HTTP

In der Panda GateDefender-Appliance wird als HTTP-Proxy Squid verwendet. Seine Hauptfunktion besteht im Zwischenspeichern von Webanfragen zur Beschleunigung späterer Anfragen derselben Seite. Squid verfügt jedoch über viele weitere Funktionalitäten, durch die eine nahtlose Integration in die anderen in diesem Abschnitt beschriebenen Dienste ermöglicht wird. Die Seite für die HTTP-Proxy-Einstellungen enthält zahlreiche Optionen, die auf sechs Registerkarten aufgeteilt sind: Konfiguration, Zugriffsrichtlinien, Authentifizierung, Webfilter, AD Beitritt und HTTPS-Proxy.

Konfiguration

Der HTTP-Proxy wird durch Klicken auf den Schalter HTTP Proxy aktivieren aktiviert. Nach einigen Sekunden, die für das Starten aller benötigten Dienste erforderlich sind, werden auf der Registerkarte Konfiguration Steuerelemente angezeigt, die in sechs Bereiche gruppiert sind. Jeder Bereich verfügt über einen Titel gefolgt von einem ? mit einem Tooltip. Durch Klicken auf die - bzw. Symbole links neben der Beschriftung können die Bereiche jeweils erweitert oder reduziert werden.

Mit der ersten Einstellung wird ausgewählt, wie die Benutzer in einer aktivierten Zone (GRÜN, ORANGE, BLAU) auf den Proxy zugreifen können. Die Auswahl erfolgt aus einem Dropdown-Menü, das nur für aktivierte Zonen verfügbar ist:

nicht transparent

Der Proxyserver ist ohne Anmeldung für jedermann verfügbar. Auf den Clients muss eine manuelle Konfiguration des Browsers oder eine Proxysuche im Browser ausgeführt werden (Verwendung des PAC- oder des WPAD-Protokolls zum Einrichten der Proxyeinstellungen).

transparent

Der Proxyserver ist für jedermann verfügbar. Eine Konfiguration des Browsers ist nicht erforderlich. Sämtlicher HTTP-Datenverkehr wird unterbrochen und an den Proxyserver weitergeleitet, der angeforderte Webseiten abruft und sie den Clients bereitstellt.

transparent (ursprüngliche Quell-IP-Adresse beibehalten)

Diese Konfiguration ist der vorherigen Option sehr ähnlich, der einzige Unterschied besteht darin, dass jedes Paket, das den Proxy verlässt, einen Teil der Originalinformationen des Clients behält: Seine IP-Adresse sowie Zone und Schnittstelle, aus denen der Datenverkehr stammt.

Hinweis

Von manchen Browsern, z. B. Internet Explorer und Firefox, können Proxyserver mithilfe von WPAD automatisch erkannt werden. Von den meisten Browsern wird über eine besondere URL auch PAC unterstützt. Bei Verwendung einer Panda GateDefender Appliance als Proxyserver sieht die URL folgendermaßen aus: http://<GREENIP>/proxy.pac.

Zonenweises Deaktivieren des HTTP-Proxys

Zum vollständigen Deaktivieren des Proxys für eine bestimmte Zone muss der Proxy der Zone auf „transparent“ eingestellt werden. Außerdem muss das Subnetz der Zone im Bereich Transparenten Proxy umgehen im Feld Transparenten Proxy von SUBNETZ/IP/MAC umgehen hinzugefügt werden. Der entsprechende Wert kann unter Menüleiste –> Dienste –> DHCP Server gefunden werden.

Proxyeinstellungen

Der Bereich Proxyeinstellungen enthält die folgenden globalen Konfigurationsoptionen für Proxydienste:

Port der vom Proxy verwendet wird

Der TCP-Port, der vom Proxyserver auf Verbindungen abgehört wird. Der Standardport ist 8080.

Fehler Sprache

Die Sprache, in der Fehlermeldungen angezeigt werden. Als Standardwert wird die unter Menüleiste ‣ System ‣ GUI Einstellungen ausgewählte Sprache verwendet.

Sichtbarer Hostname des Proxy

Der Hostname des Proxyservers. Dieser wird auch im unteren Teil von Fehlermeldungen angezeigt.

Emailadresse für Benachrichtigungen (Cache Admin)

Die E-Mail-Adresse, die vom Proxyserver in Fehlermeldungen angezeigt wird.

Maximale Download-Größe (eingehend in KB)

Die maximale Größe für Dateien, die über HTTP heruntergeladen werden können. Der Wert „0“ steht für eine unbegrenzte Größe.

