McAfee Web Gateway 7.5.0 Produkthandbuch
Transcription
McAfee Web Gateway 7.5.0 Produkthandbuch
Produkthandbuch Revision A McAfee Web Gateway 7.5.0 COPYRIGHT Copyright © 2014 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com MARKEN Intel und das Intel-Logo sind eingetragene Marken der Intel Corporation in den USA und/oder anderen Ländern. McAfee und das McAfee-Logo, McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfee Total Protection, TrustedSource und VirusScan sind eingetragene Marken oder Marken von McAfee, Inc. oder seinen Tochterunternehmen in den USA und anderen Ländern. Alle anderen Namen und Marken sind Eigentum der jeweiligen Besitzer. LIZENZINFORMATIONEN LIZENZVEREINBARUNG HINWEIS FÜR ALLE BENUTZER: LESEN SIE DEN LIZENZVERTRAG FÜR DIE VON IHNEN ERWORBENE SOFTWARE SORGFÄLTIG DURCH. ER ENTHÄLT DIE ALLGEMEINEN BESTIMMUNGEN UND BEDINGUNGEN FÜR DIE VERWENDUNG DER LIZENZIERTEN SOFTWARE. WENN SIE NICHT WISSEN, WELCHEN SOFTWARE-LIZENZTYP SIE ERWORBEN HABEN, SCHLAGEN SIE IN DEN UNTERLAGEN ZUM KAUF UND WEITEREN UNTERLAGEN BEZÜGLICH DER LIZENZGEWÄHRUNG ODER DEN BESTELLUNTERLAGEN NACH, DIE SIE ZUSAMMEN MIT DEM SOFTWARE-PAKET ODER SEPARAT (ALS BROSCHÜRE, DATEI AUF DER PRODUKT-CD ODER ALS DATEI, DIE AUF DER WEBSEITE VERFÜGBAR IST, VON DER SIE AUCH DAS SOFTWAREPAKET HERUNTERGELADEN HABEN) ERHALTEN HABEN. WENN SIE MIT DEN IN DIESER VEREINBARUNG AUFGEFÜHRTEN BESTIMMUNGEN NICHT EINVERSTANDEN SIND, UNTERLASSEN SIE DIE INSTALLATION DER SOFTWARE. SOFERN MÖGLICH, GEBEN SIE DAS PRODUKT AN McAFEE ODER IHREN HÄNDLER BEI VOLLER RÜCKERSTATTUNG DES KAUFPREISES ZURÜCK. 2 McAfee Web Gateway 7.5.0 Produkthandbuch Inhaltsverzeichnis Einleitung Informationen zu diesem Handbuch . Konventionen . . . . . . . Inhalt dieses Handbuchs . . Quellen für Produktinformationen . . 1 15 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Einführung 17 Filtern des Web-Datenverkehrs . . . . . . . . . . . . . . . . . . . . . . . . . . . . Hauptfunktionen der Appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . Hauptkomponenten der Appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . Bereitstellung der Appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Allgemeine Verwaltungsaktivitäten . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Benutzeroberfläche Regeln 24 26 26 27 27 30 32 33 33 34 37 Informationen zur Filterung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Filterzyklen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Prozessablauf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Regelelemente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Format von Regeln auf der Benutzeroberfläche . . . . . . . . . . . . . . . . . . Komplexe Kriterien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Regelsätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Regelsatzsystem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Regelsatz-Bibliothek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Registerkarte „Rule Sets“ (Regelsätze) . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen einer Regel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Benennen und Aktivieren einer Regel . . . . . . . . . . . . . . . . . . . . . . Arbeiten mit dem Fenster „Add Criteria“ (Kriterien hinzufügen) . . . . . . . . . . . . Hinzufügen von Regelkriterien . . . . . . . . . . . . . . . . . . . . . . . . . Hinzufügen einer Regelaktion . . . . . . . . . . . . . . . . . . . . . . . . . Hinzufügen eines Regelereignisses . . . . . . . . . . . . . . . . . . . . . . . Erstellen eines Regelsatzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Importieren eines Regelsatzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . Empfohlene Vorgehensweisen – Konfigurieren von Regeln . . . . . . . . . . . . . . . . . McAfee Web Gateway 7.5.0 17 18 20 21 22 23 Hauptelemente der Benutzeroberfläche . . . . . . . . . . . . . . . . . . . . . . . . . Unterstützende Konfigurationsfunktionen . . . . . . . . . . . . . . . . . . . . . . . . Verwerfen von Änderungen . . . . . . . . . . . . . . . . . . . . . . . . . . Verwerfen von Änderungen durch erneutes Laden der Daten . . . . . . . . . . . . . Konfigurieren einer Web-Sicherheitsrichtlinie auf der Benutzeroberfläche . . . . . . . . . . . Schlüsselelementansicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren eines Schlüsselelements . . . . . . . . . . . . . . . . . . . . . . Ansicht für vollständige Regeln . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren eines Regelelements in der Ansicht für vollständige Regeln . . . . . . . . Verwalten von Web Gateway ohne die Benutzeroberfläche . . . . . . . . . . . . . . . . . 3 15 15 16 16 37 39 39 41 42 43 44 45 46 47 49 50 50 53 54 55 56 58 59 Produkthandbuch 3 Inhaltsverzeichnis Verwenden von Regeln und Regelsätzen in passenden Zyklen . . . . . . . . . . . . . Verwendung aufwändiger Eigenschaften am Ende des Filterprozesses . . . . . . . . . . Verwendung von höchstens zwei Eigenschaften in den Kriterien einer Regel . . . . . . . Beschränken des Zugriffs auf Konfigurationselemente . . . . . . . . . . . . . . . . . . . 4 Listen 59 61 62 63 65 Listentypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 Registerkarte „Lists“ (Listen) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 Zugreifen auf eine Liste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 Zugreifen auf eine Liste auf der Registerkarte „Lists“ (Listen) . . . . . . . . . . . . . 70 Zugreifen auf eine Liste in einer Regel . . . . . . . . . . . . . . . . . . . . . . 70 Erstellen einer Liste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 Hinzufügen einer neuen Liste . . . . . . . . . . . . . . . . . . . . . . . . . 71 Füllen einer Liste mit Einträgen . . . . . . . . . . . . . . . . . . . . . . . . . 71 Arbeiten mit verschiedenen Listentypen . . . . . . . . . . . . . . . . . . . . . . . . 72 Hinzufügen eines Platzhalterausdrucks zu einer globalen Whitelist für URLs . . . . . . . 72 Hinzufügen einer URL-Kategorie zu einer Blockierungsliste . . . . . . . . . . . . . . 73 Hinzufügen eines Medientyps zu einer Filterliste für Medientypen . . . . . . . . . . . 