HTTP-Proxy und Webfilter

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Benutzeravatar
isential gmbh
Beiträge: 162
Registriert: Di 05.05.2015, 22:17
Kontaktdaten:
Kontaktdaten von isential gmbh

HTTP-Proxy und Webfilter

Beitrag von isential gmbh »

Hier habe ich nochmals eine Frage bezüglich des Verhaltens bzw. der Einstellung des Proxys und des Webfilters.

Als Beispiel für meine Frage nehme ich twitter. Das passiert aber genauso mit anderen Adressen wie z. B. outlook.office365.com.

Ich möchte durch die Verwendung des Proxy u. v. a. protokollieren, was die Anwender machen. Dazu habe ich in die UTM-Firewall das AD einer Windows-Domäne eingebunden.

Für die Domänenbenutzer habe ich eine Gruppe erstellt, welche ich im Webfilter verwende. Da habe ich nur drei Profile in der aufgeführten Reihenfolge:
  1. internal-networks => ohne_authentifizierung_rulset
  2. grp_domaenen-benutzer => grp_domaenen-benutzer_rulset
  3. administrator => administrator_rulset
Unter 1. behandle ich die Adressen, bei denen keinen Authentifizierung erfolgte. Der letzte Eintrag ist ** (zwei Sternchen), der blockiert wird. Damit sollen keine weiteren Gruppen herangezogen werden.

Unter 2. behandle ich die Adressen für die Domänenbenutzer.

Nun habe ich Zugriffe auf Twitter, die mit der Angabe eine Domänenbenutzers stattfinden:

Code: Alles auswählen

3.05.2017 19:25:40    spfilter    ALLOWED ip="192.168.70.3", host="192.168.70.3", usr="rkk", grp="2", cat="", cat_all="", act="URLLIST", srv="195.4.128.37", url="https://twitter.com/"
Hier sieht man klar und deutlich, dass die Verbindung zu Twitter für den User "rkk" durch Anwendung der Gruppe "2" (grp_domaenen-benutzer => grp_domaenen-benutzer_rulset) erlaubt wurde. Schön protokolliert und genauso, wie wir es haben wollen.

Nun gibt es aber Zugriffe auf Twitter ohne Angabe eines Benutzers.Diese Zugriffe wollen wir auch erlauben, so dass wir in der Gruppe "1" (internal-networks => ohne_authentifizierung_rulset) entsprechende Regeln angelegt haben. Hier bekomme ich trotz Regel folgenden Log (vom HTTP-Proxy und nicht vom Webfilter):

Code: Alles auswählen

23.05.2017 19:25:50    HTTP-Proxy (squid)    1495560350.819 1 192.168.70.3 TCP_DENIED/407 4244 CONNECT twitter.com:443 - HIER_NONE/- text/html
Daraufhin habe ich eine Authentifizierungsausnahme für Twitter im HTTP-Proxy gemacht und bekam folgenden Logeintrag:

Code: Alles auswählen

23.05.2017 19:47:30    spfilter    ALLOWED ip="192.168.70.3", host="192.168.70.3", usr="-", grp="1", cat="", cat_all="", act="URLLIST", srv="178.63.133.83", url="https://twitter.com/"
Dabei hat der Proxy mich einmalig aufgefordert, mich erneut anzumelden, was ich getan habe. Seitdem kann ich mich auf Twitter bewegen, wie ich nur lustig bin, sowohl Proxy als auch Webfilter protokollieren kaum etwas, was mit Twitter zu tun hat, auch wenn ich mich heftigst darin bewege. Noch schlimmer: Die wenigen Protokolleinträge enthalten keinen User mehr:

Code: Alles auswählen

23.05.2017 19:53:17    HTTP-Proxy (squid)    1495561997.365 321676 192.168.70.3 TCP_TUNNEL/200 5407 CONNECT analytics.twitter.com:443 - HIER_DIRECT/104.244.42.131 -
23.05.2017 19:53:18    HTTP-Proxy (squid)    1495561998.365 322671 192.168.70.3 TCP_TUNNEL/200 5933 CONNECT syndication.twitter.com:443 - HIER_DIRECT/104.244.42.200 -
23.05.2017 19:55:53    spfilter    ALLOWED ip="192.168.70.3", host="192.168.70.3", usr="-", grp="1", cat="", cat_all="", act="URLLIST", srv="213.128.147.50", url="https://analytics.twitter.com/"
23.05.2017 19:55:53    spfilter    ALLOWED ip="192.168.70.3", host="192.168.70.3", usr="-", grp="1", cat="", cat_all="", act="URLLIST", srv="213.128.147.50", url="https://syndication.twitter.com/"
Die einzige auswertbare Information ist die Quell-IP. Wie es aussieht, überlagert die Authentifizierungsausnahme einen möglichen User.

Wie kann ich erreichen, dass nur und ausschließlich nicht authentifizierte Zugriffe über die erste und alle anderen über die zweite Webfilter-Gruppe gehen?

Im Voraus herzlichen Dank!

René Ketterer
isential gmbh
Nach oben
kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:
Kontaktdaten von kennethj

Beitrag von kennethj »

Hallo,

das verhalten vom Proxy ist richtig.
Da eine Authentifizierungsausnahme für twitter definiert ist, fragt dieser am Client keine Benutzer Daten mehr für Twitter ab.
Ergo greift immer der erste Regelsatz im Webfilter.

Beispiel wie die Proxy Authentifizierung arbeitet:
Client sendet HTTP Request an Proxy für eine URL.
Proxy quittiert dieses HTTP Request mit einem 407 - Proxy Authentification required
Client sendet neuen HTTP Request an Proxy - mit Zugangsdaten.(für die gleiche URL)

Dieses Schema wiederholt sich für jede URL die aufgerufen wird (auch Bilder die nachgeladen werden)

Das verhalten wie Sie es sich wünschen ist (meines Wissens nach) nicht möglich. Aufgrund des oben genannten Ablaufes.
Denn durch die Ausnahme wird nun kein 407 mehr an den Client geschickt wenn dieser Twiitter aufruft. (Und Clients schicken nie von alleine Ihre Zugangsdaten mit)

Bezüglich des Logs: Die UTM schneidet das Log zurecht - damit das Log nicht mit xx Millionen twitter URLs zugespamt ist und Sie noch andere wichtige Logs sehen.

Gruß
Nach oben
Benutzeravatar
isential gmbh
Beiträge: 162
Registriert: Di 05.05.2015, 22:17
Kontaktdaten:
Kontaktdaten von isential gmbh

Beitrag von isential gmbh »

OK. Vielen Dank!

Dann kann ich solche Seiten so belassen, wie sie sind und den Filter so einstellen, dass wenn keine passende Regel gefunden wird oder die Kategorie nicht auflösbar ist, die Adresse trotzdem nicht blockiert wird. Dann habe zwar die vielen 407, kann jedoch sehen, was die Anwender machen. Ist das richtig so oder begehe ich einen Denkfehler?

Der Schalter "Kein passendes Profil gefunden" lässt mich dabei noch etwas grübeln... Wann kommt er sinnvoll zur Anwendung?

Herzlichen Dank und viele Grüße!
René Ketterer
isential gmbh
Nach oben
Antworten

Zurück zu „Allgemeines“