UTM/APP/HTTP Proxy-Transparenter Modus v11.7: Unterschied zwischen den Versionen

Version vom 13. Januar 2016, 11:39 Uhr

Transparenter Proxy mit HTTPS

Seit der Version 11.5 ist es möglich auch Webseiten über eine SSL-Verschlüsselte Verbindung über den transparenten Proxy der UTM zu leiten. Der transparente Proxy sorgt dafür, dass Webseiten aufrufe auch ohne Einstellungen im Browser über den HTTP-Proxy geleitet werden, sodass der Virenscanner und der Webfilter auf diese Verbindungen angewendet werden können.

Um auch SSL-Verschlüsselte Verbindungen auf Viren und Schadsoftware überprüfen zu können, muss sich der Proxy als Client gegenüber dem Webserver im Internet ausgeben, so dass die Daten schon auf der Firewall entschlüsselt werden können. Diese sollen anschließend natürlich wieder verschlüsselt an den eigentlichen Client im internen Netzwerk weitergeleitet werden. Um dieses zu erreichen wird das Feature SSL-Interception genutzt.

Zertifikat

Zertifikate

Da die SSL-Verschlüsselte Übertragung zum Client ein Zertifikat benötigt, wird dieses zunächst erstellt.

CA erstellen

Dazu wird unter Authentifizierung das Menü Zertifikate gewählt. Für die Verschlüsselte Übertragung wird ein CA (Certificate Authority) benötig welches im Bereich CA mit dem Button neu angelegt wird.

Das CA bekommt einen eindeutigen Namen, die Schlüssellänge (1024 ist normalerweise ausreichend) und die Gültigkeitsdauer (bitte nicht länger als 2037) werden definiert und die restlichen Daten werden eingetragen. Abschließend ein Klick auf

SSL-Interception

Unter Anwendungen im Menü HTTP-Proxy befindet sich der Bereich SSL-Interception.

Damit die Browser der Clients diese Verbindung auch akzeptieren, muss das CA jedem Browser bekannt gemacht werden.
Dazu wird der öffentliche Teil des CA über den Button heruntergeladen.
Entweder dadurch, dass sich von jedem einzelnen Client auf der UTM einloggen um auf diesen das CA zu speichern oder es wird einmal heruntergeladen und auf einem USB-Stick oder einem Netzwerkspeicher abgelegt. Anschließend wird über diesen Weg dem Browser das Zertifikat hinzugefügt.

Zertifikat dem Browser hinzufügen

Zertifikatsverwaltung

Zertifizierungsstellen

Zertifikat für Websites

Zertifizierungsstellen mit CA

1. In den Einstellungen des Browser befindet sich die Zertifikatsverwaltung

2. Im Zertifikat-Manager unter Zertifizierungsstellen wird das CA Importiert

3. Das heruntergeladene CA wird aus dem entsprechenden Verzeichnis ausgewählt

4. Bei der Frage ob dem CA als Zertifizierungsstelle vertraut werden soll, wird die Zeile "Diesem Zertifikat zur Identifizierung von Websites vertrauen" markiert

5. Abschließend auf OK klicken.

Transparenten Proxy für HTTPS einrichten

Transparenter Modus

Unter Anwendungen befindet sich der Menüpunkt HTTP-Proxy und dort der Bereich Transparenter Modus.

In der Standard Einstellung ist der transparente Modus für das HTTP Protokoll über Port 80 schon aktiviert. Um diesen auch für das HTTPS Protokoll und Port 443 einzurichten, wird durch einen klicken auf eine weitere Regel hinzugefügt.

HTTPS Regel

Unter Protokoll wird der Eintrag HTTPS und als Typ INCLUDE ausgewählt.
Als Quelle muss das Netzwerk aus dem die Anfragen kommen, z.B. internal-network, und als Ziel das Netzwerk in dem die Webserver stehen die angesprochen werden sollen gewählt werden, in unserem Fall internet.

