Wechseln zu:Navigation, Suche
Wiki
(Die Seite wurde neu angelegt: „Kategorie:UTMv115 {{lowercase title}} {{v11}} ==Transparenter Proxy mit HTTPS== Seit der Version 11.5 ist es möglich auch Webseiten über eine SSL-Ver…“)
 
(16 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
[[Kategorie:UTMv115]]
{{DISPLAYTITLE:HTTP-Proxy Transparenter Modus}}
{{lowercase title}}
{{v11}}


== Informationen ==
Letze Anpassung zur Version: '''11.7'''
<br>
Bemerkung: Artikelanpassung
<br>
Vorherige Versionen: -
<br>
==Transparenter Proxy mit HTTPS==
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-red.png]] </div>
<div style="display: flex;"><span style="background-color: #bc1b18;padding:10px;border-radius:4px;font-weight:bold;color:white">Bitte Beachten, dass die Regex-Ausnahmen nicht für den transparenten Modus gelten.</span></div>
</div>
<div style="clear: both;"></div>


==Transparenter Proxy mit HTTPS==


Seit der Version 11.5 ist es möglich auch Webseiten über eine SSL-Verschlüsselte Verbindung über den transparenten Proxy der UTM zu leiten.
Seit der Version 11.5 ist es möglich auch Webseiten über eine SSL-Verschlüsselte Verbindung über den transparenten Proxy der UTM zu leiten.
Zeile 11: Zeile 21:
Um auch SSL-Verschlüsselte Verbindungen auf Viren und Schadsoftware überprüfen zu können, muss sich der Proxy als Client gegenüber dem Webserver im Internet ausgeben, so dass die Daten schon auf der Firewall entschlüsselt werden können.
Um auch SSL-Verschlüsselte Verbindungen auf Viren und Schadsoftware überprüfen zu können, muss sich der Proxy als Client gegenüber dem Webserver im Internet ausgeben, so dass die Daten schon auf der Firewall entschlüsselt werden können.
Diese sollen anschließend natürlich wieder verschlüsselt an den eigentlichen Client im internen Netzwerk weitergeleitet werden.
Diese sollen anschließend natürlich wieder verschlüsselt an den eigentlichen Client im internen Netzwerk weitergeleitet werden.
Um dieses zu erreichen wird das feature SSL-Interception genutzt.
Um dieses zu erreichen wird das Feature SSL-Interception genutzt.


===Zertifikat===
===Zertifikat===
[[Datei:UTMV11_CRT_ZertCA.png|250px|thumb|right|Zertifikate]]
[[Datei:UTMV11_CRT_ZertCA.png|250px|thumb|right|Zertifikate]]
Da Sie für die SSL-Verschlüsselte Übertragung zum Client ein Zertifikat benötigen, erstellen sie dieses zuerst.<br>
Da die SSL-Verschlüsselte Übertragung zum Client ein Zertifikat benötigt, wird dieses zunächst erstellt.




Zeile 30: Zeile 40:


[[Datei:UTMV11_CRT_CAerst.png|150px|thumb|right|CA erstellen]]
[[Datei:UTMV11_CRT_CAerst.png|150px|thumb|right|CA erstellen]]
Dazu wählen sie unter <i>Authentifizierung</i> das Menü <i>Zertifikate</i>. Da wir ein CA (Certificate Authority) für die verschlüsselte Übertragung benötigen, klicken sie im Bereich CA auf [[Datei:UTMV11_CRT_CAhinzB.png|80px]]
Dazu wird unter ''Authentifizierung'' das Menü ''Zertifikate'' gewählt. Für die Verschlüsselte Übertragung wird ein CA (Certificate Authority) benötig welches im Bereich CA mit dem Button [[Datei:UTMV11_CRT_CAhinzB.png|80px]] neu angelegt wird.


