| Zeile 13: | Zeile 13: | ||
<p>Auf diesem Weg ist es möglich, den Datenverkehr auf Viren und ungewollte Inhalte zu überprüfen.</p> | <p>Auf diesem Weg ist es möglich, den Datenverkehr auf Viren und ungewollte Inhalte zu überprüfen.</p> | ||
===Allgemein=== | ==={{Reiter |Allgemein}}=== | ||
{{pt|UTM_v11-8_HTTP-Proxy_Allgemein.png | HTTP-Proxy - Allgemein }}{{ | |||
{{pt|UTM_v11-8_HTTP-Proxy_Allgemein.png | HTTP-Proxy - Allgemein }}{{Kasten | Allgemein}}<p></p> | |||
{{Tabp | {{Beschriftung |Proxy Port}} | {{sw |8080}} gibt an, auf welchem Port der Proxy anzusprechen ist.}} | {{Tabp | {{Beschriftung |Proxy Port}} | {{sw |8080}} gibt an, auf welchem Port der Proxy anzusprechen ist.}} | ||
{{TabP | {{Beschriftung | IPv4 DNS lookups bevorzugen}} | Hier kann festgelegt werden, ob die Namensauflösung bevorzugt mit IPv4 IP Adressen geschehen soll.}} | |||
{{TabP | {{Beschriftung |Ausgehende Adresse}} | Die ausgehende Adresse wird für 2 Szenarien benutzt.}} | |||
{{TabP | {{Beschriftung |Ausgehende Adresse}} | Die ausgehende Adresse wird für 2 Szenarien benutzt.:}} | |||
* <span style="border-bottom: 1px dotted black;" title="Beispiel zum 1. Szenario: | ::::::::::*<span style="border-bottom: 1px dotted black;" title="Beispiel zum 1. Szenario: | ||
| | ||
Der Proxy wird in diesem Beispiel an die schnellere DSL Leitung gebunden. | Der Proxy wird in diesem Beispiel an die schnellere DSL Leitung gebunden. | ||
| Zeile 33: | Zeile 32: | ||
eth2: ppp1 mit DSL 16000 | eth2: ppp1 mit DSL 16000 | ||
| | ||
• | • Die IP des 'Internen Interface' muss in das Feld für die ausgehende Adresse eingetragen werden. | ||
• Speichern | • Speichern der Einstellungen. | ||
• | • Unter 'Netzwerk / Netzwerk-Konfiguration / Routing' wird eine neue Route angelegt: | ||
• Quelle: IP des Internen Interfaces | • Quelle: IP des Internen Interfaces | ||
• Router: ppp1 | • Router: ppp1 | ||
• Ziel: 0.0.0.0/0 | • Ziel: 0.0.0.0/0 | ||
• Speichern | • Speichern der Route. | ||
| | ||
Nun | Nun ist der Proxy an die 2. Internetverbindung gebunden. ">Wenn der Proxy an ein Interface gebunden werden soll.</span> | ||
* <span style="border-bottom: 1px dotted black;" title="Beispiel zum 2. Szenario: | ::::::::::* <span style="border-bottom: 1px dotted black;" title="Beispiel zum 2. Szenario: | ||
| | ||
• | • Die IP des 'Internen Interface' muss in das Feld für die ausgehende Adresse eingetragen werden. | ||
• Speichern | • Speichern der Einstellungen. | ||
| | ||
Verbindungen, die von der Firewall initiiert werden, benötigen keine Extraregeln.">Wenn | Verbindungen, die von der Firewall initiiert werden, benötigen keine Extraregeln.">Wenn über den Proxy ein Webserver im VPN-Netz erreicht werden wollen.</span><p></p> | ||
<p>{{TabP | {{Beschriftung | Logging}} | Aktivieren, ob der HTTP Proxy generell mit geloggt werden soll und ob diese Daten auch für die Statistik genutzt werden sollen. {{MenuD |syslog & statistics}} }}</p> | |||
<p>{{TabP | {{Beschriftung | Anfragen an den systemweiten<br>Parent-Proxy weiterleiten:}} | Falls vor dem HTTP-Proxy noch ein weiterer Proxy benutzt wird, muss diese Funktion aktiviert werden. Die Konfiguration erfolgt unter [[UTM/NET/Proxy | {{Menu | Netzwerk→Servereinstellungen}} {{Reiter|Systemweiter Proxy}} ]] }}</p> | |||
