Wechseln zu:Navigation, Suche
Wiki

UTM/APP/Webfilter v11.7: Unterschied zwischen den Versionen

Aus Securepoint Wiki
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
Zeile 3: Zeile 3:


Webfilter bis UTM Version 11.5
Webfilter bis UTM Version 11.5
*[[UTM/APP/Webfilter-v11.5 | Funktionsübersicht Contentfilter ALTTT ]]
*[[UTM/APP/Webfilter-v11.5 | Funktionsübersicht Contentfilter bis 11.5 ]]
<br />
==Webfilter ab der UTM Version 11.6==
==Webfilter ab der UTM Version 11.6==
[[Datei:UTM116_AI_MA.png|250px|thumb|right|Menüpunkt Webfilter]]
[[Datei:UTM116_AI_MA.png|250px|thumb|right|Menüpunkt Webfilter]]

Version vom 13. Dezember 2016, 16:55 Uhr

Vorlage:V11.6

Webfilter bis UTM Version 11.5


Webfilter ab der UTM Version 11.6

Menüpunkt Webfilter

Der Webfilter wird ab der Version 11.6 als ein eigener Menüpunkt im Menü Anwendungen dargestellt und befindet sich nicht mehr in den HTTP-Proxy Einstellungen.

Im Webfilter können Netzwerk- und Benutzergruppen granulare Zugriffsrechte auf Webseiten gewährt werden. Zur Unterstützung stehen dazu Webseiten-Kategorien zur Verfügung.




Arbeitsweise des Webfilter

Webfilter.png

Der Webfilter arbeitet mit URL- und Kategorien-Regelsätzen, die in Profilen Netzwerkgruppen oder Benutzergruppen zugeordnet werden müssen.

Der Ablauf ist wie folgt:
Ein Benutzer ruft über einen Browser oder eine andere Anwendung eine Webseite auf. Die Datenpakete, inclusive dem Uniform Resource Locator (URL) der Webseite, werden über den HTTP Proxy geleitet. Entweder dadurch, dass der HTTP Proxy als Transparenter Proxy eingerichtet ist, oder durch die Proxy-Konfiguration des Browsers am Client.
Je nachdem ob zuerst ein Profil für eine Benutzergruppe oder eine Netzwerkgruppe angelegt wurde, wird überprüft, ob der Benutzername oder die IP-Adresse mit einem Profil übereinstimmt.
Im oben gezeigten Flussdiagramm wird in dieser Konstellation der Benutzername überprüft. Ist der Benutzer keinem Profil zugeordnet, wird anschließend überprüft, ob ein Profil existiert, bei der die Quell-IP in einer Netzwerkgruppe vorhanden ist.
Stimmt weder der Benutzername noch die Quell IP-Adresse mit einem Gruppen-Profil überein, greift die Standard Aktion, die unter Webfilter im Bereich Allgemein unter Kein passendes Profil gefunden: definiert wurde. Es werden diese Anforderungen, je nach Einstellung im Webfilter, entweder zugelassen oder geblockt.

Nachdem ein Profil erkannt wurde, wird der damit verknüpfte Regelsatz überprüft.
Zunächst wird die zeitliche Gültigkeit des Regelsatzes überprüft. Stimmt diese nicht überein, prüft der Webfilter ob ein weiterer Regelsatz für dieses Profil hinterlegt ist. Ist dieses nicht der Fall, greift die Webfilter Standard Aktion.
Ist der Regelsatz nicht zeitlich geregelt oder stimmt der Regelsatz zeitlich überein, wird als nächstes überprüft, ob dieser Regelsatz den Zugang grundsätzlich blockieren soll. Das ist der Fall, wenn im Fenster Regelsatz bearbeiten die Markierung bei Zugang blockieren: gesetzt wurde.

Wird mit dem Regelsatz nicht alles blockiert, überprüft der Webfilter die hier hinterlegten URLs und vergleicht diese mit der Anforderung des Clients. Ist die URL oder Teile der URL im Regelsatz eingetragen, wird geprüft, ob diese auf der Whitelist oder auf der Blacklist stehen und dadurch zugelassen oder geblockt.

