HTTP-Proxy erzwingen

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Benutzeravatar
isential gmbh
Beiträge: 162
Registriert: Di 05.05.2015, 22:17
Kontaktdaten:
Kontaktdaten von isential gmbh

HTTP-Proxy erzwingen

Beitrag von isential gmbh »

Hallo!

Ich möchte den HTTP-Proxy in einer Windows-Server-Domäne erzwingen, so dass es keine Möglichkeit gibt, diesen zu umgehen. Allerdings möchte ich den transparenten Modus nicht verwenden, da dieser zu viele Probleme mit HTTPS-Seiten (Stichwort: SSL-Interception) macht.

Wie kann ich am Besten erreichen, dass niemand den Proxy umgeht, also diesen zwingend machen? Im Moment funktioniert dieser in der Domäne gut, aber wenn jemand die Proxyeinstellungen ändern darf, kann er locker den Proxy umgehen. Eine weitere Quelle, um den Proxy zu umgehen, sind z. B. mobile Geräte. Klar kann ich auch für das WLAN extra Regeln machen, ich würde aber am Liebsten folgendes erreichen:
  • Jedes Gerät kann nur über den Proxy ins Internet gehen.
  • Für ausgewählte Geräte, Anwender oder Anwendungen sollten Ausnahmen möglich sein.
Wie gehe ich hier am sinnvollsten vor?

Im Voraus vielen Dank!

René
Nach oben
Fireballjtd
Beiträge: 5
Registriert: Sa 06.05.2017, 11:34

Beitrag von Fireballjtd »

Einstellung für den Internetexplorer über GPO festsetzen. Und bei der UTM kannst Du ja im Http-Proxy einstellen das der User sich anmelden muss. Wenn du die UTM mit in die Domaine aufnimmst ist das sogar sehr elegant zu lösen.
Nach oben
kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:
Kontaktdaten von kennethj

Beitrag von kennethj »

Fireballjtd hat geschrieben:Einstellung für den Internetexplorer über GPO festsetzen. Und bei der UTM kannst Du ja im Http-Proxy einstellen das der User sich anmelden muss. Wenn du die UTM mit in die Domaine aufnimmst ist das sogar sehr elegant zu lösen.
Zusätzlich nochausgehend HTTP und HTTPS  verbieten. (Außer für explizite Quell IPs). Desweiteren kann dann nur ein Browser verwendet werden den man Proxy Settings via GPO pushen kann (Firefox kann das meines Wissens nicht)
Nach oben
Benutzeravatar
David
Securepoint
Beiträge: 444
Registriert: Di 09.02.2016, 14:01

Beitrag von David »

Für Firefox gibt es einen Workaround, allerdings ist das ein bisschen Gefrickel.
Mit freundlichen Grüßen

David Gundermann
Head of Mobile Security
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de
Nach oben
Benutzeravatar
isential gmbh
Beiträge: 162
Registriert: Di 05.05.2015, 22:17
Kontaktdaten:
Kontaktdaten von isential gmbh

Beitrag von isential gmbh »

Danke. Ich war verhindert, so dass ich erst antworten kann.

Ich habe eine für mich (zunächst) bessere Lösung gefunden, indem man einige Regeln einrichtet:

internal network => internal interface => proxy
internal interface => internet => any => hn => accept
internal network => internet => http => drop
internal network => internet => https => drop
internal network => internet => any => hn => accept

OK, so kann ich erzwingen, dass http und https über den Proxy geleitet werden. Allerdings stelle ich fest, dass es Probleme mit einigen Zielen gibt. Windows-Update will nicht mehr, einige Seiten, denen man einen bestimmten Port mitgibt, genau so wenig. Das werde ich aber in einem weiteren Thread beschreiben.

Nochmals vielen Dank!

René
Nach oben
Antworten

Zurück zu „Allgemeines“