<p>{{TabP | {{Beschriftung | Authentifizierungsmethode}} | Der Proxy bietet verschiedene Möglichkeiten zur Authentifizierung. Die Möglichkeiten sind:}}</p> | |||
<p>{{TabAA | {{MenuD|Keine}} | Der HTTP-Proxy verarbeitet ohne Authentifizierung alle Anfragen |170px}} | |||
{{TabAA | {{MenuD|Basic}} | Bei einer Basic Authentifizierung werden die User auf der Firewall abgefragt.| 170px}} | |||
{{TabAA | {{MenuD|NTLM / Kerberos}} <br>{{MenuD|Radius}} | Hier muss die Firewall den Server bekannt gemacht werden.<br> Dies kann im Webinterface unter {{Menu|→Authentifizierung→AD / LDAP bzw.→Radius -Authentifizierung}} eingerichtet werden. | 170px}}</p> | |||
<p>{{KastenGrau | Authentifizierungsausnahmen}} Die angesurfte URLwird ohne vorherige Authentifizierung aufgerufen. [[UTM/APP/HTTP_Proxy-Authentifizierungsausnahmen|Beispiele]]</p> | |||
==={{Reiter |Virenscanner}}=== | |||
{{pt| UTM_v11-8_HTTP-Proxy_Virenscanner.png| Virensacanner}}{{Kasten |Virenscanner-Einstelungen}}<p></p> | |||
{{TabP | {{Beschriftung | Virenscanner:}} | aktivieren / deaktivieren | 170px}} | |||
{{TabP | {{Beschriftung | Virenscanner-Typ: }}| Es kann zwischen zwei {{MenuD|Virenscannern}} gewählt werden.| 170px}} | |||
:::::::::* Clam AntiVirus und | |||
:::::::::* Cyren Scan Daemaon | |||
{{TabP | {{Beschriftung | Größenbeschränkung<br>von geprüften Dateien: }} | {{sw|2 Megabytes}} legt fest, wie groß die Dateien sein dürfen, die vom Virenscanner überprüft werden sollen. | 170px}} | |||
{{TabP | {{Beschriftung | Trickle Time:}} | {{sw|5}} Sekunden | Intervall {{r|wovon?}}, damit während der Virenprüfung der Browser den Download {{r|?? oder das Laden}} nicht abbricht. | 170px}} | |||
<br clear=all> | |||
< | |||
< | |||
[[Datei:Image008.png|400px|thumb|center]] | [[Datei:Image008.png|400px|thumb|center]] | ||
<h4> <span class="mw-headline" id="Whitelist_Ausnahmen"> Whitelist Ausnahmen </span></h4> | <h4> <span class="mw-headline" id="Whitelist_Ausnahmen"> Whitelist Ausnahmen </span></h4> | ||
| Zeile 117: | Zeile 104: | ||
</p> | </p> | ||
.*\.securepoint\.de | .*\.securepoint\.de | ||
<h3> <span class="mw-headline" id=" | <h3> <span class="mw-headline" id="Transparenter_Modus"> Transparenter Modus </span></h3> | ||
[[Datei: | [[Datei:UTMV11_HTTPP_TM.png|600px|thumb|center]] | ||
<p> | <p>Durch den transparenten Modus ist der Proxy für die Clients nicht sichtbar, der Client sieht seine Internetverbindung (HTTP) als ob kein Proxy davorgeschaltet wäre. Dennoch geht der gesamte HTTP Stream über den Proxy, wodurch Sie keine Einstellungen auf dem Client vornehmen müssen, dabei haben Sie aber die gleichen Möglichkeiten den Datenstrom zu analysieren / blocken / filtern / manipulieren, als ob Sie einen fest eingetragenen Proxy benutzen würden. | ||
</p> | </p> | ||
<h4> <span class="mw-headline" id=" | <h4> <span class="mw-headline" id="Netzwerkobjektgruppen_zuweisen"> Netzwerkobjektgruppen zuweisen </span></h4> | ||
<p>In der Version 11 ist es nun möglich, dem transparenten Modus selbst definierte Netzwerkobjektgruppen zuzuweisen. | |||