Tragen sie einen Namen für das CA ein, definieren sie die Schlüssellänge (1024 ist normalerweise ausreichend) und die Gültigkeitsdauer (bitte nicht länger als 2037), tragen sie die restlichen Daten ein und klicken abschließend auf [[Datei:UTM11_AI_SaveB.png|60px]]
Das CA bekommt einen eindeutigen Namen, die Schlüssellänge (1024 ist normalerweise ausreichend) und die Gültigkeitsdauer (bitte nicht länger als 2037) werden definiert und die restlichen Daten werden eingetragen. Abschließend ein Klick auf [[Datei:UTM11_AI_SaveB.png|60px]]




Zeile 40: Zeile 50:


===SSL-Interception===
===SSL-Interception===
[[Datei:UTMV11_SI_SInterc.png|250px|thumb|right|SSL-Interception]]
[[Datei:UTM115_AI_HPSSLIncept.png|250px|thumb|right|SSL-Interception]]


Wechseln Sie nun unter <i>Anwendungen</i> in das Menü <i>HTTP-Proxy</i> und dort in den Bereich <i>SSL-Interception</i>.
Unter ''Anwendungen'' im Menü ''HTTP-Proxy'' befindet sich der Bereich ''SSL-Interception''.


Damit die Browser der Clients diese Verbindung auch akzeptieren, muss das CA jedem Browser bekannt gemacht werden.<br>
Damit die Browser der Clients diese Verbindung auch akzeptieren, muss das CA jedem Browser bekannt gemacht werden.<br>
Dazu laden Sie sich dieses über den Button [[Datei:UTMV11_SI_PKdladenB.png|140px]] herunter.<br>
Dazu wird der öffentliche Teil des CA über den Button [[Datei:UTMV11_SI_PKdladenB.png|140px]] heruntergeladen.<br>
Entweder loggen sie sich von jedem Client auf der UTM ein und speichern dort das CA oder sie speichern dieses auf einem USB-Stick oder einem Netzwerkspeicher und fügen über diesen Weg dem Browser das Zertifikat hinzu.
Entweder dadurch, dass sich von jedem einzelnen Client auf der UTM einloggen um auf diesen das CA zu speichern oder es wird einmal heruntergeladen und auf einem USB-Stick oder einem Netzwerkspeicher abgelegt. Anschließend wird über diesen Weg dem Browser das Zertifikat hinzugefügt.




Zeile 56: Zeile 66:
[[Datei:Cl_Chrome_ZMZsWv.png|250px|thumb|right|Zertifikat für Websites]]
[[Datei:Cl_Chrome_ZMZsWv.png|250px|thumb|right|Zertifikat für Websites]]
[[Datei:Cl_Chrome_ZMZsmCA.png|250px|thumb|right|Zertifizierungsstellen mit CA]]
[[Datei:Cl_Chrome_ZMZsmCA.png|250px|thumb|right|Zertifizierungsstellen mit CA]]
1. Wechseln sie im Browser in die Einstellungen und rufen sie die Zertifikatsverwaltung auf<br>
1. In den Einstellungen des Browser befindet sich die Zertifikatsverwaltung




Zeile 67: Zeile 77:




2. Wechseln sie im Zertifikat-Manager auf Zertifizierungsstellen und dort auf <i>Importieren</i><br>
2. Im Zertifikat-Manager unter Zertifizierungsstellen wird das CA Importiert




Zeile 75: Zeile 85:




3. Wählen sie das heruntergeladene CA aus dem entsprechenden Verzeichnis aus<br>
3. Das heruntergeladene CA wird aus dem entsprechenden Verzeichnis ausgewählt




Zeile 83: Zeile 93:




4. Bei der Frage ob sie dem CA als Zertifizierungsstelle vertrauen, markieren sie die Zeile "Diesem Zertifikat zur Identifizierung von Websites vertrauen"<br>
4. Bei der Frage ob dem CA als Zertifizierungsstelle vertraut werden soll, wird die Zeile "Diesem Zertifikat zur Identifizierung von Websites vertrauen" markiert




