Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 25 subscribers
  • Views 4873 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Wireless & Proxy

TJHooker74
Hallo Forengemeinde!

Folgendes Anliegen, die Frage ist, ob das überhaupt geht und wenn ja wie:

Bisher gibt es in der hiesigen Installation nur a)verkabelte und b)firmeneigene Windows-PC-Systeme. Diese Systeme bekommen via GPO ihre Proxy-Einstellungen zugewiesen. Der Weg ins Internet führt also ausschließlich über die WebProtection der UTM, wo ich über entspr. Filter wunderbar regeln kann, wer welche Webseiten aufrufen kann. Über eine direkte IP-Verbindung kommen diese Systeme nicht ins Internet, die Network-Protection macht an dieser Stelle dich.

Nun soll es WLan geben, darüber soll allerdings *nur* Internet zur Verfügung gestellt werden, *kein* Zugriff auf das restliche LAN. Gedacht ist es so, dass die User ihre privaten Geräte mit diesem WLan verbinden, sich dann mit ihren Anmeldedaten aus dem LAN authentifizieren (Hotspot mit Backend Authentication) und dann ins WWW können. 

In dieser Konfiguration würde man am Ende eine Firewall-Regel für das WLan erstellen, die dann den Internet-Zugriff ermöglicht. Damit kann ich dann aber - zumindest verstehe ich es bis jetzt so - nicht mehr über Filter steuern, welche Seiten aufgerufen werden können und welche nicht. Über die Firewall-Regel kann ich zwar *Dienste* erlauben oder verbieten (HTTP, HTTPS, SMTP, etc.) jedoch nicht mehr.

Ich suche nun also eine Möglichkeit, die "Network Protection" und die "Web Protection" irgendwie miteinander zu verknüpfen. Die Benutzer sollen sich wie üblich am Wlan anmelden, eine IP-Adresse zugewiesen bekommen und dann ohne weiteres Zutun aber *gefiltert* surfen können.

Geht das?

Vielen Dank im Voraus!

TJ


This thread was automatically locked due to age.
  • 0
    Warum sollte das nicht gehen? Auf basiert Deine Annahme?
  • 0
    Hallo!

    Mein bisherigen Verständnis des Ablaufs in der UTM ist wie folgt:
    WWW-Zugang Weg #1:
    Filter in der Web-Protection anlegen, Proxy auf Clients eintragen
    WWW-Zugang Weg #2:
    Firewall-Regel in der Network-Protection anlegen, UTM als Gateway auf Clients eintragen

    Filter anhand von Webseiten-Kategorien sind nur bei Weg #1 möglich.
    Bei einem Zugang über WLan/Hotspot wird aber (erst mal) Weg #2 genutzt.

    Natürlich kann ich bei Weg #2 manuell Proxys eintragen, aber das will ich ja nicht.

    Ergo müsste es eine Möglichkeit geben, die Filter aus Weg #1 auch für Weg #2 in Kraft zu setzen, und zwar ohne Proxy sondern einfach dadurch, dass die User sich mit ihren AD-Zugangsdaten am Hotspot anmelden. Dadurch weiß die UTM wer da surft und welche Filter greifen sollen, denn die sind ja in der Web Protection definiert und auch dort geschieht die Auswahl der Filter über die Backend Authentication zur AD.

    TJ
  • 0
    Das nennt sich dann transparenter Proxy.
  • 0
    Hi!

    Danke für das Stichwort!

    OK, dann stelle ich aber das System für das gesamte LAN um und nicht nur für die WLan-Clients, denn den Proxy-Mode ändere ich ja generell, korrekt?

    Der "Transparent Mode" hat ja einige Nachteile (nur Port 80 + 443), das wäre mir nicht so lieb. 

    Eine Umstellung an dieser Stelle wäre aber der einzige Weg, mein o.g. Ziel zu erreichen?

    VG

    TJ
  • 0
    Probier es mal mit Web Profilen.

