Proxy-Nutzung und Ausnahmen

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Benutzeravatar
isential gmbh
Beiträge: 162
Registriert: Di 05.05.2015, 22:17
Kontaktdaten:

Proxy-Nutzung und Ausnahmen

Beitrag von isential gmbh »

Hallo!

Wir benutzen für unsere UTMs den Proxy – dieser hört auf 8080. Der Proxy ist zwecks Authentifizierung zudem mit dem ADS verbunden.

Wir haben für z. B. Windows-Updates, Antiviren-Updates  usw. beim HTTP-Proxy etliche Authentifizierungsausnahmen. Auch pflegen wir eine Webseiten-Whitelist. SSL-Interception haben wir NICHT aktiv, da jedes Mal wir etliche Schwierigkeiten und Mehrarbeit damit hatten (der letzte Versuch liegt fast ein Jahr zurück).

Im Webfilter haben wir drei Profile mit unterschiedlichen Regelsätzen. Eins ist für den Administrator gedacht und die anderen zwei für die "normale" Arbeit: Ein Profil ist für die authentifizierten Benutzer und das andere für die Zugriffe ohne Authentifizierung (Authentifizierungsausnahmen im HTTP-Proxy).

Unser Portfilter sieht etwas vereinfacht so aus:

internal-network --- internal-interface --- proxy: Accept
internal-network --- Ausnahmen --- http+https: Accept
internal-network --- internet --- http+https: Drop

Ausnahmen: Das ist eine Netzwerkgruppe, die viele IP-Adressen (einzelne wie auch ganze Bereiche) zulässt. Hier ein Beispiel (gehört Microsoft):

Zone: external
Adresse: 131.253.0.0/16

http+https: Fasst die Dienste http und https zusammen

Nun das funktioniert auch. Alles was nicht durch die erste Regel erfasst wird, wird von den zweiten Regeln erfasst. Ansonsten wird die dritte Regel aktiv, die sonstige http- und https-Anfragen verwirft.

Nun zu meinem Problem, wobei ich weiter ausholen muss:

Ich habe heute auf zwei Rechnern in der Firma das Linux-Subsystem (WSL) von Windows installiert. Daraufhin habe ich aus dem Microsoft-Store die Unterstützung für Ubuntu 18.04 LTS heruntergeladen und installiert. Bis dahin alles OK.

Das WSL habe ich deswegen installiert, da wir .NET Core entwickeln und so sparen wir uns virtuelle Maschinen o. ä. für die Tests unter Linux. Während der Installation von .NET Core für Ubuntu werden von der Ubuntu-Seite viele Dateien heruntergeladen. Davor hatte ich vorsichtshalber Authentifizierungsausnahmen für die gesamte Ubuntu-Domäne im Proxy eingerichtet, dasselbe für den Virenscanner (White-List) und die Domäne auch im Webfilter freigegeben. Trotzdem wurden viele Zugriffe abgelehnt, was dazu führte, dass ich zunächst .NET Core nicht installieren konnte.

Um das dennoch zu machen, habe ich in die Netzwerkgruppe "Ausnahmen" einen ganzen IP-Block, der Ubuntu gehört, als weitere Ausnahme eingetragen:

Zone: external
Adresse: 91.189.88.0/21

Jetzt funktioniert das, aber ich bin aus zwei Gründen damit nicht zufrieden.
  1. Warum muss ich überhaupt solche Ausnahmen im Portfilter machen, wenn ich davor die gesamte Domäne sowohl im Proxy als auch im Webfilter freigegeben habe? Mache ich hier womöglich einen Gedankenfehler?
  2. Wenn ich IPs bzw. ganze IP-Bereiche freigebe, dann ist das solange sicher, bis die IP den Besitzer wechselt. Ich würde nie im Leben merken, dass eine von mir als sicher erachtete IP, jetzt einem Bösen gehört. Geht z. B. Ubuntu Pleite und die geben ihre IPs auf, vertraut meine Firewall diesem ganzen Bereich weiterhin, ohne dass ich etwas davon mitbekomme.
Vorausgesetzt, ich mache keinen Gedankenfehler, würde ich mir wünschen, dass ich als Netzwerkobjekte auch Domänen im Klartext (mit regulären Ausdrücken) eingeben kann. Die Firewall müsste sicher eine whois-Abfrage machen und ich wäre mit wenig Arbeit "save". Sicher kostet das Zeit – man könnte aber durchgeführte Abfragen cachen, um das zu beschleunigen.

Ich hoffe, ich konnte mein Problem einigermaßen klar darlegen und freue mich auf jede Anregung.

Viele Grüße

René

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

so wie Sie es schreiben vermute ich einmal das im Linux kein Proxy hinterlegt war. Nur dann müssen Sie die Ziele auch per Portfiletrregel nach außen hin freigeben.
Es ist geplant das man auch "Domainnamen" verwenden kann. Dies ist jedoch nicht einmal eben eingebunden.

Gruß Björn

Benutzeravatar
isential gmbh
Beiträge: 162
Registriert: Di 05.05.2015, 22:17
Kontaktdaten:

Beitrag von isential gmbh »

Das WSL nutzt, soweit ich informiert bin, standardmäßig die Proxyeinstellungen von Windows. Wenn ich auf einem System vergesse, den Proxy einzustellen, komme ich einfach nicht raus, was aber hier definitiv nicht der Fall war – das und die Protokolliermögkichkeit von Anwendern ist auch das Ziel bei der Nutzung des Proxy mit ADS–Authentifizierung. Ansonsten könnte man den transparenten Modus nehmen, was wir aber nicht tun.

Ich werde trotzdem noch einige Tests machen, um meine Aussage zu untermauern.

Das mit den Domainnamen ist begrüßenswert, da man viel Arbeit spart und man macht das System sicherer, worum es schließlich bei einer Firewall geht.

Antworten