Beschreibung:Um in der LANCOM R&S®Unified Firewall UTM-Funktionen, wie z.B. URL-/Content-Filter oder Antivirus nutzen zu können, muss der HTTP(S)-Proxy des Gerätes aktiviert und konfiguiert werden. Dieses Dokument beschreibt die dazu notwendigen Konfigurationsschritte.
Wichtiger Hinweis:Application Filter benötigt keinen HTTP(S). Proxy . Er analysiert sämtlichen Datenverkehr, der die Firewall passiert, unabhängig davon, welcher Port verwendet wird. Wie Sie den
Application Filter konfigurieren ist in folgendem Dokument beschrieben
- Wie Sie die Antivirus-Funktion konfigurieren ist in folgendem Dokument beschrieben .
- Wie Sie den URL-/Content-Filter konfigurieren ist in folgendem Dokument beschrieben .
Der HTTP(S)-Proxy dient als Mittelsmann. Er stellt eine Verbindung zum Webserver her, generiert mithilfe seiner eigenen HTTP(S)-Proxy-CA ein Pseudo-Zertifikat für die Website und verwendet dieses, um eine Verbindung zum Browser herzustellen. So kann der Proxy den Datenverkehr analysieren, URL- und Contentfilter anwenden und nach Viren suchen.
WICHTIG:Stellen Sie sicher, dass der DNS-Server Ihrer LANCOM R&S ®Unified Firewall die Domains, auf die zugegriffen wird, korrekt auflösen kann, wenn der HTTP(S)-Proxy aktiv ist.
Voraussetzungen:- Bereits eingerichtete und funktionsfähige Internet-Verbindung auf der Unified Firewall
- Funktionsfähig eingerichteter Paket-Filter auf der Unified Firewall (siehe )
- Beliebiger Browser für den Zugriff auf das Webinterface der Unified Firewall
Vorgehensweise:1. HTTP(S)-Proxy aktivieren:1.1.
Aktivieren Sie den HTTP(S)-Proxy im Menü
UTM -> Proxy -> HTTP-Proxy-Einstellungen.
1.2. In diesem Beispiel soll der Proxy
transparent arbeiten. In dieser Eistellung leitet die Unified Firewall automatisch
alle
Anfragen, die auf Port 80 (HTTP) bzw. auf Port 443 (HTTPS) eintreffen, über den Proxy weiter.
Info:Intransparent auswählen, muss der HTTP-Proxy Ihrer Unified Firewalls
explizit auf Port 10080 (HTTP) bzw. 10443 (HTTPS) eingestelltIn dieser Konfiguration müssen Sie in der Proxy-Konfiguration vom jedem Browser die IP-Adresse der Unified Firewall und die Ports manuell eintragen!1.3. Als
Proxy-CA wird in diesem Beispiel das
standardmäßig vorhandene Zertifikat der HTTPS Proxy CA verwendet. Die CA (Zertifizierungsstelle) wird vom HTTP(S)-Proxy verwendet, um Pseudo-Zertifikate auszustellen.
Info:Die Zertifizierungsstelle wird nur angezeigt, wenn der
HTTPS-ProxyTransparentIntransparent1.4. In diesem Beispiel wird
keine Client-Authentifizierung durchgeführt. Wenn diese Funktion aktiviert ist, wird eine HTTP(S)-Client-Authentifizierung mithilfe der Unified Firewall-Benutzerverwaltung durchgeführt.
1.5.
Optional können Sie eine Liste (Whitelist) von Domains festlegen, die von SSL-Untersuchung, Virenscanner und URL-Filter ausgeschlossen werden sollen. Domains auf der Whitelist werden vom HTTP(S)-Proxy ohne Analyse akzeptiert und sind direkt im Browser des Benutzers verfügbar.
Es werden keine Zertifikate erstellt. Diese Einstellung wird für Dienste benötigt, die striktes Certificate Pinning verwenden (Beispiel: Windows Update unter windowsupdate.com). Sie können beliebig viele Domains hinzufügen. Geben Sie eine Domain ein und klicken Sie auf
"+", um sie zur Liste hinzuzufügen.
Sie können einzelne Einträge in der Liste bearbeiten oder löschen, indem Sie auf die entsprechende Schaltfläche neben einem Eintrag klicken.
