Wechseln zu:Navigation, Suche
Wiki





notempty
Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty
Der Artikel für die neueste Version steht hier

notempty
Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht





























































































De.png
En.png
Fr.png








Konfiguration des HTTP-Proxy
Letzte Anpassung zur Version: 12.5.2
Neu:

notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

12.4 12.2 11.8 11.7

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115
→ Anwendungen →HTTP-Proxy

Einleitung

Der Proxy dient als Vermittler zwischen Internet und dem zu schützenden Netz.
Die Clients stellen Ihre Anfragen an den Proxy und dieser reicht sie an die entsprechenden Server weiter.
Die tatsächliche Adresse des Clients bleibt dem Server verborgen.

Auf diesem Wege ist es möglich, den Datenverkehr auf Viren und ungewollte Inhalte zu überprüfen.


Allgemein















































Allgemein
Beschriftung Wert Beschreibung UTM v12.5 HTTP-Proxy Allgemein.png
Reiter Allgemein
Proxy Port 8080Link= gibt an, auf welchem Port der Proxy anzusprechen ist
Ausgehende Adresse     Die ausgehende Adresse wird für 2 Szenarien benutzt:
  1. Wenn der Proxy an ein Interface gebunden werden soll
  2. Wenn über den Proxy ein Webserver im VPN-Netz erreicht werden wollen.
Der Proxy wird in diesem Beispiel an die schnellere DSL Leitung gebunden:
  • Ausgangslage:
    • LAN1: ppp0 mit DSL 2000
    • LAN2: Internes Netz (Internes Interface hat die IP 192.168.175.1)
    • LAN3: ppp1 mit DSL 16000
  • Die IP des Internen Interface (hier: LAN2) muss in das Feld für die ausgehende Adresse eingetragen werden
  • Speichern der Einstellungen
  • Unter → Netzwerk →Netzwerk-KonfigurationReiter Routing wird eine neue Route angelegt:
    • Quelle: IP des Internen Interfaces
    • Router: ppp1
    • Ziel: 0.0.0.0/0
  • Speichern der Route
Nun ist der Proxy an die 2. Internetverbindung gebunden.
Anbindung an einen Webserver im VPN-Netz:
  • Die IP des 'Internen Interface' muss in das Feld für die ausgehende Adresse eingetragen werden.
  • Speichern der Einstellungen.
  • Verbindungen, die von der Firewall initiiert werden, benötigen keine Extraregeln
  • Anfragen an den systemweiten Parent-Proxy weiterleiten: Nein Falls vor dem HTTP-Proxy noch ein weiterer Proxy benutzt wird, muss diese Funktion aktiviert werden.
    Die Konfiguration erfolgt unter

    → Netzwerk →Servereinstellungen Systemweiter Proxy

    IPv4 DNS lookup bevorzugen Ja Hier kann festgelegt werden, ob die Namensauflösung bevorzugt mit IPv4-Adressen geschehen soll
    Logging (Syslog) Ein Schreibt ein generelles Syslog für den HTTP-Proxy (Aufruf: → Log Reiter Log
    Logging (Statistics) Ein Schreibt ein statistisches Log Aufruf: → Log Reiter HTTP-Proxy Statistiken
    Authentifizierungsmethode Der Proxy bietet verschiedene Möglichkeiten zur Authentifizierung. Die Möglichkeiten sind:
    None Der HTTP-Proxy verarbeitet ohne Authentifizierung alle Anfragen
    Basic Bei einer Basic Authentifizierung werden die User gegen die hinterlegten Benutzer unter → Authentifizierung →BenutzerReiter Benutzer auf der Firewall abgefragt
    NTLM / Kerberos Hier muss die Firewall dem Server bekannt gemacht werden.
    Dies kann im Webinterface unter → Authentifizierung →AD / LDAP Authentifizierung eingerichtet werden.
    Radius Hier muss die Firewall dem Server bekannt gemacht werden.
    Dies kann im Webinterface unter → Authentifizierung →Radius-Authentifizierung eingerichtet werden.
    Zugriff nur aus internen Quellen erlauben: Ja
    default
    notempty
    Geändertes Default-Verhalten ab v12.2