Maximale Upload-Größe (ausgehend in KB)

Die maximale Größe für Dateien, die über HTTP hochgeladen werden können (z. B. für HTML-Formulare). Der Wert „0“ steht für eine unbegrenzte Größe.

Behalte Quell-IP-Adresse bei

Diese Option betrifft alle Zonen, die als nicht transparenter Modus konfiguriert sind. Wenn aktiviert, erlaubt diese Option allen Pakete, die vom Proxy kommen, einen Teil der Informationen des Clients zu behalten: Seine IP-Adresse sowie Zone und Schnittstelle, aus denen der Datenverkehr stammt.

Erlaubte Ports und SSL Ports

Mit den folgenden Konfigurationsoptionen werden die Ports festgelegt, die von Clients für die Internetnutzung verwendet werden dürfen:

Erlaubte Ports (vom Client)

Die TCP-Zielports, für die der Proxyserver bei Verwendung von HTTP Verbindungen akzeptiert. Pro Zeile ist ein Port oder Portbereich gestattet. Kommentare sind zulässig und müssen mit einem #-Zeichen beginnen.

Erlaubte SSL-Ports (vom Client)

Die TCP-Zielports, für die der Proxyserver bei Verwendung von HTTPS Verbindungen akzeptiert. Pro Zeile ist ein Port oder Portbereich gestattet. Kommentare sind zulässig. Sie müssen mit einem #-Zeichen beginnen und enden am Zeilenende.

Log-Einstellungen

Mit den folgenden Konfigurationsoptionen wird für die entsprechende Auswahl die Protokollierung aktiviert:

HTTP Proxy Protokollierung

Protokollieren aller URLs, auf die über den Proxy zugegriffen wird. Hierbei handelt es sich um eine Master-Option, d. h. die folgenden vier Optionen werden nur aktiviert und können nur konfiguriert werden, wenn die Protokollierung aktiv ist. Um Speicherplatz auf der Festplatte der Panda GateDefender-Appliance zu sparen, ist die Protokollierung standardmäßig nicht aktiv.

Suchbegriffe protokollieren

Protokollieren von URL-Parametern (z. B. ?id=123)

Benutzeragent Protokollierung

Von jedem Browser gesendeten Benutzeragenten protokollieren

Inhaltsfilter Protokollierung

Protokollieren der Inhaltsfilterung für Webseiten.

Firewall-Protokollierung (nur bei transparentem Proxy)

Protokollieren der ausgehenden Webzugriffe (Zugriffe über die ROTE Schnittstelle auf das Internet) durch die Firewall. Diese Option ist nur für transparente Proxys anwendbar.

Transparenten Proxy umgehen

In diesem Bereich können Ausnahmen für den transparenten Proxy (siehe auch weiter oben) definiert werden, d. h. welche Quellen (Clients) und Ziele (Remote-Server) vom Proxy ignoriert werden sollen, auch wenn er für die entsprechende Zone aktiviert ist.

Transparenten Proxy von SUBNETZ/IP/MAC umgehen

Die Quellen, auf die der transparente Proxy nicht angewendet werden soll.

Transparenten Proxy nach SUBNET/IP umgehen

Die Ziele, auf die der transparente Proxy nicht angewendet wird.

Tipp

CIDR Notation verwenden, um Subnetze einzugeben

Cache Verwaltung

Mit den folgenden Konfigurationsoptionen werden der Festplattenspeicher für die Zwischenspeicherung und die Größe der gespeicherten Objekte festgelegt:

Zwischenspeichergröße auf der Festplatte (MB)

Die Größe des Festplattenspeichers in Megabyte, den der Proxy für das Zwischenspeichern von Websites zuweisen soll.

Zwischenspeichergröße im Speicher (MB)

Die Größe des Systemspeichers in Megabyte, den der Proxy für das Zwischenspeichern von Websites zuweisen soll.

Maximale Objektgröße (KB)

Die maximale Größe für ein zwischenzuspeicherndes Objekt in Kilobyte.

Minimale Objektgröße (KB)

Die minimale Größe für ein zwischenzuspeicherndes Objekt in Kilobyte.

Hinweis

Objekte, deren Größe außerhalb des definierten Bereichs liegt, werden nicht auf der Festplatte gespeichert, sondern bei jeder Client-Anfrage erneut heruntergeladen.

Aktiviere Offline-Modus

Wenn diese Option aktiviert ist, werden vom Proxy keine Aktualisierungsversuche für zwischengespeicherte Objekte vom Upstream-Webserver unternommen. Von Clients können dann selbst nach Ausfall des Uplinks zwischengespeicherte, statische Websites genutzt werden.

