Wechseln zu:Navigation, Suche
Wiki

UTM/APP/HTTP Proxy v11.8: Unterschied zwischen den Versionen

Aus Securepoint Wiki
(Die Seite wurde neu angelegt: „{{DISPLAYTITLE: HTTP-Proxy}} Letze Anpassung zur Version: '''11.8''' <p>Bemerkung: Artikelanpassung '''Neu in Version 11.8:''' Mit dieser Version wird eine…“)
 
KKeine Bearbeitungszusammenfassung
 
(65 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
{{DISPLAYTITLE: HTTP-Proxy}}
{{Archivhinweis|UTM/APP/HTTP Proxy}}
{{Set_lang}}


Letze Anpassung zur Version: '''11.8'''
{{#vardefine:headerIcon|spicon-utm}}


<p>Bemerkung: Artikelanpassung
'''Neu in Version 11.8:''' Mit dieser Version wird eine neue Funktion im HTTP-Proxy für die SSL-Interception eingeführt.
Es ist möglich die SSL-Interception auf Seiten zu beschränken, die vom Webfilter abgefangen wurden.</p>


<p>Vorherige Versionen: [[UTM/APP/HTTP_Proxy_11.7|11.7]]</p>
</div>{{DISPLAYTITLE: HTTP-Proxy}}{{TOC2}}


===Einleitung===
<p>Letzte Anpassung zur Version: '''11.8''' </p>
 
{{cl | {{#var:neu}} |
* {{ Hinweis |Neu in Version 11.8:<br>| 11.8 }}Mit dieser Version wird eine neue Funktion im HTTP-Proxy für die SSL-Interception eingeführt:<br>Es ist möglich die SSL-Interception auf Seiten zu beschränken, die vom Webfilter abgefangen wurden.}}<br>
 
<p>Vorherige Versionen: [[UTM/APP/HTTP_Proxy_11.7| '''11.7''' ]]</p>
----
=== Einleitung===
<p>Der Proxy dient als Vermittler zwischen Internet und dem zu schützenden Netz. Die Clients stellen Ihre Anfragen an den Proxy und dieser reicht sie an den entsprechenden Servern weiter. Die tatsächliche Adresse des Clients bleibt dem Server verborgen.</p>
<p>Der Proxy dient als Vermittler zwischen Internet und dem zu schützenden Netz. Die Clients stellen Ihre Anfragen an den Proxy und dieser reicht sie an den entsprechenden Servern weiter. Die tatsächliche Adresse des Clients bleibt dem Server verborgen.</p>
<p>Auf diesem Weg ist es möglich, den Datenverkehr auf Viren und ungewollte Inhalte zu überprüfen.</p>
<p>Auf diesem Weg ist es möglich, den Datenverkehr auf Viren und ungewollte Inhalte zu überprüfen.</p>


===Allgemein===
{{pt|UTM_v11-8_HTTP-Proxy_Allgemein.png | HTTP-Proxy - Allgemein }}{{Reiter | Allgemein}}


{{Kasten | Allgemein}}
<br>
====Proxy Port====
==={{Reiter |Allgemein}}===
{{Tabp | {{Beschriftung |Proxy Port}} }} {{sw |8080}} gibt an, auf welchem Port der Proxy anzusprechen ist.
 
{{pt|UTM_v11-8_HTTP-Proxy_Allgemein.png | HTTP-Proxy - Allgemein }}{{Kasten | Allgemein}}<p></p>
 
{{Tabp |{{Beschriftung |Proxy Port}} | {{sw |8080}} gibt an, auf welchem Port der Proxy anzusprechen ist.}}
 
{{TabP | {{Beschriftung | IPv4 DNS lookups bevorzugen}} | Hier kann festgelegt werden, ob die Namensauflösung bevorzugt mit IPv4 IP Adressen geschehen soll.}}
 
{{TabP | {{Beschriftung |Ausgehende Adresse}} | Die ausgehende Adresse wird für 2 Szenarien benutzt.:}}
::::::::::*<span  style="border-bottom: 1px dotted black;" title="Beispiel zum 1. Szenario:
&#10;
&#10;Der Proxy wird in diesem Beispiel an die schnellere DSL Leitung gebunden.
&#10;
&#10;eth0: ppp0 mit DSL 2000
&#10;
&#10;eth1: Internes Netz (Internes Interface hat die IP 192.168.175.1)
&#10;
&#10;eth2: ppp1 mit DSL 16000
&#10;
&#10;• Die IP des 'Internen Interface'  muss in das Feld für die ausgehende Adresse eingetragen werden.
&#10;• Speichern der Einstellungen.
&#10;• Unter 'Netzwerk / Netzwerk-Konfiguration / Routing' wird eine neue Route angelegt:
&#10;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;• Quelle: IP des Internen Interfaces
&#10;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;• Router: ppp1
&#10;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;• Ziel: 0.0.0.0/0
&#10;• Speichern der Route.
&#10;
&#10;Nun ist der Proxy an die 2. Internetverbindung gebunden. ">Wenn der Proxy an ein Interface gebunden werden soll.</span>
 
::::::::::* <span  style="border-bottom: 1px dotted black;" title="Beispiel zum 2. Szenario:
&#10;
&#10;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;• Die IP des 'Internen Interface' muss in das Feld für die ausgehende Adresse eingetragen werden.
&#10;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;• Speichern der Einstellungen.
&#10;
&#10;Verbindungen, die von der Firewall initiiert werden, benötigen keine Extraregeln.">Wenn über den Proxy ein Webserver im VPN-Netz erreicht werden wollen.</span><p></p>
<p>{{TabP | {{Beschriftung | Logging}} | Auswahl, wie bzw. ob der HTTP Proxy generell mit geloggt werden soll und ob diese Daten auch für die Statistik genutzt werden sollen. {{MenuD |syslog & statistics}} }}</p>
 