74 Abonnierte Listen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 Erstellen einer abonnierten Liste . . . . . . . . . . . . . . . . . . . . . . . . 75 Einstellungen für Inhalt abonnierter Listen . . . . . . . . . . . . . . . . . . . . 76 Aktualisieren abonnierter Listen . . . . . . . . . . . . . . . . . . . . . . . . 77 Erstellen einer Inhaltsdatei für eine von Kunden gepflegte Liste . . . . . . . . . . . . 78 Empfohlene Vorgehensweisen – Arbeiten mit einer von McAfee verwalteten abonnierten Liste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 Externe Listen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 Verwenden externer Listendaten in Regeln . . . . . . . . . . . . . . . . . . . . 83 Ersetzung und Platzhalter . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 Konfigurieren des Moduls „External Lists“ . . . . . . . . . . . . . . . . . . . . . 85 Einstellungen für das Modul „External Lists“ . . . . . . . . . . . . . . . . . . . . 86 Konfigurieren von allgemeinen Einstellungen für externe Listen . . . . . . . . . . . . 93 Systemeinstellungen für „External Lists“ (Externe Listen) . . . . . . . . . . . . . . 93 Zuordnungstyplisten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 Erstellen einer Zuordnungstypliste . . . . . . . . . . . . . . . . . . . . . . . . 95 Verwenden von Eigenschaften zur Arbeit mit Zuordnungstyplisten . . . . . . . . . . . 96 Abrufen von Zuordnungsdaten aus externen und abonnierten Listen . . . . . . . . . . 97 Allgemeiner Katalog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 Vorbereiten der Verwendung von Common Catalog-Listen . . . . . . . . . . . . . . 98 Einrichten eines Benutzerkontos für Common Catalog-Listen . . . . . . . . . . . . . 99 Einrichten eines Administratorkontos für Common Catalog-Listen . . . . . . . . . . . 99 Aktivieren der Nutzung der REST-Schnittstelle für Common Catalog-Listen . . . . . . . 100 Beispieleinstellungen zum Registrieren von Web Gateway auf einem McAfee ePO-Server . 100 JSON-Daten (JavaScript Object Notation) . . . . . . . . . . . . . . . . . . . . . . . 101 5 Einstellungen 107 Einstellungstypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Registerkarte „Settings“ (Einstellungen) . . . . . . . . . . . . . . . . . . . . . . . . Zugreifen auf Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zugreifen auf Einstellungen für Aktionen und Module auf der Registerkarte „Einstellungen“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zugreifen auf Einstellungen für Aktionen und Module in einer Regel . . . . . . . . . . Zugreifen auf Systemeinstellungen . . . . . . . . . . . . . . . . . . . . . . . Erstellen von Aktions- und Moduleinstellungen . . . . . . . . . . . . . . . . . . . . . 6 Proxys 107 109 110 110 111 111 111 113 Konfigurieren von Proxys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 4 McAfee Web Gateway 7.5.0 Produkthandbuch Inhaltsverzeichnis Modus „Expliziter Proxy“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 Konfigurieren des expliziten Proxy-Modus . . . . . . . . . . . . . . . . . . . . 115 Empfohlene Vorgehensweisen – Konfigurieren des Proxy-Hochverfügbarkeitsmodus . . . 116 Empfohlene Vorgehensweisen – Größenbeschränkungen für Hochverfügbarkeitskonfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 Einstellungen für „Transparenter Proxy“ . . . . . . . . . . . . . . . . . . . . . 121 Einstellungen für „Proxy HA“ (Proxy-Hochverfügbarkeit) . . . . . . . . . . . . . . 129 Transparenter Router-Modus . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 Konfigurieren des transparenten Router-Modus . . . . . . . . . . . . . . . . . . 130 Konfigurieren von Knoten im transparenten Router-Modus . . . . . . . . . . . . . 131 Einstellungen für „Transparenter Router“ . . . . . . . . . . . . . . . . . . . . 134 Transparenter Bridge-Modus . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 Konfigurieren des transparenten Bridge-Modus . . . . . . . . . . . . . . . . . . 136 Konfigurieren von Knoten im transparenten Bridge-Modus . . . . . . . . . . . . . 137 Einstellungen für die transparente Bridge . . . . . . . . . . . . . . . . . . . . 140 Secure ICAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 SOCKS-Proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 Konfigurieren eines SOCKS-Proxys . . . . . . . . . . . . . . . . . . . . . . . 142 Verwenden von Eigenschaften und eines Ereignisses in Regeln für einen SOCKS-Proxy . . 143 Konfigurieren von SOCKS-Proxy-Einstellungen . . . . . . . . . . . . . . . . . . 144 SOCKS Proxy (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 Instant Messaging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145 XMPP-Proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 Konfigurieren von allgemeinen Proxy-Einstellungen . . . . . . . . . . . . . . . . . . . 149 Proxy-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 Steuern ausgehender Quell-IP-Adressen . . . . . . . . . . . . . . . . . . . . . . . . 162 Konfigurieren der Kontrolle ausgehender Quell-IP-Adressen . . . . . . . . . . . . . 164 Verwenden von WCCP zum Umleiten von FTP-Datenverkehr . . . . . . . . . . . . . . . . 164 Konfigurieren der Verwendung von WCCP zum Umleiten des FTP-Datenverkehrs . . . . . 165 Verwenden der Raptor-Syntax für die FTP-Anmeldung . . . . . . . . . . . . . . . . . . 166 Protokolle für die Kommunikation zwischen Knoten . . . . . . . . . . . . . . . . . . . 167 Verwendung von DNS-Servern in Abhängigkeit von Domänen . . . . . . . . . . . . . . . 167 Konfigurieren Sie die Verwendung von DNS-Servern entsprechend Domänen . . . . . . 168 Einstellungen für den Domain Name Service . . . . . . . . . . . . . . . . . . . 168 Reverse-HTTPS-Proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 Umleiten von HTTPS-Datenverkehr im Modus „Transparente Bridge“ oder „Transparenter Router“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 Festlegen der Überwachung von über DNS-Einträge umgeleiteten Anfragen durch die Appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 SSL-Zertifikate in einer Reverse-HTTPS-Proxy-Konfiguration . . . . . . . . . . . . . 