Profile

Auf der Registerkarte Webserver Protection > Umkehrauthentifizierung > Profile legen Sie die Authentifizierungsprofile für die Web Application Firewall fest. Mit Profilen können Sie unterschiedlichen Benutzern oder Benutzergruppen unterschiedliche Authentifizierungseinstellungen zuweisen. Nach Festlegung der Authentifizierungsprofile können Sie diese den Site-Path-Routen auf der Registerkarte Web Application Firewall > Site Path Routing zuweisen.

Um ein Authentifizierungsprofil hinzuzufügen, gehen Sie folgendermaßen vor:

  1. Klicken Sie auf der Registerkarte Profile auf Neues Authentifizierungsprofil.

    Das Dialogfeld Authentifizierungsprofil hinzufügen wird geöffnet.

  2. Nehmen Sie die folgenden Einstellungen vor:

    Name: Geben Sie einen aussagekräftigen Namen für das Profil ein.

    Virtueller Webserver: Hier können Sie die Profileinstellungen für den virtuellen Webserver konfigurieren.

    Modus: Wählen Sie die Authentifizierungsmethode der Benutzer für die Web Application Firewall aus.

    Einfach: Die Authentifizierung erfolgt mittels einfacher HTTP-Authentifizierung mit Eingabe von Benutzernamen und Kennwort. Da die Zugangsdaten in diesem Modus unverschlüsselt übertragen werden, sollte er in Verbindung mit HTTPS genutzt werden. In diesem Modus werden keine Sitzungs-Cookies generiert und eine dedizierte Abmeldung ist nicht möglich.

    Formularvorlage: Benutzern wird ein Formular angezeigt, in das sie ihre Zugangsdaten eingeben müssen. In diesem Modus werden Sitzungs-Cookies generiert und eine dedizierte Abmeldung ist möglich. Die zu verwendende Formularvorlage können Sie über die Auswahlliste Formularvorlage auswählen. Neben der Standardformularvorlage sind die Formulare aufgelistet, die auf der Registerkarte Formularvorlagen definiert wurden.

    Formularvorlage: Wählen Sie die Vorlage, die den Benutzern für die Authentifizierung angezeigt wird. Formularvorlagen werden auf der Seite Formularvorlagen definiert.

    Basic-Prompt: Eindeutige Zeichenfolge, die zusätzliche Informationen über die Login-Seite und ist für Nutzerorientierung verwendet.

    Hinweis – Diese Zeichen sind für den Basic-Prompt zulässig: A-Z a-z 0-9 , ; . : - _ ' + = ) ( & % $ ! ^ < > | @

    Benutzer/Gruppen: Wählen Sie die Benutzer oder Benutzergruppen aus, die diesem Authentifizierungsprofil zugewiesen werden sollen. Nachdem das Profil einer Site-Path-Route zugewiesen ist, werden diese Benutzer mit den in diesem Profil definierten Authentifizierungseinstellungen auf den Site-Path zugreifen können. Üblicherweise ist das eine Backend-Benutzergruppe. Das Hinzufügen eines Benutzers wird auf der Seite Benutzer erläutert. Das Hinzufügen eines Benutzers wird auf der Seite Definitionen & Benutzer > Benutzer & Gruppen > Benutzer erläutert.

    Hinweis – In einigen Fällen sollte es Benutzern möglich sein, die User-Principal-Name-Notation „Benutzer@Domäne“ zu verwenden, wenn Sie ihre Daten angeben. Zum Beispiel wenn Exchange-Server in Kombination mit Active Directory-Servern verwendet werden. Nähere Informationen zur Verwendung der Notation finden Sie unter Definitionen & Benutzer > Authentifizierungsdienste > Server im Bereich Active Directory.

    Echter Webserver: Hier können Sie die Profileinstellungen für den echten Webserver konfigurieren.

    Modus: Wählen Sie die Authentifizierungsart der Web Application Firewall für echte Webserver aus. Der Modus muss mit den Authentifizierungseinstellungen des echten Webservers übereinstimmen.

    Einfach: Die Authentifizierung erfolgt mittels einfacher HTTP-Authentifizierung mit Eingabe von Benutzernamen und Kennwort.

    Keine: Es erfolgt keine Authentifizierung zwischen der WAF und den echten Webservern. Beachten Sie, dass die Benutzerauthentifizierung im Frontend-Modus erfolgt, wenn Ihre echten Webserver keine Authentifizierung unterstützen.

    Benutzername Zusatz: Wählen Sie einen Zusatz für den Benutzernamen. Sie können Präfix, Suffix oder beides auswählen. Zusätze sind nützlich, wenn Domänen und E-Mail-Adressen verwendet werden.

    Präfix: Geben Sie einen Präfix für Benutzername ein.

    Suffix: Geben Sie einen Suffix für Benutzername ein.

    Hinweis – Präfix und Suffix werden automatisch hinzugefügt, wenn der Benutzer seine Daten eingibt. Präfix und Suffix werden nicht hinzugefügt, wenn ein Benutzer sie selbst eingibt. Beispiel: Wenn das Suffix @testdomain.de ist und der Benutzer seinen Benutzernamen test.user eingibt, wird das Suffix hinzugefügt. Gibt er test.user@testdomain.de ein wird das Suffix ignoriert.

