Webfilter

Aus Securepoint Wiki
Version vom 10. Juli 2017, 10:29 Uhr von Bastiane (Diskussion | Beiträge) (Profile)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Wechseln zu:Navigation, Suche

Informationen

Letze Anpassung zur Version: 11.7
Bemerkung: Funktionserweiterung
Vorherige Versionen: 11.6.12 + 11.5

Einleitung

Der Webfilter ordnet Berechtigungen, den zugrunde liegenden Netzwerk- oder Benutzergruppen, in Profilen zu. In diesen Profilen befinden sich Regelsätze, die innerhalb eines Profils, von oben nach unten abgearbeitet werden. Mehrere Regelsätze innerhalb eines Profils machen gerade dann Sinn, wenn Gruppen zu bestimmten Zeiten (z. B. Mittagspause, nach Feierabend) unterschiedliche Berechtigungen zugeordnet werden sollen.

Der Webfilter

Webfilter-Einstellungen

In den Allgemeinen Einstellungen des Webfilter kann die Funktion Ein- oder Ausgeschaltet werden. Zusätzlich kann das Standardverhalten des Webfilters, für die Punkte "Kein passendes Profil gefunden", "Keine passende Regel gefunden", auf blockieren oder zulassen gestellt werden.

Kein passendes Profil gefunden

Definiert das Verhalten für Netzwerk- und Benutzergruppen, für die kein Webfilter Profil angelegt worden ist, sowie für Gruppen deren Profile keine Regelsätze mit passendem Zeitstempel beinhalten.

Keine passende Regel gefunden

Definiert das Standardverhalten, wenn im aktiven Regelsatz keine passende Regel gefunden wurde.

Kategorie nicht auflösbar

Definiert das Standardverhalten, falls die Kategorie nicht aufgelöst wurde. Beispielsweise wenn keine Verbindung zum Server aufgebaut werden konnte.

Profile

Profile

In den einzelnen Profilen werden die Regelsätze mit entweder Netzwerkgruppen (transparenter Proxy Modus) oder Benutzergruppen (dedizierter Proxy Modus mit Authentifizierung) verbunden. Aufgrund von möglichen Überlappungen von Gruppen ist auch hier zu beachten, dass auch die Profile von oben nach unten abgearbeitet werden.

Hier wird erklärt, wie eine Benutzergruppe und hier wie ein Netzwerkobjekt angelegt werden kann.

Wenn die entsprechende Netzwerk- oder Benutzergruppe angelegt wurde, kann ein Profil erstellt werden. Durch betätigen der Schaltfläche + Profil hinzufügen kann eine Gruppe ausgewählt werden, für die ein Webfilterprofil erstellt werden soll. Standardmäßig wird für das neu angelegte Profil ein Regelsatz angelegt.

Alert-yellow.png
Ein Profil kann mehrere Regelsätze enthalten z. B. Ausnahmen für die Mittagspause.


Regelsätze

Regelsätze

In den Regelsätzen wird definiert, welche Webseiten und Kategorien geblockt und freigegeben werden. Die Regelsätze können außerdem für einen Zeitraum begrenzt werden, um z. B. Mitarbeitern in der Mittagspause die Möglichkeit zu geben, privat zu surfen.











Regelsatz hinzufügen

Neuer Regelsatz

Die automatisch erstellen Regelsätze können, um sie den Anforderungen an die Schutzmaßnahmen anzupassen, über den "Werkzeugschlüssel "bearbeitet werden Wenn ein eigener Regelsatz erstellt werden soll, ist dies möglich wenn die Schaltfläche + Regelsatz hinzufügen betätigt wird.

Allgemein

Name: Hier wird der Regelname festgelegt.
Zugang blockieren: Alle Webseiten werden gesperrt.
SafeSearch: Inhalte mit anstößigen Inhalten werden gefiltert.
URL-Shortener: Definiert den Zugriff auf Webseiten, dessen Hostname URL-Shortener-Dienste verwendet. Hier kann gewählt werden, ob diese blockiert, zugelassen oder aufgelöst werden sollen.
Securepoint Whitelist: Eine Sammlung von URLs, die Securepoint als vertrauenswürdig bezeichnet.
Keine passende Regel gefunden: Wie reagiert der Webfilter, wenn für die Netzwerk- bzw. Benutzergruppe keine Regel existiert?
Kategorie nicht auflösbar: Wie reagiert der Webfilter, wenn die Kategorie nicht ermittelt werden konnte.

Gültig

Dem Regelsatz kann hier ein Zeitraum zugewiesen werden, in dem dieser gültig ist.