173 Durchführen zusätzlicher Aktivitäten für eine Reverse-HTTPS-Proxy-Konfiguration . . . . 177 Automatische Proxy-Konfiguration (Proxy Auto-Configuration, PAC) . . . . . . . . . . . . . 185 Bereitstellen einer PAC-Datei . . . . . . . . . . . . . . . . . . . . . . . . . 185 Erstellen einer Regel zum Herunterladen der Datei „wpad.dat“ . . . . . . . . . . . . 186 Konfigurieren der automatischen Erkennung eines WPAD-Hosts . . . . . . . . . . . 186 Verwenden des Helix-Proxys . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186 Konfigurieren der Verwendung des Helix-Proxys . . . . . . . . . . . . . . . . . 187 7 Authentifizierung 189 Authentifizieren von Benutzern . . . . . . . . . . . . . . . . . . . . . . . . . . . . LDAP-Digest-Authentifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren der Authentifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren des Moduls „Authentication“ . . . . . . . . . . . . . . . . . . . . . . . Authentifizierungseinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . Implementieren einer anderen Authentifizierungsmethode . . . . . . . . . . . . . . . . Verwenden von Systemeinstellungen zum Konfigurieren der Authentifizierung . . . . . . . . Einstellungen für „Kerberos Administration“ . . . . . . . . . . . . . . . . . . . McAfee Web Gateway 7.5.0 190 191 193 194 194 207 208 208 Produkthandbuch 5 Inhaltsverzeichnis Beitreten einer Appliance zu einer Windows-Domäne . . . . . . . . . . . . . . . Einstellungen für die Windows-Domänenmitgliedschaft . . . . . . . . . . . . . . . Empfohlene Vorgehensweisen – Konfigurieren der Authentifizierung für Bereitstellungstypen . . . Authentifizierung für den Modus „Expliziter Proxy“ . . . . . . . . . . . . . . . . . Authentifizierung für transparente Modi . . . . . . . . . . . . . . . . . . . . . Authentifizierung für den Modus „Expliziter Proxy“ mit WCCP . . . . . . . . . . . . Instant Messaging-Authentifizierung . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren der Instant Messaging-Authentifizierung . . . . . . . . . . . . . . . Konfigurieren des Authentifizierungsmoduls für die Instant Messaging-Authentifizierung . Konfigurieren des Dateisystem-Protokollierungsmoduls für die Instant MessagingAuthentifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IM Authentication (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . Einmalkennwörter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von Einmalkennwörtern für das Authentifizieren von Benutzern . . . . . . Konfigurieren von Einmalkennwörtern für das autorisierte Außerkraftsetzen . . . . . . . Konfigurieren von Einstellungen für Einmalkennwörter . . . . . . . . . . . . . . . Authentication Server (Time/IP Based Session with OTP) (Regelsatz) . . . . . . . . . Authorized Override with OTP (Regelsatz) . . . . . . . . . . . . . . . . . . . . Authentication Server (Time/IP Based Session with OTP and Pledge) (Regelsatz) . . . . Authorized Override with OTP and Pledge (Regelsatz) . . . . . . . . . . . . . . . Authentifizierung der Client-Zertifikate . . . . . . . . . . . . . . . . . . . . . . . . Verwenden von Zertifikaten für die Client-Zertifikat-Authentifizierung . . . . . . . . . Regelsätze für die Client-Zertifikat-Authentifizierung . . . . . . . . . . . . . . . . Umleiten von Anfragen an einen Authentifizierungs-Server . . . . . . . . . . . . . Implementieren der Authentifizierung von Client-Zertifikaten . . . . . . . . . . . . Importieren des Regelsatzes „Authentication Server (for X509 Authentication)“ . . . . . Bearbeiten eines Regelsatzes zur Konfiguration der Verwendung von Server-Zertifikaten Bearbeiten eines Regelsatzes zur Konfiguration der Verwendung von Zertifizierungsstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren eines Listener-Ports für eingehende Anfragen auf der Appliance . . . . . Importieren des Regelsatzes „Cookie Authentication (for X509 Authentication)“ . . . . . Bearbeiten eines Regelsatzes zum Ändern des Listener-Ports für eingehende Anfragen . . Importieren eines Client-Zertifikats in einen Browser . . . . . . . . . . . . . . . Administratorkonten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Hinzufügen eines Administratorkontos . . . . . . . . . . . . . . . . . . . . . Bearbeiten eines Administratorkontos . . . . . . . . . . . . . . . . . . . . . . Löschen eines Administratorkontos . . . . . . . . . . . . . . . . . . . . . . . Einstellungen für Administratorkonten . . . . . . . . . . . . . . . . . . . . . Verwalten der Administratorrollen . . . . . . . . . . . . . . . . . . . . . . . Einstellungen für Administratorrollen . . . . . . . . . . . . . . . . . . . . . . Konfigurieren der externen Kontoverwaltung . . . . . . . . . . . . . . . . . . . 8 Kontingentverwaltung McAfee Web Gateway 7.5.0 221 222 224 225 225 226 227 230 232 234 236 237 238 238 240 240 241 242 243 244 244 245 247 247 247 248 248 249 249 250 253 Festlegen von Kontingenten und anderen Einschränkungen für die Web-Nutzung . . . . . . . Zeitkontingent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von Zeitkontingenten . . . . . . . . . . . . . . . . . . . . . . Einstellungen für das Zeitkontingent . . . . . . . . . . . . . . . . . . . . . . Time Quota (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . . Volumenkontingent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von Volumenkontingenten . . . . . . . . . . . . . . . . . . . . Einstellungen für das Volumenkontingent . . . . . . . . . . . . . . . . . . . . Volume Quota (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . Coaching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren des Coachings . . . . . . . . . . . . . . . . . . . . . . . . . Coaching-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . Coaching (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 209 210 210 212 214 218 219 220 221 254 257 257 258 259 261 261 262 263 265 266 266 267 Produkthandbuch Inhaltsverzeichnis Autorisiertes Außerkraftsetzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren des autorisierten Außerkraftsetzens . . . . . . . . . . . . . . . . . Einstellungen für „Authorized Override“ (Autorisiertes Außerkraftsetzen) . . . . . . . . Authorized Override (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . Blockierungssitzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von Blockierungssitzungen . . . . . . . . . . . . . . . . . . . . Einstellungen für die Blockierungssitzung . . . . . . . . . . . . . . . . . . . . Blocking Sessions (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . Kontingent-Systemeinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Web-Filterung 268 269 269 270 272 272 273 273 274 277 Viren- und Malware-Filterung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278 Konfigurieren von Schlüsselelementen für die Viren- und Malware-Filterung . . . . . . . 