Sonstiges

Die Registerkarte Web Protection > Filteroptionen > Sonstiges bietet zusätzliche Konfigurationsoptionen für den Webfilter, z.B. Zwischenspeicherung (Caching), Streaming oder Porteinstellungen.

Sonstige Einstellungen

Webfilter-Port: In diesem Eingabefeld wird die Portnummer für Client-Anfragen an den Webfilter festgelegt. Standardmäßig ist der Port 8080 eingetragen.

Hinweis – Die Option ist nur gültig, wenn der Proxy nicht im Transparenzmodus arbeitet.

HTTP-Loopback aufspüren: Diese Option ist standardmäßig aktiviert. Deaktivieren Sie die Funktion HTTP-Loopback aufspüren nur, wenn Sie eine DNAT-Regel haben, bei der die UTM das Originalziel und der Port 80 ist.

MIME-Blockierung untersucht HTTP-Body: Nicht nur der HTTP-Header wird auf blockierte MIMEClosed-Typen überprüft, sondern auch der HTTP-Body. Beachten Sie, dass sich das Einschalten dieser Funktion negativ auf die Leistung des Systems auswirken kann.

Unscannbare und verschlüsselte Dateien blockieren: Wählen Sie diese Option, um Dateien zu blockieren, die nicht gescannt werden konnten. Der Grund hierfür kann unter anderem sein, dass Dateien verschlüsselt oder beschädigt sind. Dateien, die größer sind als 2 GB sind unscannbar.

Zugelassene Zieldienste: Wählen Sie aus dem Feld Zugelassene Zieldienste die Dienste aus, auf die der Webfilter zugreifen darf. Standardmäßig sind bereits die Dienste mit Ports enthalten, zu denen eine Verbindung als sicher gilt und die in der Regel von Browsern genutzt werden: HTTP (Port 80), HTTPS (Port 443), FTP (Port 21), LDAP (Port 389), LDAP-SSL (Port 636), Webfilter (Port 8080), UTM Spamfreigabe (Ports 3840-4840), und UTM WebAdmin (Port 4444).

Standardzeichensatz: Diese Option wirkt sich darauf aus, wie der Proxy Dateinamen im Fenster Download-Verwaltung anzeigt. URLs (und Dateinamen, auf die sie vielleicht verweisen), die in ausländischen Zeichensätzen codiert sind, werden von UTF-8 in den hier definierten Zeichensatz umgewandelt, es sei denn, der Server übermittelt einen anderen Zeichensatz. Wenn Sie sich in einem Land oder einer Region befinden, die einen Zwei-Byte-Zeichensatz verwendet, sollten Sie diese Option auf den „nativen“ Zeichensatz für dieses Land/diese Region setzen.

Suchdomäne: Sie können hier eine zusätzliche Domäne angeben, die durchsucht wird, wenn der erste DNS-Lookup kein Ergebnis liefert („NXDOMAIN“). Dann wird eine zweite DNS-Anfrage gestartet, die die hier angegebene Domäne an den ursprünglichen Hostnamen anhängt. Ein Benutzer gibt http://wiki ein und meint damit wiki.intranet.beispiel.de. Die URL kann jedoch nur aufgelöst werden, wenn Sie intranet.beispiel.de in das Feld Suchdomäne eintragen.

Authentifizierungs-Zeitüberschreitung: Mit dieser Einstellung können Sie festlegen, wie lange (in Sekunden) ein Benutzer nach dem Anmelden mit der Authentifizierung im Browsermodus browsen kann. Wenn der Benutzer eine Abmelderegisterkarte geöffnet hat, kann er weiter browsen, ohne sich neu authentifizieren zu müssen, bis diese Registerkarte geschlossen wird, zuzüglich Authentifizierungs-Zeitüberschreitung.

Mit dieser Einstellung können Sie zudem einstellen, wie lange (in Sekunden) eine Blockierungsumgehung oder ein Fortfahren bei Warnung dauert.

Authentifizierungsbereich: Der Authentifizierungsbereich (engl. authentication realm) ist der Name der Quelle, die ein Browser zusammen mit der Authentifzierungsanfrage anzeigt, wenn der Proxy im Modus Einfache Benutzerauthentifizierung arbeitet. Er legt den geschützten Bereich entsprechend der Spezifikation RFC 2617 fest. Sie können hier einen beliebigen Ausdruck eingeben.