<p>{{TabP | {{Beschriftung |Anfragen an den systemweiten<br>Parent-Proxy weiterleiten:}} |  Falls vor dem HTTP-Proxy noch ein weiterer Proxy benutzt wird, muss diese Funktion aktiviert werden. Die Konfiguration erfolgt unter [[UTM/NET/Proxy | {{Menu | Netzwerk | Servereinstellungen}} {{Reiter|Systemweiter Proxy}} ]] }}</p>
<p>{{TabP | {{Beschriftung |Authentifizierungsmethode}} | Der Proxy bietet verschiedene Möglichkeiten zur Authentifizierung. Die Möglichkeiten sind:}}</p>
<p>{{TabAA | {{MenuD|Keine}} |Der HTTP-Proxy verarbeitet ohne Authentifizierung alle Anfragen |155px}}
{{TabAA | {{MenuD|Basic}} |Bei einer Basic Authentifizierung werden die User auf der Firewall abgefragt.| 155px}}
{{TabAA | {{MenuD|NTLM / Kerberos}} <br>{{MenuD | Radius}} | Hier muss die Firewall dem Server bekannt gemacht werden.<br> Dies kann im Webinterface unter {{Menu| Authentifizierung | AD / LDAP bzw. | Radius-Authentifizierung}} eingerichtet werden. | 155px}}</p>
 
<p>{{KastenGrau | Authentifizierungsausnahmen}} Die angesurfte URLwird ohne vorherige Authentifizierung aufgerufen. [[UTM/APP/HTTP_Proxy-Authentifizierungsausnahmen|Beispiele]]</p>
 
<br><br>
 
==={{Reiter |Virenscanner}}===
{{pt| UTM_v11-8_HTTP-Proxy_Virenscanner.png| Virensacanner}}{{Kasten | Virenscanner-Einstelungen}}<p></p>
{{TabP | {{Beschriftung | Virenscanner:}} | aktivieren / deaktivieren | 16em| 6px}}
 
{{TabP | {{Beschriftung | Virenscanner-Typ: }}| Es kann zwischen zwei {{MenuD | Virenscannern}} gewählt werden.| 16em| 6px}}
::::::::::* Clam AntiVirus und
::::::::::* Cyren Scan Daemaon
 
{{TabP | {{Beschriftung | Größenbeschränkung<br>von geprüften Dateien: }} | {{sw|2}} Megabytes. Legt fest, wie groß die Dateien sein dürfen, die vom Virenscanner überprüft werden sollen. | 16em| 6px}}
{{TabP | {{Beschriftung | Trickle Time:}} | {{sw|5}} Sekunden. Intervall, in dem Daten vom Proxy an den Browser übergeben werden, damit während der Virenprüfung der Browser das Laden nicht abbricht. | 16em| 6px}}
{{TabP | {{Beschriftung |  Whitelist ICY-Protokoll:}} | {{ButtonAus |Aus}} Ein Webradio-Protokoll das hier von der Prüfung ausgenommen werden kann | 16em| 6px}}
{{TabP | {{Beschriftung | Whitelist:}} | {{ButtonAn |Ein}} Damit werden die folgenden Whitelists aktiviert oder  deaktiviert. <br>{{ Hinweis | !}}Die Blocklist ist immer aktiviert! | 16em| 6px}}
<br><br>
{{KastenGrau |Mime-Type-Blocklist}}
<p>Hier aufgeführte Mime-Typen werden in jedem Falle geblockt.<br>Hinzufügen neuer Einträge mit {{Button|+ MIME Type}}</p>
 
{{KastenGrau |Mime-Type-Whitelist}}
Hier aufgeführte Mime-Typen werden nicht gescannt !
Standard-Vorgabe
:::::::::* audio/*
:::::::::* image/*
:::::::::* video/*
 
{{KastenGrau|Webseiten-Whitelist}}
 
Hier ist es möglich eigene Filter aufgrund von [[UTM/APP/Regex | Regular Expressions (Regex)]] zu erstellen.
{{ Hinweis | ! Viren von diesen Seiten werden nicht erkannt ! }}
 
<p>Einige Update-Server, die unter Verwendung eines Virenscanners Probleme bereiten, sind bereits vorkonfiguriert.</p>
 
<p>Hinweis: Damit iTunes korrekt mit dem Internet kommunizieren kann, sind [[UTM/APP/HTTP_Proxy-ITunes | weitere Ausnahmen]] notwendig.</p>
 
<br clear=all>
<br><br>
 
==={{Reiter|Bandbreite}}===
 
{{pt | UTM_v11-8_HTTP-Proxy_Bandbreite.png|Bandbreite}} {{Kasten|Bandbreiten-Einstellungen}}
<p></p>
{{ td | {{ Beschriftung | Bandbreitenbegrenzung-Policy:}}  | Auswahl von:<p>
* {{MenuD |None}} Die Bandbreite wird nicht begrenzt.</p>
* {{MenuD |Gesamte Bandbreite begrenzen}} Der Proxy verwendet in diesem Fall nur die angegebene maximale Bandbreite und lässt den Rest der Bandbreite von Ihrer Internetverbindung unberührt. (Diese Bandbreite teilen sich alle ''Hosts'' die mit dem ''Proxy'' verbunden sind.)<p>
* {{MenuD |Bandbreite per Host begrenzen}} Bandbreite für jeden einzelnen Host. Die limitierte Bandbreite für Hosts kann nicht die globale Bandbreite übersteigen. </p>
| w=220px }}
 
<p>{{Kasten|Bandbreitenbegrenzung}}</p>
{{ td | {{Beschriftung | Globale Bandbreite:}} | {{sw | 2.000.000}} kbit/s | w=220px |m=6px }}
{{ td | {{Beschriftung | Bandbreite per Host:}} | {{sw | 64.000}} kbit/s | w=220px }}
 
