Wechseln zu:Navigation, Suche
Wiki
 
KKeine Bearbeitungszusammenfassung
 
Zeile 1: Zeile 1:
{{DISPLAYTITLE: HTTP-Proxy}}
<span class="bild2" style="width:auto; display: flex;">[[Datei:{{{1|}}}|hochkant={{{hochkant|2}}}|mini|{{{l|}}}]]</span>
 
Letze Anpassung zur Version: '''11.8'''
 
<p>Bemerkung: Artikelanpassung
'''Neu in Version 11.8:''' Mit dieser Version wird eine neue Funktion im HTTP-Proxy für die SSL-Interception eingeführt.
Es ist möglich die SSL-Interception auf Seiten zu beschränken, die vom Webfilter abgefangen wurden.</p>
 
<p>Vorherige Versionen: [[UTM/APP/HTTP_Proxy_11.7|11.7]]</p>
 
=== Einleitung===
<p>Der Proxy dient als Vermittler zwischen Internet und dem zu schützenden Netz. Die Clients stellen Ihre Anfragen an den Proxy und dieser reicht sie an den entsprechenden Servern weiter. Die tatsächliche Adresse des Clients bleibt dem Server verborgen.</p>
<p>Auf diesem Weg ist es möglich, den Datenverkehr auf Viren und ungewollte Inhalte zu überprüfen.</p>
 
==={{Reiter |Allgemein}}===
 
{{pt|UTM_v11-8_HTTP-Proxy_Allgemein.png | HTTP-Proxy - Allgemein }}{{Kasten | Allgemein}}<p></p>
 
{{Tabp | {{Beschriftung |Proxy Port}} | {{sw |8080}} gibt an, auf welchem Port der Proxy anzusprechen ist.}}
 
{{TabP | {{Beschriftung | IPv4 DNS lookups bevorzugen}} | Hier kann festgelegt werden, ob die Namensauflösung bevorzugt mit IPv4 IP Adressen geschehen soll.}}
 
{{TabP | {{Beschriftung |Ausgehende Adresse}} | Die ausgehende Adresse wird für 2 Szenarien benutzt.:}}
::::::::::*<span style="border-bottom: 1px dotted black;" title="Beispiel zum 1. Szenario:
&#10;
&#10;Der Proxy wird in diesem Beispiel an die schnellere DSL Leitung gebunden.
&#10;
&#10;eth0: ppp0 mit DSL 2000
&#10;
&#10;eth1: Internes Netz (Internes Interface hat die IP 192.168.175.1)
&#10;
&#10;eth2: ppp1 mit DSL 16000
&#10;
&#10;• Die IP des 'Internen Interface'  muss in das Feld für die ausgehende Adresse eingetragen werden.
&#10;• Speichern der Einstellungen.
&#10;• Unter 'Netzwerk / Netzwerk-Konfiguration / Routing' wird eine neue Route angelegt:
&#10;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;• Quelle: IP des Internen Interfaces
&#10;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;• Router: ppp1
&#10;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;• Ziel: 0.0.0.0/0
&#10;• Speichern der Route.
&#10;
&#10;Nun ist der Proxy an die 2. Internetverbindung gebunden. ">Wenn der Proxy an ein Interface gebunden werden soll.</span>
 
::::::::::* <span  style="border-bottom: 1px dotted black;" title="Beispiel zum 2. Szenario:
&#10;
&#10;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;• Die IP des 'Internen Interface' muss in das Feld für die ausgehende Adresse eingetragen werden.
&#10;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;• Speichern der Einstellungen.
&#10;
&#10;Verbindungen, die von der Firewall initiiert werden, benötigen keine Extraregeln.">Wenn über den Proxy ein Webserver im VPN-Netz erreicht werden wollen.</span><p></p>
<p>{{TabP | {{Beschriftung | Logging}} | Aktivieren, ob der HTTP Proxy generell mit geloggt werden soll und ob diese Daten auch für die Statistik genutzt werden sollen. {{MenuD |syslog & statistics}} }}</p>
 
