16.17. Webfilter¶
Die Webfiltereinstellungen finden Sie unter Services → Web Filter.
Der Webfilter benützt SquidProxy: ein Zwischenspeicherungsproxy für das Web, das HTTP, HTTPS und mehr unterstützt.
16.17.1. Einstellungen¶
16.17.1.1. Allgemeine Einstellungen¶
Aktiviert kann geändert werden, um HTTPS zu aktivieren oder zu deaktivieren. Es ist standardmäßig deaktiviert.
Proxy-Schnittstellen sind die Schnittstellen und Adressen, auf denen der Proxy ausgeführt wird.
Sie können die Einstellungen in der oberen rechten Ecke als Excel-Tabelle exportieren.
16.17.1.2. HTTP¶
Aktiviert kann geändert werden, um HTTP zu aktivieren oder zu deaktivieren. Es ist standardmäßig aktiviert.
Proxy Port ist der Port, auf den der HTTP-Proxyserver hört. Der Standardwert ist 3128.
Transparenter Proxy kann aktiviert werden, um den Proxy als transparenten Proxy fungieren zu lassen. Es ist standardmäßig deaktiviert. Der transparente Proxy leitet jeden Datenverkehr an Port 80 auf der Proxyschnittstelle an Squid um.
16.17.1.3. HTTPS¶
Aktiviert kann geändert werden, um HTTPS zu aktivieren oder zu deaktivieren. Es ist standardmäßig deaktiviert.
Proxy Port ist der Port, auf den der HTTPS-Proxyserverhört. Der Standardwert ist 3129.
Transparenter Proxy kann aktiviert werden, um den Proxy als transparenten Proxy laufen zu lassen. Es ist standardmäßig deaktiviert. Der transparente Proxy leitet jeden Datenverkehr zu Port 443 auf der Proxyschnittstelle an Web Filter um. Da der Datenverkehr verschlüsselt ist und die Transparente Proxy von VT AIR keinen man im mittleren Angriff macht, erhält man die gewünschten Informationen durch Betrachten des Verbindungsstarts und dem Extrahieren der IPs und des SNI-Felds. Dadurch bleibt dem Client keine Warnungen über die Verbindung, während genügend Informationen zum Auswerten von HTTP Access-Regeln erhalten werden.
Der *HTTPS-Proxymodus* kann konfiguriert werden, wenn Transparent Proxy aktiviert ist. Es kann entweder SNI Scan oder Man-in-the-Middle sein. SNI schaut während des TLS-Handshakes auf das SNI-Feld. Man-in-the-Middle unterbricht die Verbindung und präsentiert dem Client sein eigenes Zertifikat. Der Client muss dem Zertifikat vertrauen oder es wird eine Browser-Warnung generiert.
DNS verifizieren HTTPS-Header-Domain gegen den DNS-Eintrag verifizieren. Die Deaktivierung dieser Funktion verursacht mögliche Sicherheitsrisiken wie Spoofing. Andererseits funktionieren Google- oder Amazon-Seiten normalerweise nicht, wenn transparentes SSL aktiviert ist, weil sie so viele DNS-Einträge verwenden.
Zertifikat Hier kann konfiguriert werden, welches Zertifikat verwendet wird.
16.17.1.4. Cache-Einstellungen¶
Festplattencachegröße ist der Speicherplatz, der in Megabyte verwendet werden kann. Der Standardwert ist 100 MB.
Speichercachegröße gibt die ideale Speichermenge an, die in Megabyte verwendet werden soll. Der Standardwert ist 256 MB.
16.17.1.5. Clamav-Anti-Virus¶
ClamAV kann den Webtraffic des Proxys auf Viren scannen. Dies funktioniert nur, wenn der Verkehr tatsächlich unverschlüsselt zu sehen ist und ist im transparenten HTTPS-Fall unwirksam.
Aktiviert zum Aktivieren oder Deaktivieren des Virus-Scans.
Fehlerseite ist die vollständige Url einer Fehlerseite, zu der der Benutzer umgeleitet wird, wenn ein Virus gefunden wird.
Max File Size ist die maximale Größe der zu scannenden Datei in MB.
Max Archive File Size ist die maximale Größe der zu scannenden Archivdatei (z. B. ZIP) in MB.
Dateitypen ausschließen kann genutzt werden, um bestimmte Dateitypen von der Virenprüfung ausschließen.
Sie können mehrere Domains hinzufügen, um eine Allowlist zu konfigurieren. Der Verkehr von diesen Domains wird von der Virus Engine nicht gescannt.
Update-Intervall gibt an, wie oft die Virendefinition während eines Zeitraums von 24 Stunden aktualisiert werden soll.
