AuBpben.png|200px|thumb|right|Benutzer anlegen]]
<p><b><i>Zeit</i></b></p>
Wenn keine Authentifizierung über ein Active Directory stattfinden kann oder soll, müssen [[Benutzerverwaltung | Benutzer lokal auf der UTM]] angelegt werden. Diese sollen dann die Berechtigungen von den Benutzergruppen erben. Dass heißt, die angelegten Benutzer müssen mit einer Gruppe verbunden werden. Dazu befindet sich, wenn der Benutzer hinzugefügt wird, im Reiter ''Gruppen'' eine Liste mit den schon angelegten Benutzergruppen, aus der die passende ausgewählt wird.
<p>Im Feld Time definieren Sie an welchen Wochentagen und in welchem Zeitraum diese Regel gelten soll.</p>
 
<p><b><i>Einstellungen</i></b></p>
====Netzwerkgruppen====
<p>Mit der Option Safe-Search können Sie das für die Google Suche geschaffene Filtersystem nutzen.</p>
[[Datei:UTM116_AI_FPFpnwgrp.png|200px|thumb|right|Netzwerkgruppe anlegen]]
<p>Mit der Option "strict" werden sexuell eindeutige Videos und Bilder sowie Ergebnisse, die mit eindeutigen Inhalten verlinkt sein könnten, aus den Google-Suchergebnisseiten gefiltert.</p>
Netzwerkobjekte und -gruppen befinden sich unter dem Menüpunkt ''Firewall'', Untermenü ''Portfilter'' und dem Reiter ''Netzwerkobjekte''.<br>
<p>Bei der moderaten Filterung werden sexuell eindeutige Videos und Bilder aus den Google-Suchergebnisseiten ausgeschlossen. Ergebnisse, die mit eindeutigen Inhalten verlinkt sein könnten, werden jedoch nicht gefiltert.</p>
Hier werden die Netzwerkobjekte durch anlegen von Gruppen und der Anschließenden Zuweisung der erstellten Netzwerkobjekte zu einer Netzwerkgruppe gruppiert. Auch hier wird wieder der Name der Netzwerkgruppe für die Namensgebung des Webfilter Profil und des automatisch angelegten Regelsatzes genutzt.
<p>Wenn Sie off auswählen, wird der SafeSearch-Filter vollständig deaktiviert.</p>
 
<p>Die Option Resolve URL Shortener löst die verkürzt dargestellten URL in die Langform auf.</p>
 
<h4> <span class="mw-headline" id="Webfilterregeln"> Webfilterregeln </span></h4>
 
<p>Es gibt zwei Möglichkeiten Webfilterregeln zu erstellen. Entweder auf Basis von Kategorien oder URL’s. </p>
 
<p><b><i>Kategorien</i></b></p>
 
[[Datei:hp11img020.png|600px|thumb|center]]
 
<p>Um Kategorien auszuwählen, wählen Sie einfach blacklist-cat oder whitelist-cat unter Action aus, je nachdem ob Sie diese sperren oder zulassen möchten. Anschließend wählen Sie die entsprechende Kategorie aus der Liste aus.</p>
===Einrichtung des Webfilter===
[[Datei:hp11img022.png|600px|thumb|center]]
====Profil erstellen====
<p><b><i>URL's</i></b></p>
Zum einrichten des Webfilter werden die angelegten Gruppen mit den Regelsätzen verknüpft. Dazu werden Profile angelegt.
<p>Bei der auswahl von URL's sind auch Wildcards möglich. Folgendes Beispiel soll den Einsatz der Wildcards deutlich machen: http://*facebook* bezieht sich auf alle http Webseiten, die Facebook in der URL haben. Wichtig ist die Angabe des Protokolls.
Der Webfilter hat seit der Version 11.6 seinen eigenen Menüpunkt unter ''Anwendungen''.
</p>
 
<h4> <span class="mw-headline" id="Zuordnen_der_Webfilter-Regelsätze_zu_einem_Profil"> Zuordnen der Webfilter-Regelsätze zu einem Profil </span></h4>
[[Datei:UTM116_AI_WFPpcprofhinz.png|200px|thumb|right|Profil hinzufügen]]
<p>Für die Zuordnung eines oder mehrerer Regelsätze zu einem Profil, wechseln Sie in den Bereich Profil und klicken auf Profil hinzufügen.</p>
Mit einem Klick auf den Button [[Datei:UTM116_AI_WFprofhinzB.png|100px]] öffnet sich ein Fenster mit einer Liste von Benutzer- und Netzwerkgruppen.  
[[Datei:hp11img024.png|600px|thumb|center]]
 
<p>Anschließend wählen Sie eine Netzwerk- oder Benutzergruppe aus, bestimmen den darauf anzuwendenden Regelsatz und klicken neben dem Regelsatz auf den „+“ Button.
 
</p>
 
[[Datei:hp11img026.png|400px|thumb|center]]
 
<p> Mit einem Klick auf den Button "Speichern" werden die ausgewählten Regelsätze dem Profil zugeordnet.
 