<br clear=all>
 
==={{Reiter|App Blocking}}===
{{pt | UTM_v11-8_HTTP-Proxy_App-Blocking.png | App Blocking}}{{KastenGrau | Anwendung zulassen / blockieren}}
Hier gibt es die Möglichkeit Anwendungen gezielt zu blocken. Dieses geschieht einfach per Aktivierung Markierung der unerwünschten Anwendung.
Weitere, noch umfangreichere Möglichkeiten des Blocking gibt es unter [[UTM/APP/Webfilter | {{Menu | Anwendungen | Webfilter}} ]]
<p>Aktiviert bzw. deaktiviert werden können hier folgende Anwendungen:</p>
{{ td | |
* Instant Massenger (Andere IMs)
* AOL
* ICQ
* Netviewer
* Skype
* Teamviewer
* Trillian
* Webradio
* Yahoo
}}
<br clear=all>
 
==={{Reiter|SSL-Interception}}===
{{pt | UTM_v11-8_HTTP-Proxy_SSL-Interception.png | SSL-Interception}}Mit dem Feature SSL-Interception ist es möglich, Schadcode in SSL-verschlüsselten Datenströmen bereits am Gateway zu erkennen. Es unterbricht die verschlüsselten Verbindungen und macht die Datenpakete für Virenscanner und andere Filter sichtbar.
Die Datenübertragung zum Client erfolgt dann wieder verschlüsselt. Dazu ist es allerdings notwendig, ein Zertifikat zu erstellen und dieses im Feld Zertifikat auszuwählen.<p></p>
 
{{Kasten| SSL-Interception}}
<p></p>
{{TabP |{{Beschriftung |SSL-Interception:}} |{{ButtonAus |Aus}} Aktivierung bzw. Deaktivierung der SSL-Interception.| 160px| 6px}}
{{TabP |{{Beschriftung |Webfilter basiert:}}<br>{{ Hinweis | Neue Filteroption in 11.8 | 11.8 }} | Aktivieren Sie diese Funktion, falls lediglich vom Webfilter blockierte Verbindungen abgefangen werden sollen.<br> Dadurch wird das Problem umgangen, daß es Seiten gibt, die ein Unterbrechen der Verschlüsselung nicht tolerieren (z.B. Banking-Software), ohne das man dafür extra eine Ausnahme definieren muss.| 160px| 6px}}
{{TabP |{{Beschriftung |Zertifikat:}} |Hier muss eine CA ausgewählt werden, die die Verbindung nach dem entschlüsseln (und scannen) wieder verschlüsselt kann.<br>Eine Anleitung zum Erstellen von CAs gibt es [[UTM/AUTH/Zertifikate|hier]].<br>Der Public-KEy der CA muss auf allen Client Rechnern, die SSL-Interception nutzen sollen, installiert werden. Herunterladen kann hier direkt mit {{ButtonD|Public-Key herunterladen}} erfolgen.| 160px| 6px}}
{{TabP |{{Beschriftung |Zertifikatsverifizierung:}} |{{ButtonAus|Aus}} {{r|Sollte unbedingt aktiviert werden!}} Damit überprüft der HTTP-Proxy, ob das Zertifikat der aufgerufenen Seite vertrauenswürdig ist. Da der Browser nur noch das lokale Zertifikat sieht, ist eine überprüfung durch den Browser nicht mehr möglich.| 160px| 6px}}
<br>
<p>{{KastenGrau|Ausnahmen für SSL-Interception}} {{ButtonAus|Aus}}</p>
<p>Es besteht die Möglichkeit Ausnahmen im  Format der [[UTM/APP/Regex | Regular Expressions]] zu definieren. Da hier aber nur https ankommen kann, wird hier, anders als bei dem Virenscanner,  nicht auf Protokolle gefiltert. Mit {{Button|+ Regex}} werden neue <span style="border-bottom: 1px dotted black;" title="Eine Ausnahme für www.securepoint.de würde also lauten:&#10;.*\.securepoint\.de">Ausnahmen</span> hinzu gefügt.</p>
<br>
<p>{{KastenGrau|Ausnahmen für Zertifikatsverifizierung}} {{ButtonAus|Aus}}</p>
Hier können ausnahmen für die Zertifikatsverifizierung im Regex-Format hinzugefügt werden.
 
<br clear=all>
 
==={{Reiter|Transparenter Modus}}===
{{KastenGrau|Transparenter Modus}} {{ButtonAus|Aus}}
 
{{pt | UTM_v11-8_HTTP-Proxy__Transparenter-Modus.png| Transparenter Modus}}Durch den transparenten Modus ist der Proxy für die Clients nicht sichtbar, der Client sieht seine Internetverbindung (HTTP) als ob kein Proxy davor geschaltet wäre. Dennoch geht der gesamte HTTP Stream über den Proxy, wodurch keine Einstellungen auf dem Client vorgenommen werden müssen.  Dabei gibt es  aber die gleichen Möglichkeiten, den Datenstrom zu analysieren / blocken / filtern / manipulieren, als ob ein fest eingetragener Proxy benutzt würde.
<p></p>
<br clear=all>
 
{{pt | UTM_v11-8_HTTP-Proxy__Transparenter-Modus_Regel.png | hochkant=1 | Hinzufügen einer Transparenten Regel}}Mit dem Button {{Button |+Transparente Regel hinzufügen}} werden neue Regeln hinzugefügt.:<p></p>
{{Tabp | {{Beschriftung |Protokoll: }} |Auswahl {{MenuD | HTTP}} oder {{MenuD | HTTPS}} | 16em| 6px}}
{{Tabp | {{Beschriftung |Typ:}} |Gibt an, ob der transparente Modus angewendet ( {{MenuD | Include}} ) <br>oder nicht angewendet ( {{MenuD | Exclude}} ) werden soll.| 16em| 6px}}
{{Tabp | {{Beschriftung |Quelle: }} |Quell-{{MenuD|Netzwerkobjekt}} <br>angelegt unter [[UTM/RULE/Portfilter#Netzwerkobjekte_erstellen | {{Menu | Firewall | Portfilter}} {{Reiter |Netzwerkobjekte}}]] | 16em| 6px}}
{{Tabp | {{Beschriftung |Ziel: }} |Ziel-{{MenuD|Netzwerkobjekt}} | 16em| 6px}}
 
