Wechseln zu:Navigation, Suche
Wiki


Vorlage:V11.5


Transparenter Proxy mit HTTPS

Seit der Version 11.5 ist es möglich auch Webseiten über eine SSL-Verschlüsselte Verbindung über den transparenten Proxy der UTM zu leiten. Der transparente Proxy sorgt dafür, dass Webseiten aufrufe auch ohne Einstellungen im Browser über den HTTP-Proxy geleitet werden, sodass der Virenscanner und der Webfilter auf diese Verbindungen angewendet werden können.

Um auch SSL-Verschlüsselte Verbindungen auf Viren und Schadsoftware überprüfen zu können, muss sich der Proxy als Client gegenüber dem Webserver im Internet ausgeben, so dass die Daten schon auf der Firewall entschlüsselt werden können. Diese sollen anschließend natürlich wieder verschlüsselt an den eigentlichen Client im internen Netzwerk weitergeleitet werden. Um dieses zu erreichen wird das feature SSL-Interception genutzt.

Zertifikat

Zertifikate

Da Sie für die SSL-Verschlüsselte Übertragung zum Client ein Zertifikat benötigen, erstellen sie dieses zuerst.







CA erstellen

Dazu wählen sie unter Authentifizierung das Menü Zertifikate. Da wir ein CA (Certificate Authority) für die verschlüsselte Übertragung benötigen, klicken sie im Bereich CA auf UTMV11 CRT CAhinzB.png

Tragen sie einen Namen für das CA ein, definieren sie die Schlüssellänge (1024 ist normalerweise ausreichend) und die Gültigkeitsdauer (bitte nicht länger als 2037), tragen sie die restlichen Daten ein und klicken abschließend auf UTM11 AI SaveB.png




SSL-Interception

SSL-Interception

Wechseln Sie nun unter Anwendungen in das Menü HTTP-Proxy und dort in den Bereich SSL-Interception.

Damit die Browser der Clients diese Verbindung auch akzeptieren, muss das CA jedem Browser bekannt gemacht werden.
Dazu laden Sie sich dieses über den Button UTMV11 SI PKdladenB.png herunter.
Entweder loggen sie sich von jedem Client auf der UTM ein und speichern dort das CA oder sie speichern dieses auf einem USB-Stick oder einem Netzwerkspeicher und fügen über diesen Weg dem Browser das Zertifikat hinzu.



Zertifikat dem Browser hinzufügen

Zertifikatsverwaltung
Zertifizierungsstellen
Zertifikat für Websites
Zertifizierungsstellen mit CA

1. Wechseln sie im Browser in die Einstellungen und rufen sie die Zertifikatsverwaltung auf






2. Wechseln sie im Zertifikat-Manager auf Zertifizierungsstellen und dort auf Importieren




3. Wählen sie das heruntergeladene CA aus dem entsprechenden Verzeichnis aus




4. Bei der Frage ob sie dem CA als Zertifizierungsstelle vertrauen, markieren sie die Zeile "Diesem Zertifikat zur Identifizierung von Websites vertrauen"




5. Klicken sie auf OK









Transparenten Proxy für HTTPS einrichten

Transparenter Modus

Wählen sie unter Anwendungen den Menüpunkt HTTP-Proxy und dort den Bereich Transparenter Modus.


In der Standard Einstellung ist der transparente Modus für das HTTP Protokoll über Port 80 schon aktiviert. Um diesen auch für das HTTPS Protokoll und Port 443 einzurichten, klicken sie auf UTMV11 HTTPP TRhinzB.png




HTTPS Regel

Wählen sie unter Protokoll: den Eintrag HTTPS und als Typ: INCLUDE.
Als Quelle wählen sie das Netzwerk aus dem die Anfragen kommen, z.B. internal-network und als Ziel das Netzwerk in dem die Webserver stehen die angesprochen werden sollen, in unserem Fall internet.

Klicken sie auf UTM11 AI SaveB.png um die Regel zu speichern und nochmal auf UTM11 AI SaveB.png im HTTP-Proxy Fenster um die Regeln zu aktualisieren.


Portfilterregeln

Da sowohl HTTP mit Port 80 als auch HTTPS mit Port 443 über den Proxy zwangsumgeleitet werden sollen, müssen sie dafür sorgen, dass die folgenden Dienste in der Dienstegruppe proxy mit enthalten sind:

Name Protokoll Zielport
http-transparent tcp 2411
https-transparent tcp 2412


https-transparent Dienst

Diese Dienstegruppe finden sie unter Firewall > Portfilter im Bereich Dienste. Zum Anzeigen der enthaltenen Dienste klicken sie auf die Dienstegruppe proxy. Diese wir dann orange hinterlegt und unter Dienste in Gruppe können sie dann die dort verknüpften Dienste sehen.


Sollte der Dienst https-transparent noch nicht enthalten sein, tippen sie einfach in die Suchzeile im Bereich Alle Dienste: die Zeichenfolge https oder 2412 ein und fügen mit einem klick auf den UTM V115 PB.png Button in der entsprechenden Zeile den Dienst zu der Gruppe hinzu.



Abschließend schauen sie noch im Bereich Portfilter ob die entsprechende Regel vorhanden ist ...

UTMV115 PF Proxyregel.png

... und klicken auf UTMV11 PF RaktB.png