279 Schlüsselelemente für die Viren- und Malware-Filterung . . . . . . . . . . . . . . . 280 Konfigurieren der Viren- und Malware-Filterung mithilfe der vollständigen Regelansicht . . 281 Konfigurieren von Einstellungen für das Modul „Anti-Malware“ . . . . . . . . . . . . 282 Ändern der Modulkombination zum Scannen von Web-Objekten . . . . . . . . . . . 282 Einstellungen für „Anti-Malware“ . . . . . . . . . . . . . . . . . . . . . . . . 284 Gateway Anti-Malware (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . 290 Scannen des Mediendatenstroms . . . . . . . . . . . . . . . . . . . . . . . . 292 Warteschlange für Malware-Schutz . . . . . . . . . . . . . . . . . . . . . . . 292 Entfernen eines Malware-Schutz-Wasserzeichens . . . . . . . . . . . . . . . . . 294 URL-Filterung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296 Konfigurieren von Schlüsselelementen für die URL-Filterung . . . . . . . . . . . . . 298 Schlüsselelemente für die URL-Filterung . . . . . . . . . . . . . . . . . . . . . 298 Konfigurieren der URL-Filterung mithilfe der vollständigen Regelansicht . . . . . . . . 299 Konfigurieren von Einstellungen für das Modul „URL Filter“ . . . . . . . . . . . . . 300 URL-Filtereinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . 300 Empfohlene Vorgehensweisen – Aufnahme von Web-Objekten in die Whitelist mithilfe von URLEigenschaften . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304 URL Filtering (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . . 310 URL-Filterung mit Dynamic Content Classifier . . . . . . . . . . . . . . . . . . . 312 Verwenden einer eigenen URL-Filter-Datenbank . . . . . . . . . . . . . . . . . . 313 URL-Filterung mithilfe eines IFP-Proxys . . . . . . . . . . . . . . . . . . . . . 315 Medientyp-Filterung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319 Konfigurieren von Schlüsselelementen für die Medientyp-Filterung . . . . . . . . . . 321 Schlüsselelemente für die Medientyp-Filterung . . . . . . . . . . . . . . . . . . 321 Konfigurieren der Medientyp-Filterung mithilfe der vollständigen Regelansicht . . . . . . 322 Eigenschaften für die Medientyp-Filterung . . . . . . . . . . . . . . . . . . . . 322 Bearbeiten einer Medientyp-Filterregel . . . . . . . . . . . . . . . . . . . . . 323 Media Type Filtering (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . 325 Anwendungsfilterung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326 Konfigurieren der Anwendungsfilterung . . . . . . . . . . . . . . . . . . . . . 328 Erstellen einer Liste zur Anwendungsfilterung . . . . . . . . . . . . . . . . . . . 329 Bearbeiten der Risikostufen in einer Anwendungsfilterregel . . . . . . . . . . . . . 330 Application Control (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . 331 Streaming-Medien-Filterung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332 Konfigurieren der Streaming-Medien-Filterung . . . . . . . . . . . . . . . . . . 334 Konfigurieren des Moduls für die Streaming-Medien-Erkennung . . . . . . . . . . . . 335 Empfohlene Vorgehensweisen – Konfigurieren Stream Detector . . . . . . . . . . . 335 Einstellungen für Stream Detector . . . . . . . . . . . . . . . . . . . . . . . 337 Globale Whitelists . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337 Konfigurieren von globalen Whitelists . . . . . . . . . . . . . . . . . . . . . . 338 Global Whitelist (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . 338 SSL-Scans . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339 Konfigurieren des SSL-Scans . . . . . . . . . . . . . . . . . . . . . . . . . 340 McAfee Web Gateway 7.5.0 Produkthandbuch 7 Inhaltsverzeichnis Konfigurieren der Module für SSL-Scans . . . . . . . . . . . . . . . . . . . . . Ersetzen der standardmäßigen Stamm-Zertifizierungsstelle . . . . . . . . . . . . . Liste der Client-Zertifikate . . . . . . . . . . . . . . . . . . . . . . . . . . Einstellungen für „SSL Scanner“ . . . . . . . . . . . . . . . . . . . . . . . . Einstellungen für SSL-Client-Kontext . . . . . . . . . . . . . . . . . . . . . . Einstellungen für die Zertifikatskette . . . . . . . . . . . . . . . . . . . . . . SSL Scanner (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . . Hardware Security Module . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwendung eines Hardware Security Module zum Verwalten von Zertifikatsschlüsseln . . Konfigurieren der lokalen Verwendung eines Hardware Security Module . . . . . . . . Konfigurieren der Remote-Verwendung eines Hardware Security Module . . . . . . . . Konfigurieren eines Zertifikats mithilfe einer Schlüssel-ID . . . . . . . . . . . . . . Einstellungen für das Hardware Security Module . . . . . . . . . . . . . . . . . . Advanced Threat Defense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Workflows für die Verwendung von Advanced Threat Defense . . . . . . . . . . . . Kriterien für das zusätzliche Scannen durch Advanced Threat Defense . . . . . . . . . Konfigurationselemente für die Verwendung von Advanced Threat Defense . . . . . . . Überwachung der Aktivitäten von Advanced Threat Defense . . . . . . . . . . . . . Nutzung eines vorhandenen Scan-Berichts von Advanced Threat Defense . . . . . . . Nutzung eines laufenden Scans von Advanced Threat Defense . . . . . . . . . . . . Konfigurieren