<br clear=all>


====Ausgehende_Adresse====
==={{Reiter |Captive Portal}}===
{{TabP | {{Beschrfitung |Ausgehende Adresse}} }} Die ausgehende Adresse wird für 2 Szenarien benutzt.
</p>
<ul><li> Wenn Sie den Proxy an ein Interface binden möchten.
</li><li> Wenn Sie über den Proxy einen Webserver im VPN-Netz erreichen wollen. 
</li></ul>
<p><br/>
Beispiel zum 1. Szenario:
</p><p>Der Proxy wird in diesem Beispiel an die schnellere DSL Leitung gebunden.
</p><p>eth0: ppp0 mit DSL 2000
</p><p>eth1: Internes Netz (Internes Interface hat die IP 192.168.175.1)
</p><p>eth2: ppp1 mit DSL 16000
</p>
<ul><li> Tragen Sie die IP des „Internen Interface" in das Feld für die ausgehende Adresse ein.
</li><li> Speichern Sie die Einstellungen.
</li><li> Legen Sie unter "Netzwerk" -> "Netzwerk-Konfiguration" -> "Routing" eine neue Route an:<br />
<ul>
<li>Quelle: &lt;IP des Internen Interfaces&gt;</li>
<li>Router: ppp1</li>
<li>Ziel: 0.0.0.0/0</li>
</ul>
</li><li> Speichern Sie die Route.
</li></ul>
<p>Nun haben Sie den Proxy an die 2. Internetverbindung gebunden.
</p><p><br/>
Beispiel zum 2. Szenario:
</p>
<ul><li> Tragen Sie die IP des „Internen Interface" in das Feld für die ausgehende Adresse ein.
</li><li> Speichern Sie die Einstellungen.
</li></ul>
<p>Verbindungen, die von der Firewall initiiert werden, benötigen keine Extraregeln.
</p>
<h4> <span class="mw-headline" id="IPv4_DNS_lookups_bevorzugen"> IPv4 DNS lookups bevorzugen </span></h4>
<p>Hier können Sie festlegen, ob die Namensauflösung bevorzugt mit IPv4 IP Adressen geschehen soll.
</p>
<h4> <span class="mw-headline" id="Logging"> Logging </span></h4>
<p>Aktivieren sie hier, ob der HTTP Proxy generell mit geloggt werden soll und ob diese Daten auch für die Statistik genutzt werden sollen.
</p>
<h4> <span class="mw-headline" id="Authentifizierung"> Authentifizierung </span></h4>
<p>Der Proxy bietet Ihnen verschiedene Möglichkeiten zur Authentifizierung. Die Möglichkeiten sind „Keine“, „Basic“, „NTLM“, „LDAP“ und „Radius“. 
</p><p>Bei einer Basic Authentifizierung werden die User auf der Firewall abgefragt. Bei „Radius“, „LDAP“ und „NTLM“ müssen Sie erst der Firewall die Server bekanntmachen. Diese können Sie im Webinterface unter Authentifizierung &gt; externe Authentifizierung einrichten.
</p>


