Versionen im Vergleich

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.
Seiteneigenschaften

Beschreibung:

Um in der LANCOM R&S®Unified Firewall UTM-Funktionen, wie z.B. URL-/Content-Filter oder Antivirus nutzen zu können, muss der HTTP(S)-Proxy des Gerätes aktiviert und konfiguriert werden. Dieses Dokument beschreibt die dazu notwendigen Konfigurationsschritte.

Hinweis
Der Application Filter benötigt keinen HTTP(S)-Proxy. Er analysiert sämtlichen Datenverkehr, der die Firewall passiert, unabhängig davon, welcher Port verwendet wird. Wie Sie den Application Filter konfigurieren ist in diesem Dokument beschrieben.
  • Wie Sie die Antivirus-Funktion konfigurieren ist in diesem Dokument beschrieben.
  • Wie Sie den URL-/Content-Filter konfigurieren ist in diesem Dokument beschrieben.

Der HTTP(S)-Proxy dient als Mittelsmann. Er stellt eine Verbindung zum Webserver her, generiert mithilfe seiner eigenen HTTP(S)-Proxy-CA ein Pseudo-Zertifikat für die Website und verwendet dieses, um eine Verbindung zum Browser herzustellen. So kann der Proxy den Datenverkehr analysieren, URL- und Contentfilter anwenden und nach Viren suchen.

Hinweis
Stellen Sie sicher, dass der DNS-Server Ihrer LANCOM R&S ®Unified Firewall die Domains, auf die zugegriffen wird, korrekt auflösen kann, wenn der HTTP(S)-Proxy aktiv ist.Auf den Endgeräten muss der DNS-Server der Unified Firewall hinterlegt sein (statisch oder dynamisch per DHCP). Alternativ kann auch ein separater lokaler DNS-Server verwendet werden.Die DNS-Anfragen müssen dann von dem separaten DNS-Server an den DNS-Server der Unified Firewall weitergeleitet werden.Weiterhin darf weder auf den Endgeräten noch auf einem lokalen DNS-Server ein DNS-Cache aktiv sein.Damit die Unified Firewall die Verbindung erlaubt, müssen die vom Endgerät sowie von der Unified Firewall aufgelöste IP-Adresse übereinstimmen.Kommt es hier zu einer Diskrepanz, wird von der Unified Firewall im Log die Fehlermeldung "Host header forgery detected" ausgegeben. Ein Zugriff auf die angefragte Webseite ist dann nicht möglich! 
Warnung
Achten Sie stets darauf, dass beim Einsatz des HTTP(S)-Proxy keine Firewall-Regel(n) mit einem oder mehreren benutzerdefinierten Diensten verwendet werden, welche den TCP-Port 443 enthalten.Dies würde dazu führen, dass der HTTP(S)-Proxy ausgehebelt wird.


Voraussetzungen:

  • LANCOM R&S®Unified Firewall mit Firmware ab Version 10 und aktivierter Full License
  • Bereits eingerichtete und funktionsfähige Internet-Verbindung auf der Unified Firewall
  • Funktionsfähig eingerichteter Paket-Filter auf der Unified Firewall.
  • Web-Browser zur Konfiguration der Unified Firewall. Es werden folgende Browser unterstützt:
    • Google Chrome
    • Chromium
    • Mozilla Firefox
  • Alle DNS-Anfragen müssen über die Unified Firewall durchgeführt werden. Dabei sind folgende Konstellationen erlaubt:
    • Endgerät → Unified Firewall → DNS-Server des Internet-Providers
    • Endgerät → Lokaler DNS-Server → Unified Firewall → DNS-Server des Internet-Providers
    • Endgerät → Unified Firewall → Lokaler DNS-Server → DNS-Server des Internet-Providers
  • Weder auf den Endgeräten noch auf einem lokalen DNS-Server darf ein DNS-Cache verwendet werden!

Vorgehensweise:

Hinweis
Wenn Sie die LANCOM R&S ®Unified Firewall per LANCOM Management Cloud (LMC) im Kontext von Cloud managed Security einsetzen, müssen Sie die Konfigurationsschritte 1 und 2 nicht durchführen, da dies von der LMC übernommen wird.