<p>{{TabP | {{Beschriftung |Anfragen an den systemweiten<br>Parent-Proxy weiterleiten:}} |  Falls vor dem HTTP-Proxy noch ein weiterer Proxy benutzt wird, muss diese Funktion aktiviert werden. Die Konfiguration erfolgt unter [[UTM/NET/Proxy | {{Menu | Netzwerk→Servereinstellungen}} {{Reiter|Systemweiter Proxy}} ]] }}</p>
<p>{{TabP | {{Beschriftung |Authentifizierungsmethode}} | Der Proxy bietet verschiedene Möglichkeiten zur Authentifizierung. Die Möglichkeiten sind:}}</p>
<p>{{TabAA | {{MenuD|Keine}} |Der HTTP-Proxy verarbeitet ohne Authentifizierung alle Anfragen |155px}}
{{TabAA | {{MenuD|Basic}} |Bei einer Basic Authentifizierung werden die User auf der Firewall abgefragt.| 155px}}
{{TabAA | {{MenuD|NTLM / Kerberos}} <br>{{MenuD|Radius}} | Hier muss die Firewall den Server bekannt gemacht werden.<br> Dies kann im Webinterface unter {{Menu|→Authentifizierung→AD / LDAP bzw.→Radius -Authentifizierung}} eingerichtet werden. | 155px}}</p>
 
<p>{{KastenGrau | Authentifizierungsausnahmen}} Die angesurfte URLwird ohne vorherige Authentifizierung aufgerufen. [[UTM/APP/HTTP_Proxy-Authentifizierungsausnahmen|Beispiele]]</p>
 
==={{Reiter |Virenscanner}}===
{{pt| UTM_v11-8_HTTP-Proxy_Virenscanner.png| Virensacanner}}{{Kasten |Virenscanner-Einstelungen}}<p></p>
{{TabP | {{Beschriftung | Virenscanner:}} | aktivieren / deaktivieren | 16em| 6px}}
 
{{TabP | {{Beschriftung | Virenscanner-Typ: }}| Es kann zwischen zwei {{MenuD|Virenscannern}} gewählt werden.| 16em| 6px}}
:::::::::* Clam AntiVirus und
:::::::::* Cyren Scan Daemaon
 
{{TabP | {{Beschriftung | Größenbeschränkung<br>von geprüften Dateien: }} | {{sw|2}} Megabytes. Legt fest, wie groß die Dateien sein dürfen, die vom Virenscanner überprüft werden sollen. | 16em| 6px}}
{{TabP | {{Beschriftung | Trickle Time:}} | {{sw|5}} Sekunden. Intervall in dem Daten vom Proxy an den Browser übergeben werden, damit während der Virenprüfung der Browser das Laden nicht abbricht. | 16em| 6px}}
{{TabP | {{Beschriftung | Whitelist ICY-Protokoll:}} | {{ButtonAus |Aus}} Ein Webradio-Protokoll das hier von der Prüfung ausgenommen werden kann | 16em| 6px}}
{{TabP | {{Beschriftung | Whitelist:}} | {{ButtonAn |Ein}} Damit werden die folgenden Whitelists aktiviert oder  deaktiviert. <br>Die Blocklist ist immer aktiviert! | 16em| 6px}}
<br><br>
{{KastenGrau |Mime-Type-Blocklist}}
<p>Hier aufgeführte Mime-Typen werden in jedem Falle geblockt.<br>Hinzufügen neuer Einträge mit {{Button|+ MIME Type}}</p>
 
{{KastenGrau |Mime-Type-Whitelist}}
Hier aufgeführte Mime-Typen werden nicht gescannt !
Standard-Vorgabe
:::::::::* audio/*
:::::::::* image/*
:::::::::* video/*
 
{{KastenGrau|Webseiten-Whitelist}}
 
Hier ist es möglich eigene Filter aufgrund von [[UTM/APP/Regex | Regular Expressions (Regex)]] zu erstellen.
{{Warnung | Viren von diesen Seiten werden nicht erkannt ! }}
 
Einige Update-Server, die unter Verwendung eines Virenscanners Probleme bereiten, sind bereits vorkonfiguriert.
 