Ein Klick auf speichert die neue Regel und ein weiterer auf im HTTP-Proxy Fenster sorgt für eine Aktualisierung der Regeln.

Portfilterregeln

Da sowohl HTTP mit Port 80 als auch HTTPS mit Port 443 über den Proxy zwangsumgeleitet werden, muss lediglich dafür gesorgt werden, dass die Namensauflösung erfolgen kann. Sofern die UTM als Nameserver bei den Clients eingetragen ist wird also eine Regel benötigt die DNS aus dem privaten Netzwerk auf die dazugehörige Netzwerkschnittstelle erlaubt.

In der Werkseinstellung existiert schon eine entsprechende Regel mit der Dienstegruppe Proxy. Diese enthält auch den Nameserver Port 53 für UDP und TCP.

Abschließend sollte also noch im Bereich Portfilter überprüft werden, ob die entsprechende Regel vorhanden ist ...

... und mit die Regeln aktualisieren.

@@ Zeile 11: / Zeile 11: @@
 Um auch SSL-Verschlüsselte Verbindungen auf Viren und Schadsoftware überprüfen zu können, muss sich der Proxy als Client gegenüber dem Webserver im Internet ausgeben, so dass die Daten schon auf der Firewall entschlüsselt werden können.
 Diese sollen anschließend natürlich wieder verschlüsselt an den eigentlichen Client im internen Netzwerk weitergeleitet werden.
-Um dieses zu erreichen wird das feature SSL-Interception genutzt.
+Um dieses zu erreichen wird das Feature SSL-Interception genutzt.
 ===Zertifikat===
 [[Datei:UTMV11_CRT_ZertCA.png|250px|thumb|right|Zertifikate]]
-Da Sie für die SSL-Verschlüsselte Übertragung zum Client ein Zertifikat benötigen, erstellen sie dieses zuerst.<br>
+Da die SSL-Verschlüsselte Übertragung zum Client ein Zertifikat benötigt, wird dieses zunächst erstellt.
@@ Zeile 30: / Zeile 30: @@
 [[Datei:UTMV11_CRT_CAerst.png|150px|thumb|right|CA erstellen]]
-Dazu wählen sie unter <i>Authentifizierung</i> das Menü <i>Zertifikate</i>. Da wir ein CA (Certificate Authority) für die verschlüsselte Übertragung benötigen, klicken sie im Bereich CA auf [[Datei:UTMV11_CRT_CAhinzB.png|80px]]
+Dazu wird unter ''Authentifizierung'' das Menü ''Zertifikate'' gewählt. Für die Verschlüsselte Übertragung wird ein CA (Certificate Authority) benötig welches im Bereich CA mit dem Button [[Datei:UTMV11_CRT_CAhinzB.png|80px]] neu angelegt wird.
-Tragen sie einen Namen für das CA ein, definieren sie die Schlüssellänge (1024 ist normalerweise ausreichend) und die Gültigkeitsdauer (bitte nicht länger als 2037), tragen sie die restlichen Daten ein und klicken abschließend auf [[Datei:UTM11_AI_SaveB.png|60px]]
+Das CA bekommt einen eindeutigen Namen, die Schlüssellänge (1024 ist normalerweise ausreichend) und die Gültigkeitsdauer (bitte nicht länger als 2037) werden definiert und die restlichen Daten werden eingetragen. Abschließend ein Klick auf [[Datei:UTM11_AI_SaveB.png|60px]]
@@ Zeile 42: / Zeile 42: @@
 [[Datei:UTM115_AI_HPSSLIncept.png|250px|thumb|right|SSL-Interception]]
-Wechseln Sie nun unter <i>Anwendungen</i> in das Menü <i>HTTP-Proxy</i> und dort in den Bereich <i>SSL-Interception</i>.
+Unter ''Anwendungen'' im Menü ''HTTP-Proxy'' befindet sich der Bereich ''SSL-Interception''.