<h4> <span class="mw-headline" id=".C3.9Cbergeordneter_Proxy_.28Parent_Proxy.29"> Übergeordneter Proxy (Parent Proxy) </span></h4>
{{pt | CP Proxy captive auth.PNG | Captive Portal Konfiguration}}Das Captive Portal leitet einen Client in einem Netzwerk auf eine spezielle Webseite (sog. Landingpage) um, bevor dieser sich normal in das Internet verbinden kann. So muss die Annahme der Nutzungsbedingung erfolgen und es kann eine zusätzliche Authentifizierung konfiguriert werden. Eine vollständige Anleitung findet sich unter [[Captive_Portal]].<p></p><p>An dieser Stelle erfolgt die Konfiguration, die Auswirkungen auf den HTTP-Proxy hat.</p>
<p>Den Parent Proxy benötigen Sie, falls Sie vor dem Proxy noch einen weiteren Proxy benutzen. In diesem Fall tragen Sie die IP des davor geschalteten Proxy ein, dadurch wird der Proxy auf der Securepoint seine Daten zum Parent Proxy weiterleiten.
</p>
<h3> <span class="mw-headline" id="Transparenter_Modus"> Transparenter Modus </span></h3>
[[Datei:UTMV11_HTTPP_TM.png|600px|thumb|center]]
<p>Durch den transparenten Modus ist der Proxy für die Clients nicht sichtbar, der Client sieht seine Internetverbindung (HTTP) als ob kein Proxy davorgeschaltet wäre. Dennoch geht der gesamte HTTP Stream über den Proxy, wodurch Sie keine Einstellungen auf dem Client vornehmen müssen, dabei haben Sie aber die gleichen Möglichkeiten den Datenstrom zu analysieren / blocken / filtern / manipulieren, als ob Sie einen fest eingetragenen Proxy benutzen würden.
</p>
<h4> <span class="mw-headline" id="Netzwerkobjektgruppen_zuweisen"> Netzwerkobjektgruppen zuweisen </span></h4>
<p>In der Version 11 ist es nun möglich, dem transparenten Modus selbst definierte Netzwerkobjektgruppen zuzuweisen.  
Dazu legen Sie unter Firewall → Portfilter im Bereich Netzwerkobjekte entsprechende Netzwerkgruppen an und weisen diesen die entsprechenden Netzwerkobjekte zu. Das geschieht entweder beim Anlegen neuer Netzwerkobjekte oder bei bestehenden mit dem Markieren der Gruppe per Mausklick auf den Gruppennamen. Wenn das Feld Orange hinterlegt ist, wählen Sie ein Netzwerkobjekt aus und klicken auf das „+“ in der Zeile des Netzwerkobjektes. Nun erscheint dieses Objekt in dem Fensterteil „Netzwerkobjekte in der Gruppe“.
</p><p>Anschließend kann definiert werden, ob diese Gruppe den transparenten Modus des http-Proxy nutzen soll oder davon ausgenommen wird.
[[Datei:UTMV11_HTTPP_TMRegel.png|400px|thumb|center]]
</p>
<h3> <span class="mw-headline" id="Virenscan"> Virenscan </span></h3>
<p>In dieser Version haben Sie jetzt die Wahl zwischen zwei Virenscannern. Zum einen den bisher bekannten Clam AntiVirus und neu den Virenscanner von Comtouch.
</p>
[[Datei:Image006.png|600px|thumb|center]]
<h4> <span class="mw-headline" id="Maximum_scan_size_limit_und_Trickle_Time"> Maximum scan size limit und Trickle Time </span></h4>
<p>Maximum scan size limit legt fest, wie groß die Dateien sein dürfen, die vom Virenscanner überprüft werden sollen.</p>
<p>Mit Trickle Time wird ein Intervall eingestellt, damit während der Virenprüfung der Browser den Download nicht abbricht.
</p>
[[Datei:Image008.png|400px|thumb|center]]
<h4> <span class="mw-headline" id="Whitelist_Ausnahmen"> Whitelist Ausnahmen </span></h4>
<p>Zusätzlich sind Whitelist Ausnahmen definierbar. Zum einen auf Basis der MIME Typen, das heißt der Inhalts-Klassifizierung die bei der Datenübertragung im Internet vorgenommen wird.
Zum anderen ist es möglich eigene Filter aufgrund von Regular Expressions (Regex) zu erstellen.
</p><p><b>Wichtig:</b>
</p><p>Testviren von diesen Seiten werden nicht erkannt!!!
</p>
<h4> <span class="mw-headline" id="Regular_Expressions"> Regular Expressions </span></h4>
<p>Als Regular Expression oder auch Regulärer Ausdruck wird eine Zeichenkette bezeichnet die der Beschreibung von Mengen an Zeichenketten dient. Beispiele für die Anwendung von Regular Expressions finden Sie schon im Bereich Websites Whitelist.</p>
<p>Der Einsatz von Regulären Ausdrücken bietet eine große Flexibilität beim anlegen individueller Filterregeln.</p>
<p>Einen Einführungskurs zu Regulären Ausdrücken finden Sie z.B. unter [http://www.regenechsen.de/phpwcms/index.php?regex_allg http://www.regenechsen.de]. Reguläre Ausdrücke können auf der Seite [http://regexr.com/ regexr.com] überpüfen.
</p>
<h3> <span class="mw-headline" id="Bandbreite"> Bandbreite </span></h3>
[[Datei:hp11img009.png|600px|thumb|center]]
<h4> <span class="mw-headline" id="Globale_Bandbreite"> Globale Bandbreite </span></h4>
<p>Sie können eine globale Bandbreite für den Proxy einstellen. Der Proxy verwendet in diesem Fall nur die maximale Bandbreite und lässt den Rest der Bandbreite von Ihrer Internetverbindung unberührt. (Diese Bandbreite teilen sich alle Hosts die mit dem Proxy verbunden sind.)</p>
<h4> <span class="mw-headline" id="Host_Einstellungen "> Host Einstellungen </span></h4>
<p>Wie bei der globalen Bandbreite können Sie auch für jeden einzelnen Host eine Bandbreite bereitstellen. Die limitierte Bandbreite für Hosts kann nicht die globale Bandbreite übersteigen.
</p>
<h3> <span class="mw-headline" id="Anwendung_blocken"> Anwendung blocken </span></h3>
[[Datei:hp11img011.png|600px|thumb|center]]
<p>Nach wie vor haben Sie die Möglichkeit gewisse Anwendungen zu blocken. Dieses geschieht einfach per Markierung der unerwünschten Anwendung.
</p>
<h4>iTunes</h4>
<p>'''Hinweis''': Damit iTunes korrekt mit dem Internet kommunizieren kann, sind [[ITunes|Ausnahmen im HTTP-Proxy]] anzulegen</p>


{{TabP | {{Beschriftung |Captive Portal:}} |Dieser Schalter aktiviert oder deaktiviert {{ButtonAus|Aus}} das Captive Portal. | 16em|6px}}
{{TabP | {{Beschriftung |Authentifizierung:}} |{{ButtonAus|Aus}} Hier kann, wenn gewünscht, eine Authentifizierung der Benutzer erzwungen werden. | 16em|6px}}
{{TabP | {{Beschriftung |Zertifikat:}} |Zertifikat, mit dem sich das Captive Portal beim Benutzer ausweist. | 16em|6px}}
{{Tabp | {{Beschriftung |Maximale Verbindungszeit:}} |{{sw|1800}}  (Sekunden). Der Zeitraum, in dem eine Anmeldung im Captive Portal gültig ist.<br>Ist die voreingestellte Zeit abgelaufen, wird der Web-Zugriff ins Internet gesperrt und eine erneute Bestätigung der Nutzungsbedingungen (und, wenn gewünscht, der Authentifizierung) ist von Nöten.  | 16em|6px}}
{{Tabp | {{Beschriftung |Hostname der Portalseite:}} |Dieser sollte, bei einem Zertifikat für einen FQDN, dem Common Name des Zertifikats entsprechen.<br>
Bei einem Wildcardzertifikat muss der Hostname der Antwort auf eine DNS-Anfrage des Clients entsprechen. | 16em|6px}}
{{Tabp | {{Beschriftung |Port der Portalseite:}} |{{sw|8085}} Es muss ein Port für das Captive Portal definiert sein, dieser kann aber geändert werden. | 16em|6px}}
{{Tabp | {{Beschriftung |Netzwerkobjekte:}} |In dieser Select-Box müssen die Netzwerkobjekte ausgewählt werden, die auf die Landingpage umgeleitet werden sollen. | 16em|6px}}
{{Tabp | {{Beschriftung |Nutzungsbedingungen:}} |Aus Haftungsgründen können wir hier keine Vorlage bereitstellen. | 16em|6px}}