Warnung

Diese Option ist für die Internetnutzung bei ausgefallenem Uplink nützlich, sofern die angeforderte Seite zuvor zwischengespeichert wurde. Sie kann jedoch – selbst mit funktionierendem Uplink – bei Aktualisierungsversuchen für Seiten zu Problemen führen, da vom HTTP-Proxy stets die zwischengespeicherte Seite bereitstellt wird. In diesem Fall muss für eine aktualisierte Version einer Webseite der Cache des Proxyservers gelöscht werden.

Lösche Zwischenspeicher

Beim Klicken auf diese Schaltfläche wird der Zwischenspeicher des Proxys gelöscht.

Diese Ziele nicht zwischenspeichern

Die Domänen, deren Ressourcen nicht zwischengespeichert werden sollen.

Vorgelagerter Proxy

Ist innerhalb des LAN ein weiterer Proxyserver vorhanden, kann dieser vor der Anfrage der Original-Ressource kontaktiert werden. Dieser Bereich enthält die folgenden Konfigurationsoptionen für die Verbindung zwischen der Panda GateDefender-Appliance und dem vorgelagerten Proxy:

Vorgelagerter Proxy

Durch Aktivieren dieses Kontrollkästchens werden ein vorgelagerter Proxy aktiviert und weitere Optionen angezeigt. Bei aktiviertem Kontrollkästchen wird eine Webseite, die nicht bereits vom Proxy der Panda GateDefender-Appliance zwischengespeichert wurde, zunächst beim vorgelagerten Proxy angefragt, bevor sie vom Remote-Server abgerufen wird.

Upstream Server

Der Hostname oder die IP-Adresse des Upstream-Servers.

Upstream Port

Der Port, der vom Proxy auf dem Upstream-Server abgehört wird.

Proxy-Benutzername / Proxy-Passwort

Anmeldeinformationen, falls für den vorgelagerten Proxy eine Anmeldung erforderlich ist.

Client Benutzernamen weiterleiten

Aktivieren Sie das Kontrollkästchen, um den Benutzernamen an den vorgelagerten Proxy weiterzuleiten.

Client IP Adressen weiterleiten

Aktivieren Sie das Kontrollkästchen, um die IP-Adresse des Clients an den vorgelagerten Proxy weiterzuleiten.

Zugriffsrichtlinie

Die Zugriffsrichtlinien werden unabhängig von der Authentifizierung auf alle Clients angewendet, von denen über den Proxy eine Verbindung hergestellt wird. Bei einer Zugriffsrichtlinienregel handelt es sich um ein zeitbasiertes Modell, nach dem Zugriffe erlaubt oder verweigert werden. Dies geschieht auf Basis verschiedener Parameter zu den Benutzern (z. B. Quelle und Ziel des Datenverkehrs) sowie den verwendeten Clients oder heruntergeladenen Inhalten (z. B. Benutzer-Agent, MIME-Typen, Virenscannen und Inhaltsfilterung).

Auf der Seite wird eine Liste der bereits definierten Regeln angezeigt. Durch eine Regel kann angegeben werden, ob der Webzugriff blockiert oder erlaubt ist. Ist er erlaubt, kann ein Filtertyp aktiviert und ausgewählt werden. Die Tabelle enthält die folgenden Informationen für jede dort aufgelistete Regel: Die aufsteigende Identifikationsnummer (#), der Name (``), die Quelle und das vorgesehene Ziel, der Authentifizierungstyp, falls erforderlich die aktiven Zeiträume, die passenden Benutzeragenten und die verfügbaren Aktionen:

• – Richtlinie ändern
• – Richtlinie entfernen
• – Richtlinien nach oben oder unten in der Liste verschieben
• – Richtlinie aktivieren oder deaktivieren

Klicken Sie zum Hinzufügen einer neuen Zugriffsrichtlinie einfach auf Zugriffsrichtlinie hinzufügen: Im daraufhin geöffneten Formular können für die Regel die folgenden Parameter konfiguriert werden:

Ressourcentyp

Die Quellen des Datenverkehrs, für die diese Regel gilt. Dabei kann es sich um den Wert <ANY>, eine Zone, eine Liste von Netzwerken, IP-Adressen oder MAC-Adressen handeln.

Zieltyp

Die Ziele des Datenverkehrs, auf die diese Regel angewendet wird. Dabei kann es sich um den Wert <ANY>, eine Zone oder eine Liste von Netzwerken, IP-Adressen oder Domänen handeln.

Authentifizierung

Die Art der Authentifizierung, die auf die Clients angewendet werden soll. Die verfügbaren Optionen sind deaktiviert (keine Authentifizierung erforderlich), gruppenbasierend und benutzerbasierend. In der angezeigten Liste können vorhandene Benutzer oder Gruppen ausgewählt werden, auf welche die Richtlinie angewendet werden soll.