16.17.1.6. Blockliste¶
Ermöglicht Ihnen den Import eine Vielfalt von Blocklists, die von der Community erstellt wurden. Die Blocklist-Kategorien werden in die ACLs importiert und können für die HTTP-Zugriffsregel verwendet werden.
Aktiviert zum Aktivieren oder Deaktivieren der Blocklists.
Aktualisierungsintervall gibt an, wie oft die Definition der Blocklist aktualisiert werden soll.
Blocklist Easylist Enabled lädt die Easylist herunter und aktiviert sie.
Blocklist DOH Enabled lädt die DOH-Liste herunter und aktiviert sie.
Blockliste Spamhaus Aktiviert lädt die Spamhaus-Liste herunter und aktiviert sie.
16.17.1.7. WPAD Autokonfigurieren¶
WPAD ermöglicht es Ihren Clients, die Auto-Proxy-Einstellung zu aktivieren und den VT AIR-Webfilter zu finden.
Mit Proxy können Sie den HTTP- oder HTTPS-Proxy-Port wählen.
WAPD Interface ist die Interfaceadresse, die zur Weiterleitung an die Clients verwendet wird. Hier kann nur eine IP-Adresse verwendet werden, stellen Sie also sicher, dass die Verbindung in der Firewall erlaubt ist.
Ein DNS-Eintrag mit wpad wird erstellt, um die Einstellungen zu finden.
Die wpad-Datei wird vom Webserver über Port 80 bereitgestellt.
16.17.1.8. Erweitert¶
Upstream Proxy URL ist die gesamte Upstream-Proxy-URL, z. B. http://user:password@proxy.server:port/.
Visible Hostname wird in Proxy-Server-Fehlermeldungen angezeigt. Standard ist localhost.
Administratoren E-Mail wird den Benutzern in Fehlermeldungen angezeigt. Standard ist admin@localhost.
DNS Server 1 und DNS Server 2 kann hier konfiguriert werden.
Benutzerdefinierte Optionen können für benutzerdefinierte Konfigurationsparameter für die Konfiguration verwendet werden. Sie werden zwischen ACLs und HTTP Access Definitionen platziert.
16.17.2. ACL¶
Definieren einer Zugriffsliste. Eine ACL hat den Typ Source, Destination Domain, Destination Regex, Port, Protocol oder Custom. Custom ermöglicht es Ihnen, einen ACL-Typ aus dem Squid-Handbuch auszuwählen (‚Squid ACL‘http://www.squid-cache.org/Doc/config/acl/>‘_).
Ein ACL-Eintrag kann einen oder mehrere Einträge enthalten, und Sie müssen einen pro Zeile eingeben. Die ACL-Quelle kann z. B. folgende Angaben enthalten:
192.168.100.1
192.168.101.0/24
Log Full Traffic ermöglicht die Protokollierung des gesamten Datenpakets, der dieser ACL entspricht. Bei HTTPS-Verkehr muss der Verkehr zuerst bumped werden, damit er unverschlüsselt gelesen werden kann.
SSL Bump SSL Bump und untersuchen den SSL-Verkehrs. Splice liest das SNI-Feld und das Zertifikat, entschlüsselt den Datenverkehr aber nicht. Bump erstellt einen MITM mit dem Squid-Zertifikat und verschlüsselt und entschlüsselt den gesamten Datenverkehr. Die Option ermöglicht es Ihnen, nur den passenden Datenverkehr zu lesen oder zu verschlüsseln. Bitte führen Sie Squid im HTTPS-Modus aus und wählen Sie ein Zertifikat, sonst hat diese Option keine Wirkung.
16.17.3. HTTP-Zugriff¶
Zulassen oder Verweigern des Zugriffs basierend auf definierten Zugriffslisten. HTTP-Zugriffslisten werden definiert, indem ACLs mit AND oder OR kombiniert werden. Sie können eine ACL auch mit NOT negieren.
Auf diese Weise können Sie den Zugriff definieren oder den Zugriff basierend auf ACLs ablehnen.
Um beispielsweise den Zugriff auf www.google.com zu verweigern, müssen Sie eine ACL vom Typ Zieldomäne erstellen. Sie können diese ACL in HTTP Access vom Typ Verweigern verwenden.
Die Reihenfolge von HTTP Access ist wichtig und Sie können per drag & drop Einträge in der Liste verschieben, um die gewünschte Reihenfolge zu erstellen.
16.17.4. Authentifizierung¶
Hier können Sie eine zusätzliche Authentifizierungsmethode einrichten. Im Moment ist nur LDAP verfügbar.
