notempty
- Neue Möglichkeit für SNI-Validierung in Ausnahmen der SSL-Interception
- Neuer Parameter im Abschnitt Allgemein: Verbindungsorientierte Microsoft-Authentifizierung weiterleiten (v12.5.0)
- Die ClamAV Virenscan Engine wurde deaktiviert (v12.5.0)
- Geändertes Standard-Verhalten: Zugriff auf den HTTP-Proxy nur noch aus bekannten Netzen Neu ab v12.2
Einleitung
Der Proxy dient als Vermittler zwischen Internet und dem zu schützenden Netz.
Die Clients stellen Ihre Anfragen an den Proxy und dieser reicht sie an die entsprechenden Server weiter.
Die tatsächliche Adresse des Clients bleibt dem Server verborgen.
Auf diesem Wege ist es möglich, den Datenverkehr auf Viren und ungewollte Inhalte zu überprüfen.
Allgemein
Allgemein
| |||||
Beschriftung | Wert | Beschreibung | |||
---|---|---|---|---|---|
Proxy Port | 8080 | gibt an, auf welchem Port der Proxy anzusprechen ist | |||
Ausgehende Adresse | Die ausgehende Adresse wird für 2 Szenarien benutzt:
Der Proxy wird in diesem Beispiel an die schnellere DSL Leitung gebunden:
Anbindung an einen Webserver im VPN-Netz:
| ||||
Anfragen an den systemweiten Parent-Proxy weiterleiten: | Nein | Falls vor dem HTTP-Proxy noch ein weiterer Proxy benutzt wird, muss diese Funktion aktiviert werden. Die Konfiguration erfolgt unter | |||
IPv4 DNS lookup bevorzugen | Ja | Hier kann festgelegt werden, ob die Namensauflösung bevorzugt mit IPv4-Adressen geschehen soll | |||
Logging (Syslog) | Ein | Schreibt ein generelles Syslog für den HTTP-Proxy (Aufruf: Log | Reiter|||
Logging (Statistics) | Ein | Schreibt ein statistisches Log Aufruf: HTTP-Proxy Statistiken | Reiter|||
Authentifizierungsmethode | Der Proxy bietet verschiedene Möglichkeiten zur Authentifizierung. Die Möglichkeiten sind: | ||||
Der HTTP-Proxy verarbeitet ohne Authentifizierung alle Anfragen | |||||
Bei einer Basic Authentifizierung werden die User gegen die hinterlegten Benutzer unter Benutzer auf der Firewall abgefragt | Reiter|||||
Hier muss die Firewall dem Server bekannt gemacht werden. Dies kann im Webinterface unter eingerichtet werden. | |||||
Hier muss die Firewall dem Server bekannt gemacht werden. Dies kann im Webinterface unter eingerichtet werden. | |||||
Zugriff nur aus internen Quellen erlauben: | Ja default |
notempty Geändertes Default-Verhalten ab v12.2 Der Zugriff auf den HTTP-Proxy ist im Default nur noch aus internen Quellen möglich. Das sind:
| |||
Zugriff auf interne Ziele erlauben: | Ja default |
Über den HTTP-Proxy sind auch alle internen Netze erreichbar (der Portfilter wurde bereits durchlaufen um den HTTP-Proxy zu erreichen). Durch die Deaktivierung Nein wird das verhindert und der Zugriff auf andere interne Netze muss ohne HTTP-Proxy über den Portfilter explizit erlaubt werden. | |||
Verbindungsorientierte Microsoft-Authentifizierung weiterleiten: notempty Neu ab: v12.5 |
Nein | Bei Aktivierung Ja ist die Anmeldung, bzw. Authentifizierung auf Webseiten möglich. Bei einigen Webseiten ist dies sonst nicht möglich. Mit dieser Option werden NTLM, Negotiate und Kerberos Authentifizierungen weitergeleitet Ist SSL-Interception aktiv, muss dieser Parameter für HTTPS-basierte Authentifizierungen aktiviert werden, da auf diesen Webseiten sonst keine Authentifizierung/Anmeldung möglich ist.