</p>
 
 
[[Datei:UTM116_AI_WFPpcprof.png|200px|thumb|right|Profil hinzugefügt]]
Nach Auswahl der Gruppe und speichern der Auswahl, wird auf der linken Seite ein neues Profil angelegt und auf der rechten Seite ein dazu passender Regelsatz.
 
 
 
 
 
 
 
 
 
 
[[Datei:UTM116_AI_WFPprof.png|200px|thumb|right|Profile hinzugefügt]]
Nach diesem Schema werden nun die einzelnen Profile für die oben genannten Benutzer- und Netzwerkgruppen angelegt.
 
 
 
 
 
 
 
 
====Regelsatz bearbeiten====
[[Datei:UTM116_AI_WFPpcrs.png|200px|thumb|right|Regelsatz Proxy_chef bearbeiten]]
Mit einen Klick auf den Button [[Datei:UTM116_AI_WFeditB.png|20px]] öffnet sich das Fenster zum Editieren des Regelsatzes.
 
Im unteren Teil des Fensters werden die Regeln angelegt.<br>  
=====Regelsatz für Benutzergruppe "Proxy_chef"=====
Angefangen bei dem Regelsatz für Benutzergruppe ''Proxy_chef'', werden hier nacheinander die Kategorien ''Danger'' und ''Hacking'' durch Auswahl aus der Kategorien-Liste und anschließendem Klick auf [[Datei:UTM116_AI_WFrsKathinzB.png|110px]] der Regelliste hinzugefügt.
 
Sollte schon ein Regelsatz existieren, der die gewünschten Kategorien oder URLs beinhaltet, können die Einstellungen auch aus diesem Kopiert werden. Dass sollte aber geschehen '''''bevor''''' Regeln einzeln angelegt werden, da die schon angelegten Regeln durch das Kopieren überschrieben werden.
 
Da schon ein Regelsatz mit dem Namen ''security'' existiert, bei dem diese beiden Kategorien geblockt werden, kann dieser aus dem Feld ''Regelsatz kopieren'' ausgewählt und mit einem Klick auf den Button [[Datei:UTM116_AI_WFregkopB.png|25px]] kopiert werden.
 
Mit einen Klick auf [[Datei:UTM116_AI_SaveB.png|60px]] werden diese Einstellungen gespeichert.
 
=====Regelsatz für Benutzergruppe "Proxy_mitarbeiter"=====
[[Datei:UTM116_AI_WFPpmrs.png|200px|thumb|right|Regelsatz Proxy_mitarbeiter bearbeiten]]
Auch beim Regelsatz für die Benutzergruppe ''Proxy_mitarbeiter'' kann wieder der Regelsatz ''security'' kopiert werden. Damit sind die Kategorien ''Danger'' und ''Hacking'' den Regeln hinzugefügt. Nun werden nacheinander die Kategorien ''Porno und Erotik'', ''Shopping'' und ''Soziale Netzwerke'' ausgewählt und die Regelliste damit jeweils durch klick auf den Button [[Datei:UTM116_AI_WFrsKathinzB.png|110px]] erweitert.<br>
Um einzelne URLs der Regelliste hinzuzufügen, werden diese auf der Linken Seite unter der Regelliste eingetragen und über den Button [[Datei:UTM116_AI_WFrsURLhinzB.png|110px]] eingefügt. Dabei kann ein  '''*'''  als Wildcard genutzt werden.
 
Hier einige Beispiele:
* *ttt-point*
* *.ttt-point․*
* *ttt-point․de (oder .net, .com etc.)
* <nowiki>http://*ttt-point․de*</nowiki>
* <nowiki>http://*ttt-point․*</nowiki>
* <nowiki>http://ttt-point․de*</nowiki>
* <nowiki>http://ttt-point․de</nowiki>
anstatt des ''http://'' kann natürlich auch ''https://'' verwendet werden.
 
Da die Seite der Wortmann AG, die unter die Kategorie Shopping fällt, zugelassen werden soll, erfolgt hier ein entsprechender Eintrag ''*wortmann.de*. <br>
Durch die Wildcard vor ''wortmann.de'' ist gewährleistet, dass diese Seite sowohl mit http:// als auch https:// aufgerufen werden kann. Auch sind hierbei weitere Subdomains berücksichtigt, auf die eventuell per automatischen Link zugegriffen werden muss. <br>
Der  '''*'''  hinter der Domäne sorgt dafür, dass weitere Unterordner ebenfalls berücksichtigt werden.
 
Der Button in der Spalte Aktion hat zwei Zustände:
{|
|[[Datei:UTM116_AI_WFblockB.png|70px]] ||Blockiert den Zugriff auf die URL oder die Kategorie
|-
||[[Datei:UTM116_AI_WFallowB.png|70px]] ||Erlaubt den Zugriff auf die URL oder die Kategorie
|}
 
 
Beim hinzufügen der URL oder der Kategorie, steht die Aktion erst einmal auf blockieren. Nach einen klick auf den Button wird dieser Zustand verändert. In unserem Beispiel werden alle URL die über den Webfilter aufgerufen werden und auf die eingetragenen Kategorien passen geblockt, nur die Webseite von Wortmann wird explizit zugelassen. Alle anderen Webseitenaufrufe, die nicht auf die Kategorien passen, werden ebenfalls zugelassen, da es sich hierbei um die Standardeinstellung handelt.
 