Tipp

Die Authentifizierung erfolgt nur lokal, weshalb auf der Registerkarte Authentifizierung mindestens ein Benutzer oder eine Gruppe erstellt werden muss, bevor diese verwendet werden kann.

Zeitbeschränkung

Festlegen der Gültigkeit der Regel für bestimmte Tage und/oder einen bestimmten Zeitraum. Standardmäßig ist eine Regel dauerhaft aktiv. Ihre Gültigkeit kann jedoch auf ein Intervall oder bestimmte Tage der Woche beschränkt werden. Durch Aktivieren des Kontrollkästchens werden die folgenden Optionen verfügbar:

Aktive Tage

Wählen Sie einen oder mehrere Wochentage.

Tipp

Um zwei oder mehrere Tage auszuwählen, halten Sie die Taste STRG gedrückt und klicken Sie mit der Maus auf den Namen des Tages.

Startstunde, Stopstunde, Startminute, Stopminute

Wählen Sie für eine feinere Unterteilung des Tagesintervalls, zu dem die Zugriffsrichtlinie aktiv ist, aus den Dropdown-Menüs die Start- und Endzeiten aus.

Benutzeragents

Die zugelassenen Clients und Browser, wie sie durch ihren Benutzeragenten identifiziert werden, d. h. ihrer Zeichenfolge für die Identifizierung.

MIME Typen

Eine Liste von MIME-Typen für zu blockierende eingehende Dateien mit einem Eintrag pro Zeile. MIME-Typen können blockiert (d. h. in eine Blacklist aufgenommen), aber nicht erlaubt (d. h. in eine Whitelist aufgenommen) werden. Daher ist diese Option nur für Richtlinien verfügbar, durch die Zugriffe verweigert werden. Mithilfe dieser Option können Dateien blockiert werden, die nicht der Unternehmensrichtlinie entsprechen (z. B. Multimediadateien).

Hinweis

Die Liste der verfügbaren MIME-Typen finden Sie in der Datei /etc/mime.types auf jedem Linux-System, auf der offiziellen IANA-Webseite sowie in RFC 2045 und RFC 2046.

Zugriffsrichtlinie

Auswahl aus einem Dropdown-Menü, ob der Webzugriff durch die Regel erlaubt oder verweigert werden soll. Falls Ablehnen eingestellt ist, wird die darüber befindliche Option MIME Typen aktiviert.

Filterprofil

Das Dropdown-Menü ist verfügbar, wenn für die Zugriffsrichtlinie die Option Zugriff erlauben ausgewählt wurde. Es ermöglicht die Auswahl der Prüfungen, die durch die Regel ausgeführt werden sollen. Folgende Optionen sind verfügbar: keine für keine Prüfung und Nur Virenerkennung für eine ausschließliche Prüfung auf Viren. Außerdem kann ein Inhaltsfilterprofil auf die Regel angewendet werden, sofern eines erstellt wurde (siehe unten).

Richtlinienstatus

Auswahl, ob die Regel aktiviert oder deaktiviert ist. Deaktivierte Regeln werden nicht angewendet. Standardmäßig werden Regeln aktiviert.

Position

Die Position, an der die neue Regel eingefügt werden soll. Niedrigere Positionen haben eine höhere Priorität.

Die für die Regeln in der Liste verfügbaren Aktionen sind „Ändern der Priorität“, „Bearbeiten“, „Deaktivieren“ bzw. „Aktivieren“ und „Löschen“.

Authentifizierung

Vom Proxy der Panda GateDefender-Appliance werden vier verschiedene Authentifizierungstypen unterstützt, die in einem Dropdown-Menü am oberen Ende der Seite angezeigt werden: Lokale Authentifizierung (NCSA), LDAP (v2, v3, Novell eDirectory, AD), Windows Active Directory (NTLM) und RADIUS. Bei NCSA werden die Anmeldeinformationen für den Zugriff auf der Panda GateDefender-Appliance gespeichert. Die anderen Methoden sind auf einen externen Server angewiesen. In diesen Fällen müssen alle Informationen angegeben werden, die für den Zugriff auf den Server erforderlich sind.

Unter dem Dropdown-Menü für die Auswahl des Authentifizierungstyps befinden sich zwei Bereiche. Der obere Bereich Authentifizierungs Einstellungen enthält gemeinsame Konfigurationselemente. Im unteren Bereich werden abhängig von der Auswahl des Authentifizierungstyps jeweils die spezifischen Einstellungen für eine Methode angezeigt.