    Der Zugriff auf den HTTP-Proxy ist im Default nur noch aus internen Quellen möglich. Das sind:
    • lokale Netze
    • geroutete Netze (→ Netzwerk →NetzwerkkonfigurationReiter Routing)
    • VPN-Netze
    Zugriff auf interne Ziele erlauben: Ja
    default
    Über den HTTP-Proxy sind auch alle internen Netze erreichbar (der Portfilter wurde bereits durchlaufen um den HTTP-Proxy zu erreichen).
    Durch die Deaktivierung Nein wird das verhindert und der Zugriff auf andere interne Netze muss ohne HTTP-Proxy über den Portfilter explizit erlaubt werden.
    Verbindungsorientierte Microsoft-Authentifizierung weiterleiten: notempty
    Neu ab: v12.5
    Nein Bei Aktivierung Ja ist die Anmeldung, bzw. Authentifizierung auf Webseiten möglich. Bei einigen Webseiten ist dies sonst nicht möglich.
    Mit dieser Option werden NTLM, Negotiate und Kerberos Authentifizierungen weitergeleitet
    notempty
    Ist SSL-Interception aktiv, muss dieser Parameter für HTTPS-basierte Authentifizierungen aktiviert werden, da auf diesen Webseiten sonst keine Authentifizierung/Anmeldung möglich ist.
     Authentifizierungsausnahmen  Aus Hier gelistete URLs werden ohne vorherige Authentifizierung aufgerufen.
    Als Vorgabe stehen hier Seiten, die für den Securepoint Antivirus Pro verwendet werden.
    Weitere Hinweise im Artikel HTTP-Proxy Authentifizierungsausnahmen
    UTM v12.5 HTTP-Proxy Allgemein Authentifizierungsausnahmen.png
    Abschnitt Authentifizierungsausnahmen

    Virenscanner

    Virenscanner-Einstelungen
    Virenscanner: Ein Der Virenscanner ist aktiviert und der zugehörige Dienst läuft.
    Der HTTP-Proxy kann Datenverkehr auf Viren prüfen
    (Default Einstellung)
    UTM v12.3 HTTP-Proxy Virenscanner.png
    Reiter Virenscanner
    Ein Der Virenscanner-Dienst ist deaktiviert.
    Der HTTP-Proxy arbeitet nicht vollständig korrekt.
    Der Dienst kann gestartet werden über Menü → Anwendungen →Anwendungsstatus Virenscanner
    Ein Der Virenscanner-Dienst ist deaktiviert.
    Der HTTP-Proxy arbeitet nicht vollständig korrekt.notempty
    Auf Geräten mit weniger als 3GB RAM kann der Dienst für den Virenscanner nicht starten.
    Bitte auf aktuelle Hardware wechseln oder mehr RAM zuweisen!
  • Sobald diese Konfiguration in einer Umgebung mit ausreichend RAM läuft, wird der Dienst wieder ausgeführt.
  • Aus Der Virenscanner ist deaktiviert.
    Größenbeschränkung von geprüften Dateien: 2Link= Megabytes Legt fest, wie groß die Dateien sein dürfen, die vom Virenscanner überprüft werden sollen
    Trickle Time: 5Link=Sekunden Intervall, in dem Daten vom Proxy an den Browser übergeben werden, damit während der Virenprüfung der Browser das Laden nicht abbricht
    Allowlist ICY-Protokoll Aus Ein Webradio-Protokoll das hier von der Prüfung ausgenommen werden kann
    Allowlist Ein Damit werden die folgenden Allowlist-Einträge aktiviert oder deaktiviert.
    Die Blocklist ist immer aktiviert!
     Mime-Type-Blocklist 
    Mime Type application/x-shockwave-flash
    Beispiel
    Hier aufgeführte Mime-Typen werden in jedem Falle geblockt.
    Mit der Schaltfläche öffnet sich ein Dialog, in dem aus einem Dropdown-Menü ein Mime-Type ausgewählt oder ein individueller Typ eingetragen werden kann.
     Mime-Type-Allowlist 
    Mime Type application/pkcs10
    Beispiel
    Hier aufgeführte Mime-Typen werden nicht gescannt.
    Standard-Vorgabe:
    • audio/*
    • image/*
    • video/*
     Webseiten-Allowlist 
    Regex ^[^:]*://[^\.]*\.ikarus\.at/ Hier ist es möglich eigene Filter aufgrund von Regular Expressions (Regex) zu erstellen.
    notempty
    Viren von diesen Seiten werden nicht erkannt !