=====Regelsätze für Benutzergruppe "Proxy_azubi"=====
Da für die Benutzergruppe ''Proxy_azubi'' ein Zeitfenster für die Sozialen Kontakte bei Facebook eingerichtet werden soll, müssen hier zwei Regelsätze angelegt werden. Zum einen der mit der Zeitkomponente und zum anderen der Regelsatz, der immer dann greift, wenn die Anfrage außerhalb dieses Zeitfensters stattfindet.
 
'''Wichtig:''' <br>
Alle Regelsätze müssen vollständig eingerichtet sein. Die Abarbeitung erfolgt hier nicht von oben nach unten, ein Regelsatz nach dem anderen. Es wird nur überprüft, ob die Zeit mit einem Regelsatz übereinstimmt oder nicht. Soll also in jedem Fall die Webseite von Securepoint erreichbar sein, muss diese Regel in jedem einzelnen Regelsatz eingetragen und erlaubt sein.
 
 
[[Datei:UTM116_AI_WFPpars1.png|200px|thumb|right|Basis Regelsatz für Proxy_azubi bearbeiten]]
Der Regelsatz ''Proxy_azubi_ruleset_1'' wird wie bei den vorherigen bearbeitet. Da hier als Grundlage alle Webseiten bis auf ''securepoint.de'' gesperrt werden sollen, werden nur zwei Regeln benötigt:
# *securepoint.de* erlaubt
# Alle anderen (*) blockiert
 
 
 
 
 
 
 
 
 
 
 
[[Datei:UTM116_AI_WFPpars2.png|200px|thumb|right|Zeit Regelsatz für Proxy_azubi erstellen]]
Nun wird über [[Datei:UTM116_AI_WFPrshinzB.png|110px]] ein weiterer Regelsatz erstellt.<br>
Zunächst bekommt dieser einen entsprechenden Namen und es werden Daten aus dem ersten Azubi Regelsatz übernommen.<br>
Anschließend wird die zeitliche Gültigkeit dieses Regelsatzes definiert. In unserem Beispiel soll dieser Regelsatz von Montag bis Freitag gelten und an diesen Tagen jeweils von 14:00 Uhr bis 14:59 Uhr.
 
Abschließend wird definiert, was in dieser Zeit zusätzlich geregelt werden soll. In diesem Beispiel soll der Zugang zu Facebook erlaubt sein.<br>
Da <nowiki>''facebook․de''</nowiki> in jedem Fall weitergeleitet wird, z.B. <nowiki>''de-de․facebook․com''</nowiki>, gestalte ich die Eingabe in die URL Zeile mit ''*facebook*'' sehr großzügig. Es muss allerdings klar sein, dass alles was ''facebook'' in der URL hat auf diese weise erlaubt ist.
 
Die Facebook Regel steht jetzt allerdings an letzter Position unter der allgemeinen Block Regel und wird gesperrt. Da innerhalb des Regelsatzes die Regeln von oben nach unten abgearbeitet werden, muss diese über die allgemeine Block Regel verschoben und die Aktion dieser Regel auf ''erlaubt'' gesetzt werden.
 
[[Datei:WB_FBoFBCDN.png|200px|thumb|right|Facebook ohne grafische Elemente]]
'''Hinweis:'''
Es ist darauf zu achten, dass zum Aufbau einer Webseite häufig auf Server zugegriffen wird, die über andere URLs erreicht werden. Facebook zum Beispiel ruft für die grafische Darstellung eine URL auf, die kein ''facebook'' in der URL beeinhaltet.<br>
Hier hilft ein Blick in das Log, welche hier geblockt wird
 
 
[[Datei:UTM116_LOG_AzubiFBCDN_blocked.png|600px]]
 
 
 
 
 
[[Datei:UTM116_AI_WFPpars2e.png|200px|thumb|right|Erweiterung des Regelsatzes]]
 
Durch eine Erweiterung des Regelsatzes um diese URL wird die Webseite dann wieder korrekt dargestellt.
 
 
 
 
 
 
 
 
[[Datei:UTM116_AI_WFPpa2rs.png|200px|thumb|right|Regelsätze Proxy_azubi]]
 
Nun müssen die Regelsätze noch so angeordnet werden, dass der Regelsatz mit der zeitlichen Komponente über dem Basis Regelsatz liegt. Dadurch wird der Basis Regelsatz während des Zeitfensters nicht angewendet.
 
 
 
 
Genau so wie die Regelsätze der Benutzergruppen werden die Regelsätze für die Netzwerkgruppen laut den oben genannten [[Webfilter_Beispiel_V11.6#Vorgaben | Vorgaben]] eingerichtet.
 
====Webfilter aktivieren====
[[Datei:UTM116_AI_WFaktivPblock.png|700px|center|Webfilter aktivieren]]
Der Webfilter ist in der Werkseinstellung schon aktiv. Im Webfilter-Bereich ''Allgemein'' sollte überprüft werden, ob dieser Zustand verändert wurde.
 