Zeile 91: Zeile 101:




5. Klicken sie auf <i>OK</i>
5. Abschließend auf ''OK'' klicken.




Zeile 109: Zeile 119:


===Transparenten Proxy für HTTPS einrichten===
===Transparenten Proxy für HTTPS einrichten===
[[Datei:UTMV11_HTTPP_TM.png|250px|thumb|right|Transparenter Modus]]
[[Datei:UTM115_HP_TM.png|250px|thumb|right|Transparenter Modus]]
Wählen sie unter <i>Anwendungen</i> den Menüpunkt <i>HTTP-Proxy</i> und dort den Bereich <i>Transparenter Modus</i>.
Unter ''Anwendungen'' befindet sich der Menüpunkt ''HTTP-Proxy'' und dort der Bereich ''Transparenter Modus''.




In der Standard Einstellung ist der transparente Modus für das HTTP Protokoll über Port 80 schon aktiviert. Um diesen auch für das HTTPS Protokoll und Port 443 einzurichten, klicken sie auf [[Datei:UTMV11_HTTPP_TRhinzB.png|150px]]  
In der Standard Einstellung ist der transparente Modus für das HTTP Protokoll über Port 80 schon aktiviert. Um diesen auch für das HTTPS Protokoll und Port 443 einzurichten, wird durch einen klicken auf [[Datei:UTMV11_HTTPP_TRhinzB.png|150px]] eine weitere Regel hinzugefügt.




Zeile 121: Zeile 131:




[[Datei:UTMV11_HTTPP_TMRHTTPS.png|250px|thumb|right|HTTPS Regel]]
[[Datei:UTM115_HP_TMRhttps.png|250px|thumb|right|HTTPS Regel]]
Wählen sie unter Protokoll: den Eintrag <i>HTTPS</i> und als Typ: <i>INCLUDE</i>.<br>
Unter Protokoll wird der Eintrag ''HTTPS'' und als Typ ''INCLUDE'' ausgewählt.<br>
Als Quelle wählen sie das Netzwerk aus dem die Anfragen kommen, z.B. <i>internal-network</i> und als Ziel das Netzwerk in dem die Webserver stehen die angesprochen werden sollen, in unserem Fall <i>internet</i>.
Als Quelle muss das Netzwerk aus dem die Anfragen kommen, z.B. ''internal-network'', und als Ziel das Netzwerk in dem die Webserver stehen die angesprochen werden sollen gewählt werden, in unserem Fall ''internet''.


Klicken sie auf [[Datei:UTM11_AI_SaveB.png|60px]] um die Regel zu speichern und nochmal auf [[Datei:UTM11_AI_SaveB.png|60px]] im HTTP-Proxy Fenster um die Regeln zu aktualisieren.
Ein Klick auf [[Datei:UTM11_AI_SaveB.png|60px]] speichert die neue Regel und ein weiterer auf [[Datei:UTM11_AI_SaveB.png|60px]] im HTTP-Proxy Fenster sorgt für eine Aktualisierung der Regeln.




===Portfilterregeln===
===Portfilterregeln===


Da sowohl HTTP mit Port 80 als auch HTTPS mit Port 443 über den Proxy zwangsumgeleitet werden sollen, müssen sie dafür sorgen, dass die folgenden Dienste in der Dienstegruppe <i>proxy</i> mit enthalten sind:
Da sowohl HTTP mit Port 80 als auch HTTPS mit Port 443 über den Proxy zwangsumgeleitet werden, muss lediglich dafür gesorgt werden, dass die Namensauflösung erfolgen kann. Sofern die UTM als Nameserver bei den Clients eingetragen ist wird also eine Regel benötigt die DNS aus dem privaten Netzwerk auf die dazugehörige Netzwerkschnittstelle erlaubt.
 