Authentifzierungs Einstellungen

In diesem Bereich können die folgenden gemeinsamen Elemente konfiguriert werden:

Authentication Realm

Der Text, der beim Beitreten zu einer Active Directory-Domäne im Authentifizierungsdialog angezeigt und als Bereich für Kerberos oder Winbind verwendet wird. Bei Verwendung von Windows Active Directory für die Authentifizierung sollte der FQDN des PDC verwendet werden.

Tipp

Wenn der Name des Servers localauth und der Domänenname example.orgist, lautet die FQDN localauth.example.org.

Anzahl an Authentifizierungsprozessen

Die maximale Anzahl der gleichzeitig ausgeführten Authentifizierungsprozesse.

Authentifizierungscache TTL (in Minuten)

Der Zeitraum in Minuten, für den die Authentifizierungsdaten zwischengespeichert werden sollen, bevor sie gelöscht werden.

Anzahl der unterschiedlichen IP Adressen pro Benutzer

Die maximale Anzahl der IP-Adressen, von denen ein Benutzer gleichzeitig Verbindungen mit dem Proxy herstellen kann.

Benutzer / Ip Cache TTL (in Minuten)

Der Zeitraum in Minuten, für den eine IP-Adresse dem angemeldeten Benutzer zugeordnet ist.

Nach Einrichtung der gemeinsamen Konfiguration können die spezifischen Einstellungen für den ausgewählten Authentifizierungstyp konfiguriert werden: Lokale Authentifizierung (NCSA), Windows Active Directory (NTLM), LDAP (v2, v3, Novell eDirectory, AD) oder RADIUS.

NCSA spezifische Einstellungen

NCSA Benutzerverwaltung

Durch Klicken auf die Schaltfläche Benutzer verwalten wird die GUI zur Benutzerverwaltung geöffnet, die aus einer einfachen Liste evtl. vorhandener Benutzer und aus dem Link NCSA Benutzer hinzufügen zum Hinzufügen weiterer Benutzer besteht. Ein Benutzer wird hinzugefügt, indem Benutzername und Passwort in das Formular eingegeben werden. Später können diese bearbeitet oder gelöscht werden.

Tipp

Das Passwort muss mindestens 6 Zeichen lang sein.

NCSA Gruppenverwaltung

Durch Klicken auf die Schaltfläche Gruppen verwalten wird die GUI zur Gruppenverwaltung geöffnet, die aus einer einfachen Liste der bestehenden Gruppen und ihren eventuell erstellten Mitglieder und dem Link NCSA Gruppe hinzufügen zum Hinzufügen weiterer Gruppen besteht. Eine Gruppe wird erstellt, indem ein Gruppenname eingegeben wird und Benutzer für die Gruppe ausgewählt werden. Ein Benutzer kann mehreren Gruppen angehören.

Warnung

Obwohl ein Benutzer mehreren Gruppen angehören kann, muss dabei beachtet werden, dass durch die Gruppen, denen der Benutzer angehört, keine widersprüchlichen Zugriffsrichtlinien definiert werden. Im Folgenden ein Beispiel: Ein Benutzer ist Mitglied zweier Gruppen. Für eine Gruppe gilt die Richtlinie, dass auf die Website „www.example.org“ zugegriffen werden kann. Durch die Richtlinie der zweiten Gruppe wird der Zugriff auf diese Website blockiert. In diesem Fall kann nicht ohne weiteres vorhergesagt werden, ob der Benutzer Zugriff auf die Website erhält. Die Handhabung solcher Konflikte liegt in der Verantwortung der Person, die die Zugriffsrichtlinien konzipiert.

Min. Passwortlänge

Die Mindestlänge für das Passwort eines lokalen Benutzers.

NTLM spezifische Einstellungen

Domainname des AD Servers

Die Active Directory-Domäne für den Beitritt. Es sollte der FQDN des Servers verwendet werden.

AD-Domain beitreten

Durch Klicken auf die Schaltfläche Domain beitreten erfolgt der Beitritt zur Domäne. Diese Aktion sollte erst ausgeführt werden, wenn die Authentifizierungseinstellungen gespeichert und angewendet wurden.

PDC Hostname des AD Servers und PDC IP Adresse des AD Servers

Der Hostname und die IP-Adresse des PDC. Zum Erstellen des DNS-Eintrags sind sowohl der Hostname als auch die IP-Adresse erforderlich.

BDC Hostname des AD Servers und BDC IP Adresse des AD Servers

Der Hostname und die IP-Adresse des BDC. Zum Erstellen des DNS-Eintrags sind sowohl der Hostname als auch die IP-Adresse erforderlich.