Weiterhin wird hier das Standardverhalten definiert, wenn eine Anfrage von einem Benutzer oder einer IP kommt, die zu keinem Webfilter-Profil passt.<br>
Wurde Standardverhalten ''blockieren'' eingerichtet und hat sich zum Beispiel ein Benutzer an der Windows Domäne angemeldet, ist aber nicht Mitglied einer der Proxy Beneutzergruppen und seine IP passt auch auch zu keiner der Netzwerkgruppen, werden die URL Anfragen geblockt weil er keinem Profil zugeordnet werden konnte.
 
===HTTP Proxy einrichten===
[[Datei:UTM116_AI_HPAambasic.png|200px|thumb|right|Authentifizierung aktivieren]]
Damit die Authentifizierung für die Proxy Benutzergruppen an der UTM erfolgen kann, muss im HTTP Proxy die entsprechende Authentifizierungsmethode gewählt werden.<br>
Wird hier ''NTLM'' gewählt, muss die UTM vorher in die Domäne eingebunden werden.<br>
Für die Nutzung der Authentifizierungsmethode ''Basic'' müssen Benutzer auf der UTM angelegt werden.
 
 
 
 
 
 
[[Datei:UTM116_AI_HPTMnwgrpshttp.png|200px|thumb|right|Regelsätze transparenter Modus HTTP]]
Die Benutzer der Netzwerkgruppen werden über den transparenten Modus des Proxy gesteuert. Es müssen also unter dem Reiter ''Transparenter Modus'' entsprechende Regeln angelegt werden, so dass die Mitglieder der Netzwerkgruppen als Quelle mit dem Ziel ''Internet'' für HTTP durch den Typ ''include'' zwangsweise über den HTTP Proxy umgeleitet werden.
 
 
 
 
 
 
 
====SSL-Interception====
Soll auch der verschlüsselte Webtraffic über den  Proxy laufen, muss die [[HTTPS_im_transparenten_Modus | SSL-Interception]] eingerichtet werden.<br>
Dazu muss zunächst auf der UTM ein CA angelegt oder importiert werden, welches dann bei den Browsern unter ''Vertrauenswürdige Zertifizierungstellen'' hinterlegt werden muss.
[[Datei:UTM116_AI_HPTMnwgrpshttpus.png|200px|thumb|right|Regelsätze transparenter Modus HTTPS]]
 
Der transparente Modus muss anschließend um Regeln mit dem Protokoll HTTPS für die entsprechenden Netzwerkgruppen erweitert werden.
 
 
 
 
 
 
 
 
 
 
===Portfilter===
Über die Portfilterregeln muss nun noch der Zugriff auf die Dienste der UTM erlaubt und, wenn der Webseitenaufruf für HTTP und HTTPS ausschließlich über den Proxy erfolgen soll, der Zugriff für die Dienste HTTP und HTTPS am Proxy vorbei gesperrt werden.
 
In der Werkseinstellung existiert schon eine entsprechende Regel mit der Dienstegruppe ''Proxy''. Diese enthält die benötigten Dienste für den Webcache Port 8080 und den Nameserver Port 53 für UDP und TCP.
[[Datei:UTMV115_PF_Proxyregel.png|700px|center|Portfilterregel für Proxy Dienste]]
 
 
Zum Sperren muss dafür sorge getragen werden, dass es keine Regel gibt, die HTTP und HTTPS ins Internet zulässt.<br>
Das bedeutet zum Beispiel, dass Regeln mit Dienst ''any'' deaktiviert, gelöscht oder Dienst ''any'' durch eine selbst angelegte Dienstgruppe ohne HTTP und HTTPS ersetzt wird.
 
====Portfilterregel für Benutzergruppen====
Da die Mitglieder der Benutzergruppen ihre Browser auf den HTTP Proxy einrichten müssen und dafür ein Proxy Port im Browser eingetragen werden muss, wird eine Regel benötigt, die eben diesen Port von diesem internen Netzwerk auf die entsprechende Schnittstelle zulässt. Standardmäßig handelt es sich dabei um den Port 8080 welcher mit dem Dienst ''Webcache'' auch schon angelegt ist.
[[Datei:UTM116_AI_PFriiwebc.png|700px|center|Portfilterregel für Webcache auf den UTM Proxy]]
 
 
Je nachdem wie die Proxy-Einstellungen im Browser eingerichtet sind, wird hierüber sowohl HTTP als auch HTTPS aufrufe an den Proxy gesendet. Da auch die DNS Abfrage über den Proxy erfolgt, wird keine weitere Regel benötigt.
 