der Verwendung von Advanced Threat Defense . . . . . . . . . . . . Konfigurieren von Schlüsselelementen für die Verwendung von Advanced Threat Defense Schlüsselelemente für die Verwendung von Advanced Threat Defense . . . . . . . . . Konfigurieren von Einstellungen für die Verwendung von Advanced Threat Defense . . . . Gateway ATD-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . Advanced Threat Defense (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . ATD – Offline Scanning with Immediate File Availability (Regelsatz) . . . . . . . . . . Data Loss Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von Data Loss Prevention . . . . . . . . . . . . . . . . . . . . . Konfigurieren von Data Loss Prevention für die Verwendung von Standardklassifizierungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von Data Loss Prevention für die Verwendung von Wörterbucheinträgen . . Einstellungen für Data Loss Prevention (Klassifizierung) . . . . . . . . . . . . . . Einstellungen für Data Loss Prevention (Wörterbücher) . . . . . . . . . . . . . . . Data Loss Prevention (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . Verhindern von Datenlecks mit einem ICAP-Server . . . . . . . . . . . . . . . . 10 Unterstützende Funktionen McAfee Web Gateway 7.5.0 385 386 387 389 390 392 395 Fortschrittsanzeige . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren der Fortschrittsanzeige . . . . . . . . . . . . . . . . . . . . . . Konfigurieren der Fortschrittsanzeige-Module . . . . . . . . . . . . . . . . . . . Einstellungen für „Progress Page“ (Fortschrittsseite) . . . . . . . . . . . . . . . . Einstellungen für das Durchlassen von Daten . . . . . . . . . . . . . . . . . . . Progress Indication (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . Bandbreitenbeschränkung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bandbreitenbeschränkungsregeln . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren der Bandbreitenbeschränkung . . . . . . . . . . . . . . . . . . . Web-Caching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Überprüfen der Aktivierung des Web-Cache . . . . . . . . . . . . . . . . . . . Web Cache (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . . Nächster-Hop-Proxys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Nächster-Hop-Proxy-Modi . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von Nächster-Hop-Proxys . . . . . . . . . . . . . . . . . . . . . Hinzufügen eines Proxys am nächsten Hop zu einer Liste . . . . . . . . . . . . . . Konfigurieren des Moduls „Next Hop Proxy“ . . . . . . . . . . . . . . . . . . . Proxys am nächsten Hop für SOCKS-Datenverkehr . . . . . . . . . . . . . . . . . 8 341 342 344 347 348 349 350 355 357 358 358 359 360 363 364 365 365 367 368 370 370 373 373 374 375 378 378 381 384 395 396 397 398 399 400 400 401 402 403 403 404 405 406 407 407 408 408 Produkthandbuch Inhaltsverzeichnis Einstellungen für Nächster-Hop-Proxy . . . . . . . . . . . . . . . . . . . . . Einstellungen für „Add Next Hop Proxy“ (Proxy am nächsten Hop hinzufügen) . . . . . . Einstellungen für „Protocol Detector“ . . . . . . . . . . . . . . . . . . . . . . Next Hop Proxy (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Benutzermeldungen 417 Senden von Meldungen an Benutzer . . . . . . . . . . . . . . . . . . . . . . . . . Bearbeiten des Texts einer Benutzermeldung . . . . . . . . . . . . . . . . . . . . . . Einstellungen für „Authenticate“ (Authentifizieren) . . . . . . . . . . . . . . . . . . . Blockierungseinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Einstellungen für „Redirect“ (Umleitung) . . . . . . . . . . . . . . . . . . . . . . . Template Editor (Vorlagen-Editor) . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Systemkonfiguration Zentrale Verwaltung 417 419 420 421 422 423 429 Erstkonfiguration der Systemeinstellungen . . . . . . . . . . . . . . . . . . . . . . . Systemkonfiguration nach der Erstkonfiguration . . . . . . . . . . . . . . . . . . . . Systemeinstellungen für allgemeine Funktionen . . . . . . . . . . . . . . . . . . Netzwerk-Systemeinstellungen . . . . . . . . . . . . . . . . . . . . . . . . Systemeinstellungen für Authentifizierung und Kontingente . . . . . . . . . . . . . Systemeinstellungen für die Web-Filterung . . . . . . . . . . . . . . . . . . . . Systemeinstellungen für die zentrale Verwaltung . . . . . . . . . . . . . . . . . Systemeinstellungen für Protokollierung und Fehlerbehebung . . . . . . . . . . . . Konfigurieren der Systemeinstellungen . . . . . . . . . . . . . . . . . . . . . . . . Registerkarte Appliances . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Systemeinstellungen für allgemeine Appliance-Funktionen . . . . . . . . . . . . . . . . Lizenzeinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Einstellungen für das GTI-URL-Feedback . . . . . . . . . . . . . . . . . . . . . Datums- und Uhrzeiteinstellungen . . . . . . . . . . . . . . . . . . . . . . . Datei-Server-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . Einstellungen für die Benutzeroberfläche . . . . . . . . . . . . . . . . . . . . Systemeinstellungen für Netzwerkfunktionen . . . . . . . . . . . . . . . . . . . . . . Network Interfaces settings (Einstellungen für die Netzwerkschnittstellen) . . . . . . . Netzwerkschutzeinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . Einstellungen für „Port Forwarding“ (Port-Weiterleitung) . . . . . . . . . . . . . . Einstellungen für statische Routen . . . . . . . . . . . . . . . . . . . . . . . Systemdateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Registerkarte „File Editor“ (Datei-Editor) . . . . . . . . . . . . . . . . . . . . . . . Ändern der Cache-Volume-Größe . . . . . . . . . . . . . . . . . . . . . . . . . . . Datenbankaktualisierungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Manuelles Aktualisieren der Datenbankinformationen . . . . . . . . . . . . . . . Planen automatischer Modul-Aktualisierungen . . . . . . . . . . . . . . . . . . Aktualisierung geschlossener Netzwerke . . . . . . . . . . . . . . . . . . . . . . . . Aktualisieren einer Appliance in einem geschlossenen Netzwerk . . . . . . . . . . . 