Anleitung Web Protection für Sophos UTM einrichten…

In dieser Anleitung findet Ihr Informationen, wie man den Webfilter der Sophos UTM konfigurieren kann. Die Authentifizierung am Webproxy soll zentral über eine Backendmitgliedschaft gesteuert werden.

Ich setze voraus, dass die UTM bei Euch bereits Domänenmitglied ist und an einem DC authentifizieren kann.

 

Eine Anleitung hierfür findet Ihr unter: Anleitung Authentication Servers und SSO für Sophos UTM einrichten.

Grundeinrichtung

Zunächst aktiviert man den Webfilter unter Web Protection -> Allgemein und konfiguriert einen transparenten Proxy mit Standardauthentifizierung AD SSO.

Bevor es nun mit der Einrichtung des Webfilters weiter geht, macht es Sinn, die Signierungs-CA auf den Clients in Eurem Netzwerk zu verteilen. Dazu muss man es unter Web Protection -> Filteroptionen -> HTTPS-CAs exportieren.

Anschließend kann man es via Gruppenrichtline in den Speicher „Vertrauenswürdige Stammzertifzierungsstellen“ verteilen.

Informationen zur Verteilung von Zertifikaten mittels Gruppenrichtlinie findet Ihr hier: https://www.gruppenrichtlinien.de/artikel/zertifikate-verteilen/

Falls jemand bereits eine Zertifizierungsstelle betreibt, kann man auch eine untergeordnete Zertifizierungsstelle für Sophos UTM HTTPS CA ertellen.

Das Zertifikat kann auch manuell in den Browser importiert werden durch Aufruf des folgenden Links: http://passthrough.fw-notify.net/cacert.pem.

Eine Hilfestellung für Android oder IOS findet Ihr hier: Content_Filter_Zertifikat_installieren.

Unter Web Protection -> HTTPS kann man nun Entschlüsseln und scannen aktivieren.

 

Filtereinstellungen

Nun können die Filteraktionen erstellt werden, die man unter Web Protection -> Webfilterprofile -> Filteraktionen findet. Die Konfiguration erledigt man mit einem Assistenten, siehe Auszüge.

 

Richtlinien

Um nun die Einstellungen der Richtlinien des Webfilters vorzunehmen, muss man AD-Gruppen erstellen und mit lokalen Gruppen der UTM verknüpfen. Wie das funktioniert ist auch in der Anleitung Authentication Servers und SSO für Sophos UTM einrichten erklärt.

Unter Web Protection -> Webfilter -> Richtlinien kann man nun die AD-Gruppen den dazugehörigen Filteraktonen zuordnen.

Um nicht authentifizierten Zugriff zu unterbinden, kann man der Basisrichtlinie den Filter Default content filter block action zuweisen. Oder aber unter unter Web Protection -> Allgemein den Haken bei Zugriff bei fehlgeschlagener Authentifizierung blockieren setzen. Damit ist die Konfiguration abgeschlossen.

Ausnahmen / Probleme

Probleme bereiten fast immer Anwendungen, die Ihren eigenen Zertifikatsspeicher verwenden. Das können Bankprogramme, Datev, Elster, und Co. sein.

Ausnahmen kann man vorab schon unter Web Protection -> Filteroptionen -> Ausnahmen erstellten. Für folgende reguläre Ausdrücke lasse ich alle HTTPS-Scans aus:

^https?://([A-Za-z0-9.-]+\.)?olb\.de/
^https?://([A-Za-z0-9.-]+\.)?vr\.de/
^https?://([A-Za-z0-9.-]+\.)?elster\.de/
^https?://([A-Za-z0-9.-]+\.)?datev\.de/
^https?://([A-Za-z0-9.-]+\.)?lzo\.de/
^https?://([A-Za-z0-9.-]+\.)?kanzlei\.ag/
^https?://([A-Za-z0-9.-]+\.)?addison-update\.de/
^https?://([A-Za-z0-9.-]+\.)?.raupdate?\.de/
^https?://([A-Za-z0-9.-]*\.)?sbs-software\.net\.?/
^https?://([A-Za-z0-9.-]+\.)?sbs-software\.net/
^https?://([A-Za-z0-9.-]*\.)?gad\.de/
^https?://([A-Za-z0-9.-]*\.)?sfirm\.de/
^https?://([A-Za-z0-9.-]*\.)?starfinanz\.de/
^https?://([A-Za-z0-9.-]*\.)?cloudfront\.net/

Falls es Probleme mit der Authentifizierung gibt, solltet Ihr prüfen, ob im IE die Integrierte Windows-Authentifizierung aktiviert ist.

6 Gedanken zu „Anleitung Web Protection für Sophos UTM einrichten…

    1. Thorsten Sult Beitragsautor

      Da mache ich kein https-scan. Die sollen selber für Sicherheit sorgen.

      Ich habe meinen Artikel aber an der Stelle angepasst, falls Du das doch so einstellen möchtest.

      Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.