 Damit die Browser der Clients diese Verbindung auch akzeptieren, muss das CA jedem Browser bekannt gemacht werden.<br>
-Dazu laden Sie sich dieses über den Button [[Datei:UTMV11_SI_PKdladenB.png|140px]] herunter.<br>
+Dazu wird der öffentliche Teil des CA über den Button [[Datei:UTMV11_SI_PKdladenB.png|140px]] heruntergeladen.<br>
-Entweder loggen sie sich von jedem Client auf der UTM ein und speichern dort das CA oder sie speichern dieses auf einem USB-Stick oder einem Netzwerkspeicher und fügen über diesen Weg dem Browser das Zertifikat hinzu.
+Entweder dadurch, dass sich von jedem einzelnen Client auf der UTM einloggen um auf diesen das CA zu speichern oder es wird einmal heruntergeladen und auf einem USB-Stick oder einem Netzwerkspeicher abgelegt. Anschließend wird über diesen Weg dem Browser das Zertifikat hinzugefügt.
@@ Zeile 56: / Zeile 56: @@
 [[Datei:Cl_Chrome_ZMZsWv.png|250px|thumb|right|Zertifikat für Websites]]
 [[Datei:Cl_Chrome_ZMZsmCA.png|250px|thumb|right|Zertifizierungsstellen mit CA]]
-. Wechseln sie im Browser in die Einstellungen und rufen sie die Zertifikatsverwaltung auf<br>
+. In den Einstellungen des Browser befindet sich die Zertifikatsverwaltung
@@ Zeile 67: / Zeile 67: @@
-. Wechseln sie im Zertifikat-Manager auf Zertifizierungsstellen und dort auf <i>Importieren</i><br>
+. Im Zertifikat-Manager unter Zertifizierungsstellen wird das CA Importiert
@@ Zeile 75: / Zeile 75: @@
-. Wählen sie das heruntergeladene CA aus dem entsprechenden Verzeichnis aus<br>
+. Das heruntergeladene CA wird aus dem entsprechenden Verzeichnis ausgewählt
@@ Zeile 83: / Zeile 83: @@
-. Bei der Frage ob sie dem CA als Zertifizierungsstelle vertrauen, markieren sie die Zeile "Diesem Zertifikat zur Identifizierung von Websites vertrauen"<br>
+. Bei der Frage ob dem CA als Zertifizierungsstelle vertraut werden soll, wird die Zeile "Diesem Zertifikat zur Identifizierung von Websites vertrauen" markiert
@@ Zeile 91: / Zeile 91: @@
-. Klicken sie auf <i>OK</i>
+. Abschließend auf ''OK'' klicken.
@@ Zeile 110: / Zeile 110: @@
 ===Transparenten Proxy für HTTPS einrichten===
 [[Datei:UTM115_HP_TM.png|250px|thumb|right|Transparenter Modus]]
-Wählen sie unter <i>Anwendungen</i> den Menüpunkt <i>HTTP-Proxy</i> und dort den Bereich <i>Transparenter Modus</i>.
+Unter ''Anwendungen'' befindet sich der Menüpunkt ''HTTP-Proxy'' und dort der Bereich ''Transparenter Modus''.
-In der Standard Einstellung ist der transparente Modus für das HTTP Protokoll über Port 80 schon aktiviert. Um diesen auch für das HTTPS Protokoll und Port 443 einzurichten, klicken sie auf [[Datei:UTMV11_HTTPP_TRhinzB.png|150px]]
+In der Standard Einstellung ist der transparente Modus für das HTTP Protokoll über Port 80 schon aktiviert. Um diesen auch für das HTTPS Protokoll und Port 443 einzurichten, wird durch einen klicken auf [[Datei:UTMV11_HTTPP_TRhinzB.png|150px]] eine weitere Regel hinzugefügt.
@@ Zeile 122: / Zeile 122: @@
 [[Datei:UTM115_HP_TMRhttps.png|250px|thumb|right|HTTPS Regel]]