1. HTTP(S)-Proxy aktivieren:

1.1. Aktivieren Sie den HTTP(S)-Proxy im Menü UTM → Proxy → HTTP-Proxy-Einstellungen.

1.2. In diesem Beispiel soll der Proxy transparent arbeiten. In dieser Eistellung leitet die Unified Firewall automatisch alle Anfragen, die auf Port 80 (HTTP) bzw. auf Port 443 (HTTPS) eintreffen, über den Proxy weiter.

Info
Wenn Sie Intransparent auswählen, muss der HTTP-Proxy Ihrer Unified Firewalls explizit auf Port 10080 (HTTP) bzw. 10443 (HTTPS) eingestellt sein. In dieser Konfiguration müssen Sie in der Proxy-Konfiguration vom jedem Browser die IP-Adresse der Unified Firewall und die Ports manuell eintragen!

1.3. Als Proxy-CA wird in diesem Beispiel das standardmäßig vorhandene Zertifikat der HTTPS Proxy CA verwendet. Die CA (Zertifizierungsstelle) wird vom HTTP(S)-Proxy verwendet, um Pseudo-Zertifikate auszustellen.

Info
Die Zertifizierungsstelle wird nur angezeigt, wenn der HTTPS-Proxy auf Transparent oder Intransparent eingestellt ist.1.4. In diesem Beispiel wird keine Client-Authentifizierung durchgeführt. Wenn diese Funktion aktiviert ist, wird eine HTTP(S)-Client-Authentifizierung mithilfe der Unified Firewall-Benutzerverwaltung durchgeführt.

1.4. In diesem Beispiel wird keine Client-Authentifizierung durchgeführt. Wenn diese Funktion aktiviert ist, wird eine HTTP(S)-Client-Authentifizierung mithilfe der Unified Firewall-Benutzerverwaltung durchgeführt.

1.5. Optional können Sie eine Liste (Whitelist) von Domains festlegen, die von SSL-Untersuchung, Virenscanner und URL-Filter ausgeschlossen werden sollen. Domains auf der Whitelist werden vom HTTP(S)-Proxy ohne Analyse akzeptiert und sind direkt im Browser des Benutzers verfügbar.

Es werden keine Zertifikate erstellt. Diese Einstellung wird für Dienste benötigt, die striktes Certificate Pinning verwenden (Beispiel: Windows Update unter windowsupdate.com). Sie können beliebig viele Domains hinzufügen. Geben Sie eine Domain ein und klicken Sie auf "+", um sie zur Liste hinzuzufügen.

Sie können einzelne Einträge in der Liste bearbeiten oder löschen, indem Sie auf die entsprechende Schaltfläche neben einem Eintrag klicken.

Info
Tipp:
Die Domains dürfen die folgenden Platzhalter enthalten: * und . für ganze Wörter, ? für einzelne Zeichen.

1.6. Klicken Sie auf Speichern, um die Einstellungen zu übernehmen.

2. Nutzung des HTTP(S)-Proxy konfigurieren:

In diesem Beispiel sind im LAN Windows-PC vorhanden, welche auf das Internet zugreifen können. Im gesamten LAN soll der Zugriff auf Webseiten zwingend über den HTTP(S)-Proxy der Unified Firewall erfolgen.

2.1. Klicken Sie im Host-/Netzwerkgruppen Desktop-Objekt für das LAN auf das Verbindungswerkzeug und klicken anschließend auf das WAN Netzwerk-Objekt.

2.2. Der Dialog mit den Einstellungen dieser Verbindung wird geöffnet. Hier müssen Sie nun jeweils beim Dienst HTTP und/oder HTTPS auf die Option NAT klicken. Alternativ können Sie auf den Stift in der Spalte "Ändern" klicken und dann die Registerkarte Erweitert öffnen.

2.3. Aktivieren Sie jeweils die Option Proxy für diesen Dienst aktivieren und klicken Sie auf Speichern.

2.4. Die Dienste-Liste muss dann für die Dienste HTTP und/oder HTTPS folgendermaßen aussehen. Klicken Sie erneut auf Speichern.