Transparenzmodus-Ausnahmen

Diese Option ist nur von Bedeutung, wenn der Webfilter im Transparenzmodus arbeitet. Hosts und Netzwerke, die in den Feldern Hosts/Netze vom Transparenzmodus ausnehmen aufgeführt sind, werden vom HTTP-Proxy nicht transparent überwacht. Es gibt ein Feld für Quell- und eines für Zielhosts/-netzwerke. Um dennoch HTTP-Datenverkehr (ohne Proxy) für alle diese Hosts und Netzwerke zu erlauben, wählen Sie die Option HTTP-Verkehr für aufgeführte Hosts/Netze zulassen. Wenn Sie diese Option nicht wählen, müssen Sie spezielle Firewallregeln für die hier aufgeführten Hosts und Netzwerke anlegen.

Automatische Proxy-Konfiguration (Proxy Auto Configuration)

Die automatische Proxy-Konfiguration ist eine Funktion, die es Ihnen ermöglicht, eine automatische Proxy-Konfigurationsdatei (PAC-Datei, Proxy Auto Configuration) zentral bereitzustellen, welche dann von Browsern selbsttätig abgeholt werden kann. Die Browser wiederum konfigurieren ihre Proxy-Einstellungen nach den Angaben, die in der PAC-Datei aufgeführt sind.

Die PAC-Datei heißt wpad.dat, hat den MIME-Typ application/x-ns-proxy-autoconfig und wird von der UTM bereitgestellt. Sie enthält die Informationen, die Sie in das Textfeld eingeben, z.B.:

function FindProxyForURL(url, host)
{ return "PROXY proxy.example.com:8080; DIRECT"; }

Die obige Funktion weist den Browser an, alle Seitenanfragen an den Proxy-Server proxy.beispiel.de auf Port 8080. Wenn der Proxy nicht erreichbar ist, wird eine direkte Verbindung mit dem Internet hergestellt.

Der Hostname kann auch als Variable ${asg_hostname}. Das ist sehr nützlich, wenn Sie mit dem Sophos UTM Manager dieselbe PAC-Datei auf mehreren Sophos UTM-Appliances anwenden möchten. Die Variable wird dann mit dem Hostnamen der jeweiligen UTM umschrieben. Mit der Varibale im oberen Beispiel, würde das dann wie folgt aussehen:

function FindProxyForURL(url, host)
{ return "PROXY ${asg_hostname}:8080; DIRECT"; }

Um eine PAC-Datei für Ihr Netzwerk bereitzustellen, haben Sie die folgenden Möglichkeiten:

  • Bereitstellung über Browserkonfiguration: Wenn Sie die Option Automatische Proxy-Konfiguration aktivieren auswählen, steht die PAC-Datei unter folgender URL über den UTM-Webfilter zur Verfügung: http://IP-of-UTM:8080/wpad.dat. Um diese Datei zu verwenden, geben Sie ihre URL in der automatischen Proxy-Konfigurationseinstellung jener Browser an, die den Proxy verwenden sollen.
  • Bereitstellung über DHCP: Sie können dafür sorgen, dass Ihr DHCP-Server die URL der PAC-Datei zusammen mit der Client-IP-Adresse vergibt. Wählen Sie dazu die Option Automatische Proxy-Konfiguration aktivieren in Ihrer DHCP-Serverkonfiguration aus (siehe Kapitel Netzwerkdienste > DHCP). Ein Browser holt sich dann automatisch die PAC-Datei ab und konfiguriert seine Einstellungen entsprechend.

    Hinweis – Die Bereitstellung über DHCP funktioniert ausschließlich mit dem Microsoft Internet Explorer. Bei allen anderen Browsern müssen Sie die PAC-Datei manuell bereitstellen.

Übergeordneter Proxy für URL-Kategorisierung

Geben Sie einen Proxy-Server für die URL-Kategorisierungssuche ein, wenn Sie keinen direkten Internetzugriff haben. Diese Option ist nur verfügbar, wenn bei Ihnen Endpoint Protection aktiviert ist oder wenn Sie lokale Suchanfragen durchführen. Bei lokalen Suchanfragen legen Sie mit dieser Option den Proxy fest, der zum Herunterladen von Kategorisierungsaktualisierungen in die UTM verwendet wird.

Webfilter-Zwischenspeicherung

Zwischenspeichern aktivieren: Wenn diese Option aktiviert ist, hält der Webfilter einen Zwischenspeicher auf Festplatte vor, um Anfragen zu häufig besuchten Webseiten schneller beantworten zu können.