Ist die angeforderte URL nicht eingetragen, wird überprüft ob diese zu einer Kategorie passen.
Dazu wird zunächst geprüft, ob diese URL schon einmal auf die Zuordnung zu einer Kategorie geprüft wurde und ob sich diese Anfrage noch im Cache befindet.
Ist das nicht der Fall, wird über die UTM eine Anfrage an die Securepoint Contentfilter-Server gestellt, die ähnlich einer DNS Anfrage funktioniert: Die URL wird zunächst zum Server übertragen. Die Anfrage wird mit einer IP-Adresse beantwortet, die den Webfilter darüber informiert, in welcher Kategorie sich diese URL befindet.

Nun wird überprüft, ob die Kategorie aufgelistet und auf einer White- oder Blacklist steht. Daraufhin wird die Anfrage an diese URL zugelassen oder geblockt.

Es ist möglich, dass eine URL in mehreren Kategorien enthalten ist. Die Anfrage an die Contentfilter-Server wird wiederholt sowie mit den weiteren Einträgen in der Liste abgeglichen.

Sind weder die URL noch eine passende Kategorie in den Regeln hinterlegt, wird die URL Anfrage zugelassen.


Webfilter-Einstellungen

Allgemein

Hier kann zunächst der Webfilter aktiviert bzw. deaktiviert werden.
Zusätzlich kann das Standardverhalten des Webfilters auf blockieren oder zulassen gestellt werden. Dadurch wird der Zugriff für Hosts oder Benutzer blockiert bzw. zugelassen, für die kein Profil im Webfilter angelegt worden ist.

Profil

Für jede Netzwerk- und Benutzergruppe, die auf der Appliance konfiguriert ist, kann ein Webfilter Profil erstellt werden. Diesen Profilen können ein oder mehr Regelsätze zugewiesen werden, welche das Verhalten für das entsprechende Profil definieren.

UMA20 AHB hinweispic.png

Hinweis!
Es ist darauf zu achten, dass bei zeitlichen Überschneidungen zwischen den Regelsätzen eines Profils, immer nur der erste Regelsatz angewendet wird ! Es ist nicht möglich in einem Profil mehrere Regelsätze von oben nach unten abarbeiten zu lassen.

Netzwerk- und Benutzergruppen müssen in anderen Dialogen erstellt werden:

  • Netzwerkgruppen werden unter Firewall > Portfilter > Netzwerkobjekte angelegt. Hier werden Netzwerkobjekte zu Gruppen zusammengefasst.
  • Benutzergruppen werden unter Authentifizierung > Benutzer angelegt. Hier besteht die Möglichkeit bestimmten Benutzern Gruppen zuzuweisen, die durch die UTM oder externe Dienste (Radius, LDAP, AD) authentifiziert werden können. Damit die Zugriffsrechte des Webfilters greifen, ist eine Authentifizierung am Proxy zwingend notwendig.

Regelsatz

Regelsätze müssen Profilen zugewiesen werden, um den Webzugriff für bestimmte Netzwerk- oder Benutzergruppe zu regulieren. Ein Regelsatz muss alles beinhalten, was anschließend für die Einschränkung des Profils benötigt wird.

Beim Anlegen/Bearbeiten eines Regelsatzes stehen folgende Optionen zur Verfügung:

Allgemein
Name: Ein Name, der den Regelsatz beschreibt.
Regelsatz kopieren: Zur schnelleren Konfiguration von Regelsätzen kann hier die Option genutzt werden einen anderen Regelsatz zu kopieren und anschließend anzupassen. Ausgenommen davon ist der Name des Regelsatzes.
Zugang blockieren: Die Aktivierung dieser Regel sorgt dafür, dass alle Webseiten gesperrt werden. Die Konfigurationen unter "Einstellungen" und "Regeln" werden dadurch nicht angewendet.
Gültig
Tage: In diesem Bereich wird definiert, an welchen Tagen der Regelsatz aktiv sein soll.
Von: Die Uhrzeit, zu der der Regelsatz an den gewählten Tagen beginnen soll.
Bis: Die Uhrzeit, zu der der Regelsatz an den gewählten Tagen enden soll.
Einstellungen
SafeSearch:

Mit der Einstellung SafeSearch kann das für die Google Websuche geschaffene Filtersystem genutzt werden.
Wird die Option "strict" gewählt, werden sexuell eindeutige Videos und Bilder sowie Ergebnisse, die mit anstößigen Inhalten verlinkt sein könnten, aus den Google-Suchergebnisseiten gefiltert.
Bei SafeSearch "moderat", werden sexuell eindeutige Videos und Bilder aus den Google-Suchergebnisseiten ausgeschlossen. Ergebnisse, die mit anstößigen Inhalten verlinkt sein könnten, werden jedoch nicht gefiltert.
Der Wert "aus" deaktiviert SafeSearch.