{| WIDTH=350
!style="background:#FFCBCB" WIDTH=130|Name !!style="background:#FFCBCB" WIDTH=100|Protokoll !!style="background:#FFCBCB"|Zielport
|-
|http-transparent ||tcp || 2411
|-
|https-transparent ||tcp || 2412
|}
 
 
[[Datei:UTMV11_PF_Dienste.png|250px|thumb|right|https-transparent Dienst]]
Diese Dienstegruppe finden sie unter <i>Firewall</i> > <i>Portfilter</i> im Bereich Dienste. Zum Anzeigen der enthaltenen Dienste klicken sie auf die Dienstegruppe <i>proxy</i>. Diese wir dann orange hinterlegt und unter <i>Dienste in Gruppe</i> können sie dann die dort verknüpften Dienste sehen.
 
 
Sollte der Dienst <i>https-transparent</i> noch nicht enthalten sein, tippen sie einfach in die Suchzeile im Bereich <i>Alle Dienste:</i> die Zeichenfolge <i>https</i> oder <i>2412</i> ein und fügen mit einem klick auf den [[Datei:UTMV11_HTTPP_PlusB.png|25px]] Button in der entsprechenden Zeile den Dienst zu der Gruppe hinzu.
 
 


In der Werkseinstellung existiert schon eine entsprechende Regel mit der Dienstegruppe ''Proxy''. Diese enthält auch den Nameserver Port 53 für UDP und TCP.


Abschließend sollte also noch im Bereich ''Portfilter'' überprüft werden, ob die entsprechende Regel vorhanden ist.<br>


Abschließend schauen sie noch im Bereich <i>Portfilter</i> ob die entsprechende Regel vorhanden ist ...<br>
[[Datei:UTMV115_PF_Proxyregel.png|800px]]
[[Datei:UTMV115_PF_Proxyregel.png|800px]]


... und klicken auf [[Datei:UTMV11_PF_RaktB.png|120px]]
===Beispiele für Ausnahmen für Windows-Updateserver===
Weitere Beispiele zur Einrichtung der SSL-Interception, Authentifizierungsausnahmen, Virenscanner und Webfilter bezüglich Windows Updates gibt es im Knowledge Base Artikel [[KB_UTMV11_Windows_Updates_mit_HTTP-Proxy | Windows Updates mit HTTP-Proxy und Webfilter]]

Version vom 10. Juli 2017, 09:23 Uhr


Informationen

Letze Anpassung zur Version: 11.7
Bemerkung: Artikelanpassung
Vorherige Versionen: -

Transparenter Proxy mit HTTPS

Alert-red.png
Bitte Beachten, dass die Regex-Ausnahmen nicht für den transparenten Modus gelten.


Seit der Version 11.5 ist es möglich auch Webseiten über eine SSL-Verschlüsselte Verbindung über den transparenten Proxy der UTM zu leiten. Der transparente Proxy sorgt dafür, dass Webseiten aufrufe auch ohne Einstellungen im Browser über den HTTP-Proxy geleitet werden, sodass der Virenscanner und der Webfilter auf diese Verbindungen angewendet werden können.

Um auch SSL-Verschlüsselte Verbindungen auf Viren und Schadsoftware überprüfen zu können, muss sich der Proxy als Client gegenüber dem Webserver im Internet ausgeben, so dass die Daten schon auf der Firewall entschlüsselt werden können. Diese sollen anschließend natürlich wieder verschlüsselt an den eigentlichen Client im internen Netzwerk weitergeleitet werden. Um dieses zu erreichen wird das Feature SSL-Interception genutzt.

Zertifikat

Zertifikate

Da die SSL-Verschlüsselte Übertragung zum Client ein Zertifikat benötigt, wird dieses zunächst erstellt.







CA erstellen

Dazu wird unter Authentifizierung das Menü Zertifikate gewählt. Für die Verschlüsselte Übertragung wird ein CA (Certificate Authority) benötig welches im Bereich CA mit dem Button UTMV11 CRT CAhinzB.png neu angelegt wird.