-Wählen sie unter Protokoll: den Eintrag <i>HTTPS</i> und als Typ: <i>INCLUDE</i>.<br>
+Unter Protokoll wird der Eintrag ''HTTPS'' und als Typ ''INCLUDE'' ausgewählt.<br>
-Als Quelle wählen sie das Netzwerk aus dem die Anfragen kommen, z.B. <i>internal-network</i> und als Ziel das Netzwerk in dem die Webserver stehen die angesprochen werden sollen, in unserem Fall <i>internet</i>.
+Als Quelle muss das Netzwerk aus dem die Anfragen kommen, z.B. ''internal-network'', und als Ziel das Netzwerk in dem die Webserver stehen die angesprochen werden sollen gewählt werden, in unserem Fall ''internet''.
-Klicken sie auf [[Datei:UTM11_AI_SaveB.png|60px]] um die Regel zu speichern und nochmal auf [[Datei:UTM11_AI_SaveB.png|60px]] im HTTP-Proxy Fenster um die Regeln zu aktualisieren.
+Ein Klick auf [[Datei:UTM11_AI_SaveB.png|60px]] speichert die neue Regel und ein weiterer auf [[Datei:UTM11_AI_SaveB.png|60px]] im HTTP-Proxy Fenster sorgt für eine Aktualisierung der Regeln.
 ===Portfilterregeln===
-Da sowohl HTTP mit Port 80 als auch HTTPS mit Port 443 über den Proxy zwangsumgeleitet werden sollen, müssen sie dafür sorgen, dass die folgenden Dienste in der Dienstegruppe <i>proxy</i> mit enthalten sind:
+Da sowohl HTTP mit Port 80 als auch HTTPS mit Port 443 über den Proxy zwangsumgeleitet werden, muss lediglich dafür gesorgt werden, dass die Namensauflösung erfolgen kann. Sofern die UTM als Nameserver bei den Clients eingetragen ist wird also eine Regel benötigt die DNS aus dem privaten Netzwerk auf die dazugehörige Netzwerkschnittstelle erlaubt.
-{| WIDTH=350
+In der Werkseinstellung existiert schon eine entsprechende Regel mit der Dienstegruppe ''Proxy''. Diese enthält auch den Nameserver Port 53 für UDP und TCP.
-!style="background:#FFCBCB" WIDTH=130|Name !!style="background:#FFCBCB" WIDTH=100|Protokoll !!style="background:#FFCBCB"|Zielport
-|-
-|http-transparent ||tcp || 2411
-|-
-|https-transparent ||tcp || 2412
-|}
+Abschließend sollte also noch im Bereich ''Portfilter'' überprüft werden, ob die entsprechende Regel vorhanden ist ...<br>
-[[Datei:UTMV11_PF_Dienste.png|250px|thumb|right|https-transparent Dienst]]
-Diese Dienstegruppe finden sie unter <i>Firewall</i> > <i>Portfilter</i> im Bereich Dienste. Zum Anzeigen der enthaltenen Dienste klicken sie auf die Dienstegruppe <i>proxy</i>. Diese wir dann orange hinterlegt und unter <i>Dienste in Gruppe</i> können sie dann die dort verknüpften Dienste sehen.
-Sollte der Dienst <i>https-transparent</i> noch nicht enthalten sein, tippen sie einfach in die Suchzeile im Bereich <i>Alle Dienste:</i> die Zeichenfolge <i>https</i> oder <i>2412</i> ein und fügen mit einem klick auf den [[Datei:UTM_V115_PB.png|20px]] Button in der entsprechenden Zeile den Dienst zu der Gruppe hinzu.
-Abschließend schauen sie noch im Bereich <i>Portfilter</i> ob die entsprechende Regel vorhanden ist ...<br>
 [[Datei:UTMV115_PF_Proxyregel.png|800px]]
-... und klicken auf [[Datei:UTMV11_PF_RaktB.png|120px]]
+... und mit [[Datei:UTMV11_PF_RaktB.png|120px]] die Regeln aktualisieren.