URL-Shortener: Erweitert die verkürzt dargestellten URLs in die Langform. Hier kann gewählt werden, ob diese blockiert, zugelassen oder aufgelöst werden sollen.
Regeln

An dieser Stelle werden dem Regelsatz die gewünschten Regeln zugewiesen. Für jede Regel kann einzeln eingestellt werden, ob der Zugriff zugelassen oder blockiert wird. Die Regeln können per Drag & Drop in die gewünschte Reihenfolge gebracht werden, das ist wichtig, da die Regeln von oben nach unten abgearbeitet werden und der erste Treffer gilt. Es können URL-Regeln und Kategorie-Regeln zugewiesen werden:

URL:

Hier wird die gewünschte URL oder eine passende Wildcard angegeben. Dazu einige Beispiele:

Bei Regeln, mit aktivierter SSL-Interception, differiert das Filterverhalten zu Regeln ohne SSL-Interception. Ist SSL-Interception deaktiviert, wird der Proxy bei HTTPS-Verbindungen nur den Host-Namen, jedoch nicht die komplette URL der angesprochenen Webseite erkennen.

Kategorie:

Die Webseiten werden passenden Kategorien zugewiesen, so dass diese entsprechend ihrer Kategorien gefiltert werden können.

Kategorie Beschreibung
Casting: Seiten zum Thema Models, Casting, Schauspielen, Singen
Porno und Erotik: Pornographische oder vorwiegend sexuelle Inhalte
Offene Bilder
Suche:		 Bilder- und Video Suchmaschinen inklusive pornografischer Suche aber ohne 'Safe Search' Schalter
Erotik möglich: Webseiten mit möglicherweise pornographischem Inhalt
Waffen: Waffenshops, Waffeninfos, Militaria, militärische Inhalte, Sportschützen
Abstoßend: Extrem blutig, Anleitung oder Aufruf zu Mord, Selbstmord und Gewalt, Ekelerregend
BPJM
Kinder-/Jugendschutz:		 Content nicht geeignet für Kinder und Jugendliche nach deutscher BPjM
Spiele: Spiele zum Download, Online Spiele, Gewinnspiele, Lotto, Glücksspiele
Chat: Chatanbieter, Blogs, Foren, Boards und Communities zu diversen Themen
Events: Kulturelle Veranstaltungen, Freizeitplanung, Tickets, Events
Investments: Aktien, Börse, Investments, Kredite, Versicherungen, Banken
Geld verdienen: Geld schnell verdienen, reich werden, Beteiligungen, Kettenbriefe
Ausbildung: Schulen und Ausbildungsinstitute, Universitäten
Gesundheit Schönheit: Themen Gesundheit und Schönheit, medizinische Infos, Ärzte, Kliniken, Abnehmen/Diät, Kosmetik, Wellness
Haus und Garten: Themen zur Hauseinrichtung, Garten, Pflanzen, Möbel, Dekoration
Download: Software Downloads, Dateidownloads
Computer: Computer Ratgeber, Computertechnologie, Computer Themen
Fernwartung: Fernwartungsprogramme, entfernter Desktop, Desktop-Sharing
Hacking: Ratgeber zum Thema Hacking, Warez, Malware bauen, Systeme überlisten, Abofallen
Proxy: Anonymisierungsproxies und Listen dieser Rechner
Kommunikation: E-Mail Anbieter, SMS Dienste, Kommunikationsdienste
Soziale Lesezeichen: Lesezeichendienste für das WWW
Personensuche: Personensuchdienste
Soziale Netzwerke: Soziale Netzwerke
Jobs: Arbeit suchen, Jobsuche, Stellenangebote, Arbeitnehmersuche
News: Nachrichten, News, Tagesthemen, Prominews, Branchennews
Dating: Dating, Kennenlernen, Partnerschaftssuche, Freunde finden
Lexika: Lexika, Nachschlagewerke, Übersetzer, gesammelte Informationen
Portale: Internetportale, Suchmaschinen
Kult: Religion, Kult, Astrologie, Esoterik, Horoskope, Ideologie, Verschwörungstheorien
Shopping: Shoppingseiten, online Einkaufen
Auktionen: Internet Auktionen, Kleinanzeigen, Annoncenmarkt
Immobilien: Wohnungs/Haus-Kauf, Vermietungen, Grundstücke
Essen: Rezepte und Ernährung, Essen, Restaurants
Sport: Sport jeglicher Art, Ratgeber, Fanseiten, Clubs und Vereine
Reisen: Reisen, Buchungsdienste, Last-Minute, Reiseinfos
Fahrzeuge: Fahrzeuge jeglicher Art, Automagazine, Motorrad, Boote, Fahrrad
Humor: Witzige Seiten, Satire
Video: Videos, Filme, Bilder, Comics, Kino- und Filmthemen sowie kategoriebezogene Downloads
Audio: Audio/Musik, Bands und Musikthemen sowie kategoriebezogene Downloads
Kinder: Babys und Kinder, Erziehung
Tiere: Tierratgeber, Tierforen, Züchtung
Consumertechnik: Home Entertainment, Elektronik, Testberichte und Ratgeber für Digitalkameras, Handys, MP3-Player, Navis,...
Kurz-URL-Dienst: URL Kürzungs Dienste
Werbe Dienste: Werbe Dienste
Update Server: Server und Dienste für wichtige Sofwareupdates, als Whitelist vorgesehen
Nicht spezifiziert: Nicht identifizierte oder nicht kategorisierbare Seiten
White: Seriöse Adressen, öffentliche- und Unternehmensseiten, technische Dienste welche nicht geblockt werden sollten.