Anforderungen für das Verwenden von NTLM

Für das Verwenden der systemeigenen Windows-Authentifizierung mit Active Directory (NTLM) müssen die folgenden Bedingungen erfüllt sein:

• Die Authentifizierungseinstellungen müssen gespeichert und angewendet sein, bevor der Beitritt zur Domäne erfolgt.
• Die Panda GateDefender-Appliance muss der Domäne beitreten.
• Die Systemuhren der Panda GateDefender-Appliance und des Active Directory-Servers müssen synchronisiert sein.
• Als „Authentication Realm“ muss ein FQDN verwendet werden.
• Als PDC-Hostname muss der NetBIOS-Name des Active Directory-Servers festgelegt sein.

Tipp

Die Uhr der Panda GateDefender-Appliance kann mit der des Active Directory-Servers synchronisiert werden, indem in der Shell der folgende Befehl ausgeführt wird:

net time set -S IP_OF_AD_SERVER

NTLM-Authentifizierung mit Windows Vista und Windows 7

Vom HTTP-Proxy der Panda GateDefender-Appliance wird ausgehandeltes NTLMv2 verwendet. Für Windows Vista und Windows 7 ist jedoch standardmäßig nur direktes NTLMv2 zugelassen. In der Folge können Clients, auf denen eines dieser Betriebssysteme installiert ist, möglicherweise nicht erfolgreich am HTTP-Proxy authentifiziert werden, obwohl korrekte Anmeldeinformationen angegeben wurden. Um eine ordnungsgemäße Authentifizierung zu ermöglichen, muss die Konfiguration der Clients auf folgende Weise geändert werden:

1. Klicken Sie auf Start, und führen Sie „gpedit.msc“ als Administrator aus.
2. Öffnen Sie: Computerkonfiguration ‣ Windows-Einstellungen ‣ Sicherheitseinstellungen ‣ Lokale Richtlinien ‣ Sicherheitsoptionen.
3. Suchen Sie die Konfigurationsoption Netzwerksicherheit: LAN MANAGER-Authentifizierungsebene
4. Wählen Sie den Wert „LM- und NTLM-Antworten senden (NTLMv2-Sitzungssicherheit verwenden, wenn ausgehandelt)“ aus.

Nachdem die Änderung angewendet wurde, sollte der Browser des Clients mithilfe der Active Directory-Anmeldeinformationen ordnungsgemäß am HTTP-Proxy authentifiziert werden.

LDAP spezifische Einstellungen

LDAP-Server

Die IP-Adresse oder der FQDN des LDAP-Servers.

Port des LDAP Servers

Der Port, der vom Server abgehört wird. Der Standardwert ist 389.

Bind DN Einstellungen

Der Basis-DN (Base Distinguished Name) als Startpunkt für die Suche.

LDAP Typ

Auswahl des Authentifizierungsservertyps aus einem Dropdown-Menü: Active Directory, Novell eDirectory, LDAP v2 oder LDAP v3.

Bind DN Benutzername

Der FDN (Fully Distinguished Name) eines Bind-DN-Benutzers mit der Berechtigung zum Lesen von Benutzerattributen.

Bind DN Passwort

Das Passwort des Bind-DN-Benutzers.

Objekt-Klasse der Benutzer

Die Objekt-Klasse, welcher der Bind-DN-Benutzer angehören muss.

Objekt-Klasse der Gruppe

Die Objekt-Klasse, der die Bind-DN-Gruppe angehören muss.

RADIUS spezifische Einstellungen

RADIUS Server

Die IP-Adresse oder URL des RADIUS-Servers

Port des RADIUS Servers

Der Port, der vom RADIUS-Server abgehört wird.

Kennung

Eine zusätzliche Kennung.

Shared Secret

Das Passwort, das verwendet werden soll.

Webfilter

Die Inhaltsfilterfunktionen der Panda GateDefender Appliance basieren auf der URL-Filterlösung von Cyren. Von dieser werden zwei Filtertechniken verwendet, die für Filterprofile definiert werden können.

Die erste besteht aus erweiterten Methoden für die Kategorisierung von Webseiten basierend auf dem Inhalt. Die zweite Methode verwendet eine Kombination aus White- und Blacklist-URLs und Domänen: Alle von Clients angeforderten URLs werden in der Liste nachgeschlagen und nur bereitgestellt, wenn sie in der Whitelist gefunden werden.

Hinweis

Wenn das System noch nicht in der Panda Perimetral Management Console registriert wurde, können die URL-Filterlisten nicht heruntergeladen werden. In diesem Fall wird eine informative Meldung angezeigt: Wenn Sie darauf klicken, wird das Registrierungsformular geöffnet.