<h3> <span class="mw-headline" id="SSL-Interception"> SSL-Interception </span></h3>
<br clear=all>
<p>Mit dem Feature SSL-Interception ist es möglich, Schadcode in SSL-Verschlüsselten Datenströmen bereits am Gateway zu erkennen. Es unterbricht die verschlüsselten Verbindungen und macht die Datenpakete für Virenscanner und andere Filter sichtbar.
Die Datenübertragung zum Client erfolgt dann wieder verschlüsselt. Dazu ist es allerdings notwendig, ein Zertifikat zu erstellen und dieses im Feld Zertifikat auszuwählen.</p>
[[Datei:hp11img012.png|600px|thumb|center]]
<p>Auch hier besteht wieder die Möglichkeit, anhand von Regular Expressions, Ausnahmen zu definieren. Da hier aber nur https ankommen kann, brauchen Sie hier, anders als bei dem Virenscanner,  nicht mehr auf die Protokolle zu Filtern. Eine Ausnahme für www.securepoint.de würde also lauten:
</p>
.*\.securepoint\.de
<h3> <span class="mw-headline" id="Webfilter"> Webfilter </span></h3>
[[Datei:hp11img013.png|600px|thumb|center]]
<p>Der Webfilter ist so aufgebaut, dass Webfilter-Regeln bestimmten Profilen zugeordnet werden. Diese Profile können Netzwerk- oder Nutzer-Gruppen zugeordnet werden.
Um Nutzergruppen anzulegen, gehen Sie auf Authentication und wählen Sie das Menü Benutzer hier haben Sie nun die Möglichkeit bestimmten Usern eine Gruppe zuzuweisen, welche z.B. durch den Active Directory Service authentifiziert werden können (siehe auch [[Benutzergruppen_Anbindung-AD]]).
Wenn Sie keine externe User-Authentifizierung nutzen, haben Sie die Möglichkeit Netzwerkobjekte zu Gruppen zusammenzufassen und diese für die Webfilter Profile zu nutzen.
Um eine Netzwerkgruppe zu erstellen, gehen Sie auf Firewall und den Menüpunkt Portfilter. Wenn Sie dann in den Bereich Netzwerkobjekte wechseln, können Sie neue Netzwerkgruppen anlegen und diesen entweder bestehende Netzwerkobjekte zuweisen oder bei der Erstellung neuer Objekte die Netzwerkgruppe mit angeben.
</p>
<h4> <span class="mw-headline" id="Webfilter-Regelsatz"> Webfilter-Regelsatz </span></h4>
[[Datei:hp11img015.png|600px|thumb|center]]
<p>Als nächstes legen Sie die gewünschten Webfilterregeln an.</p>
[[Datei:hp11img017.png|300px|thumb|center]]
<p>Mit Regelsatz hinzufügen, erhält dieser eine Bezeichnung.
Anschließend klicken Sie auf das Editier Symbol in der neu angelegten Zeile.</p>
[[Datei:hp11img018.png|600px|thumb|center]]
<p><b><i>Allgemein</i></b></p>
<p>Mit Block Access können Sie entscheiden, ob mit dieser Regel alles blockiert werden soll.</p>
<p><b><i>Zeit</i></b></p>
<p>Im Feld Time definieren Sie an welchen Wochentagen und in welchem Zeitraum diese Regel gelten soll.</p>
<p><b><i>Einstellungen</i></b></p>
<p>Mit der Option Safe-Search können Sie das für die Google Suche geschaffene Filtersystem nutzen.</p>
<p>Mit der Option "strict" werden sexuell eindeutige Videos und Bilder sowie Ergebnisse, die mit eindeutigen Inhalten verlinkt sein könnten, aus den Google-Suchergebnisseiten gefiltert.</p>
<p>Bei der moderaten Filterung werden sexuell eindeutige Videos und Bilder aus den Google-Suchergebnisseiten ausgeschlossen. Ergebnisse, die mit eindeutigen Inhalten verlinkt sein könnten, werden jedoch nicht gefiltert.</p>
<p>Wenn Sie off auswählen, wird der SafeSearch-Filter vollständig deaktiviert.</p>
<p>Die Option Resolve URL Shortener löst die verkürzt dargestellten URL in die Langform auf.</p>
<h4> <span class="mw-headline" id="Webfilterregeln"> Webfilterregeln </span></h4>
<p>Es gibt zwei Möglichkeiten Webfilterregeln zu erstellen. Entweder auf Basis von Kategorien oder URL’s. </p>
<p><b><i>Kategorien</i></b></p>
[[Datei:hp11img020.png|600px|thumb|center]]
<p>Um Kategorien auszuwählen, wählen Sie einfach blacklist-cat oder whitelist-cat unter Action aus, je nachdem ob Sie diese sperren oder zulassen möchten. Anschließend wählen Sie die entsprechende Kategorie aus der Liste aus.</p>
[[Datei:hp11img022.png|600px|thumb|center]]
<p><b><i>URL's</i></b></p>
<p>Bei der auswahl von URL's sind auch Wildcards möglich. Folgendes Beispiel soll den Einsatz der Wildcards deutlich machen: http://*facebook* bezieht sich auf alle http Webseiten, die Facebook in der URL haben. Wichtig ist die Angabe des Protokolls.
</p>
<h4> <span class="mw-headline" id="Zuordnen_der_Webfilter-Regelsätze_zu_einem_Profil"> Zuordnen der Webfilter-Regelsätze zu einem Profil </span></h4>
<p>Für die Zuordnung eines oder mehrerer Regelsätze zu einem Profil, wechseln Sie in den Bereich Profil und klicken auf Profil hinzufügen.</p>
[[Datei:hp11img024.png|600px|thumb|center]]
<p>Anschließend wählen Sie eine Netzwerk- oder Benutzergruppe aus, bestimmen den darauf anzuwendenden Regelsatz und klicken neben dem Regelsatz auf den „+“ Button.
</p>
[[Datei:hp11img026.png|400px|thumb|center]]
<p> Mit einem Klick auf den Button "Speichern" werden die ausgewählten Regelsätze dem Profil zugeordnet.
</p>