  • SSL-Inhalte zwischenspeichern: Wählen Sie diese Option, um SSL-verschlüsselte Daten ebenfalls – unverschlüsselt – auf der Festplatte zu speichern.
  • Inhalte mit Cookies zwischenspeichern: Cookies werden oft für Authentifizierungszwecke verwendet. Wenn diese Option aktiviert ist, werden HTTP-Antworten, die Cookies enthalten, ebenfalls zwischengespeichert. Dieses Vorgehen kann aber zu Datenschutz-Problemen führen, da Benutzer, die auf die gleiche Seite zugreifen wollen, sehr wahrscheinlich die Seite aus dem Cache erhalten, welche dann den Cookie eines anderen Benutzers enthält.

    Wichtiger Hinweis – Das Zwischenspeichern von SSL- und/oder Cookie-Inhalten stellt ein wichtiges Sicherheitsproblem dar, da die Inhalte von jedem Benutzer mit SuperAdmin-Rechten eingesehen werden können.

  • Zwischenspeichern für Sophos-Endpoint-Aktualisierungen erzwingen: Wenn die Option aktiviert ist, werden bestimmte Daten, die im Zusammenhang mit Endpoint-Anfragen an Sophos-Auto-Update (SAU) stehen, zwischengespeichert. Wir empfehlen, diese Funktion zu aktivieren, wenn Sie Endpoint Protection verwenden. Ist die Option deaktiviert, werden diese Daten nicht zwischengespeichert. Dies kann zu Uplink-Engpässen führen, wenn viele Endpoints gleichzeitig versuchen, Daten von den Update-Servern im Internet herunterzuladen.

Zwischenspeicher leeren: Sie können alle zwischengespeicherten Seiten löschen, indem Sie auf Zwischenspeicher leeren klicken.

Streaming-Einstellungen:

Streaming-Inhalte nicht scannen: Wenn diese Option aktiviert ist, werden typische Audio- und Video-Streaming-Inhalte nicht auf ihren Inhalt hin gescannt. Das Abschalten dieser Option wird die meisten Mediastreams praktisch deaktivieren, da sie nicht in vertretbarer Zeit gescannt werden können. Daher wird empfohlen, diese Option eingeschaltet zu lassen.

Apple OpenDirectory Single Sign-On

Wenn Sie Apple OpenDirectory SSO als Authentifizierungsmethode nutzen, müssen Sie eine MAC OS X Single Sign-On Kerberos-Schlüsseldatei hochladen, damit die Authentifizierung funktioniert. Generieren Sie die Schlüsseldatei und laden Sie sie durch einen Klick auf das Ordnersymbol hoch. Weitere Informationen dazu, wie Sie die Schlüsseldatei generieren können, finden Sie in der Kerberos-Dokumentation.

Zertifikat für Endbenutzerseiten

UTM verwendet HTTPS um Benutzerbenachrichtigungen zur Verfügung zu stellen, Browser-Authentifizierung durchzuführen und weitere Benutzerinteraktionen zu sichern. Standardmäßig verwendet die UTM ein automatisch generiertes Zertifikat für diese HTTPS-Verbindungen. Sie können mit dieser Option ein benutzerdefiniertes Zertifikat für HTTPS-Seiten verwenden, die dem Endbenutzer angezeigt werden. Um ein eigenes, benutzerdefiniertes Zertifikat für diese HTTPS-Verbindungen zu verwenden, laden Sie es zunächst über Fernzugriff > Zertifikatverwaltung > Zertifikate hoch und wählen Sie es dann aus und aktualisieren Sie Ihre Einstellungen hier.

Hinweis – Der angegebene Hostname ist die Basisdomäne für das Zertifikat, das Sie verwenden. Die UTM hängt dann das Präfix passthrough. oder passthrough6. für diese Domäne an. Das Zertifikat muss für passthrough (und passthough6) als Common Name, Subject Alternate Name oder, was am häufigsten vorkommt, als Platzhalterzertifikat gültig sein, sodass Sie jeden Host als Präfix an die Domäne anhängen können. Außerdem müssen Sie als DNS für passthrough und passthrough6 bestimmte IP-Adressen einstellen. Wenn Sie die UTM als DNS-Server verwenden, erfolgt dies automatisch. Standardmäßig verwendet die UTM die IP-Adresse 213.144.15.19. Wenn Sie einen anderen DNS-Server verwenden, müssen Sie diese Einträge dort erstellen.