Anfänger-Probleme mit Proxygrundkonfiguration

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Junioruser1976
Beiträge: 37
Registriert: Di 02.07.2019, 07:43

Anfänger-Probleme mit Proxygrundkonfiguration

Beitrag von Junioruser1976 »

Hallo,
ich bin noch Securepointneuling und gerade dabei, mich in einer Musterkonfiguration auf den HTTPProxy einzuarbeiten.
Als Übungsumgebung habe ich meine DMZ gewählt , in der ich bislang nur 1 Client drin habe und hierfür im Portfilter folgende Regeln erstellt:
Quelle: DMZ, Ziel: dmz-interface Dienst: proxy  Aktion Accept
Dann habe ich im HTTPProxy den transparenten Modus weiter aktiviert gelassen und http include für dmz als Regel ergänzt.
Alternativ habe ich den transparenten Modus rausgenommen und stattdessen im Browser des dmz-Clients die FW als Proxy eingetragen mit 8080.
Egal wie rum, ich komme in dieser Konstellation vom DMZ Client gar nicht mehr ins Internet, wenn das aktiv ist und überlege nun, wo der Denkfehler liegt bzw. was ich in der Konfi ggf. noch vergessen habe:
Bin derzeit als Admin /Gruppe Admin auf der UTM, weitere Benutzer sind noch nicht konfiguriert- und in Werkseinstellung ist HTTPProxy Berechtigung für Gruppe Admin inaktiv derzeit - könnte es ganz einfach daran liegen, dass ich noch nicht das nutzen kann?
Und/oder muss ich ggf. noch bei den Servereinstellungen etwas Grundsätzliches beachtet werden? z.B. muss evt. bei DNS noch in jedem Fall die 127.0.0.1 rein  und besteht hier ein Zusammenhang?
Bevor ich hier aber in der Richtung weiter experimentiere und rumprobieren, frage ich jetzt lieber mal zwischendrin im Forum nach und hoffe, einer von Ihnen kann mir zu dieser Anfängerfrage mal kurz Hilfestellung geben.
Danke im Voraus

Benutzeravatar
David
Securepoint
Beiträge: 444
Registriert: Di 09.02.2016, 14:01

Beitrag von David »

Hallo,
Sie lassen nur http zu? Fast jede Website muss, zum Glück, inzwischen ebenso per https erreichbar sein. Dies sollten Sie in Ihrem Szenario auch über den Proxy lenken.
Mit freundlichen Grüßen

David Gundermann
Head of Mobile Security
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de

Junioruser1976
Beiträge: 37
Registriert: Di 02.07.2019, 07:43

Beitrag von Junioruser1976 »

Hallo, 

vielen Dank für den Hinweis- hab es damit jetzt zum Laufen bekommen :D- aber das ging dann nur über "Transparenter Modus ein", Https include für DMZ und SSl-Interception aktivieren + Erstellung Zertifikat, was ich dann in den Firefox auf dem Client importiert habe.

Verstehe ich es somit richtig: wenn ich den Proxy für typische "normale" Internetnutzung des Clients konfigurieren will, die ja letztlich fast ausschließlich wie Sie schreiben nur noch über Https läuft, dann geht es NUR über die Variante "Transparenter Proxy in Kombi mit SSL Interception"? Oder umgekehrt gesprochen: wenn der Traffic vom Client über den Proxy läuft, lässt der nur das was included ist, durch und wenn es https-Sachen sind, gehen die nur mit Zertifikat /SSlInterceptionaktiv freizuschalten? Die andere Variante: im Browser den Proxy auf die FW zu richten, ist zwar möglich, nützt mir aber sowieso nichts für https-Traffic, weil der ja nur im transparenten Modus überhaupt zum Laufen zu bekommen ist?

Und weitere Frage:
wenn ich https rauslassen würde und ansonsten alle Ausnahmen später im Webfilter für Updates und Virenscanner korrekt reinnehme- würde dann zwar Internetnutzung nicht laufen, Updates vom Virenscanner und Windows im Zweifel schon? ich weiß nicht, ob die Frage gut zu verstehen ist- also ich überlege gerade, was ein Proxy, der nur http included, als praktisches Beispiel dann noch anschaut im Hintergrund, von dem man ggf. im Alltag so nichts mitkriegt...und ob es eine Lösung wäre, an bestimmten Clients einfach für den Alltag überhaupt kein https, somit kein  "Surfen" zuzulassen, aber dennoch die wichtigen Sicherheitsupdates weiter zu bekommen...

Sorry für die vielen Fragen ...
Bin schon jetzt gespannt und freue mich auf die Antworten:-)

Benutzeravatar
David
Securepoint
Beiträge: 444
Registriert: Di 09.02.2016, 14:01

Beitrag von David »

Oder umgekehrt gesprochen: wenn der Traffic vom Client über den Proxy läuft, lässt der nur das was included ist, durch und wenn es https-Sachen sind, gehen die nur mit Zertifikat /SSlInterceptionaktiv freizuschalten? Die andere Variante: im Browser den Proxy auf die FW zu richten, ist zwar möglich, nützt mir aber sowieso nichts für https-Traffic, weil der ja nur im transparenten Modus überhaupt zum Laufen zu bekommen ist? 
Fast. Fest geht auch. Ist in manchen Situation auch ehr zu empfehlen. Aber grundsätzlich benötigen Sie beides, wenn es ordentlich laufen soll; korrekt.