Regeln

Hier wird festgelegt, welche Webseiten erlaubt sind oder auch nicht erreicht werden sollen. Der Webfilter bietet die Möglichkeit nach den Kriterien URL oder Kategorien zu filtern. Kategorien sind Sammlungen von Webseiten, ähnlich der Securepoint Whitelist, die bestimmten nach Themenbereichen zusammengestellt sind. Die Reihenfolge der Regeln ist immer URL, gefolgt von Kategorie.
Eine Übersicht mit allen Kategorien ist hier zu finden.

Sonstiges

Beispiele für Ausnahmen für Windows-Updateserver

Weitere Beispiele zur Einrichtung des Webfilter, Authentifizierungsausnahmen, Virenscanner und SSL-Interception bezüglich Windows Updates gibt es im Knowledge Base Artikel Windows Updates mit HTTP-Proxy und Webfilter

Architektur des Webfilter

Webfilter.png

Der Webfilter arbeitet mit URL- und Kategorien-Regelsätzen, die in Profilen Netzwerkgruppen oder Benutzergruppen zugeordnet werden müssen.

Der Ablauf ist wie folgt:
Ein Benutzer ruft über einen Browser oder eine andere Anwendung eine Webseite auf. Die Datenpakete, inclusive dem Uniform Resource Locator (URL) der Webseite, werden über den HTTP Proxy geleitet. Entweder dadurch, dass der HTTP Proxy als Transparenter Proxy eingerichtet ist, oder durch die Proxy-Konfiguration des Browsers am Client.

Je nachdem ob zuerst ein Profil für eine Benutzergruppe oder eine Netzwerkgruppe angelegt wurde, wird überprüft, ob der Benutzername oder die IP-Adresse mit einem Profil übereinstimmt.

Stimmt weder der Benutzername noch die Quell IP-Adresse mit einem Gruppen-Profil überein, greift die Standard Aktion, die unter Webfilter im Bereich Allgemein unter Kein passendes Profil gefunden: definiert wurde. Es werden diese Anforderungen, je nach Einstellung im Webfilter, entweder zugelassen oder geblockt.

Nachdem ein Profil erkannt wurde, wird der damit verknüpfte Regelsatz überprüft.

Zunächst wird die zeitliche Gültigkeit des Regelsatzes überprüft. Stimmt diese nicht überein, prüft der Webfilter ob ein weiterer Regelsatz für dieses Profil hinterlegt ist. Ist dieses nicht der Fall, greift die Webfilter Standard Aktion.
Ist der Regelsatz nicht zeitlich geregelt oder stimmt der Regelsatz zeitlich überein, wird als nächstes überprüft, ob dieser Regelsatz den Zugang grundsätzlich blockieren soll. Das ist der Fall, wenn im Fenster Regelsatz bearbeiten die Markierung bei Zugang blockieren: gesetzt wurde.

Wird mit dem Regelsatz nicht alles blockiert, überprüft der Webfilter die hier hinterlegten URLs und vergleicht diese mit der Anforderung des Clients. Ist die URL oder Teile der URL im Regelsatz eingetragen, wird geprüft, ob diese auf der Whitelist oder auf der Blacklist stehen und dadurch zugelassen oder geblockt.

Ist die angeforderte URL nicht eingetragen, wird überprüft ob diese zu einer Kategorie passen.
Dazu wird zunächst geprüft, ob diese URL schon einmal auf die Zuordnung zu einer Kategorie geprüft wurde und ob sich diese Anfrage noch im Cache befindet.
Ist das nicht der Fall, wird über die UTM eine Anfrage an die Securepoint Contentfilter-Server gestellt, die ähnlich einer DNS Anfrage funktioniert: Die URL wird zunächst zum Server übertragen. Die Anfrage wird mit einer IP-Adresse beantwortet, die den Webfilter darüber informiert, in welcher Kategorie sich diese URL befindet.

Nun wird überprüft, ob die Kategorie aufgelistet und auf einer White- oder Blacklist steht. Daraufhin wird die Anfrage an diese URL zugelassen oder geblockt.

Es ist möglich, dass eine URL in mehreren Kategorien enthalten ist. Die Anfrage an die Contentfilter-Server wird wiederholt sowie mit den weiteren Einträgen in der Liste abgeglichen.

Sind weder die URL noch eine passende Kategorie in den Regeln hinterlegt, trifft die Einstellung unter "Regelsatz bearbeiten" "Keine passende Regel gefunden" zu. Hier kann pro Regalsatz ein abweichendes Verhalten zu den default Regeln eingestellt werden. Sollten die Kategorien nicht auflösbar sein so gilt hier ebenfalls das unter "Regelsatz bearbeiten" "Kategorie nicht auflösbar" eingestellte Verhalten.