<br clear=all>
 
==={{Reiter|Bandbreite}}===
 
{{pt | UTM_v11-8_HTTP-Proxy_Bandbreite.png|Bandbreite}} {{Kasten|Bandbreiten-Einstellungen}}
<p></p>
{{ Beschriftung |Bandbreitenbegrenzung-Policy:}} Auswahl von:
* {{MenuD |None}} Die Bandbreite wird nicht begrenzt.<p>
* {{MenuD |Gesamte Bandbreite begrenzen}} Der Proxy verwendet in diesem Fall nur die angegebene maximale Bandbreite und lässt den Rest der Bandbreite von Ihrer Internetverbindung unberührt. (Diese Bandbreite teilen sich alle ''Hosts'' die mit dem ''Proxy'' verbunden sind.)</p>
* {{MenuD |Bandbreite per Host begrenzen}} Bandbreite für jeden einzelnen Host. Die limitierte Bandbreite für Hosts kann nicht die globale Bandbreite übersteigen. <p></p>
 
<p>{{Kasten|Bandbreitenbegrenzung}}</p>
<p>{{Beschriftung |Globale Bandbreite:}} {{sw | 2.000.000}} kbit/s</p>
<p>{{Beschriftung |Bandbreite per host:}} {{sw | 64.000}} kbit/s</p>
 
<br clear=all>
 
==={{Reiter|App Blocking}}===
{{pt | UTM_v11-8_HTTP-Proxy_App-Blocking.png | App Blocking}}{{KastenGrau|Anwendung zulassen / blockieren}}
Hier gibt es die Möglichkeit Anwendungen gezielt zu blocken. Dieses geschieht einfach per Aktivierung Markierung der unerwünschten Anwendung.
Weitere, noch umfangreichere Möglichkeiten des Blocking gibt es unter [[UTM/APP/Webfilter | {{Menu|→Anwendungen→Webfilter}} ]]
<p>Aktiviert bzw. deaktiviert werden können hier folgende Anwendungen:</p>
* Instant Massenger (Andere IMs)
* AOL
* ICQ
* Netviewer
* Skype
* Teamviewer
* Trillian
* Webradio
* Yahoo
 
<br clear=all>
 
==={{Reiter|SSL-Interception}}===
{{pt | UTM_v11-8_HTTP-Proxy_SSL-Interception.png | SSL-Interception}}Mit dem Feature SSL-Interception ist es möglich, Schadcode in SSL-verschlüsselten Datenströmen bereits am Gateway zu erkennen. Es unterbricht die verschlüsselten Verbindungen und macht die Datenpakete für Virenscanner und andere Filter sichtbar.
Die Datenübertragung zum Client erfolgt dann wieder verschlüsselt. Dazu ist es allerdings notwendig, ein Zertifikat zu erstellen und dieses im Feld Zertifikat auszuwählen.<p></p>
 