    Basic-Header entfernen: Wenn diese Option ausgewählt ist, wird der Basic-Header nicht von der UTM an den echten Webserver gesendet.

    Benutzersitzung (nur mit dem virtuellen Webservermodus Formular): Hier können Sie die Einstellungen für das Timeout der Benutzersitzungen konfigurieren.

    Sitzungs-Zeitüberschreitung aktivieren: Wählen Sie diese Option, um eine Zeitbeschränkung für die Benutzersitzung zu aktivieren. Dadurch müssen die Benutzerzugangsdaten durch erneutes Anmelden bestätigt werden, wenn Benutzer auf dem virtuellen Webserver längere Zeit keine Aktionen durchführen.

    Beschränken auf: Legen Sie ein Intervall für die Sitzungs-Zeitüberschreitung fest.

    Zeitüberschreitung in: Legen Sie die Einheit in Tagen, Stunden oder Minuten fest.

    Sitzungsdauer beschränken: Wählen Sie diese Option, um eine feste Beschränkung der Zeitdauer zu bestimmen, die Benutzer unabhängig von den durchgeführten Aktivitäten angemeldet bleiben dürfen.

    Beschränken auf: Legen Sie ein Intervall für die Sitzungsdauer fest.

    Sitzungsdauer in: Legen Sie die Einheit in Tagen, Stunden oder Minuten fest.

    Dauerhafte Sitzungen erlauben: Wenn die Option aktiviert ist, verwendet die WAF-Authentifizierung Cookies für eine dauerhafte Sitzung. Für die Benutzer ist auf dem Anmeldeformular ein Auswahlkästchen sichtbar, um dauerhafte Sitzungs-Cookies zu aktivieren. Wenn der Benutzer die Option auf dem Anmeldeformular aktiviert, wird ein dauerhafter Sitzungs-Cookie erstellt, nachdem der Benutzer sich angemeldet hat. Die WAF-Authentifizierung verwendet Sitzungs-Cookies für kurzlebige Sitzungen wenn Dauerhafte Sitzungen erlauben deaktiviert ist oder der Benutzer die Option auf dem Anmeldeformular nicht aktiviert.

    Abmelden (nur mit dem virtuellen Webservermodus Formular): Hier können Sie die Abmeldefunktion für die Benutzersitzung zur Verfügung stellen.

    Modus: Wählen Sie, wie sich der Benutzer von der Sitzung abmelden kann.

    Keine: Der Benutzer hat keine Möglichkeit sich abzumelden.

    Weiterleitung: Der Benutzer meldet sich mit vordefinierten URLs ab. Zum Beispiel /logout. Fügen Sie URLs hinzu, die der Benutzer zum Abmelden benötigt.

    Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.

  3. Klicken Sie auf Speichern.

    Das neue Profil wird in der Liste Profile angezeigt.

    Warnung – Wenn Sie die Umkehrauthentifizierung in Kombination mit OTP verwenden, werden die OTP-Token nur einmal geprüft, wenn die Benutzersitzung angelegt wird. Nach der Einrichtung der Sitzung erfolgt bei darauffolgenden Anmeldungen desselben Benutzers keine Überprüfung der OTP-Token. Dies erfolgt aus dem Grund, dass böswillige Benutzer möglicherweise die OTP-Konfiguration mit unzähligen Authentifizierungsanforderungen für die geschützten Pfade überfluten können. Dadurch würden OTP-Prüfungen erzeugt und auf den Authentifizierungs-Daemon ein erfolgreicher DoS-Angriff gestartet. Kennwörter und andere Anforderungsaspekte werden aber weiterhin für den Abgleich der Konfiguration überprüft.

Um ein Profil zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden Schaltflächen.

Querverweis – Informationen über die Konfiguration der Umkehrauthentifizierung und die Unterschiede zwischen den Versionen finden Sie in der Sophos Knowledgebase.

Umkehrauthentifizierung: Benutzer/Gruppen:

In einigen Fällen sollte es Benutzern möglich sein, die User-Principal-Name-Notation Benutzer@Domäne zu verwenden, wenn Sie ihre Daten angeben. Zum Beispiel wenn Exchange-Server in Kombination mit Active Directory-Servern verwendet werden. In diesem Fall müssen folgende Schritte nacheinander ausgeführt werden:

  1. Wählen Sie im WebAdmin Menü Definitionen & Benutzer > Authentifizierungsdienste > Server.

    Die Registergarte Server wird angezeigt.

  2. Klicken Sie auf der Registerkarte Server die Schaltfläche Klonen des benötigten Active Directory-Servers.

    Ein neuer Server wird erstellt.

  3. Ändern Sie das Feld Backend nach LDAP.
  4. Ändern Sie das Feld Benutzerattribut auf >.
  5. Geben Sie 'userPrincipalname' in das Feld Angepasst ein.

Sofern noch nicht verfügbar, wird eine Benutzergruppe LDAP Users angelegt, die Sie anstelle der Gruppe Active Directory Users verwenden müssen.

Hinweis – Das Format Domäne\Benutzer wird nicht unterstützt. Verwenden Sie stattdessen das Format Benutzer@Domäne.