| |||
Authentifizierungsausnahmen | Aus | Hier gelistete URLs werden ohne vorherige Authentifizierung aufgerufen. Als Vorgabe stehen hier Seiten, die für den Securepoint Antivirus Pro verwendet werden. Weitere Hinweise im Artikel HTTP-Proxy Authentifizierungsausnahmen |
|||
Virenscanner Virenscanner-Einstelungen
| |||||
Virenscanner: | Ein | Der Virenscanner ist aktiviert und der zugehörige Dienst läuft. Der HTTP-Proxy kann Datenverkehr auf Viren prüfen (Default Einstellung) |
|||
Ein | Der Virenscanner-Dienst ist deaktiviert. Der HTTP-Proxy arbeitet nicht vollständig korrekt. Der Dienst kann gestartet werden über Menü Virenscanner | ||||
Ein | Der Virenscanner-Dienst ist deaktiviert. Der HTTP-Proxy arbeitet nicht vollständig korrekt.notempty Auf Geräten mit weniger als 3GB RAM kann der Dienst für den Virenscanner nicht starten. Bitte auf aktuelle Hardware wechseln oder mehr RAM zuweisen! | ||||
Aus | Der Virenscanner ist deaktiviert. | ||||
Größenbeschränkung von geprüften Dateien: | 2 Megabytes | Legt fest, wie groß die Dateien sein dürfen, die vom Virenscanner überprüft werden sollen | |||
Trickle Time: | 5Sekunden | Intervall, in dem Daten vom Proxy an den Browser übergeben werden, damit während der Virenprüfung der Browser das Laden nicht abbricht | |||
Allowlist ICY-Protokoll | Aus | Ein Webradio-Protokoll das hier von der Prüfung ausgenommen werden kann | |||
Allowlist | Ein | Damit werden die folgenden Allowlist-Einträge aktiviert oder deaktiviert. Die Blocklist ist immer aktiviert! | |||
Mime-Type-Blocklist | |||||
application/x-shockwave-flash Beispiel |
Hier aufgeführte Mime-Typen werden in jedem Falle geblockt. Mit der Schaltfläche öffnet sich ein Dialog, in dem aus einem Dropdown-Menü ein Mime-Type ausgewählt oder ein individueller Typ eingetragen werden kann. | ||||
Mime-Type-Allowlist | |||||
application/pkcs10 Beispiel |
Hier aufgeführte Mime-Typen werden nicht gescannt. Standard-Vorgabe:
| ||||
Webseiten-Allowlist | |||||
^[^:]*://[^\.]*\.ikarus\.at/ | Hier ist es möglich eigene Filter aufgrund von Regular Expressions (Regex) zu erstellen. notempty Viren von diesen Seiten werden nicht erkannt !
Einige Update-Server, die unter Verwendung eines Virenscanners Probleme bereiten, sind bereits vorkonfiguriert. Hinweis: Damit iTunes korrekt mit dem Internet kommunizieren kann, sind weitere Ausnahmen notwendig. | ||||
Bandbreite Bandbreiten-Einstellungen
| |||||
Bandbreitenbegrenzung-Policy | Die Bandbreite wird nicht begrenzt | ||||
Der Proxy verwendet in diesem Fall nur die angegebene maximale Bandbreite und lässt den Rest der Bandbreite von Ihrer Internetverbindung unberührt. (Diese Bandbreite teilen sich alle Hosts die mit dem Proxy verbunden sind.) | |||||
Bandbreite für jeden einzelnen Host. Die limitierte Bandbreite für Hosts kann nicht die globale Bandbreite übersteigen. | |||||
Bandbreitenbegrenzung
| |||||
Globale Bandbreite: | 2.000.000 kbit/s | Default-Wert, falls aktiviert | |||
Bandbreite per Host: | 64.000 kbit/s | Default-Wert, falls aktiviert | |||
App BlockingAnwendung zulassen | |||||
Anwendung zugelassen Anwendung blockiert |
Hier gibt es die Möglichkeit Anwendungen gezielt zu blocken. Dieses geschieht einfach per Aktivierung der unerwünschten Anwendung. Weitere, noch umfangreichere Möglichkeiten des Blocking gibt es unter
|
||||
