Wir benutzen für unsere UTMs den Proxy – dieser hört auf 8080. Der Proxy ist zwecks Authentifizierung zudem mit dem ADS verbunden.
Wir haben für z. B. Windows-Updates, Antiviren-Updates usw. beim HTTP-Proxy etliche Authentifizierungsausnahmen. Auch pflegen wir eine Webseiten-Whitelist. SSL-Interception haben wir NICHT aktiv, da jedes Mal wir etliche Schwierigkeiten und Mehrarbeit damit hatten (der letzte Versuch liegt fast ein Jahr zurück).
Im Webfilter haben wir drei Profile mit unterschiedlichen Regelsätzen. Eins ist für den Administrator gedacht und die anderen zwei für die "normale" Arbeit: Ein Profil ist für die authentifizierten Benutzer und das andere für die Zugriffe ohne Authentifizierung (Authentifizierungsausnahmen im HTTP-Proxy).
Unser Portfilter sieht etwas vereinfacht so aus:
internal-network --- internal-interface --- proxy: Accept
internal-network --- Ausnahmen --- http+https: Accept
internal-network --- internet --- http+https: Drop
Ausnahmen: Das ist eine Netzwerkgruppe, die viele IP-Adressen (einzelne wie auch ganze Bereiche) zulässt. Hier ein Beispiel (gehört Microsoft):
Zone: external
Adresse: 131.253.0.0/16
http+https: Fasst die Dienste http und https zusammen
Nun das funktioniert auch. Alles was nicht durch die erste Regel erfasst wird, wird von den zweiten Regeln erfasst. Ansonsten wird die dritte Regel aktiv, die sonstige http- und https-Anfragen verwirft.
Nun zu meinem Problem, wobei ich weiter ausholen muss:
Ich habe heute auf zwei Rechnern in der Firma das Linux-Subsystem (WSL) von Windows installiert. Daraufhin habe ich aus dem Microsoft-Store die Unterstützung für Ubuntu 18.04 LTS heruntergeladen und installiert. Bis dahin alles OK.
Das WSL habe ich deswegen installiert, da wir .NET Core entwickeln und so sparen wir uns virtuelle Maschinen o. ä. für die Tests unter Linux. Während der Installation von .NET Core für Ubuntu werden von der Ubuntu-Seite viele Dateien heruntergeladen. Davor hatte ich vorsichtshalber Authentifizierungsausnahmen für die gesamte Ubuntu-Domäne im Proxy eingerichtet, dasselbe für den Virenscanner (White-List) und die Domäne auch im Webfilter freigegeben. Trotzdem wurden viele Zugriffe abgelehnt, was dazu führte, dass ich zunächst .NET Core nicht installieren konnte.
Um das dennoch zu machen, habe ich in die Netzwerkgruppe "Ausnahmen" einen ganzen IP-Block, der Ubuntu gehört, als weitere Ausnahme eingetragen:
Zone: external
Adresse: 91.189.88.0/21
Jetzt funktioniert das, aber ich bin aus zwei Gründen damit nicht zufrieden.
- Warum muss ich überhaupt solche Ausnahmen im Portfilter machen, wenn ich davor die gesamte Domäne sowohl im Proxy als auch im Webfilter freigegeben habe? Mache ich hier womöglich einen Gedankenfehler?
- Wenn ich IPs bzw. ganze IP-Bereiche freigebe, dann ist das solange sicher, bis die IP den Besitzer wechselt. Ich würde nie im Leben merken, dass eine von mir als sicher erachtete IP, jetzt einem Bösen gehört. Geht z. B. Ubuntu Pleite und die geben ihre IPs auf, vertraut meine Firewall diesem ganzen Bereich weiterhin, ohne dass ich etwas davon mitbekomme.
Ich hoffe, ich konnte mein Problem einigermaßen klar darlegen und freue mich auf jede Anregung.
Viele Grüße
René