16.17.4.1. LDAP¶
Authentifizierungsserver kann aus den Authentifizierungsservern ausgewählt werden, die Sie im VT AIR erstellt haben.
Filter ist ein LDAP-Suchfilter zum Auffinden des Benutzer-DN. Erforderlich, wenn sich die Benutzer in einer Hierarchie unterhalb des Basis-DN befinden, oder wenn der Anmeldename nicht den benutzerspezifischen Teil des Benutzer-DN bildet. Standardmäßig ist er (&(objectCategory=Person)(samAccountName=%s)).
Credentials TTL ist die Zeit in Minuten, nach der die Anmeldedaten erneut geprüft werden. Der Standardwert ist 5.
Proxy Message ist die Informationsmeldung zur Proxy-Authentifizierung für Ihre Proxy-Benutzer. Standard ist Squid Proxy.
Auth Helpers (Total) ist die Gesamtzahl der auszuführenden Authentifizierungs-Helfer. Es wird empfohlen, diesen Wert auf die ungefähre Anzahl der Proxy-Benutzer im Netzwerk einzustellen. Der Standardwert ist 20.
Auth Helpers (Idle) ist die Anzahl der Authentifizierungshelfer, die im Leerlauf ausgeführt werden sollen. Es wird empfohlen, diesen Wert auf etwa die Hälfte der Gesamtzahl der Benutzer im Netz festzulegen. Der Standardwert ist 10.
Auth Helpers (Startup) ist die Anzahl der Authentifizierungshelfer, die beim Start ausgeführt werden sollen. Es wird empfohlen, diesen Wert auf etwa ein Viertel der Gesamtzahl der Benutzer im Netzwerk festzulegen. Der Standardwert ist 5.
Um die Authentifizierung durchzusetzen, müssen Sie eine HTTP-Zugangsregel erstellen, die die vordefinierte ACL proxy_auth REQUIRED enthält. Sie kann mit anderen ACLs kombiniert werden, um Regelsätze zu erstellen, die Ihren Anforderungen entsprechen.
16.17.5. Beispiel-Proxy-Konfiguration¶
Web Filter kann als Proxy in Ihrem Netzwerk konfiguriert werden. Das bedeutet, dass der Verkehr innerhalb Ihres Netzwerks analysiert werden kann, bevor er das Internet verlässt, und dass Webinhalte, die in Ihr Netzwerk gelangen, zwischengespeichert werden können. Dies ist nützlich, um den Zugang zu bestimmten Diensten zu blockieren, die unerwünscht, aber nicht unbedingt bösartig sind (dies ist eine Aufgabe für Intrusion Detection Intrusion Detection) und um Bandbreite zu sparen, wenn Sie mit mehreren Clients in Ihrem lokalen Netzwerk im Internet surfen.
Eine typische Konfiguration wird hier gezeigt. Gehen Sie zu Services → Web Filter und aktivieren Sie das Paket. Typischerweise möchten Sie Ihr lokales Netzwerk (z.B. LAN) als Schnittstelle auswählen.
Transparent Proxy
Um Ihren Web Filter als transparenten Proxy zu konfigurieren, der den Web-Verkehr für Ihr lokales Netzwerk zwischenspeichert, aktivieren Sie HTTP und HTTPS sowie die Option Transparent Proxy auf beiden.
Beachten Sie, dass der HTTPS transparente Proxy nicht in den verschlüsselten Datenverkehr hineinschauen kann. Nur das Zertifikat und der Hostname sind sichtbar, um Entscheidungen zu treffen.
Proxy mit Anti-Virus
Aktivieren Sie dann ClamAV Anti-Virus und wählen Sie ein Aktualisierungsintervall. Der Anti-Virus kann nur den unverschlüsselten Datenverkehr inspizieren. Für den HTTPS transparenten Proxy kann kein Virenscan durchgeführt werden.
Blocklists
Aktivieren Sie Blocklists und wählen Sie ein Aktualisierungsintervall, um die vordefinierten Blocklists herunterzuladen.
Um Ihre Blocklisteneinstellungen zu konfigurieren, gehen Sie zu Dienste → Webfilter → ACL. Hier finden Sie eine Übersicht über alle verfügbaren Blocklistenkategorien. Gehen Sie zu Dienste → Webfilter → HTTP-Zugang, um die Filterregeln zu erstellen.
Klicken Sie auf Hinzufügen oder Bearbeiten, um die Blocklistregel zu erstellen oder zu bearbeiten. Setzen Sie Action auf Deny, Logical Operator auf OR und fügen Sie alle Blocklist-Kategorien, die Sie blockieren möchten, unter ACL hinzu.