    Sent from my iPhone using Astaro.org
  • 0
    Hallo!

    Danke!
    Magst Du mir dazu noch einige Stichwörter geben? Aktuell weiß ich damit nichts anzufangen...

    TJ
  • 0
    Hallo,

    du kannst dann mit Webproxy Profilen z.b für unterschiedliche Netze, unterschiedliche Filter und authentifizierungs Methoden anwenden ob Transparent oder Standard etc.

    Sent from my iPhone using Astaro.org
  • 0
    Hallo!

    Danke!

    Entweder stehe ich auf dem Schlauch oder wir sprechen irgendwie aneinander vorbei...

    Proxy-Profile habe ich ja schon mehrere für die bisherigen Clients, bei denen die UTM als Proxy eingetragen ist. Das klappt auch alles ganz wunderbar. Nun kommen aber neue Clients hinzu ("BYOD"), die von der UTM (via WLan) nur eine IP bekommen, bei denen aber kein Proxy eingetragen ist und wird. 

    Ich möchte nun, dass meine o.g. schon vorhandenen Proxy-Profile auch für diese Clients gelten, je nachdem, wie sich der Benutzer am WLan anmeldet (Hotspot mit Backend Authentication; über die Backend Authentication wird ja auch jetzt schon das Proxy-Profil festgelegt, dass für den jeweiligen Benutzer gilt). 

    Im Ergebnis sollen die Benutzer auch in ihren BYOD-Geräten nur die Seiten aufrufen können, die sie auch an ihren stationären PCs aufrufen können, und nicht plötzlich vollkommen freie Bahn haben (das können Sie dann zu Hause machen...)

    Vielen Dank im Voraus!

    TJ
  • 0
    Einfach ein neues Profil für das WLAN-Netz mit transparentem Proxy.
    Dort dann die schon vorhandenen Filter verknüpfen.

    Über Firewallregeln können dann falls notwendig weitere Protokolle für das WLAN freigegeben und ggf über die ApplicationControl noch weitere Anwendungen gesperrt werden.

    Grüße
    Sebastian
  • 0
    Hallo!

    Vielen Dank!

    Mit dem Hinweis habe ich mal angefangen zu konfigurieren.
    Ich habe also unter WEBPROTECTION - WEB FILTER PROFILES ein neues/weiteres Profil angelegt, und zwar mit "Operation Mode: Transparent" und unter "Policies" noch meine schon vorhandene Policy "Mitarbeiter" zugewiesen.

    Einschub:
    Unter WEB PROTECTION - WEB FILTERING kann/muss ich unter DEFAULT WEB FILTER PROFILES die "ALLOWED NETWORKS" eintragen. Welche LANs müssen hier eigentlich rein? Alle? Ich kann aber an dieser Stelle doch nur einmal den OPERATION MODE angeben?! 

    Leider komme ich so aber noch nichts ins Netz. 

    Ich kann mich am WLan anmelden, danach wird zunächst die Starseite des HotSpots, also die Anmeldeseite für die Backend Authentication angezeigt, wo ich meine Credentials eingebe, aber dann geht es nicht weiter. Der Browser versucht nach Eingabe der Credentials die im Browser hinterlegte Startseite aufzurufen, das gelingt ihm aber nicht.

    Statt dessen bekomme ich die Sophos-Seite "Inhalt geblockt" (irgendwie scheint der WebFilter also im Spiel zu sein ?!). Wenn ich mir die Meldung genauer ansehe, konnte der Browser scheinbar meine Startseite gar nicht auflösen, sondern hat sie statt dessen als Suchbegriff an Google übergeben. Der Sophos-Filter gibt mir nämlich nun als Grund für das Blocken der Seite "Search Engine is not allowed" an.

    DNS und DHCP sind unter den NETWORK SERVICES für das WLan eingerichtet.

    Wo liegt mein Fehler?

    Danke im Voraus!

    TJ
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?