====Portfilterregel für Netzwerkgruppen====
Da sowohl HTTP mit Port 80 als auch HTTPS mit Port 443 über den Proxy zwangsumgeleitet werden, muss lediglich dafür gesorgt werden, dass die Namensauflösung erfolgen kann. Sofern die UTM als Nameserver bei den Clients eingetragen ist, wird also eine Regel benötigt die DNS aus dem privaten Netzwerk auf die dazugehörige Netzwerkschnittstelle erlaubt.
[[Datei:UTM116_AI_PFriidns.png|700px|center|Portfilterregel für DNS auf die UTM]]
 
 
===Browsereinstellung für Benutzergruppen===
Während beim Transparenten Modus keine weiteren Einstellungen im Browser vorgenommen werden müssen, muss bei der Authentifizierung dem Browser die IP-Adresse und der Port des Proxy mitgeteilt werden. Hier zwei Beispiele:
 
[[Datei:WB__PEms.png|200px|thumb|right|Interneteinstellungen Chrome und IE]]
Internet Explorer und Chrome verwenden die Windows Einstellungen
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
[[Datei:WB_PEff.png|200px|thumb|right|Interneteinstellungen Firefox]]
Firefox nutzt Einstellungen unabhängig von Windows
 
 
 
 
 
 
 
 
 
 
 
 
Ist der Browser dann soweit eingerichtet, erscheint beim ersten Webseitenaufruf eine Authentifizierungsmaske zur Eingabe des Benutzernamen und Passwort.
[[Datei:WB_PAnm.png|500px|center|Authentifizierung Firefox]]
 
 
 
Ist die UTM in die Active Directory Domäne eingebunden, der Client ebenfalls Mitglied der Domäne und wird der Internet Explorer oder Chrome verwendet, findet in der Regel keine Authentifizierung nach dem öffnen des Browser mehr statt. Hier ist dann die Funktion ''Single Sign-on'' aktiv die die Authentifizierungsdaten aus der Windowsanmeldung übernehmen.

Version vom 1. Februar 2024, 09:56 Uhr

Beispiel einer Webfiltereinrichtung mit Benutzer- und Netzwerkgruppen

Vorgaben

Dieses Beispiel zeigt die Verwendung des Webfilters im HTTP-Proxy der Version 11.6 in Verbindung mit Benutzer- und Netzwerkgruppen bei folgender Ausgangssituation:

1. Benutzergruppen:
Es gibt drei Benutzergruppen mit eigenen Regelsätzen. In Regelsätzen werden unterschiedliche Berechtigungen beim Aufrufen von Webseiten definiert. Anhand der Benutzergruppen werden im Webfilter drei Profile erstellt, in denen diese mit ihren Regelsätzen verbunden werden.

  • Benutzergruppe "Proxy_chef" soll keine Einschränkungen enthalten, jedoch soll die Geschäftsführung vor Webseiten geschützt werden, auf denen Schadsoftware enthalten ist. Daher werden die Kategorien "Danger" und "Hacking" blockiert.
  • Benutzergruppe Proxy_mitarbeiter soll ebenfalls vor Webseiten mit Schadsoftware geschützt werden. Weiterhin sollen die Kategorien Porno und Erotik, Soziale Netzwerke und Shopping blockiert werden. Es muss allerdings die Möglichkeit bestehen, bei der Wortmann AG online einzukaufen.
  • Benutzergruppe Proxy_azubi soll keine Webseiten aufrufen dürfen, mit Ausnahme der Webseite der Securepoint GmbH. Zusätzlich soll hier die Möglichkeit geschaffen werden, dass die Benutzer dieser Gruppe in einem definierten Zeitfenster ihre sozialen Kontakte bei Facebook pflegen können.


2. Netzwerkgruppen:
Durch Netzwerkgruppen, die auch in Profilen Regelsätzen zugeordnet werden, soll gewährleistet werden, dass Geräte die sich nicht authentifizieren können, trotzdem einen Schutz über den HTTP-Proxy und den Webfilter erhalten. Dazu wird hier zwischen drei Netzwerkgruppen unterschieden:

  • Netzwerkgruppe "nw_grp_GF" soll für Geräte der Geschäftsführung mit dem IP-Netz 10.1.10.0/24 eingesetzt werden. Auch hier sollen die Clients wieder durch das Blockieren der Kategorien Danger und Hacking vor Schadsoftware geschützt werden.
  • Netzwerkgruppe "nw_grp_IT" soll Geräte in der technischen Abteilung mit dem IP-Netz 10.1.20.0/24, wie auch schon Geräte der Geschäftsführung, mit den gleichen Maßnahmen vor Schadsoftware geschützt werden.
  • Netzwerkgruppe "nw_grp_VT" mit den IP-Netz 10.1.30.0/24 für den Vertrieb bekommt dieselben Einstellungen wie auch schon die Geschäftsführung und die technische Abteilung. Zusätzlich sollen beim Vertrieb Werbe Dienste geblockt werden.

Einrichtung der Gruppen

Benutzergruppen

Proxy Gruppe anlegen

Benutzergruppen werden im Menü Authentifizierung, Untermenü Benutzer unter dem Reiter Gruppen mit einem Klick auf den Button UTM116 AI AuBGrphinzB.png hinzugefügt.
Im Feld Gruppenname: wird ein Name für die Benutzergruppe vergeben.

Damit diese Gruppe auf den HTTP-Proxy und den Webfilter zugreifen kann, muss hier die Berechtigung HTTP-Proxy aktiviert werden.

Sollen Active Directory Gruppen zur Authentifizierung verwendet werden, wird die entsprechende AD-Gruppe im Reiter Verzeichnis Dienst ausgewählt. Eine genaue Beschreibung dazu befindet sich im Wiki zu den AD-Benutzergruppen ab der Version 11.5.