    Einige Update-Server, die unter Verwendung eines Virenscanners Probleme bereiten, sind bereits vorkonfiguriert.

    Hinweis: Damit iTunes korrekt mit dem Internet kommunizieren kann, sind weitere Ausnahmen notwendig.

    Bandbreite

    Bandbreiten-Einstellungen
    Bandbreitenbegrenzung-Policy None Die Bandbreite wird nicht begrenzt UTM v12.2 HTTP-Proxy Bandbreite.png
    Reiter Bandbreite
    Gesamte Bandbreite begrenzen Der Proxy verwendet in diesem Fall nur die angegebene maximale Bandbreite und lässt den Rest der Bandbreite von Ihrer Internetverbindung unberührt.
    (Diese Bandbreite teilen sich alle Hosts die mit dem Proxy verbunden sind.)
    Bandbreite per Host begrenzen Bandbreite für jeden einzelnen Host.
    Die limitierte Bandbreite für Hosts kann nicht die globale Bandbreite übersteigen.
    Bandbreitenbegrenzung
    Globale Bandbreite: 2.000.000Link= kbit/s Default-Wert, falls aktiviert
    Bandbreite per Host: 64.000Link= kbit/s Default-Wert, falls aktiviert

    App Blocking

     Anwendung zulassen 

    Anwendung zugelassen

    Anwendung blockiert

    Hier gibt es die Möglichkeit Anwendungen gezielt zu blocken. Dieses geschieht einfach per Aktivierung der unerwünschten Anwendung.

    Weitere, noch umfangreichere Möglichkeiten des Blocking gibt es unter → Anwendungen →Webfilter
    Hier können folgende Anwendungen aktiviert, bzw. deaktiviert werden:

    • Andere IMs
    • AOL
    • ICQ
    • Netviewer
    • Skype
    • Teamviewer
    • Trillian
    • Webradio
    • Yahoo
    UTM v12.2.2 HTTP-Proxy App-Blocking.png
    Reiter App Blocking

    SSL-Interception

    Mit dem Feature SSL-Interception ist es möglich, Schadcode in SSL-verschlüsselten Datenströmen bereits am Gateway zu erkennen. Es unterbricht die verschlüsselten Verbindungen und macht die Datenpakete für Virenscanner und andere Filter sichtbar. Die Datenübertragung zum Client erfolgt dann wieder verschlüsselt.
    Dazu ist es allerdings notwendig, eine CA unter → Authentifizierung →Zertifikate zu erstellen und dieses im Feld CA-Zertifikat auszuwählen.

    SSL-Interception: Ein Aktiviert die SSL-Interception UTM v12.5.2 HTTP-Proxy SSL-Interception.png
    Reiter SSL-Interception
    Webfilter basiert: Nein Bei Aktivierung werden lediglich vom Webfilter blockierte Verbindungen abgefangen.

    Dadurch wird das Problem umgangen, daß es Seiten gibt, die ein Unterbrechen der Verschlüsselung nicht tolerieren (z.B. Banking-Software), ohne das man dafür extra eine Ausnahme definieren muss.

    SNI validieren
    Nur verfügbar wenn Webfilter basiert aktiv
    Nein Bei Aktivierung Ja wird eine sich ggf. im ClientHello des TLS-Handshake befindliche SNI geprüft.

    Dabei wird der enthaltene Hostname aufgelöst und die Adressen im Ergebnis mit der Zieladresse des abgefangenen Requests abgeglichen.
    Bei Nichtübereinstimmung wird die Verbindung geschlossen.