13 413 413 414 415 430 430 430 430 431 431 431 432 432 432 434 434 435 436 438 439 441 441 445 446 447 448 449 450 451 451 452 452 453 455 Konfiguration mit zentraler Verwaltung . . . . . . . . . . . . . . . . . . . . . . . . 456 Konfigurieren der zentralen Verwaltung . . . . . . . . . . . . . . . . . . . . . . . . 457 Hinzufügen einer Appliance zu einer Konfiguration mit zentraler Verwaltung . . . . . . . . . 458 Konfigurieren der Einstellungen für die zentrale Verwaltung . . . . . . . . . . . . . . . . 459 Zuweisen eines Knotens zu Knotengruppen . . . . . . . . . . . . . . . . . . . . . . 459 Zuweisen eines Knotens zu einer Laufzeitgruppe . . . . . . . . . . . . . . . . . 460 Zuweisen eines Knotens zu einer Aktualisierungsgruppe . . . . . . . . . . . . . . 460 Zuweisen eines Knotens zu Netzwerkgruppen . . . . . . . . . . . . . . . . . . 461 Empfohlene Vorgehensweisen – Konfigurieren von Knotengruppen in einer Konfiguration mit zentraler Verwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462 Überprüfen der Synchronisierung von Knoten . . . . . . . . . . . . . . . . . . . . . . 464 McAfee Web Gateway 7.5.0 Produkthandbuch 9 Inhaltsverzeichnis Hinzufügen eines geplanten Jobs . . . . . . . . . . . . . . . . . . . . . . . . . . . 465 Aktualisieren der Appliance-Software in einer Konfiguration mit zentraler Verwaltung . . . . . . 465 Einstellungen für die zentrale Verwaltung . . . . . . . . . . . . . . . . . . . . . . . 466 14 Cloud Single Sign On 481 Konfiguration von Cloud Single Sign On . . . . . . . . . . . . . . . . . . . . . . . . SSO-Prozess im Proxy- und im Nicht-Proxy-Modus . . . . . . . . . . . . . . . . . . . . Unterstützte Authentifizierungsmethoden . . . . . . . . . . . . . . . . . . . . . . . SSO-Datenquellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . SSO-Katalog der unterstützten Cloud-Dienste . . . . . . . . . . . . . . . . . . . . . . Anzeigen des SSO-Katalogs . . . . . . . . . . . . . . . . . . . . . . . . . . SSO-Katalog als Dienst . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vergleich von allgemeinen und spezifischen Konnektorvorlagen . . . . . . . . . . . . Konfigurieren eines benutzerdefinierten Cloud-Konnektors mithilfe einer Vorlage . . . . . Löschen eines benutzerdefinierten Cloud-Konnektors . . . . . . . . . . . . . . . . SSO-Konnektorlisten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren des Cloud-Zugriffs mithilfe von SSO-Konnektorlisten . . . . . . . . . . Hinzufügen eines Cloud-Konnektors zu einer SSO-Konnektorliste . . . . . . . . . . . Bereitstellen von SSO-Diensten für HTTP-Cloud-Anwendungen . . . . . . . . . . . . . . . Das Modell für SSO-Anmeldeinformationen für HTTP-Cloud-Anwendungen . . . . . . . Konfigurieren eines HTTP-Cloud-Konnektors . . . . . . . . . . . . . . . . . . . Konfigurieren eines allgemeinen HTTP-Cloud-Konnektors . . . . . . . . . . . . . . Allgemeine HTTP-Konnektoreinstellungen . . . . . . . . . . . . . . . . . . . . Bereitstellen von SSO-Diensten für SAML 2.0-Cloud-Anwendungen . . . . . . . . . . . . . Initiierung von SAML Single Sign On . . . . . . . . . . . . . . . . . . . . . . Zertifikatsverwaltung für SAML Single Sign On . . . . . . . . . . . . . . . . . . Konfigurieren eines SAML2-Cloud-Konnektors . . . . . . . . . . . . . . . . . . . Einstellungen für den SAML2-Konnektor . . . . . . . . . . . . . . . . . . . . . Konfigurieren eines allgemeinen SAML2-Cloud-Konnektors . . . . . . . . . . . . . Einstellungen für den allgemeinen SAML2-Konnektor . . . . . . . . . . . . . . . . Konfigurieren externer Datenquellen für SAML-Single Sign On . . . . . . . . . . . . Bereitstellen von SSO-Diensten für .NET- und Java-Web-Anwendungen . . . . . . . . . . . Konfigurieren eines allgemeinen IceToken-Cloud-Konnektors . . . . . . . . . . . . . Einstellungen für den allgemeinen IceToken-Konnektor . . . . . . . . . . . . . . . Verwendung des Anwendungsstartfensters durch den Endbenutzer . . . . . . . . . . . . . Erstellen von Lesezeichen für Cloud-Dienste im Unternehmen . . . . . . . . . . . . . . . Überwachen von Anmeldungen bei Cloud-Diensten im Dashboard . . . . . . . . . . . . . . Zusammenfassung zum Regelsatz „Single Sign On“ . . . . . . . . . . . . . . . . . . . Schlüsselelemente für die Konfiguration von Cloud Single Sign On . . . . . . . . . . . . . Single Sign On (Regelsatzreferenz) . . . . . . . . . . . . . . . . . . . . . . . . . . Select Services (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . HTTPS Handling (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . Launchpad (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . . . OTP Authentication (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . Get Login Action (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . Manage Form Credentials (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . Block Unhandled Management Requests (Regelsatz) . . . . . . . . . . . . . . . . Perform SSO (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . . SSO-Listen und -Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . Single Sign-On-Listen . . . . . . . . . . . . . . . . . . . . . . . . . . . . Einstellungen für Single Sign On . . . . . . . . . . . . . . . . . . . . . . . . SSO-Zertifikat und Einstellungen für private Schlüssel . . . . . . . . . . . . . . . Beheben von SSO-Problemen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Cloud-Speicherverschlüsselung 482 483 485 485 485 486 487 487 488 489 489 489 490 490 491 491 492 493 496 496 498 500 500 502 502 506 509 510 511 512 514 515 515 517 519 519 523 524 526 528 532 534 534 535 535 537 538 541 543 Verschlüsseln und Entschlüsseln von Cloud-Speicherdaten . . . . . . . . . . . . . . . . . 543 10 McAfee Web Gateway 7.5.0 Produkthandbuch Inhaltsverzeichnis Konfigurieren der Verschlüsselung und Entschlüsselung von Cloud-Speicherdaten . . . . . . . Konfigurieren der Einstellungen für das Verschlüsseln und Entschlüsseln von Daten . . . . . . Einstellungen für die Cloud-Speicherverschlüsselung . . . . . . . . . . . . . . . . . . . Unterstützungseinstellungen der Cloud-Speicherverschlüsselung . . . . . . . . . . . . . . Manuelles Entschlüsseln von Cloud-Speicherdaten . . . . . . . . . . . . . . . . . . . . Cloud Storage Encryption (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . 16 Hybridlösung 551 Arbeiten mit der Hybridlösung . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren einer Hybridlösung . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren der Einstellungen für die Hybridlösung . . . . . . . . . . . . . . . . . . . Auswählen eines Regelsatzes für die Hybridlösung . . . . . . . . . . . . . . . . . . . . Manuelles Durchführen einer Synchronisierung . . . . . . . . . . . . . . . . . . . . . Einschränkungen der Hybridlösung . . . . . . . . . . . . . . . . . . . . . . . . . . Einstellungen für „Web Hybrid“ . . . . . . . . . . . . . . . . . . . . . . . . . . . Ältere Hybridlösung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Synchronisieren der Einstellungen für die ältere Hybridlösung . . . . . . . . . . . . Web-Filterungseinstellungen für die Synchronisierung . . . . . . . . . . . . . . . Konfigurieren von Synchronisierungseinstellungen . . . . . . . . . . . . . . . . . Einstellungen für „Web Hybrid Legacy“ (Ältere Web Hybrid-Versionen) . . . . . . . . . 17 Überwachung 552 553 553 554 555 555 557 559 559 560 561 561 563 Dashboard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zugreifen auf das Dashboard . . . . . . . . . . . . . . . . . . . . . . . . . Registerkarte „Alerts“ (Warnmeldungen) . . . . . . . . . . . . . . . . . . . . Registerkarte „Charts and Tables“ (Diagramme und Tabellen) . . . . . . . . . . . . Protokollierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten der Protokollierung . . . . . . . . . . . . . . . . . . . . . . . . . Anzeigen von Protokolldateien . . . . . . . . . . . . . . . . . . . . . . . . . Protokolldateitypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von Einstellungen für Protokolldateien . . . . . . . . . . . . . . . . Einstellungen für Log File Manager . . . . . . . . . . . . . . . . . . . . . . . File System Logging Settings (Dateisystem-Protokollierungseinstellungen) . . . . . . . Erstellen eines Protokolls . . . . . . . . . . . . . . . . . . . . . . . . . . . Erstellen eines Protokoll-Handlers . . . . . . . . . . . . . . . . . . . . . . . Elemente einer Protokollierungsregel . . . . . . . . . . . . . . . . . . . . . . Empfohlene Vorgehensweisen – Hinzufügen eines Protokolldateifelds . . . . . . . . . Empfohlene Vorgehensweisen – Erstellen eines Protokolls . . . . . . . . . . . . . . Access log (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . . . . Found Viruses Log (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . . . Fehlerbehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Fehlerbehandlung mit Fehler-IDs . . . . . . . . . . . . . . . . . . . . . . . Fehlerbehandlung mit Informationen zu Vorfällen . . . . . . . . . . . . . . . . . Konfigurieren der Fehlerbehandlung . . . . . . . . . . . . . . . . . . . . . . Anzeigen der Regelsätze zur Fehlerbehandlung . . . . . . . . . . . . . . . . . . Empfohlene Vorgehensweisen – Arbeiten mit dem Fehler-Handler . . . . . . . . . . . Fehler-Handler-Regelsatz „Default“ . . . . . . . . . . . . . . . . . . . . . . . Leistungsmessung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Anzeigen von Leistungsinformationen . . . . . . . . . . . . . . . . . . . . . . Konfigurieren der Leistungsmessung . . . . . . . . . . . . . . . . . . . . . . Verwenden von Eigenschaften in Regeln zur Protokollierung von Leistungsinformationen Verwenden von Ereignissen in Regeln zum Messen der Regelsatz-Verarbeitungszeit . . . Ereignisüberwachung mit SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren der SNMP-Einstellungen . . . . . . . . . . . . . . . . . . . . . SNMP-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Übertragen von Daten für die McAfee ePO-Überwachung . . . . . . . . . . . . . . . . . McAfee Web Gateway 7.5.0 547 547 548 548 549 549 563 564 564 567 575 577 577 578 579 581 584 584 585 586 587 588 595 596 596 596 597 598 598 599 602 609 611 611 612 613 614 615 615 618 Produkthandbuch 11 Inhaltsverzeichnis Konfigurieren der ePolicy Orchestrator-Einstellungen . . . . . . . . . . . . . . . . Einstellungen für ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . . . Bypass ePO Requests (Regelsatz) . . . . . . . . . . . . . . . . . . . . . . . Senden von Syslog-Daten an McAfee Enterprise Security Manager . . . . . . . . . . . . . Konfigurieren des Sendevorgangs für Syslog-Daten . . . . . . . . . . . . . . . . Anpassen der Systemdatei „rsyslog“ für die Datenübertragung . . . . . . . . . . . . Einstellen der Erfassung und Auswerten der syslog-Daten . . . . . . . . . . . . . . Beheben von Problemen bei der Übertragung von syslog-Daten . . . . . . . . . . . 18 Fehlerbehebung 618 619 619 620 620 621 621 623 625 Methoden zur Fehlerbehebung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 625 Regelverfolgung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 626 Beheben von Problemen bei der Regelverarbeitung mithilfe der Regelverfolgung . . . . . 628 Regelverfolgungsbereiche . . . . . . . . . . . . . . . . . . . . . . . . . . . 629 Ermitteln der Gründe für die Blockierung einer Anfrage anhand der Regelverfolgung . . . 638 Empfohlene Vorgehensweisen – Herausfinden, warum auf einer Webseite keine Bilder angezeigt werden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 640 Wiederherstellen entfernter Regelverfolgungen in den Regelverfolgungsbereichen . . . . 641 Löschen von Regelverfolgungen . . . . . . . . . . . . . . . . . . . . . . . . 643 Erstellen einer Feedback-Datei . . . . . . . . . . . . . . . . . . . . . . . . . . . 643 Erstellung von Core-Dateien aktivieren . . . . . . . . . . . . . . . . . . . . . . . . 643 Erstellung von Dateien für Verbindungsverfolgung aktivieren . . . . . . . . . . . . . . . 644 Erstellen einer Paketverfolgungsdatei . . . . . . . . . . . . . . . . . . . . . . . . . 