Drei Proxy Gruppen angelegt

Für jeden der drei Benutzergruppen Proxy_chef, Proxy_mitarbeiter und Proxy_azubi wird eine eigene Benutzergruppe angelegt.






Benutzer anlegen

Wenn keine Authentifizierung über ein Active Directory stattfinden kann oder soll, müssen Benutzer lokal auf der UTM angelegt werden. Diese sollen dann die Berechtigungen von den Benutzergruppen erben. Dass heißt, die angelegten Benutzer müssen mit einer Gruppe verbunden werden. Dazu befindet sich, wenn der Benutzer hinzugefügt wird, im Reiter Gruppen eine Liste mit den schon angelegten Benutzergruppen, aus der die passende ausgewählt wird.

Netzwerkgruppen

Netzwerkgruppe anlegen

Netzwerkobjekte und -gruppen befinden sich unter dem Menüpunkt Firewall, Untermenü Portfilter und dem Reiter Netzwerkobjekte.
Hier werden die Netzwerkobjekte durch anlegen von Gruppen und der Anschließenden Zuweisung der erstellten Netzwerkobjekte zu einer Netzwerkgruppe gruppiert. Auch hier wird wieder der Name der Netzwerkgruppe für die Namensgebung des Webfilter Profil und des automatisch angelegten Regelsatzes genutzt.




Einrichtung des Webfilter

Profil erstellen

Zum einrichten des Webfilter werden die angelegten Gruppen mit den Regelsätzen verknüpft. Dazu werden Profile angelegt. Der Webfilter hat seit der Version 11.6 seinen eigenen Menüpunkt unter Anwendungen.

Profil hinzufügen

Mit einem Klick auf den Button UTM116 AI WFprofhinzB.png öffnet sich ein Fenster mit einer Liste von Benutzer- und Netzwerkgruppen.




Profil hinzugefügt

Nach Auswahl der Gruppe und speichern der Auswahl, wird auf der linken Seite ein neues Profil angelegt und auf der rechten Seite ein dazu passender Regelsatz.






Profile hinzugefügt

Nach diesem Schema werden nun die einzelnen Profile für die oben genannten Benutzer- und Netzwerkgruppen angelegt.





Regelsatz bearbeiten

Regelsatz Proxy_chef bearbeiten

Mit einen Klick auf den Button UTM116 AI WFeditB.png öffnet sich das Fenster zum Editieren des Regelsatzes.

Im unteren Teil des Fensters werden die Regeln angelegt.

Regelsatz für Benutzergruppe "Proxy_chef"

Angefangen bei dem Regelsatz für Benutzergruppe Proxy_chef, werden hier nacheinander die Kategorien Danger und Hacking durch Auswahl aus der Kategorien-Liste und anschließendem Klick auf UTM116 AI WFrsKathinzB.png der Regelliste hinzugefügt.

Sollte schon ein Regelsatz existieren, der die gewünschten Kategorien oder URLs beinhaltet, können die Einstellungen auch aus diesem Kopiert werden. Dass sollte aber geschehen bevor Regeln einzeln angelegt werden, da die schon angelegten Regeln durch das Kopieren überschrieben werden.

Da schon ein Regelsatz mit dem Namen security existiert, bei dem diese beiden Kategorien geblockt werden, kann dieser aus dem Feld Regelsatz kopieren ausgewählt und mit einem Klick auf den Button UTM116 AI WFregkopB.png kopiert werden.

Mit einen Klick auf UTM116 AI SaveB.png werden diese Einstellungen gespeichert.

Regelsatz für Benutzergruppe "Proxy_mitarbeiter"
Regelsatz Proxy_mitarbeiter bearbeiten

Auch beim Regelsatz für die Benutzergruppe Proxy_mitarbeiter kann wieder der Regelsatz security kopiert werden. Damit sind die Kategorien Danger und Hacking den Regeln hinzugefügt. Nun werden nacheinander die Kategorien Porno und Erotik, Shopping und Soziale Netzwerke ausgewählt und die Regelliste damit jeweils durch klick auf den Button UTM116 AI WFrsKathinzB.png erweitert.
Um einzelne URLs der Regelliste hinzuzufügen, werden diese auf der Linken Seite unter der Regelliste eingetragen und über den Button UTM116 AI WFrsURLhinzB.png eingefügt. Dabei kann ein * als Wildcard genutzt werden.

Hier einige Beispiele:

  • *ttt-point*
  • *.ttt-point․*
  • *ttt-point․de (oder .net, .com etc.)
  • http://*ttt-point․de*
  • http://*ttt-point․*
  • http://ttt-point․de*
  • http://ttt-point․de

anstatt des http:// kann natürlich auch https:// verwendet werden.

Da die Seite der Wortmann AG, die unter die Kategorie Shopping fällt, zugelassen werden soll, erfolgt hier ein entsprechender Eintrag *wortmann.de*.
Durch die Wildcard vor wortmann.de ist gewährleistet, dass diese Seite sowohl mit http:// als auch https:// aufgerufen werden kann. Auch sind hierbei weitere Subdomains berücksichtigt, auf die eventuell per automatischen Link zugegriffen werden muss.
Der * hinter der Domäne sorgt dafür, dass weitere Unterordner ebenfalls berücksichtigt werden.