Die letzten beiden Kategorien sind im Webfilter nicht auswählbar.

Einrichtung eines Webfilterprofils

Webfilter

Nachdem eine Netzwerk- oder Benutzergruppe angelegt wurde, steht diese auch für den Webfilter zur Verfügung.
Da beim Anlegen eines Profils immer auch gleich ein Regelsatz mit angelegt wird, beginnt die Prozedur durch einen Klick auf die Schaltfläche UTM116 AI WFprofhinzB.png

In diesem Beispiel wurde die Benutzergruppe Webfilter-Grp angelegt, die nun ausgewählt wird.

UTM116 AI WFprofhinz.png


Webfilter mit neuem Profil

Im Webfilter befindet sich nun das Profil Webfilter-Grp und ein neuer Regelsatz Webfilter-Grp_ruleset_1 welcher mit dem Profil verknüpft ist.



Mit einem Mausklick auf den Editier-Button UTM116 AI WFeditB.png kann nun der Regelsatz bearbeitet werden.




Webfilter Regelsatz

Nachdem sich der Regelsatz zur Bearbeitung geöffnet hat, besteht die Möglichkeit, Regeln aus einem anderen Regelsatz zu kopieren.
Da Regeln innerhalb eines Profils nicht nacheinander abgearbeitet werden können, muss ein einzelner Regelsatz immer alle notwendigen Regeln beinhalten.

Im Abschnitt Allgemein wird also der gewünschte Regelsatz zum Kopieren ausgewählt und die dort hinterlegten Regeln mit einem Klick auf die Schaltfläche UTM116 AI WFregkopB.png der gerade bearbeiteten Regel hinzugefügt.

Soll der Filter für die Google Websuche aktiviert werden, wird die SafeSearch' Einstellung auf strict gesetzt.

Nun können URLs in das URL-Feld eingegeben oder Kategorien ausgewählt werden und über die Schaltfläche UTM116 AI hinzB.png dem Regelsatz hinzugefügt werden.

Der Button in der Spalte Aktion hat zwei Zustände:

UTM116 AI WFblockB.png Blockiert den Zugriff auf die URL oder die Kategorie
UTM116 AI WFallowB.png Erlaubt den Zugriff auf die URL oder die Kategorie


Sind alle Regeln eingetragen, wird dieser Regelsatz mit einem Klick auf den Button UTM116 AI SaveB.png gespeichert.

Beispiele für Ausnahmen für Windows-Updateserver

Weitere Beispiele zur Einrichtung des Webfilter, Authentifizierungsausnahmen, Virenscanner und SSL-Interception bezüglich Windows Updates gibt es im Knowledge Base Artikel Windows Updates mit HTTP-Proxy und Webfilter

Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/APP/Webfilter_v11.7&oldid=9876