HTTP Proxy mit unterschiedlichen Zugriffsrechten einrichten.

Ein Forum für Leitfäden rund um Securepoint und verwandte Themen. Beachten Sie, dass dies kein Support-Forum ist.

Moderator: Securepoint

Antworten
oliver
Securepoint
Beiträge: 452
Registriert: Mi 07.02.2007, 14:55
Wohnort: Lüneburg
Kontaktdaten:

HTTP Proxy mit unterschiedlichen Zugriffsrechten einrichten.

Beitrag von oliver »

HTTP Proxy mit unterschiedlichen Zugriffsrechten:

In dieser Beispielkonfiguration wird auf folgendes Szenario eingegangen:

I. Bestimmte User im Netzwerk dürfen nur auf definierte Seiten zugreifen.

II. Bestimmte User im Netzwerk dürfen auf alle Seiten zugreifen ausser
auf Content der im Contentfilter definiert wird.

III. Bestimmte User im Netzwerk dürfen uneingeschränkt auf alle Seiten
zugreifen.


Vorbereitende Maßnahmen:

1. Es ist eine User-Authentisierung beim HTTP Proxy einzustellen, entweder
über eine lokale Userdatenbank oder über Raduis Authtentisierung. Im unserem
Beispiel machen wir das über eine lokale User-Datenbank auf der Firewall.

2. URL Blocking muss aktiviert werden:

a) In der NoBlocking-List werden die Websites oder die Domains
definiert auf die User in Punkt I zugreifen dürfen.

b) In der Blocking-List sollen alle anderen Websites geblockt
werden. Das wird in der Datei, die auf die Firewall geladen
werden muss, über einen "." (ohne die Anführungszeichen)
definiert.

3. Im Contentfilter wird der zu blockende Content definiert der für die
User die im Punkt II definiert sind geblockt werden soll (zum Beispiel
Pornografie).

4. Die User müssen angelegt werden mit HTTP-Zugriffsrechten. In unserem
Fall gibt es einen USer "other" der Punkt I zugeordnet wird (darf nur
auf definierte Seiten zugreifen). Dann gibt es einen User "middle", der
durch den Contentfilter eingeschränkt wird und einen User "master", der
alles darf.

5. Den User "master" hinterlegen wir im HTTP Proxy (Applikationen/HTTP-
Proxy/Content Filter Exceptions/User) das er nicht durch den Content-
Filter reglementiert wird.

6. Nun muß der HTTP Proxy über die CLI (Command Line Interface) angepasst
werden. Dazu muß man wissen das der HTTP Proxy eigentlich aus zwei Diensten
besteht, dem dansguardian (Contentfilter/Virenscanner) und aus dem squid
(URL Blocking und User Authentisierung).

Die Templates für diese Beispielkonfiguration kann man unterfolgender Url
herunterladen:

http://www.securepoint.de/download/temp ... rdian.conf
http://www.securepoint.de/download/temp ... squid.conf

Beim Template des Dansguardian ist für dieses Beispiel das URL-Caching
deaktiviert worden. Das betrifft folgende Einstellung im Template:

# Positive result caching for text URLs
# Caches good pages so they don't need to be scanned again
# 0 = off (recommended for ISPs with users with disimilar browsing)
# 1000 = recommended for most users (DG)
# 3000 = recommended when urlcacheonly is on (DGAV)
# 5000 = suggested max upper limit
urlcachenumber = 0
#
# Age before they are stale and should be ignored in seconds
# 0 = never
# 900 = recommended = 15 mins
urlcacheage = 0

Im Standard-Template ist das Caching aktiviert. Das würde in unserem Beispiel
zu nicht gewünschten Effekten führen. Url Caching bedeutet das eine schonmal
gescannte Website beim nächsten Zugriff nicht nochmal gescannt wird. Greift
also der User "master" auf eine Seite zu die im Contentfilter normalerweise
gesperrt würde, so ist sie für den den User "middle" für eine gewisse Zeit
verfügbar. Dies wird durch die geänderten Einstellungen verhindert.

Im Template des squid wurden folgende Einträge verändert bzw. ergänzt:

# ACL fuer Users

acl usergroup1 proxy_auth other
acl usergroup2 proxy_auth middle
acl usergroup3 proxy_auth master

...

# Zugriff erlaubt mit oder ohne Authentisierung
#IF ${ENABLE_EXCEPTION_URL_LIST}=1
http_access allow noporn usergroup1
#ENDIF

# http_access allow noporn authentication
#IF ${ENABLE_BANNED_URL_LIST}=1
http_access deny porn usergroup1
#ENDIF

#IF ${ENABLE_AUTH_LOCAL}=1
http_access allow authentication usergroup2
http_access allow authentication usergroup3
#ENDIF


In den ACLs haben wir drei Gruppen definiert (usergroup1, usergroup2 und
usergroup3). Dahinter stehen jeweils die User der entsprechenden Gruppe.
Also User "other" in usergroup1 usw.


http_access allow noporn usergroup1 # Hier wird definiert das die usergoup1
auf definiert Seiten zugreifen darf.


http_access deny porn usergroup1 # Hier wird definiert das alle anderen Seiten
für die Gruppe gesperrt sind.

http_access allow authentication usergroup2 # Hier ist defniert das die Gruppe
usergroup2 vollen Zugriff hat. Die Contentfilter-Eingrenzung ist im dansguardian
definiert.

http_access allow authentication usergroup3 # Hier ist definiert das die Gruppe
usergroup3 vollen Zugriff hat. Die Contentfilter-Ausnahme (die User dürfen alles)
ist im dansguardian definiert.

7. Einspielen der Templates.

Das Einspielen der Templates wird über die CLI vorgenommen. Loggen Sie sich
dazu via ssh (Windows User mit putty, auf der CDROM zu finden) ein.
Um das squid Template einzuspielen, kopieren Sie das komplette (modifizierte)
Template in die Zwischenablage und führen Sie folgenden Befehl in der CLI
aus:

change extc_template /etc/squid/squid.conf

Kopieren Sie das Template in die ssh Session (Windows User mit putty betätigen
einfach die rechte Maustaste). Schliessen Sie das Template durch folgenden
Befehl:

**

Danach haben Sie wieder den Prompt der CLI. Das gleiche führen Sie für das
Template des dansguardian aus. Der CLI Befehl lautet:

change extc_template /etc/dansguardian/dansguardian.conf

Nach dem Kopieren der Konfiguration wieder ** eingeben.

Starten Sie dann den Proxy neu. Über die CLI können Sie das mit folgendem
Befehl machen:

restart application SERVICE_HTTP_PROXY

oder über den Security Manager. Testen Sie danach die Konfiguration. Sollte
alles wie gewünscht funktionieren, speichern Sie die Konfiguration permanent
(ansonsten wäre die Konfiguration nach dem nächsten reboot verloren).

Da alle Templates in der Datenbank gespeichert sind, wird über die export
Funktion die Änderung auch mitgesichert. Sie können weiterhin die restliche
Administration über den Security Manager machen. Die Konfiguration ist
integer.
Zuletzt geändert von oliver am Fr 24.08.2007, 12:53, insgesamt 1-mal geändert.
best regards

oliver hausmann
--
Securepoint GmbH

Antworten