  • Ohne Server Name Indication Validierung können Clients die SNI beliebig manipulieren, um den Webfilter zu passieren.
  • Diese Einstellung sollte nur als eine letzte Möglichkeit betrachtet werden, wenn es unmöglich scheint, die DNS-Einstellungen zwischen Clients des HTTP-Proxy und der UTM zu vereinheitlichen.
  • Verwenden Client und UTM unterschiedliche DNS-Server, kann es dabei zu false-positives kommen.
  • SNI in den Ausnahmen validieren:notempty
    Neu ab v12.5.2

    Nur verfügbar, wenn Webfilter basiert nicht aktiv ist
    Nein Wendet die Server Name Indication Validierung nur auf aktivierte Ja  Ausnahmen für SSL-Interception  an
    Nicht erkannte Protokolle erlauben: Ja Wenn dieser Schalter deaktiviert ist, werden nicht erkannte Protokolle blockiert
    CA-Zertifikat: CA-SSL-Interception Hier muss eine CA ausgewählt werden, die die Verbindung nach dem entschlüsseln (und scannen) wieder verschlüsseln kann.
    Der Public-Key der CA muss auf allen Client Rechnern, die SSL-Interception nutzen sollen, installiert werden. Herunterladen kann hier direkt mit  Public-Key herunterladen  erfolgen.
    Public-Key herunterladen Der Public-Key sollte auf den Clients, die die SSL-Interception nutzen sollen installiert werden, um Zertifikatsfehler zu vermeiden
    Zertifikatsverifizierung: Aus Sollte unbedingt aktiviert werden Damit überprüft der HTTP-Proxy, ob das Zertifikat der aufgerufenen Seite vertrauenswürdig ist. Da der Browser nur noch das lokale Zertifikat sieht, ist eine Überprüfung durch den Browser nicht mehr möglich.
     Ausnahmen für SSL-Interception  Ein Es besteht die Möglichkeit Ausnahmen im Format der Regular Expressions zu definieren. Da hier aber nur https ankommen kann, wird hier, anders als bei dem Virenscanner, nicht auf Protokolle gefiltert.
    Mit + Regex werden neue Ausnahmen hinzu gefügt.
    Eine Ausnahme für www.securepoint.de würde also lauten: .*\.securepoint\.de"
  • Regex-Ausnahmen gelten nicht für den transparenten Modus!
  •  Ausnahmen für Zertifikatsverifizierung  Aus Hier können Ausnahmen für die Zertifikatsverifizierung im Regex-Format hinzugefügt werden.

    Transparenter Modus

     Transparenter Modus  Aus Durch den transparenten Modus ist der Proxy für die Clients nicht sichtbar, der Client sieht seine Internetverbindung (HTTP) als ob kein Proxy davor geschaltet wäre. Dennoch geht der gesamte HTTP Stream über den Proxy, wodurch keine Einstellungen auf dem Client vorgenommen werden müssen. Dabei gibt es aber die gleichen Möglichkeiten, den Datenstrom zu analysieren / blocken / filtern / manipulieren, als ob ein fest eingetragener Proxy benutzt würde.

    Jedes Netzwerkobjekt bzw. jede Gruppe von Netzwerkobjekten, die den transparenten Proxy nutzen sollen, müssen hier hinterlegt werden.

    UTM v12.2 HTTP-Proxy Transparenter-Modus.png
    Reiter Transparenter Modus
    Transparente Regel hinzufügen
    Protokoll HTTP oder HTTPS Protokoll, das verwendet wird UTM v11-8 HTTP-Proxy Transparenter-Modus Regel.png
    Hinzufügen einer Transparenten Regel
    Typ Include Der transparente Modus wird angewendet
    Exclude Der transparente Modus wird nicht angewendet
    Quelle: internal-network Quell-Netzwerkobjekt, angelegt unter → Firewall →PortfilterReiter Netzwerkobjekte
    Ziel: internet Ziel-Netzwerkobjekt


    Captive Portal

    Das Captive Portal wird ab v12.1 in einem eigenen Menü unter → Anwendungen →Captive Portal konfiguriert. Hierzu gibt es einen eigenen Wiki-Artikel.