Tipp:Die Domains dürfen die folgenden Platzhalter enthalten: * und . für ganze Wörter, ? für einzelne Zeichen.
1.6. Klicken Sie auf
Speichern um die Einstellungen zu übernehmen.
2. Nutzung des HTTP(S)-Proxy konfigurieren:In diesem Beispiel sind im LAN Windows-PC vorhanden, welche auf das Internet zugreifen können.
Im gesamten LAN soll der Zugriff auf Webseiten zwingend über den HTTP(S)-Proxy der Unified Firewall erfolgen.2.1. Klicken Sie im
Host-/Netzwerkgruppen Desktop-Objekt für das LAN auf das
Verbindungswerkzeug und klicken
anschließend auf das WAN Netzwerk-Objekt.
2.2. Der Dialog mit den
Einstellungen dieser Verbindung wird geöffnet. Hier müssen Sie nun
jeweils beim Dienst HTTP und/oder HTTPS auf die Option
NAT klicken. Alternativ können Sie auf den
Stift in der Spalte "Ändern" klicken und dann die
Registerkarte Erweitert öffnen.
2.3.
Aktivieren Sie jeweils die Option
Proxy für diesen Dienst aktivieren und klicken Sie auf
Speichern.
2.4. Die
Dienste-Liste muss dann für die Dienste HTTP und/oder HTTPS
folgendermaßen aussehen. Klicken Sie erneut auf
Speichern.2.5. Klicken Sie abschließend in der Firewall auf
Aktivieren, damit die
Konfigurations-Änderungen umgesetzt werden.
3. Zertifikat exportieren und auf einem Windows-PC importieren:In diesem Beispiel sind im LAN mehrere Windows-PC vorhanden, welche auf das Internet zugreifen können. Der Zugriff soll über den HTTP(S)-Proxy der Unified Firewall erfolgen.
3.1. Wechseln Sie in das
Menü
Zertifikatsverwaltung -> Zertifikate.3.2.
Expandieren Sie das Zertifikate-Menü und klicken Sie
beim Zertifikat für die standardmäßig vorhandene HTTPS Proxy CA auf die
Exportieren-Schaltfläche.
3.3. Das Zertifikat muss im
PEM-Format exportiert werden. Klicken Sie auf
Exportieren um den Vorgang zu starten.
3.4. Wechseln Sie auf Ihrem Computer in den Ordner, in welchen Sie das Zertifikat exportiert haben.
3.5. Damit sich das Zertifikat unter Windows installieren lässt,
müssen Sie es von der Dateiendung *.pem in die Dateiendung *.crt umbenennen.Beachten Sie, dass Sie zur Installation des Zertifikats administrative Rechte auf dem Windows-System besitzen müssen!3.6.
Klicken Sie auf die Zertifikatsdatei und bestätigen Sie die folgende Sicherheitswarnung mit
OK.
3.7. Wählen Sie im
Zertifikat-Dialog die Option
Zertifikat installieren.
3.8. In diesem Beispiel soll das
Zertifikat auf dem lokalen Comuter installiert werden, sodass es von
allen Benutzer dieses Computers verwendet werden kann.
3.9. Wählen Sie die Option
Alle Zertifikate in folgendem Speicher installieren und stellen Sie über die
Durchsuchen-Schaltfläche den Speicher
Vertrauenswürdige Stammzertifizierungsstellen aus.
3.10. Klicken Sie auf
Weiter und
folgen Sie dem Zertifikatsimport-Assistent bis zum Ende.
3.11. Der Zertifikatimport ist damit
abgeschlossen. Alle gängigen Browser können das Zertifikat nach einem Neustart des Computers verwenden.
Wiederholen Sie den Zertifikatimport (Schritte 3.7. bis 3.11) auf allen weiteren Computern im LAN.Hinweis zur Nutzung des Zertifikats im Mozilla Firefox:Um das Zertifikat auch im Mozilla Firefoy nutzen zu können,
müssen Sie folgendes tun:- Geben Sie in der Adresszeile des Browsers about:config ein.
- Suchen Sie nach dem Wert security.enterprise_roots.enabled.
- Setzen Sie den Wert von false auf true.
- Starten Sie den Browser einmal neu.