{{Kasten| SSL-Interception}}
<p></p>
{{TabP |{{Beschriftung |SSL-Interception:}} |{{ButtonAus |Aus}} Aktivierung bzw. Deaktivierung der SSL-Interception.| 160px| 6px}}
{{TabP |{{Beschriftung |Webfilter basiert:}} |'''Neu in 11.8''' Aktivieren Sie diese Funktion, falls lediglich vom Webfilter blockierte Verbindungen abgefangen werden sollen.<br> Dadurch wird das Problem umgangen, daß es Seiten gibt, die ein Unterbrechen der Verschlüsselung nicht tolerieren (z.B. Banking-Software), ohne das man dafür extra eine Ausnahme definieren muss.| 160px| 6px}}
{{TabP |{{Beschriftung |Zertifikat:}} |Hier muss eine CA ausgewählt werden, die die Verbindung nach dem entschlüsseln (und scannen) wieder verschlüsselt kann.<br>Eine Anleitung zum Erstellen von CAs gibt es [[UTM/AUTH/Zertifikate|hier]].<br>Der Public-KEy der CA muss auf allen Client Rechnern, die SSL-Interception nutzen sollen, installiert werden. Herunterladen kann hier direkt mit {{ButtonD|Public-Key herunterladen}} erfolgen.| 160px| 6px}}
{{TabP |{{Beschriftung |Zertifikatsverifizierung:}} |{{ButtonAus|Aus}} {{r|Sollte unbedingt aktiviert werden!}} Damit überprüft der HTTP-Proxy, ob das Zertifikat der aufgerufenen Seite vertrauenswürdig ist. Da der Browser nur noch das lokale Zertifikat sieht, ist eine überprüfung durch den Browser nicht mehr möglich.| 160px| 6px}}
<br>
<p>{{KastenGrau|Ausnahmen für SSL-Interception}} {{ButtonAus|Aus}}</p>
<p>Es besteht die Möglichkeit, anhand von [[UTM/APP/Regex | Regular Expressions,]] Ausnahmen zu definieren. Da hier aber nur https ankommen kann, wird hier, anders als bei dem Virenscanner,  nicht auf Protokolle gefiltert. Mit {{Button|+ Regex}} werden neue <span style="border-bottom: 1px dotted black;" title="Eine Ausnahme für www.securepoint.de würde also lauten:&#10;.*\.securepoint\.de">Ausnahmen</span> hinzu gefügt.</p>
<br>
<p>{{KastenGrau|Ausnahmen für Zertifikatsverifizierung}} {{ButtonAus|Aus}}</p>
Hier können ausnahmen für die Zertifikatsverifizierung im Regex-Format hinzugefügt werden.
 
<br clear=all>
 
==={{Reiter|Transparenter Modus}}===
{{KastenGrau|Transparenter Modus}} {{ButtonAus|Aus}}
 
[[Datei:UTMV11_HTTPP_TM.png|600px|thumb|center]]
<p>Durch den transparenten Modus ist der Proxy für die Clients nicht sichtbar, der Client sieht seine Internetverbindung (HTTP) als ob kein Proxy davor geschaltet wäre. Dennoch geht der gesamte HTTP Stream über den Proxy, wodurch keine Einstellungen auf dem Client vorgenommen werden müssen.  Dabei gibt es  aber die gleichen Möglichkeiten, den Datenstrom zu analysieren / blocken / filtern / manipulieren, als ob ein fest eingetragener Proxy benutzt würde.
</p>
 
 
 
<h4> <span class="mw-headline" id="Netzwerkobjektgruppen_zuweisen"> Netzwerkobjektgruppen zuweisen </span></h4>
<p>In der Version 11 ist es nun möglich, dem transparenten Modus selbst definierte Netzwerkobjektgruppen zuzuweisen.
Dazu legen Sie unter Firewall → Portfilter im Bereich Netzwerkobjekte entsprechende Netzwerkgruppen an und weisen diesen die entsprechenden Netzwerkobjekte zu. Das geschieht entweder beim Anlegen neuer Netzwerkobjekte oder bei bestehenden mit dem Markieren der Gruppe per Mausklick auf den Gruppennamen. Wenn das Feld Orange hinterlegt ist, wählen Sie ein Netzwerkobjekt aus und klicken auf das „+“ in der Zeile des Netzwerkobjektes. Nun erscheint dieses Objekt in dem Fensterteil „Netzwerkobjekte in der Gruppe“.
</p><p>Anschließend kann definiert werden, ob diese Gruppe den transparenten Modus des http-Proxy nutzen soll oder davon ausgenommen wird.
[[Datei:UTMV11_HTTPP_TMRegel.png|400px|thumb|center]]
</p>

Version vom 25. November 2019, 14:50 Uhr

[[Datei:|hochkant=2|mini|]]