Das CA bekommt einen eindeutigen Namen, die Schlüssellänge (1024 ist normalerweise ausreichend) und die Gültigkeitsdauer (bitte nicht länger als 2037) werden definiert und die restlichen Daten werden eingetragen. Abschließend ein Klick auf UTM11 AI SaveB.png




SSL-Interception

SSL-Interception

Unter Anwendungen im Menü HTTP-Proxy befindet sich der Bereich SSL-Interception.

Damit die Browser der Clients diese Verbindung auch akzeptieren, muss das CA jedem Browser bekannt gemacht werden.
Dazu wird der öffentliche Teil des CA über den Button UTMV11 SI PKdladenB.png heruntergeladen.
Entweder dadurch, dass sich von jedem einzelnen Client auf der UTM einloggen um auf diesen das CA zu speichern oder es wird einmal heruntergeladen und auf einem USB-Stick oder einem Netzwerkspeicher abgelegt. Anschließend wird über diesen Weg dem Browser das Zertifikat hinzugefügt.



Zertifikat dem Browser hinzufügen

Zertifikatsverwaltung
Zertifizierungsstellen
Zertifikat für Websites
Zertifizierungsstellen mit CA

1. In den Einstellungen des Browser befindet sich die Zertifikatsverwaltung






2. Im Zertifikat-Manager unter Zertifizierungsstellen wird das CA Importiert




3. Das heruntergeladene CA wird aus dem entsprechenden Verzeichnis ausgewählt




4. Bei der Frage ob dem CA als Zertifizierungsstelle vertraut werden soll, wird die Zeile "Diesem Zertifikat zur Identifizierung von Websites vertrauen" markiert




5. Abschließend auf OK klicken.









Transparenten Proxy für HTTPS einrichten

Transparenter Modus

Unter Anwendungen befindet sich der Menüpunkt HTTP-Proxy und dort der Bereich Transparenter Modus.


In der Standard Einstellung ist der transparente Modus für das HTTP Protokoll über Port 80 schon aktiviert. Um diesen auch für das HTTPS Protokoll und Port 443 einzurichten, wird durch einen klicken auf UTMV11 HTTPP TRhinzB.png eine weitere Regel hinzugefügt.




HTTPS Regel

Unter Protokoll wird der Eintrag HTTPS und als Typ INCLUDE ausgewählt.
Als Quelle muss das Netzwerk aus dem die Anfragen kommen, z.B. internal-network, und als Ziel das Netzwerk in dem die Webserver stehen die angesprochen werden sollen gewählt werden, in unserem Fall internet.

Ein Klick auf UTM11 AI SaveB.png speichert die neue Regel und ein weiterer auf UTM11 AI SaveB.png im HTTP-Proxy Fenster sorgt für eine Aktualisierung der Regeln.


Portfilterregeln

Da sowohl HTTP mit Port 80 als auch HTTPS mit Port 443 über den Proxy zwangsumgeleitet werden, muss lediglich dafür gesorgt werden, dass die Namensauflösung erfolgen kann. Sofern die UTM als Nameserver bei den Clients eingetragen ist wird also eine Regel benötigt die DNS aus dem privaten Netzwerk auf die dazugehörige Netzwerkschnittstelle erlaubt.

In der Werkseinstellung existiert schon eine entsprechende Regel mit der Dienstegruppe Proxy. Diese enthält auch den Nameserver Port 53 für UDP und TCP.

Abschließend sollte also noch im Bereich Portfilter überprüft werden, ob die entsprechende Regel vorhanden ist.

UTMV115 PF Proxyregel.png

Beispiele für Ausnahmen für Windows-Updateserver

Weitere Beispiele zur Einrichtung der SSL-Interception, Authentifizierungsausnahmen, Virenscanner und Webfilter bezüglich Windows Updates gibt es im Knowledge Base Artikel Windows Updates mit HTTP-Proxy und Webfilter