Dazu legen Sie unter Firewall → Portfilter im Bereich Netzwerkobjekte entsprechende Netzwerkgruppen an und weisen diesen die entsprechenden Netzwerkobjekte zu. Das geschieht entweder beim Anlegen neuer Netzwerkobjekte oder bei bestehenden mit dem Markieren der Gruppe per Mausklick auf den Gruppennamen. Wenn das Feld Orange hinterlegt ist, wählen Sie ein Netzwerkobjekt aus und klicken auf das „+“ in der Zeile des Netzwerkobjektes. Nun erscheint dieses Objekt in dem Fensterteil „Netzwerkobjekte in der Gruppe“. | |||
</p><p>Anschließend kann definiert werden, ob diese Gruppe den transparenten Modus des http-Proxy nutzen soll oder davon ausgenommen wird. | |||
[[Datei:UTMV11_HTTPP_TMRegel.png|400px|thumb|center]] | |||
</p | |||
<p> | |||
[[Datei: | |||
</p> | </p> | ||
Version vom 17. Januar 2019, 16:21 Uhr
Letze Anpassung zur Version: 11.8
Bemerkung: Artikelanpassung Neu in Version 11.8: Mit dieser Version wird eine neue Funktion im HTTP-Proxy für die SSL-Interception eingeführt. Es ist möglich die SSL-Interception auf Seiten zu beschränken, die vom Webfilter abgefangen wurden.
Vorherige Versionen: 11.7
Einleitung
Der Proxy dient als Vermittler zwischen Internet und dem zu schützenden Netz. Die Clients stellen Ihre Anfragen an den Proxy und dieser reicht sie an den entsprechenden Servern weiter. Die tatsächliche Adresse des Clients bleibt dem Server verborgen.
Auf diesem Weg ist es möglich, den Datenverkehr auf Viren und ungewollte Inhalte zu überprüfen.
Allgemein
Allgemein
| Proxy Port | 8080 gibt an, auf welchem Port der Proxy anzusprechen ist. |
| IPv4 DNS lookups bevorzugen | Hier kann festgelegt werden, ob die Namensauflösung bevorzugt mit IPv4 IP Adressen geschehen soll. |
| Ausgehende Adresse | Die ausgehende Adresse wird für 2 Szenarien benutzt.: |
- Wenn der Proxy an ein Interface gebunden werden soll.
- Wenn über den Proxy ein Webserver im VPN-Netz erreicht werden wollen.
| Logging | Aktivieren, ob der HTTP Proxy generell mit geloggt werden soll und ob diese Daten auch für die Statistik genutzt werden sollen. |
| Anfragen an den systemweiten Parent-Proxy weiterleiten: | Falls vor dem HTTP-Proxy noch ein weiterer Proxy benutzt wird, muss diese Funktion aktiviert werden. Die Konfiguration erfolgt unter Systemweiter Proxy |
| Authentifizierungsmethode | Der Proxy bietet verschiedene Möglichkeiten zur Authentifizierung. Die Möglichkeiten sind: |
| ● | Der HTTP-Proxy verarbeitet ohne Authentifizierung alle Anfragen |
| ● | Bei einer Basic Authentifizierung werden die User auf der Firewall abgefragt. |
| ● | |
Hier muss die Firewall den Server bekannt gemacht werden. Dies kann im Webinterface unter eingerichtet werden. |
Authentifizierungsausnahmen Die angesurfte URLwird ohne vorherige Authentifizierung aufgerufen. Beispiele
Virenscanner
Virenscanner-Einstelungen
| Virenscanner: | aktivieren / deaktivieren |
| Virenscanner-Typ: | Es kann zwischen zwei gewählt werden. |
- Clam AntiVirus und
- Cyren Scan Daemaon
| Größenbeschränkung von geprüften Dateien: | 2 Megabytes legt fest, wie groß die Dateien sein dürfen, die vom Virenscanner überprüft werden sollen. |
| 5 Sekunden |
Whitelist Ausnahmen
Zusätzlich sind Whitelist Ausnahmen definierbar. Zum einen auf Basis der MIME Typen, das heißt der Inhalts-Klassifizierung die bei der Datenübertragung im Internet vorgenommen wird. Zum anderen ist es möglich eigene Filter aufgrund von Regular Expressions (Regex) zu erstellen.