Aktuelle Version vom 8. März 2022, 11:50 Uhr





notempty
Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty
Der Artikel für die neueste Version steht hier

notempty
Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht





























Letzte Anpassung zur Version: 11.8

Neu:

  • Neu in Version 11.8:
         Mit dieser Version wird eine neue Funktion im HTTP-Proxy für die SSL-Interception eingeführt:
    Es ist möglich die SSL-Interception auf Seiten zu beschränken, die vom Webfilter abgefangen wurden.


Vorherige Versionen: 11.7

Einleitung

Der Proxy dient als Vermittler zwischen Internet und dem zu schützenden Netz. Die Clients stellen Ihre Anfragen an den Proxy und dieser reicht sie an den entsprechenden Servern weiter. Die tatsächliche Adresse des Clients bleibt dem Server verborgen.

Auf diesem Weg ist es möglich, den Datenverkehr auf Viren und ungewollte Inhalte zu überprüfen.



Allgemein

HTTP-Proxy - Allgemein
Allgemein

Proxy Port 8080 gibt an, auf welchem Port der Proxy anzusprechen ist.
IPv4 DNS lookups bevorzugen Hier kann festgelegt werden, ob die Namensauflösung bevorzugt mit IPv4 IP Adressen geschehen soll.
Ausgehende Adresse Die ausgehende Adresse wird für 2 Szenarien benutzt.:
  • Wenn der Proxy an ein Interface gebunden werden soll.
  • Wenn über den Proxy ein Webserver im VPN-Netz erreicht werden wollen.

Logging Auswahl, wie bzw. ob der HTTP Proxy generell mit geloggt werden soll und ob diese Daten auch für die Statistik genutzt werden sollen. syslog & statistics

Anfragen an den systemweiten
Parent-Proxy weiterleiten: 		Falls vor dem HTTP-Proxy noch ein weiterer Proxy benutzt wird, muss diese Funktion aktiviert werden. Die Konfiguration erfolgt unter → Netzwerk →Servereinstellungen Systemweiter Proxy

Authentifizierungsmethode Der Proxy bietet verschiedene Möglichkeiten zur Authentifizierung. Die Möglichkeiten sind:

            ●   Keine Der HTTP-Proxy verarbeitet ohne Authentifizierung alle Anfragen
            ●   Basic Bei einer Basic Authentifizierung werden die User auf der Firewall abgefragt.
            ●   NTLM / Kerberos
Radius 		Hier muss die Firewall dem Server bekannt gemacht werden.
Dies kann im Webinterface unter → Authentifizierung →AD / LDAP bzw.Reiter Radius-Authentifizierung eingerichtet werden.

 Authentifizierungsausnahmen  Die angesurfte URLwird ohne vorherige Authentifizierung aufgerufen. Beispiele



Virenscanner

Virensacanner
Virenscanner-Einstelungen

Virenscanner: aktivieren / deaktivieren
Virenscanner-Typ: Es kann zwischen zwei Virenscannern gewählt werden.
  • Clam AntiVirus und
  • Cyren Scan Daemaon
Größenbeschränkung
von geprüften Dateien: 		2 Megabytes. Legt fest, wie groß die Dateien sein dürfen, die vom Virenscanner überprüft werden sollen.
Trickle Time: 5 Sekunden. Intervall, in dem Daten vom Proxy an den Browser übergeben werden, damit während der Virenprüfung der Browser das Laden nicht abbricht.
Whitelist ICY-Protokoll: Aus Ein Webradio-Protokoll das hier von der Prüfung ausgenommen werden kann
Whitelist: Ein Damit werden die folgenden Whitelists aktiviert oder deaktiviert.
Die Blocklist ist immer aktiviert!



 Mime-Type-Blocklist 

Hier aufgeführte Mime-Typen werden in jedem Falle geblockt.
Hinzufügen neuer Einträge mit + MIME Type

 Mime-Type-Whitelist  Hier aufgeführte Mime-Typen werden nicht gescannt ! Standard-Vorgabe

  • audio/*
  • image/*
  • video/*

 Webseiten-Whitelist 

Hier ist es möglich eigene Filter aufgrund von Regular Expressions (Regex) zu erstellen. Viren von diesen Seiten werden nicht erkannt !

Einige Update-Server, die unter Verwendung eines Virenscanners Probleme bereiten, sind bereits vorkonfiguriert.

Hinweis: Damit iTunes korrekt mit dem Internet kommunizieren kann, sind weitere Ausnahmen notwendig.




Bandbreite

Bandbreite
Bandbreiten-Einstellungen

Bandbreitenbegrenzung-Policy:
Auswahl von:

  • None Die Bandbreite wird nicht begrenzt.

  • Gesamte Bandbreite begrenzen Der Proxy verwendet in diesem Fall nur die angegebene maximale Bandbreite und lässt den Rest der Bandbreite von Ihrer Internetverbindung unberührt. (Diese Bandbreite teilen sich alle Hosts die mit dem Proxy verbunden sind.)

  • Bandbreite per Host begrenzen Bandbreite für jeden einzelnen Host. Die limitierte Bandbreite für Hosts kann nicht die globale Bandbreite übersteigen.