Der Button in der Spalte Aktion hat zwei Zustände:

UTM116 AI WFblockB.png Blockiert den Zugriff auf die URL oder die Kategorie
UTM116 AI WFallowB.png Erlaubt den Zugriff auf die URL oder die Kategorie


Beim hinzufügen der URL oder der Kategorie, steht die Aktion erst einmal auf blockieren. Nach einen klick auf den Button wird dieser Zustand verändert. In unserem Beispiel werden alle URL die über den Webfilter aufgerufen werden und auf die eingetragenen Kategorien passen geblockt, nur die Webseite von Wortmann wird explizit zugelassen. Alle anderen Webseitenaufrufe, die nicht auf die Kategorien passen, werden ebenfalls zugelassen, da es sich hierbei um die Standardeinstellung handelt.

Regelsätze für Benutzergruppe "Proxy_azubi"

Da für die Benutzergruppe Proxy_azubi ein Zeitfenster für die Sozialen Kontakte bei Facebook eingerichtet werden soll, müssen hier zwei Regelsätze angelegt werden. Zum einen der mit der Zeitkomponente und zum anderen der Regelsatz, der immer dann greift, wenn die Anfrage außerhalb dieses Zeitfensters stattfindet.

Wichtig:
Alle Regelsätze müssen vollständig eingerichtet sein. Die Abarbeitung erfolgt hier nicht von oben nach unten, ein Regelsatz nach dem anderen. Es wird nur überprüft, ob die Zeit mit einem Regelsatz übereinstimmt oder nicht. Soll also in jedem Fall die Webseite von Securepoint erreichbar sein, muss diese Regel in jedem einzelnen Regelsatz eingetragen und erlaubt sein.


Basis Regelsatz für Proxy_azubi bearbeiten

Der Regelsatz Proxy_azubi_ruleset_1 wird wie bei den vorherigen bearbeitet. Da hier als Grundlage alle Webseiten bis auf securepoint.de gesperrt werden sollen, werden nur zwei Regeln benötigt:

  1. *securepoint.de* erlaubt
  2. Alle anderen (*) blockiert






Zeit Regelsatz für Proxy_azubi erstellen

Nun wird über UTM116 AI WFPrshinzB.png ein weiterer Regelsatz erstellt.
Zunächst bekommt dieser einen entsprechenden Namen und es werden Daten aus dem ersten Azubi Regelsatz übernommen.
Anschließend wird die zeitliche Gültigkeit dieses Regelsatzes definiert. In unserem Beispiel soll dieser Regelsatz von Montag bis Freitag gelten und an diesen Tagen jeweils von 14:00 Uhr bis 14:59 Uhr.

Abschließend wird definiert, was in dieser Zeit zusätzlich geregelt werden soll. In diesem Beispiel soll der Zugang zu Facebook erlaubt sein.
Da ''facebook․de'' in jedem Fall weitergeleitet wird, z.B. ''de-de․facebook․com'', gestalte ich die Eingabe in die URL Zeile mit *facebook* sehr großzügig. Es muss allerdings klar sein, dass alles was facebook in der URL hat auf diese weise erlaubt ist.

Die Facebook Regel steht jetzt allerdings an letzter Position unter der allgemeinen Block Regel und wird gesperrt. Da innerhalb des Regelsatzes die Regeln von oben nach unten abgearbeitet werden, muss diese über die allgemeine Block Regel verschoben und die Aktion dieser Regel auf erlaubt gesetzt werden.

Facebook ohne grafische Elemente

Hinweis: Es ist darauf zu achten, dass zum Aufbau einer Webseite häufig auf Server zugegriffen wird, die über andere URLs erreicht werden. Facebook zum Beispiel ruft für die grafische Darstellung eine URL auf, die kein facebook in der URL beeinhaltet.
Hier hilft ein Blick in das Log, welche hier geblockt wird


UTM116 LOG AzubiFBCDN blocked.png



Erweiterung des Regelsatzes

Durch eine Erweiterung des Regelsatzes um diese URL wird die Webseite dann wieder korrekt dargestellt.





Regelsätze Proxy_azubi

Nun müssen die Regelsätze noch so angeordnet werden, dass der Regelsatz mit der zeitlichen Komponente über dem Basis Regelsatz liegt. Dadurch wird der Basis Regelsatz während des Zeitfensters nicht angewendet.



Genau so wie die Regelsätze der Benutzergruppen werden die Regelsätze für die Netzwerkgruppen laut den oben genannten Vorgaben eingerichtet.

Webfilter aktivieren

Webfilter aktivieren

Der Webfilter ist in der Werkseinstellung schon aktiv. Im Webfilter-Bereich Allgemein sollte überprüft werden, ob dieser Zustand verändert wurde.

