Transparenter Proxy mit HTTPS
Seit der Version 11.5 ist es möglich auch Webseiten über eine SSL-Verschlüsselte Verbindung über den transparenten Proxy der UTM zu leiten. Der transparente Proxy sorgt dafür, dass Webseiten aufrufe auch ohne Einstellungen im Browser über den HTTP-Proxy geleitet werden, sodass der Virenscanner und der Webfilter auf diese Verbindungen angewendet werden können.
Um auch SSL-Verschlüsselte Verbindungen auf Viren und Schadsoftware überprüfen zu können, muss sich der Proxy als Client gegenüber dem Webserver im Internet ausgeben, so dass die Daten schon auf der Firewall entschlüsselt werden können. Diese sollen anschließend natürlich wieder verschlüsselt an den eigentlichen Client im internen Netzwerk weitergeleitet werden. Um dieses zu erreichen wird das feature SSL-Interception genutzt.
Zertifikat
Da Sie für die SSL-Verschlüsselte Übertragung zum Client ein Zertifikat benötigen, erstellen sie dieses zuerst.
Dazu wählen sie unter Authentifizierung das Menü Zertifikate. Da wir ein CA (Certificate Authority) für die verschlüsselte Übertragung benötigen, klicken sie im Bereich CA auf
Tragen sie einen Namen für das CA ein, definieren sie die Schlüssellänge (1024 ist normalerweise ausreichend) und die Gültigkeitsdauer (bitte nicht länger als 2037), tragen sie die restlichen Daten ein und klicken abschließend auf
SSL-Interception
Wechseln Sie nun unter Anwendungen in das Menü HTTP-Proxy und dort in den Bereich SSL-Interception.
Damit die Browser der Clients diese Verbindung auch akzeptieren, muss das CA jedem Browser bekannt gemacht werden.
Dazu laden Sie sich dieses über den Button herunter.
Entweder loggen sie sich von jedem Client auf der UTM ein und speichern dort das CA oder sie speichern dieses auf einem USB-Stick oder einem Netzwerkspeicher und fügen über diesen Weg dem Browser das Zertifikat hinzu.
Zertifikat dem Browser hinzufügen
1. Wechseln sie im Browser in die Einstellungen und rufen sie die Zertifikatsverwaltung auf
2. Wechseln sie im Zertifikat-Manager auf Zertifizierungsstellen und dort auf Importieren
3. Wählen sie das heruntergeladene CA aus dem entsprechenden Verzeichnis aus
4. Bei der Frage ob sie dem CA als Zertifizierungsstelle vertrauen, markieren sie die Zeile "Diesem Zertifikat zur Identifizierung von Websites vertrauen"
5. Klicken sie auf OK
Transparenten Proxy für HTTPS einrichten
Wählen sie unter Anwendungen den Menüpunkt HTTP-Proxy und dort den Bereich Transparenter Modus.
In der Standard Einstellung ist der transparente Modus für das HTTP Protokoll über Port 80 schon aktiviert. Um diesen auch für das HTTPS Protokoll und Port 443 einzurichten, klicken sie auf
Wählen sie unter Protokoll: den Eintrag HTTPS und als Typ: INCLUDE.
Als Quelle wählen sie das Netzwerk aus dem die Anfragen kommen, z.B. internal-network und als Ziel das Netzwerk in dem die Webserver stehen die angesprochen werden sollen, in unserem Fall internet.
Klicken sie auf um die Regel zu speichern und nochmal auf im HTTP-Proxy Fenster um die Regeln zu aktualisieren.
Portfilterregeln
Da sowohl HTTP mit Port 80 als auch HTTPS mit Port 443 über den Proxy zwangsumgeleitet werden sollen, müssen sie dafür sorgen, dass die folgenden Dienste in der Dienstegruppe proxy mit enthalten sind:
Name | Protokoll | Zielport |
---|---|---|
http-transparent | tcp | 2411 |
https-transparent | tcp | 2412 |
Diese Dienstegruppe finden sie unter Firewall > Portfilter im Bereich Dienste. Zum Anzeigen der enthaltenen Dienste klicken sie auf die Dienstegruppe proxy. Diese wir dann orange hinterlegt und unter Dienste in Gruppe können sie dann die dort verknüpften Dienste sehen.
Sollte der Dienst https-transparent noch nicht enthalten sein, tippen sie einfach in die Suchzeile im Bereich Alle Dienste: die Zeichenfolge https oder 2412 ein und fügen mit einem klick auf den Button in der entsprechenden Zeile den Dienst zu der Gruppe hinzu.
Abschließend schauen sie noch im Bereich Portfilter ob die entsprechende Regel vorhanden ist ...