Bandbreitenbegrenzung

Globale Bandbreite:
2.000.000 kbit/s
Bandbreite per Host:
64.000 kbit/s


App Blocking

App Blocking

 Anwendung zulassen / blockieren 

Hier gibt es die Möglichkeit Anwendungen gezielt zu blocken. Dieses geschieht einfach per Aktivierung Markierung der unerwünschten Anwendung. Weitere, noch umfangreichere Möglichkeiten des Blocking gibt es unter → Anwendungen →Webfilter

Aktiviert bzw. deaktiviert werden können hier folgende Anwendungen:

  • Instant Massenger (Andere IMs)
  • AOL
  • ICQ
  • Netviewer
  • Skype
  • Teamviewer
  • Trillian
  • Webradio
  • Yahoo


SSL-Interception

SSL-Interception

Mit dem Feature SSL-Interception ist es möglich, Schadcode in SSL-verschlüsselten Datenströmen bereits am Gateway zu erkennen. Es unterbricht die verschlüsselten Verbindungen und macht die Datenpakete für Virenscanner und andere Filter sichtbar. Die Datenübertragung zum Client erfolgt dann wieder verschlüsselt. Dazu ist es allerdings notwendig, ein Zertifikat zu erstellen und dieses im Feld Zertifikat auszuwählen.

SSL-Interception

SSL-Interception: Aus Aktivierung bzw. Deaktivierung der SSL-Interception.
Webfilter basiert:
Neue Filteroption in 11.8 		Aktivieren Sie diese Funktion, falls lediglich vom Webfilter blockierte Verbindungen abgefangen werden sollen.
Dadurch wird das Problem umgangen, daß es Seiten gibt, die ein Unterbrechen der Verschlüsselung nicht tolerieren (z.B. Banking-Software), ohne das man dafür extra eine Ausnahme definieren muss.
Zertifikat: Hier muss eine CA ausgewählt werden, die die Verbindung nach dem entschlüsseln (und scannen) wieder verschlüsselt kann.
Eine Anleitung zum Erstellen von CAs gibt es hier.
Der Public-KEy der CA muss auf allen Client Rechnern, die SSL-Interception nutzen sollen, installiert werden. Herunterladen kann hier direkt mit  Public-Key herunterladen  erfolgen.
Zertifikatsverifizierung: Aus Sollte unbedingt aktiviert werden! Damit überprüft der HTTP-Proxy, ob das Zertifikat der aufgerufenen Seite vertrauenswürdig ist. Da der Browser nur noch das lokale Zertifikat sieht, ist eine überprüfung durch den Browser nicht mehr möglich.


 Ausnahmen für SSL-Interception  Aus

Es besteht die Möglichkeit Ausnahmen im Format der Regular Expressions zu definieren. Da hier aber nur https ankommen kann, wird hier, anders als bei dem Virenscanner, nicht auf Protokolle gefiltert. Mit + Regex werden neue Ausnahmen hinzu gefügt.


 Ausnahmen für Zertifikatsverifizierung  Aus

Hier können ausnahmen für die Zertifikatsverifizierung im Regex-Format hinzugefügt werden.


Transparenter Modus

 Transparenter Modus  Aus

Transparenter Modus

Durch den transparenten Modus ist der Proxy für die Clients nicht sichtbar, der Client sieht seine Internetverbindung (HTTP) als ob kein Proxy davor geschaltet wäre. Dennoch geht der gesamte HTTP Stream über den Proxy, wodurch keine Einstellungen auf dem Client vorgenommen werden müssen. Dabei gibt es aber die gleichen Möglichkeiten, den Datenstrom zu analysieren / blocken / filtern / manipulieren, als ob ein fest eingetragener Proxy benutzt würde.


Hinzufügen einer Transparenten Regel

Mit dem Button +Transparente Regel hinzufügen werden neue Regeln hinzugefügt.:

Protokoll: Auswahl HTTP oder HTTPS
Typ: Gibt an, ob der transparente Modus angewendet ( Include )
oder nicht angewendet ( Exclude ) werden soll.
Quelle: Quell- Netzwerkobjekt
angelegt unter → Firewall →Portfilter Netzwerkobjekte
Ziel: Ziel- Netzwerkobjekt


Captive Portal

Captive Portal Konfiguration

Das Captive Portal leitet einen Client in einem Netzwerk auf eine spezielle Webseite (sog. Landingpage) um, bevor dieser sich normal in das Internet verbinden kann. So muss die Annahme der Nutzungsbedingung erfolgen und es kann eine zusätzliche Authentifizierung konfiguriert werden. Eine vollständige Anleitung findet sich unter Captive_Portal.

An dieser Stelle erfolgt die Konfiguration, die Auswirkungen auf den HTTP-Proxy hat.

Captive Portal: Dieser Schalter aktiviert oder deaktiviert Aus das Captive Portal.
Authentifizierung: Aus Hier kann, wenn gewünscht, eine Authentifizierung der Benutzer erzwungen werden.
Zertifikat: Zertifikat, mit dem sich das Captive Portal beim Benutzer ausweist.
Maximale Verbindungszeit: 1800 (Sekunden). Der Zeitraum, in dem eine Anmeldung im Captive Portal gültig ist.
Ist die voreingestellte Zeit abgelaufen, wird der Web-Zugriff ins Internet gesperrt und eine erneute Bestätigung der Nutzungsbedingungen (und, wenn gewünscht, der Authentifizierung) ist von Nöten.
Hostname der Portalseite: Dieser sollte, bei einem Zertifikat für einen FQDN, dem Common Name des Zertifikats entsprechen.
Bei einem Wildcardzertifikat muss der Hostname der Antwort auf eine DNS-Anfrage des Clients entsprechen.
Port der Portalseite: 8085 Es muss ein Port für das Captive Portal definiert sein, dieser kann aber geändert werden.
Netzwerkobjekte: In dieser Select-Box müssen die Netzwerkobjekte ausgewählt werden, die auf die Landingpage umgeleitet werden sollen.
Nutzungsbedingungen: Aus Haftungsgründen können wir hier keine Vorlage bereitstellen.


Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/APP/HTTP_Proxy_v11.8&oldid=81455