2.5. Klicken Sie abschließend in der Firewall auf Aktivieren, damit die Konfigurations-Änderungen umgesetzt werden.

3. Zertifikat exportieren und auf einem Windows-PC importieren:

In diesem Beispiel sind im LAN mehrere Windows-PC vorhanden, welche auf das Internet zugreifen können. Der Zugriff soll über den HTTP(S)-Proxy der Unified Firewall erfolgen.

3.1. Wechseln Sie in dasMenü Zertifikatsverwaltung → Zertifikate.

3.2. Expandieren Sie das Zertifikate-Menü und klicken Sie beim Zertifikat für die standardmäßig vorhandene HTTPS Proxy CA auf die Exportieren-Schaltfläche.

3.3. Das Zertifikat muss im PEM-Format exportiert werden. Klicken Sie auf Exportieren,um den Vorgang zu starten.

3.4. Wechseln Sie auf Ihrem Computer in den Ordner, in welchen Sie das Zertifikat exportiert haben.

3.5. Damit sich das Zertifikat unter Windows installieren lässt, müssen Sie es von der Dateiendung *.pem in die Dateiendung *.crt umbenennen.

Beachten Sie, dass Sie zur Installation des Zertifikats administrative Rechte auf dem Windows-System besitzen müssen!

3.6. Klicken Sie auf die Zertifikatsdatei und bestätigen Sie die folgende Sicherheitswarnung mit OK.

3.7. Wählen Sie im Zertifikat-Dialog die Option Zertifikat installieren.

3.8. In diesem Beispiel soll das Zertifikat auf dem lokalen Computer installiert werden, sodass es von allen Benutzer dieses Computers verwendet werden kann.

3.9. Wählen Sie die Option Alle Zertifikate in folgendem Speicher installieren und stellen Sie über die Durchsuchen-Schaltfläche den Speicher Vertrauenswürdige Stammzertifizierungsstellen aus.

3.10. Klicken Sie auf Weiter und folgen Sie dem Zertifikatsimport-Assistent bis zum Ende.

3.11. Der Zertifikatimport ist damit abgeschlossen. Alle gängigen Browser können das Zertifikat nach einem Neustart des Computers verwenden.

Wiederholen Sie den Zertifikatimport (Schritte 3.7. bis 3.11) auf allen weiteren Computern im LAN.

Info
Hinweis zur Nutzung des Zertifikats im Mozilla Firefox:Um das Zertifikat auch im Mozilla Firefox nutzen zu können, müssen Sie folgendes tun:
  • Geben Sie in der Adresszeile des Browsers about:config ein.
  • Suchen Sie nach dem Wert security.enterprise_roots.enabled.
  • Setzen Sie den Wert von false auf true.
  • Starten Sie den Browser einmal neu.

Informationen zur Nutzung einer vorab angelegten und übergeordneten CA:

Vertraut ein Endgerät einer vorab angelegten und übergeordneten CA, lässt sich dieses ohne weiteren Aufwand zwischen Standorten verschieben. Dieser Fall wird im Folgenden genauer beschrieben.

1. Erstellen der übergeordneten CA:

Diese CA kann auf jeder LANCOM R&S®Unified Firewall erstellt werden. Dies geschieht idealerweise auf einer Zentral-Firewall ohne Internetzugang. Falls bereits eine dedizierte Public-Key Infrastruktur vorhanden ist, empfiehlt es sich, diese zu verwenden.

Info
Wir empfehlen, dass die übergeordnete CA mindestens 5 Jahre gültig ist.

2. Ausrollen der CA:

Diese übergeordnete CA muss auf alle Endgeräte importiert werden und vor Ablauf erneuert und auf allen Endgeräten ausgetauscht werden.

3. Erstellen und signieren der Proxy CAs auf den einzelnen LANCOM R&S®Unified Firewall:

  • Es wird lokal auf den einzelnen LANCOM R&S®Unified Firewalls ein Certificate Signing Request (CSR) für eine Intermediate CA erstellt.
  • Der CSR muss zentral von der übergeordneten CA signiert werden.
  • Die signierte Intermediate CA wird in die lokale LANCOM R&S®Unified Firewall importiertund als CA für den HTTPS Proxy ausgewählt.