Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 5565 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WebProxy-Ausnahme für HTTPS-Seite einrichten

Datax_87
Hallo UTM-Experten,

ich habe aktuell noch Verständnisprobleme was das Erstellen von WebProxy-Ausnahmen für HTTPS-Seiten angeht.

Muss der HTTPS-Scan aktiviert sein, wenn ich beim WebProxy im Standardmodus eine Ausnahme für eine HTTPS-Seite erstelle?

Braucht man also den HTTPS-Scan damit die erstellte Ausnahme greift?

Wie verhält sich das beim WebProxy im Transparenten Modus?

Danke schon mal für eure Hilfe!!

Gruß, Datax


This thread was automatically locked due to age.
  • 0
    Hi Datax,
    also der Proxy lauscht ohne HTTPS Scan nur auf HTTP Verbindungen und somit greifen dann nur die Ausnahmen für HTTP. Für den Traffic via HTTPS werden dann die normalen Firewallregeln verwendet.
    Also sobald der HTTPS Scan verwendet wird, läuft es über die Web Protection und dann funktionieren dann auch die Ausnahmen (folglich: egal was dann in den Firewall Regeln steht, ist dann egal).

    Achja, um es kompatibel zu halten, nutzt man daher häufig/meistens/immer diese Regular Expression: 
    ^https?


    Nice greetings
  • 0
    @ GuyFawkes

    Danke schon mal für die Infos.

    Welche Unterschiede gibt es eigentlich genau zwischen dem Transparenten und dem Standard-Modus?

    Beim Transparenten Modus muss der Proxy ja nicht manuell auf dem Client konfiguriert werden, beim Standardmodus ist dies nötig.

    Beim Standardmodus ist Single-Sign-On möglich, beim Transparenten Modus nicht.

    Gibt es noch andere Unterschiede?

    Gruß, Datax
  • 0
    Generell: Du musst für HTTPS scanning die Proxy-CA der UTM auf deinen Clients als vertrauenswürdige Stammzertifizierungsstelle importieren. Die UTM muss ja für den HTTPS Scan den Stream entschlüsseln, um reinschauen zu können. Danach wird er mit der UTM-CA neu verschlüsselt, damit beim Client auch HTTPS ankommt.

    Generell läuft nach meiner Erfahrung HTTPS scanning beim Standard Mode besser, beim Transparenten machen diverse Seiten und Dienste immer mal Probleme. Auch greifen beim Transparenten Modus Proxy-Ausnahmen mit URL nicht (z.B. ^https://.*some-domain\.org/) stattdessen muss man hier die Ziel-IP eintragen, was ja nicht immer auf eine IP beschränkt ist.
    Die 9.2 bringt hier allerdings Verbesserungen, da ein "Light"-HTTPS-Scan implementiert ist, der bei HTTPS-Seiten zumindest eine Kategorisierung der URL erlaubt (aber keinen Virenscan u.ä.).

    Weiterer Unerschied:
    Im Transparenten Modus werden nur die Ports 80 und 443 gefiltert, beim Standard Modus auch alles andere, was aus dem Browser aufgerufen wird.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0
    @scorpionking

    Ja genau, die UTM stellt ja stellvertretend für den Client die Anfrage an den Webserver
    und verschlüsselt nach Erhalt der Daten die Verbindung mit dem eigenen Zertifikat,
    das von der CA auf der UTM signiert wurde.

    Da diese CA nicht im Browser des Clients integriert, also nicht vertrauenswürdig ist,
    bekommt man auf dem Client eine Zertifikatswarnung angezeigt.

    Da hilft nur der Import der UTM-CA in den Browser,
    soweit ich weiß kann man das in einer Domäne auch per Gruppenrichtlinie lösen.

    Der Transparente Modus filtert nur Port 80 und 443, das ist korrekt.

    Das ist natürlich ein Nachteil, wenn man über dem Proxy auf Webseiten zugreifen möchte,
    die nicht auf Port 80 oder 443 laufen.

    Das ist zwar nicht allzu häufig, aber dennoch gibt es sie...

    Der größte Nachteil für Unternehmen ist meiner Meinung nach auch der,
    dass im Transparenten Modus kein Single-Sign-On möglich ist.

    Wie funktioniert der Transparente Modus eigentlich technisch?

    Ich habe hier und dort mal irgendwas in Verbindung mit DNAT aufgeschnappt,
    aber wirklich verstanden habe ich das bisher nicht.

    Weiß da jemand mehr drüber?

    Gruß, Datax
Cookie Information Banner