SSL-InterceptionMit dem Feature SSL-Interception ist es möglich, Schadcode in SSL-verschlüsselten Datenströmen bereits am Gateway zu erkennen. Es unterbricht die verschlüsselten Verbindungen und macht die Datenpakete für Virenscanner und andere Filter sichtbar. Die Datenübertragung zum Client erfolgt dann wieder verschlüsselt. | |||||
SSL-Interception: | Ein | Aktiviert die SSL-Interception | |||
Webfilter basiert: | Nein | Bei Aktivierung werden lediglich vom Webfilter blockierte Verbindungen abgefangen. Dadurch wird das Problem umgangen, daß es Seiten gibt, die ein Unterbrechen der Verschlüsselung nicht tolerieren (z.B. Banking-Software), ohne das man dafür extra eine Ausnahme definieren muss. | |||
SNI validieren Nur verfügbar wenn Webfilter basiert aktiv |
Nein | Bei Aktivierung Ja wird eine sich ggf. im ClientHello des TLS-Handshake befindliche SNI geprüft. Dabei wird der enthaltene Hostname aufgelöst und die Adressen im Ergebnis mit der Zieladresse des abgefangenen Requests abgeglichen. | |||
SNI in den Ausnahmen validieren:notempty Neu ab v12.5.2 Nur verfügbar, wenn Webfilter basiert nicht aktiv ist |
Nein | Wendet die Server Name Indication Validierung nur auf aktivierte Ja Ausnahmen für SSL-Interception an | |||
Nicht erkannte Protokolle erlauben: | Ja | Wenn dieser Schalter deaktiviert ist, werden nicht erkannte Protokolle blockiert | |||
CA-Zertifikat: | Hier muss eine CA ausgewählt werden, die die Verbindung nach dem entschlüsseln (und scannen) wieder verschlüsseln kann. Der Public-Key der CA muss auf allen Client Rechnern, die SSL-Interception nutzen sollen, installiert werden. Herunterladen kann hier direkt mit ⬇Public-Key herunterladen erfolgen. | ||||
Der Public-Key sollte auf den Clients, die die SSL-Interception nutzen sollen installiert werden, um Zertifikatsfehler zu vermeiden | |||||
Zertifikatsverifizierung: | Aus | Sollte unbedingt aktiviert werden Damit überprüft der HTTP-Proxy, ob das Zertifikat der aufgerufenen Seite vertrauenswürdig ist. Da der Browser nur noch das lokale Zertifikat sieht, ist eine Überprüfung durch den Browser nicht mehr möglich. | |||
Ausnahmen für SSL-Interception | Ein | Es besteht die Möglichkeit Ausnahmen im Format der Regular Expressions zu definieren. Da hier aber nur https ankommen kann, wird hier, anders als bei dem Virenscanner, nicht auf Protokolle gefiltert. Mit werden neue Ausnahmen hinzu gefügt. Eine Ausnahme für www.securepoint.de würde also lauten:
.*\.securepoint\.de" | |||
Ausnahmen für Zertifikatsverifizierung | Aus | Hier können Ausnahmen für die Zertifikatsverifizierung im Regex-Format hinzugefügt werden. | |||
Transparenter Modus | |||||
Transparenter Modus | Aus | Durch den transparenten Modus ist der Proxy für die Clients nicht sichtbar, der Client sieht seine Internetverbindung (HTTP) als ob kein Proxy davor geschaltet wäre. Dennoch geht der gesamte HTTP Stream über den Proxy, wodurch keine Einstellungen auf dem Client vorgenommen werden müssen. Dabei gibt es aber die gleichen Möglichkeiten, den Datenstrom zu analysieren / blocken / filtern / manipulieren, als ob ein fest eingetragener Proxy benutzt würde. Jedes Netzwerkobjekt bzw. jede Gruppe von Netzwerkobjekten, die den transparenten Proxy nutzen sollen, müssen hier hinterlegt werden. |
|||
Protokoll | oder | Protokoll, das verwendet wird | |||
Typ | Der transparente Modus wird angewendet | ||||
Der transparente Modus wird nicht angewendet | |||||
Quelle: | Quell-Netzwerkobjekt, angelegt unter Netzwerkobjekte Reiter | ||||
Ziel: | Ziel-Netzwerkobjekt | ||||