Für die Verwendung des Inhaltsfilters wird ein Profil benötigt. Ein Standardprofil ist verfügbar, das den Zugriff auf jede Webseite ermöglicht und nicht gelöscht werden darf. Zusätzliche Profile, die bei der Definition einer Zugriffsrichtlinie benötigt werden, können leicht erstellt werden. Deshalb können Zugriffsrichtlinien, die ein bestimmtes Profil benötigen, nur nach dem Profil erstellt werden.

Auf der Seite befindet sich eine Liste bestehender Profile zusammen mit einer Anmerkung und den verfügbaren Aktionen:

• – Profil bearbeiten
• – Profil löschen

Oberhalb der Tabelle befindet sich der Link Profil erstellen: Beim Klicken auf den Link wird der Profileditor geöffnet, mit dem neue Profile konfiguriert werden können. Die Liste der vorhandenen Profile wird dabei an das untere Seitenende verschoben. Im Profileditor können die folgenden Einstellungen definiert werden:

Profilname

Der Name des Profils.

Virenscanner aktivieren

Aktivieren Sie den Virenschutz im Inhaltsfilter.

SafeSearch Umgebung

In diesem Abschnitt können Sie für die unterstützten Maschinen die Funktionen der SafeSearch-Umgebung aktivieren. Derzeit sind das die Folgenden:

• Google
• Bing
• Yahoo
• Yandex
• DuckDuckGo

SafeSearch-Umgebung

Bereits mit der Standardwebfilterfunktion ist es möglich, für Kinder oder Schüler unangemessene Webseiten auszufiltern. Dies wirkt sich jedoch nicht auf Ergebnisse wie Vorschaubilder aus, die nicht aus den Suchmaschinen stammen.

Da Suchmaschinen Bilder im Cache zwischenspeichern, ist es unmöglich festzustellen, von welcher Webseite diese stammen, und daher können sie nicht auf der Grundlage ihrer Kategorie blockiert werden. Damit unangemessene oder beleidigende Inhalte trotzdem blockiert werden können, verfügen viele Suchmaschinen über eine Funktion, in der solche Suchergebnisse einfach nicht inkludiert werden, wenn die Funktion aktiviert ist.

Bei Verwendung der SafeSearch-Umgebung wird dieses Verhalten unabhängig von den persönlichen Einstellungen des Benutzers für die ausgewählten Suchmaschinen angewendet.

Da der Großteil der Suchmaschinen heute automatisch HTTPS verwendet, ist es erforderlich, den HTTPS-Proxy zu aktivieren.

URL Filter

Die nachfolgenden Einstellungen befinden sich in Bereichen, die mithilfe der Symbole und links neben ihren Titeln erweitert oder reduziert werden können. Von einem kleinen Pfeil ganz auf der rechten Seite wird angezeigt, ob die enthaltenen Elemente alle, zum Teil oder nicht erlaubt sind. Durch Klicken auf diese Pfeile kann der Status der enthaltenen Elemente auf schnelle Weise umgeschaltet werden.

Die Kategorien zum Aktivieren der Ausführung des Inhaltsfilters. Jede Kategorie enthält zusätzliche Unterkategorien, die einzeln zugelassen oder nicht zugelassen werden können. Ein grüner Pfeil  bedeutet, dass die Elemente der (Unter-)Kategorie für den Inhaltsfilter verwendet werden. Ein roter Pfeil  bedeutet, dass diese nicht verwendet werden. Das Symbol neben dem Namen der Kategorie zeigt an, dass nur einige der zugehörigen Unterkategorien für die Inhaltsfilterung verwendet werden.

Benutzerdefinierte Black- und Whitelists

Hier können benutzerdefinierte Listen von Webseiten hinzugefügt werden, die entweder immer an den Client weitergeleitet werden (Whitelist), oder nie an den Client weitergeleitet werden (Blacklist).

Eine Inhaltsfilterung kann sowohl zu positiven als auch negativen Fehltreffern führen. An dieser Stelle kann daher eine Liste von Domänen eingegeben werden, die grundsätzlich blockiert bzw. erlaubt werden sollen. Diese Richtlinie wird unabhängig von den Ergebnissen der Inhaltsfilteranalyse angewendet.

AD-Beitritt

In diesem Bereich können Anmeldeinformationen eingegeben werden, um dem Active Directory-Server beizutreten. Dieser Vorgang ist nur möglich, wenn auf der Registerkarte Authentifizierung die Option Windows Active Directory (NTLM) ausgewählt wurde.

Benutzername des ADS Administrators

Der Benutzernamen des Active-Directory-Servers.

