In dieser Anleitung findet Ihr Informationen, wie man den Webfilter der Sophos UTM konfigurieren kann. Die Authentifizierung am Webproxy soll zentral über eine Backendmitgliedschaft gesteuert werden.

Ich setze voraus, dass die UTM bei Euch bereits Domänenmitglied ist und an einem DC authentifizieren kann.

 

Eine Anleitung hierfür findet Ihr unter: Anleitung Authentication Servers und SSO für Sophos UTM einrichten.

Grundeinrichtung

Zunächst aktiviert man den Webfilter unter Web Protection -> Allgemein und konfiguriert einen transparenten Proxy mit Standardauthentifizierung AD SSO.

Bevor es mit der Einrichtung des Webfilters weiter geht, macht es Sinn, die Signierungs-CA auf den Clients in Eurem Netzwerk zu verteilen. Dazu muss man es unter Web Protection -> Filteroptionen -> HTTPS-CAs exportieren.

Anschließend kann man es via Gruppenrichtline in den Speicher „Vertrauenswürdige Stammzertifzierungsstellen“ verteilen.

Informationen zur Verteilung von Zertifikaten mittels Gruppenrichtlinie findet Ihr hier: https://www.gruppenrichtlinien.de/artikel/zertifikate-verteilen/

Falls jemand bereits eine Zertifizierungsstelle betreibt, kann man auch eine untergeordnete Zertifizierungsstelle für Sophos UTM HTTPS CA ertellen.

Das Zertifikat kann auch manuell in den Browser importiert werden durch Aufruf des folgenden Links: http://passthrough.fw-notify.net/cacert.pem.

Eine Hilfestellung für Android oder IOS findet Ihr hier: Content_Filter_Zertifikat_installieren.

Unter Web Protection -> HTTPS kann man jetzt Entschlüsseln und scannen aktivieren.

 

Filtereinstellungen

Als nächstes können die Filteraktionen erstellt werden, die man unter Web Protection -> Webfilterprofile -> Filteraktionen findet. Die Konfiguration erledigt man mit einem Assistenten, siehe Auszüge.

 

Richtlinien

Um die Einstellungen der Richtlinien des Webfilters vorzunehmen, sollte man AD-Gruppen erstellen und mit lokalen Gruppen der UTM verknüpfen. Wie das funktioniert ist auch in der Anleitung Authentication Servers und SSO für Sophos UTM einrichten erklärt.

Unter Web Protection -> Webfilter -> Richtlinien kann man die AD-Gruppen den dazugehörigen Filteraktonen zuordnen.

Um nicht authentifizierten Zugriff zu unterbinden, kann man der Basisrichtlinie den Filter Default content filter block action zuweisen. Oder aber unter unter Web Protection -> Allgemein den Haken bei Zugriff bei fehlgeschlagener Authentifizierung blockieren setzen. Damit ist die Konfiguration abgeschlossen.

Ausnahmen / Probleme

Probleme bereiten fast immer Anwendungen, die Ihren eigenen Zertifikatsspeicher verwenden. Das können Bankprogramme, Datev, Elster, und Co. sein.

Ausnahmen kann man vorab schon unter Web Protection -> Filteroptionen -> Ausnahmen erstellten. Für folgende reguläre Ausdrücke lasse ich alle HTTPS-Scans aus:

^https?://([A-Za-z0-9.-]+\.)?olb\.de/
^https?://([A-Za-z0-9.-]+\.)?vr\.de/
^https?://([A-Za-z0-9.-]+\.)?elster\.de/
^https?://([A-Za-z0-9.-]+\.)?datev\.de/
^https?://([A-Za-z0-9.-]+\.)?lzo\.de/
^https?://([A-Za-z0-9.-]+\.)?kanzlei\.ag/
^https?://([A-Za-z0-9.-]+\.)?addison-update\.de/
^https?://([A-Za-z0-9.-]+\.)?.raupdate?\.de/
^https?://([A-Za-z0-9.-]*\.)?sbs-software\.net\.?/
^https?://([A-Za-z0-9.-]+\.)?sbs-software\.net/
^https?://([A-Za-z0-9.-]*\.)?gad\.de/
^https?://([A-Za-z0-9.-]*\.)?sfirm\.de/
^https?://([A-Za-z0-9.-]*\.)?starfinanz\.de/
^https?://([A-Za-z0-9.-]*\.)?cloudfront\.net/
^https?://([A-Za-z0-9.-]+\.)?java\.com/
^https?://([A-Za-z0-9.-]+\.)?oracle\.com/
^https?://([A-Za-z0-9.-]+\.)?adobe\.com/

Falls es Probleme mit der Authentifizierung gibt, solltet Ihr prüfen, ob im IE die Integrierte Windows-Authentifizierung aktiviert ist. Wenn Eure UTM performancetechnisch in die Knie geht, könnt ihr versuchen, den einfach-Scan unter Antivirus einzustellen.

Wer den Webtraffic limitieren muss, findet hier ein Konfigurationsbeispiel.