Anregung: Zentrale o. Cloud-basierte Ausnahme-Listen für HTTP-Proxy, SSL-Interception etc.

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Schmitti
Beiträge: 23
Registriert: Fr 30.11.2018, 00:14

Anregung: Zentrale o. Cloud-basierte Ausnahme-Listen für HTTP-Proxy, SSL-Interception etc.

Beitrag von Schmitti »

Hallöchen zusammen,

ich arbeite gerade an meinem ersten UTM-Projekt. Ziel ist die Einrichtung eines HTTP-Proxys mit Authentifizierung und SSL-Interception für eine Arzt-Praxis. So weit, so gut. Der Proxy läuft, die Nutzer müssen sich anmelden, einige Ausnahmen wurden (endlich erfolgreich) eingepflegt. Dennoch verweigern einige Spezialprogramme/-dienste auf einmal ihre Dienste.

Nun ist mir bei der Einrichtung der Ausnahmen für die Proxy-Authentifizierung aufgefallen, dass das Internet of Everything einem das Leben echt schwer machen kann, wenn es darum geht, einen restriktiven Webzugriff herzustellen. Praktisches Beispiel: In der Arztpraxis soll mit Hilfe einer speziellen Praxissoftware ein Word-Dokument mit integrierter Excel-Tabelle erzeugt werden. Ganz toll mit Office 2016, das beim Programmstart erst mal direkt Zugriff auf nicht weniger als 4 verschiedene MS-Server verlangt. Dass man sich dafür am Proxy anmelden muss, merken die Mitarbeiter natürlich nicht bzw. sie verstehen den Zusammenhang nicht. Somit klicken sie (teilweise frustriert) das Anmeldefenster - sofern es überhaupt den Fokus bekommt - einfach weg ("Warum kommt das jetzt? Das will ich jetzt nicht!"). Das ist nur ein Beispiel von mehreren.

Hier ist es nun die leidvolle Aufgabe des Admins, erst die Logs zu durchforsten und dann in mühseliger Kleinarbeit entsprechende Freigaben einzurichten, bzw. den Programmen entsprechende Login-Daten für den Proxy einzugeben. Bei einer gewissen Anzahl an Geräten und Programmen ist das zeitintensiv und teilweise auch nervenaufreibend - außerdem mögen es die Kunden nicht, wenn sie nach einer Umstellung alle paar Stunden ihren ITler anrufen müssen, weil "schon wieder etwas nicht klappt".

In diesem Zusammenhang: Leider ist das Wiki an einigen Stellen - jedenfalls nach meinem Dafürhalten - etwas uneindeutig verfasst, was z. B. das Erstellen der richtigen Regex-Patterns anbelangt. Auch habe ich das Gefühl, dass einige Regex-Ausdrücke gar nicht angenommen werden, oder dass man das Protokoll zu Anfang des Ausdrucks gar nicht setzen darf (und dann man es nicht nur nicht zu setzen braucht), da sonst nämlich die Filterregel anscheinend nicht funktioniert.

Jedenfalls habe ich folgende Anregung: Es wäre super, wenn man, vergleichbar mit den Dienstgruppen für Portfilter-Regeln, bereits Ausnahmegruppen und einzelne Ausnahmen erstellen könnte und solche für die gängigsten Webdienste auch schon vordefiniert wären. Man könnte dann z. B. via Schieberegler benötigte Ausnahmen schnell und unkompliziert und ohne lästige Analyse aktivieren oder deaktivieren. Ein regelmäßiges, Cloud-basiertes Update z. B. über eine Art Wiki wäre noch das Tüpfelchen auf dem I. So könnte man sich das Schwarmwissen vieler UTM-CEs zu Nutzen machen.

Antworten