Wichtig:
Testviren von diesen Seiten werden nicht erkannt!!!
Regular Expressions
Als Regular Expression oder auch Regulärer Ausdruck wird eine Zeichenkette bezeichnet die der Beschreibung von Mengen an Zeichenketten dient. Beispiele für die Anwendung von Regular Expressions finden Sie schon im Bereich Websites Whitelist.
Der Einsatz von Regulären Ausdrücken bietet eine große Flexibilität beim anlegen individueller Filterregeln.
Einen Einführungskurs zu Regulären Ausdrücken finden Sie z.B. unter http://www.regenechsen.de. Reguläre Ausdrücke können auf der Seite regexr.com überpüfen.
Bandbreite
Globale Bandbreite
Sie können eine globale Bandbreite für den Proxy einstellen. Der Proxy verwendet in diesem Fall nur die maximale Bandbreite und lässt den Rest der Bandbreite von Ihrer Internetverbindung unberührt. (Diese Bandbreite teilen sich alle Hosts die mit dem Proxy verbunden sind.)
Host Einstellungen
Wie bei der globalen Bandbreite können Sie auch für jeden einzelnen Host eine Bandbreite bereitstellen. Die limitierte Bandbreite für Hosts kann nicht die globale Bandbreite übersteigen.
Anwendung blocken
Nach wie vor haben Sie die Möglichkeit gewisse Anwendungen zu blocken. Dieses geschieht einfach per Markierung der unerwünschten Anwendung.
iTunes
Hinweis: Damit iTunes korrekt mit dem Internet kommunizieren kann, sind Ausnahmen im HTTP-Proxy anzulegen
SSL-Interception
Mit dem Feature SSL-Interception ist es möglich, Schadcode in SSL-Verschlüsselten Datenströmen bereits am Gateway zu erkennen. Es unterbricht die verschlüsselten Verbindungen und macht die Datenpakete für Virenscanner und andere Filter sichtbar. Die Datenübertragung zum Client erfolgt dann wieder verschlüsselt. Dazu ist es allerdings notwendig, ein Zertifikat zu erstellen und dieses im Feld Zertifikat auszuwählen.
Auch hier besteht wieder die Möglichkeit, anhand von Regular Expressions, Ausnahmen zu definieren. Da hier aber nur https ankommen kann, brauchen Sie hier, anders als bei dem Virenscanner, nicht mehr auf die Protokolle zu Filtern. Eine Ausnahme für www.securepoint.de würde also lauten:
.*\.securepoint\.de
Transparenter Modus
Durch den transparenten Modus ist der Proxy für die Clients nicht sichtbar, der Client sieht seine Internetverbindung (HTTP) als ob kein Proxy davorgeschaltet wäre. Dennoch geht der gesamte HTTP Stream über den Proxy, wodurch Sie keine Einstellungen auf dem Client vornehmen müssen, dabei haben Sie aber die gleichen Möglichkeiten den Datenstrom zu analysieren / blocken / filtern / manipulieren, als ob Sie einen fest eingetragenen Proxy benutzen würden.
Netzwerkobjektgruppen zuweisen
In der Version 11 ist es nun möglich, dem transparenten Modus selbst definierte Netzwerkobjektgruppen zuzuweisen. Dazu legen Sie unter Firewall → Portfilter im Bereich Netzwerkobjekte entsprechende Netzwerkgruppen an und weisen diesen die entsprechenden Netzwerkobjekte zu. Das geschieht entweder beim Anlegen neuer Netzwerkobjekte oder bei bestehenden mit dem Markieren der Gruppe per Mausklick auf den Gruppennamen. Wenn das Feld Orange hinterlegt ist, wählen Sie ein Netzwerkobjekt aus und klicken auf das „+“ in der Zeile des Netzwerkobjektes. Nun erscheint dieses Objekt in dem Fensterteil „Netzwerkobjekte in der Gruppe“.
Anschließend kann definiert werden, ob diese Gruppe den transparenten Modus des http-Proxy nutzen soll oder davon ausgenommen wird.