Kennwort des ADS-Administrators

Das Kennwort des Active-Directory-Servers. Es wird standardmäßig nicht angezeigt, kann aber durch Aktivieren des Kontrollkästchens rechts vom Textfeld angezeigt werden.

HTTPS-Proxy

Auf dieser Seite können Sie den Proxyserver für die Überwachung von SSL-verschlüsseltem Datenverkehr konfigurieren, d. h. Verkehr über Port 443. Wenn diese Option aktiviert ist, werden alle Client-Anfragen über Squid abgefangen und an den Remote-Server weitergeleitet, beispielsweise im Falle von HTTP-Anfragen. Der einzige Unterschied besteht darin, dass für HTTPS-Anfragen ein „zwischenzeitliches“ Zertifikat für den Client benötigt wird, um sich über HTTPS mit der Panda GateDefender-Appliance zu verbinden. Diese kann dann die Anfrage zustellen, die Remote-Quelle abfragen, diese steuern und dann an den anfragenden Client senden.

Auf dieser Seite gibt es drei verfügbare Einstellungen, die in zwei Teile gegliedert sind: Die Erste ermöglicht die Einrichtung des HTTPS-Proxys, die Zweite dient zur Verwaltung des Zertifikats der Panda GateDefender-Appliance.

HTTPS-Proxy aktivieren

Durch Aktivieren dieses Kontrollkästchens wird der HTTPS-Proxy aktiviert. Die nächste Option wird angezeigt.

Jedes Zertifikat akzeptieren

Mit dieser Option kann die Panda GateDefender-Appliance automatisch alle Zertifikate vom Remote-Server akzeptieren, selbst solche, die ungültig oder veraltet sind.

HTTPS Verbindungen direkt an den Upstream Proxy weiterleiten

Wenn diese Option verwendet wird, wird der HTTPS-Verkehr direkt vom vorgelagerten Proxy verwaltet, ansonsten wird er von der Panda GateDefender Appliance verwaltet.

Hinweis

Diese Option funktioniert ausschließlich, wenn in Vorgelagerter Proxy ein vorgelagerter Proxy definiert wurde (siehe Menüleiste ‣ Proxy ‣ HTTP ‣ Konfiguration ‣ Vorgelagerter Proxy).

Einträge in der Whitelist des HTTPS-Proxys.

Wenn es sich beim Eintrag um eine IP Adresse handelt, wird der an diese IP gerichtete HTTPS-Verkehr vom HTTPS-Proxy durchgelassen. Wenn es sich beim Eintrag um einen Domänennamen handelt, wie z. B. www.example.org, dann wird nur diese Seite überbrückt. Wenn allerdings ein Punkt . am Anfang eines Domänennamens verwendet wird, wird der gesamte Verkehr zu dieser Domäne und sämtlichen Subdomänen erlaubt.

Beispiele:

93.184.216.119 erlaubt nur die Seite https://93.184.216.119/ www.example.org erlaubt nur die Seite https://www.example.org/ .example.org erlaubt alle Seiten mit der Endung .example.org, wie z. B., https://www.example.org/index.html https://mail.example.org/mail.html https://www.news.example.org/news.html und so weiter.

HTTPS-Proxy für diese Ziele umgehen

Geben Sie die IP-Adresse oder den Domänennamen der Remote-Webseiten, die vom HTTPS-Proxy übersprungen werden sollen, jeweils in einer neuen Zeile in das Textfeld ein.

Klicken Sie zur Aktivierung des HTTPS-Proxys auf Speichern, und warten Sie einige Sekunden.

Der untere Bereich kann verwendet werden, um ein Zertifikat hochzuladen, das von der Panda GateDefender-Appliance verwendet wird, oder um ein neues zu generieren, das ein bereits existierendes ersetzt.

Proxy Zertifikat hochladen

Klicken Sie zur Verwendung eines existierenden Zertifikats auf Durchsuchen..., und wählen Sie das Zertifikat von der lokalen Festplatte aus. Klicken Sie dann auf Hochladen, um eine Kopie an die Panda GateDefender-Appliance zu senden.

Erzeuge ein neues Zertifikat

Klicken Sie auf diese Schaltfläche, um ein neues Zertifikat zu erstellen. Ein Bestätigungsdialogfeld wird angezeigt, das eine Bestätigung erfordert. Klicken Sie auf OK, um fortzufahren, oder auf Abbrechen, um das Dialogfeld zu schließen und einen Schritt zurückzugehen.

Nachdem das Zertifikat hochgeladen oder erstellt wurde, ist neben Proxy Zertifikat hochladen eine neue Option in Form eines Hyperlinks verfügbar:

Download

Klicken Sie auf diesen Hyperlink, um das von den Clients benötigte Zertifikat herunterzuladen.