Junioruser1976 hat geschrieben:wenn ich https rauslassen würde und ansonsten alle Ausnahmen später im Webfilter für Updates und Virenscanner korrekt reinnehme- würde dann zwar Internetnutzung nicht laufen, Updates vom Virenscanner und Windows im Zweifel schon? ich weiß nicht, ob die Frage gut zu verstehen ist- also ich überlege gerade, was ein Proxy, der nur http included, als praktisches Beispiel dann noch anschaut im Hintergrund, von dem man ggf. im Alltag so nichts mitkriegt...und ob es eine Lösung wäre, an bestimmten Clients einfach für den Alltag überhaupt kein https, somit kein  "Surfen" zuzulassen, aber dennoch die wichtigen Sicherheitsupdates weiter zu bekommen...
Das hört sich nicht nach einer gesunden Idee an. Und folgt so nem bisschen dem Motto: Security by obscurity. Nicht erstrebenswert.
Am besten:
- Proxy fest eingtragen
- SSL-Interception + Webfilter anmachen
- Zertifikate auf den Clients ausrollen
Mit freundlichen Grüßen

David Gundermann
Head of Mobile Security
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de

Junioruser1976
Beiträge: 37
Registriert: Di 02.07.2019, 07:43

Beitrag von Junioruser1976 »

Vielen Dank für die schnelle Rückmeldung.
Mit "Proxy fest eingetragen" meinen Sie aber definitiv  den transparenten Proxy dann, oder? Denn nur im transparenten Modus kann ich ja überhaupt "include für https" mit machen? Oder ist dieser Eintrag "include https" im Fenster "Transparenter Modus" auch dann wirksam , wenn man den transparenten Modus deaktiviert hat? Wenn ja, müsste es DANN natürlich funktionieren, wenn man den Proxy im Browser jeweils einträgt? Sie schreiben ja weiter oben "fest geht auch" .... aber bislang ist mir noch nicht klar, wie das dann mit https aussehen soll konkret: Bislang hab ich es so interpretiert, dass https-includen überhaupt NUR unter "Transparent" funktioniert, denn eine andere Stelle, um das zu includen, habe ich bislang nicht gefunden?!

Benutzeravatar
David
Securepoint
Beiträge: 444
Registriert: Di 09.02.2016, 14:01

Beitrag von David »

grundsätzlich gibt es zwei modi:

fest:
  • Proxy wird im Browser und anderen Anwendungen auf dem Client eingetragen.
  • 'transparente' Regeln haben hierfür keine Auswirkungen
  • mit SSL-Interception auch für https
  1. ssl-intercetion konfigurieren
  2. PubKey auf dem Client importieren
  3. ggf. Webfilter konfigurieren
  4. auf dem Client in die Anwendungen eintragen
transparent:
  • Traffic wird von der UTM automatisch umgeleitet
  • mit extra Regel & aktiver "SSL-Interception" auch mit https
  1. ssl-intercetion konfigurieren
  2. PubKey auf dem Client importieren
  3. ggf. Webfilter konfigurieren
  4. transp. Regeln aktivieren
hier unsere aktuelle Anleitung dazu: [url=https://wiki.securepoint.de/UTM/APP/HTTP_Proxy-Transparenter_Modus]https://wiki.securepoint.de/UTM/APP/HTTP_Proxy-Transparenter_Modus[/url]
Mit freundlichen Grüßen

David Gundermann
Head of Mobile Security
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de

Junioruser1976
Beiträge: 37
Registriert: Di 02.07.2019, 07:43

Beitrag von Junioruser1976 »

Tausend Dank fürs gute Erklären  :D jetzt hab ich es verstanden:-)
(Ich hatte zunächst angenommen, dass wohl die SSl-Interception überhaupt NUR bei Transparenter Modus funktioniert, weil anfangs der Bereich "SSL Interecption" auf der Firewall  zunächst bei mir nicht aktiv und nicht zu bearbeiten war - konnte da gar nichts eingeben. Erst als ich transparenten Modus aktiviert und https included hatte, ging das : dann war der Bereich zu bearbeiten- daraus hatte ich zunächst geschlossen, dass SSL nur zusammen mit transparentem Proxy - jetzt ist es aber so, hab es grad nochmal probiert, dass  ich nun auch den Transparenten Modus deaktiveren kann und trotzdem bleibt der SSl-Bereich bearbeitbar- vielleicht lag es anfangs auch daran, dass ich zunächst noch kein Zertifikat erstellt gehabt hatte- und evt. hing die Bearbeitbarkeit von SSL ja auch davon ab, überhaupt erstmal ein Zertifikat zu haben. )

Benutzeravatar
David
Securepoint
Beiträge: 444
Registriert: Di 09.02.2016, 14:01

Beitrag von David »

Junioruser1976 hat geschrieben:vielleicht lag es anfangs auch daran, dass ich zunächst noch kein Zertifikat erstellt gehabt hatte- und evt. hing die Bearbeitbarkeit von SSL ja auch davon ab, überhaupt erstmal ein Zertifikat zu haben.
Genau das wars ;-)
Mit freundlichen Grüßen

David Gundermann
Head of Mobile Security
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de

Antworten