Weiterhin wird hier das Standardverhalten definiert, wenn eine Anfrage von einem Benutzer oder einer IP kommt, die zu keinem Webfilter-Profil passt.
Wurde Standardverhalten blockieren eingerichtet und hat sich zum Beispiel ein Benutzer an der Windows Domäne angemeldet, ist aber nicht Mitglied einer der Proxy Beneutzergruppen und seine IP passt auch auch zu keiner der Netzwerkgruppen, werden die URL Anfragen geblockt weil er keinem Profil zugeordnet werden konnte.

HTTP Proxy einrichten

Authentifizierung aktivieren

Damit die Authentifizierung für die Proxy Benutzergruppen an der UTM erfolgen kann, muss im HTTP Proxy die entsprechende Authentifizierungsmethode gewählt werden.
Wird hier NTLM gewählt, muss die UTM vorher in die Domäne eingebunden werden.
Für die Nutzung der Authentifizierungsmethode Basic müssen Benutzer auf der UTM angelegt werden.




Regelsätze transparenter Modus HTTP

Die Benutzer der Netzwerkgruppen werden über den transparenten Modus des Proxy gesteuert. Es müssen also unter dem Reiter Transparenter Modus entsprechende Regeln angelegt werden, so dass die Mitglieder der Netzwerkgruppen als Quelle mit dem Ziel Internet für HTTP durch den Typ include zwangsweise über den HTTP Proxy umgeleitet werden.




SSL-Interception

Soll auch der verschlüsselte Webtraffic über den Proxy laufen, muss die SSL-Interception eingerichtet werden.
Dazu muss zunächst auf der UTM ein CA angelegt oder importiert werden, welches dann bei den Browsern unter Vertrauenswürdige Zertifizierungstellen hinterlegt werden muss.

Regelsätze transparenter Modus HTTPS

Der transparente Modus muss anschließend um Regeln mit dem Protokoll HTTPS für die entsprechenden Netzwerkgruppen erweitert werden.






Portfilter

Über die Portfilterregeln muss nun noch der Zugriff auf die Dienste der UTM erlaubt und, wenn der Webseitenaufruf für HTTP und HTTPS ausschließlich über den Proxy erfolgen soll, der Zugriff für die Dienste HTTP und HTTPS am Proxy vorbei gesperrt werden.

In der Werkseinstellung existiert schon eine entsprechende Regel mit der Dienstegruppe Proxy. Diese enthält die benötigten Dienste für den Webcache Port 8080 und den Nameserver Port 53 für UDP und TCP.

Portfilterregel für Proxy Dienste


Zum Sperren muss dafür sorge getragen werden, dass es keine Regel gibt, die HTTP und HTTPS ins Internet zulässt.
Das bedeutet zum Beispiel, dass Regeln mit Dienst any deaktiviert, gelöscht oder Dienst any durch eine selbst angelegte Dienstgruppe ohne HTTP und HTTPS ersetzt wird.

Portfilterregel für Benutzergruppen

Da die Mitglieder der Benutzergruppen ihre Browser auf den HTTP Proxy einrichten müssen und dafür ein Proxy Port im Browser eingetragen werden muss, wird eine Regel benötigt, die eben diesen Port von diesem internen Netzwerk auf die entsprechende Schnittstelle zulässt. Standardmäßig handelt es sich dabei um den Port 8080 welcher mit dem Dienst Webcache auch schon angelegt ist.

Portfilterregel für Webcache auf den UTM Proxy


Je nachdem wie die Proxy-Einstellungen im Browser eingerichtet sind, wird hierüber sowohl HTTP als auch HTTPS aufrufe an den Proxy gesendet. Da auch die DNS Abfrage über den Proxy erfolgt, wird keine weitere Regel benötigt.

Portfilterregel für Netzwerkgruppen

Da sowohl HTTP mit Port 80 als auch HTTPS mit Port 443 über den Proxy zwangsumgeleitet werden, muss lediglich dafür gesorgt werden, dass die Namensauflösung erfolgen kann. Sofern die UTM als Nameserver bei den Clients eingetragen ist, wird also eine Regel benötigt die DNS aus dem privaten Netzwerk auf die dazugehörige Netzwerkschnittstelle erlaubt.

Portfilterregel für DNS auf die UTM


Browsereinstellung für Benutzergruppen

Während beim Transparenten Modus keine weiteren Einstellungen im Browser vorgenommen werden müssen, muss bei der Authentifizierung dem Browser die IP-Adresse und der Port des Proxy mitgeteilt werden. Hier zwei Beispiele:

Interneteinstellungen Chrome und IE

Internet Explorer und Chrome verwenden die Windows Einstellungen












Interneteinstellungen Firefox

Firefox nutzt Einstellungen unabhängig von Windows







Ist der Browser dann soweit eingerichtet, erscheint beim ersten Webseitenaufruf eine Authentifizierungsmaske zur Eingabe des Benutzernamen und Passwort.

Authentifizierung Firefox


Ist die UTM in die Active Directory Domäne eingebunden, der Client ebenfalls Mitglied der Domäne und wird der Internet Explorer oder Chrome verwendet, findet in der Regel keine Authentifizierung nach dem öffnen des Browser mehr statt. Hier ist dann die Funktion Single Sign-on aktiv die die Authentifizierungsdaten aus der Windowsanmeldung übernehmen.