Wechseln zu:Navigation, Suche
Wiki
Zeile 9: Zeile 9:
<br>
<br>
==Transparenter Proxy mit HTTPS==
==Transparenter Proxy mit HTTPS==
{|
<div>
|-
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-red.png]] </div>
|[[Datei:alert-red.png]]
<div style="display: flex;"><span style="background-color: #bc1b18;padding:10px;border-radius:4px;font-weight:bold;color:white">Bitte Beachten, dass die Regex-Ausnahmen nicht für den transparenten Modus gelten.</span></div>
|'''<span">Bitte Beachten, dass die Regex-Ausnahmen nicht für den transparenten Modus gelten.</span>'''
</div>
|}
<div style="clear: both;"></div>
<br />





Version vom 10. Juli 2017, 09:23 Uhr


Informationen

Letze Anpassung zur Version: 11.7
Bemerkung: Artikelanpassung
Vorherige Versionen: -

Transparenter Proxy mit HTTPS

Alert-red.png
Bitte Beachten, dass die Regex-Ausnahmen nicht für den transparenten Modus gelten.


Seit der Version 11.5 ist es möglich auch Webseiten über eine SSL-Verschlüsselte Verbindung über den transparenten Proxy der UTM zu leiten. Der transparente Proxy sorgt dafür, dass Webseiten aufrufe auch ohne Einstellungen im Browser über den HTTP-Proxy geleitet werden, sodass der Virenscanner und der Webfilter auf diese Verbindungen angewendet werden können.

Um auch SSL-Verschlüsselte Verbindungen auf Viren und Schadsoftware überprüfen zu können, muss sich der Proxy als Client gegenüber dem Webserver im Internet ausgeben, so dass die Daten schon auf der Firewall entschlüsselt werden können. Diese sollen anschließend natürlich wieder verschlüsselt an den eigentlichen Client im internen Netzwerk weitergeleitet werden. Um dieses zu erreichen wird das Feature SSL-Interception genutzt.

Zertifikat

Zertifikate

Da die SSL-Verschlüsselte Übertragung zum Client ein Zertifikat benötigt, wird dieses zunächst erstellt.







CA erstellen

Dazu wird unter Authentifizierung das Menü Zertifikate gewählt. Für die Verschlüsselte Übertragung wird ein CA (Certificate Authority) benötig welches im Bereich CA mit dem Button UTMV11 CRT CAhinzB.png neu angelegt wird.

Das CA bekommt einen eindeutigen Namen, die Schlüssellänge (1024 ist normalerweise ausreichend) und die Gültigkeitsdauer (bitte nicht länger als 2037) werden definiert und die restlichen Daten werden eingetragen. Abschließend ein Klick auf UTM11 AI SaveB.png




SSL-Interception

SSL-Interception

Unter Anwendungen im Menü HTTP-Proxy befindet sich der Bereich SSL-Interception.

Damit die Browser der Clients diese Verbindung auch akzeptieren, muss das CA jedem Browser bekannt gemacht werden.
Dazu wird der öffentliche Teil des CA über den Button UTMV11 SI PKdladenB.png heruntergeladen.
Entweder dadurch, dass sich von jedem einzelnen Client auf der UTM einloggen um auf diesen das CA zu speichern oder es wird einmal heruntergeladen und auf einem USB-Stick oder einem Netzwerkspeicher abgelegt. Anschließend wird über diesen Weg dem Browser das Zertifikat hinzugefügt.



Zertifikat dem Browser hinzufügen

Zertifikatsverwaltung
Zertifizierungsstellen
Zertifikat für Websites
Zertifizierungsstellen mit CA

1. In den Einstellungen des Browser befindet sich die Zertifikatsverwaltung






2. Im Zertifikat-Manager unter Zertifizierungsstellen wird das CA Importiert




3. Das heruntergeladene CA wird aus dem entsprechenden Verzeichnis ausgewählt




4. Bei der Frage ob dem CA als Zertifizierungsstelle vertraut werden soll, wird die Zeile "Diesem Zertifikat zur Identifizierung von Websites vertrauen" markiert




5. Abschließend auf OK klicken.









Transparenten Proxy für HTTPS einrichten

Transparenter Modus

Unter Anwendungen befindet sich der Menüpunkt HTTP-Proxy und dort der Bereich Transparenter Modus.


In der Standard Einstellung ist der transparente Modus für das HTTP Protokoll über Port 80 schon aktiviert. Um diesen auch für das HTTPS Protokoll und Port 443 einzurichten, wird durch einen klicken auf UTMV11 HTTPP TRhinzB.png eine weitere Regel hinzugefügt.




HTTPS Regel

Unter Protokoll wird der Eintrag HTTPS und als Typ INCLUDE ausgewählt.
Als Quelle muss das Netzwerk aus dem die Anfragen kommen, z.B. internal-network, und als Ziel das Netzwerk in dem die Webserver stehen die angesprochen werden sollen gewählt werden, in unserem Fall internet.

Ein Klick auf UTM11 AI SaveB.png speichert die neue Regel und ein weiterer auf UTM11 AI SaveB.png im HTTP-Proxy Fenster sorgt für eine Aktualisierung der Regeln.


Portfilterregeln

Da sowohl HTTP mit Port 80 als auch HTTPS mit Port 443 über den Proxy zwangsumgeleitet werden, muss lediglich dafür gesorgt werden, dass die Namensauflösung erfolgen kann. Sofern die UTM als Nameserver bei den Clients eingetragen ist wird also eine Regel benötigt die DNS aus dem privaten Netzwerk auf die dazugehörige Netzwerkschnittstelle erlaubt.

In der Werkseinstellung existiert schon eine entsprechende Regel mit der Dienstegruppe Proxy. Diese enthält auch den Nameserver Port 53 für UDP und TCP.

Abschließend sollte also noch im Bereich Portfilter überprüft werden, ob die entsprechende Regel vorhanden ist.

UTMV115 PF Proxyregel.png

Beispiele für Ausnahmen für Windows-Updateserver

Weitere Beispiele zur Einrichtung der SSL-Interception, Authentifizierungsausnahmen, Virenscanner und Webfilter bezüglich Windows Updates gibt es im Knowledge Base Artikel Windows Updates mit HTTP-Proxy und Webfilter