644 Arbeiten mit Netzwerk-Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . 645 Sichern und Wiederherstellen einer Konfiguration für eine Appliance . . . . . . . . . . . . . 646 Einstellungen für „Troubleshooting“ (Fehlerbehebung) . . . . . . . . . . . . . . . . . . 646 A Konfigurationslisten 649 Liste Liste Liste Liste Liste Liste der Aktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . der Blockierungsgrund-IDs . . . . . . . . . . . . . . . . . . . . . . . . . . . der Fehler-IDs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . der Ereignisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . der Vorfalls-IDs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . der Eigenschaften . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Eigenschaften A bis H . . . . . . . . . . . . . . . . . . . . . . . . . . . . Eigenschaften I bis Q . . . . . . . . . . . . . . . . . . . . . . . . . . . . Eigenschaften R bis W . . . . . . . . . . . . . . . . . . . . . . . . . . . . Platzhalterausdrücke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Testen eines Platzhalterausdrucks . . . . . . . . . . . . . . . . . . . . . . . Liste wichtiger glob-Sonderzeichen . . . . . . . . . . . . . . . . . . . . . . . Liste wichtiger Sonderzeichen für reguläre Ausdrücke (regex) . . . . . . . . . . . . B REST-Schnittstelle 777 Vorbereiten der Verwendung der REST-Schnittstelle . . . . . . . . . . . . . . . . . . . Aktivieren der Nutzung der Schnittstelle . . . . . . . . . . . . . . . . . . . . . Gewähren der Zugriffsberechtigung für die Schnittstelle . . . . . . . . . . . . . . Arbeiten mit der REST-Schnittstelle . . . . . . . . . . . . . . . . . . . . . . . . . Verwenden von curl als Datenübertragungs-Tool . . . . . . . . . . . . . . . . . Authentifizieren bei der Schnittstelle . . . . . . . . . . . . . . . . . . . . . . Anfordern von Ressourcen . . . . . . . . . . . . . . . . . . . . . . . . . . Ausführen grundlegender Aktivitäten . . . . . . . . . . . . . . . . . . . . . . Arbeiten auf einzelnen Appliances . . . . . . . . . . . . . . . . . . . . . . . Arbeiten mit Systemdateien . . . . . . . . . . . . . . . . . . . . . . . . . Arbeiten mit Protokolldateien . . . . . . . . . . . . . . . . . . . . . . . . . Arbeiten mit zur Fehlerbehebung hochgeladenen Dateien . . . . . . . . . . . . . . Arbeiten mit Listen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 McAfee Web Gateway 7.5.0 649 650 651 657 674 687 687 706 750 771 771 772 773 778 778 778 779 780 781 783 784 785 787 788 789 790 Produkthandbuch Inhaltsverzeichnis Beispielskripte für das Arbeiten mit der REST-Schnittstelle . . . . . . . . . . . . . . . . C Software anderer Hersteller 795 799 Liste der Software anderer Hersteller . . . . . . . . . . . . . . . . . . . . . . . . . 799 Index McAfee Web Gateway 7.5.0 807 Produkthandbuch 13 Inhaltsverzeichnis 14 McAfee Web Gateway 7.5.0 Produkthandbuch Einleitung ® Im vorliegenden Produkthandbuch werden die Funktionen und Merkmale von McAfee Web Gateway, Version 7.5.0 beschrieben. Sie erhalten einen Überblick über das Produkt sowie ausführliche Anleitungen zur Konfiguration und Wartung. Inhalt Informationen zu diesem Handbuch Quellen für Produktinformationen Informationen zu diesem Handbuch In diesem Abschnitt werden die Zielgruppe des Handbuchs, die verwendeten typografischen Konventionen und Symbole sowie die Gliederung des Handbuchs beschrieben. Konventionen In diesem Handbuch werden folgende typografische Konventionen und Symbole verwendet. Buchtitel, Begriff, Hervorhebung Titel eines Buchs, Kapitels oder Themas; ein neuer Begriff; eine Hervorhebung. Fett Text, der stark hervorgehoben wird. Benutzereingabe, Code, Meldung Befehle oder andere Texte, die vom Benutzer eingegeben werden; ein Code-Beispiel; eine angezeigte Meldung. Benutzeroberflächentext Wörter aus der Benutzeroberfläche des Produkts, z. B. Optionen, Menüs, Schaltflächen und Dialogfelder. Hypertext-Blau Ein Link auf ein Thema oder eine externe Website. Hinweis: Zusätzliche Informationen, beispielsweise eine alternative Methode für den Zugriff auf eine Option. Tipp: Vorschläge und Empfehlungen. Wichtig/Vorsicht: Wichtige Ratschläge zum Schutz Ihres Computersystems, der Software-Installation, des Netzwerks, Ihres Unternehmens oder Ihrer Daten. Warnung: Wichtige Ratschläge, um körperliche Verletzungen bei der Nutzung eines Hardware-Produkts zu vermeiden. McAfee Web Gateway 7.5.0 Produkthandbuch 15 Einleitung Quellen für Produktinformationen Inhalt dieses Handbuchs Dieses Handbuch ist so gegliedert, dass Sie die gewünschten Informationen schnell finden können. Die McAfee Web Gateway-Appliance wird mit einem Überblick über die Hauptfunktionen, die Bereitstellungsoptionen, die Systemarchitektur und die Administrator-Aktivitäten vorgestellt. Darauf folgt eine Erläuterung, wie Sie die Appliance einrichten und die ersten Schritte bis zu dem Punkt ausführen, an dem Proxy-, Authentifizierungs- und Web-Filterungsfunktionen konfiguriert werden. Die Konfiguration dieser Hauptfunktionen wird in separaten Kapiteln erläutert. Zudem wird erläutert, wie Sie Funktionen des Appliance-Systems konfigurieren, z. B. Domain Name Services, Port-Weiterleitung oder statische Routen, und eine Appliance als Knoten in einer Konfiguration mit zentraler Verwaltung einrichten. Kapitel zur Überwachung und Fehlerbehebung befinden sich am Ende des Handbuchs. Ein Anhang enthält Listen wichtiger Konfigurationselemente wie Aktionen, Ereignisse, Eigenschaften usw. Quellen für Produktinformationen Nach der Veröffentlichung eines Produkts werden Informationen zu dem Produkt im Online-Knowledge Center von McAfee eingegeben. Vorgehensweise 16 1 Rufen Sie das McAfee ServicePortal unter http://support.mcafee.com auf, und klicken Sie auf Knowledge Center. 2 Geben Sie einen Produktnamen ein, wählen Sie eine Version, und klicken Sie dann auf Suchen, um eine Liste der Dokumente anzuzeigen. McAfee Web Gateway 7.5.0 Produkthandbuch 1 Einführung Die McAfee® Web Gateway-Appliance sorgt für umfassende Web-Sicherheit für Ihr Netzwerk. Sie schützt Ihr Netzwerk vor Bedrohungen aus dem Web, z. B. vor Viren und sonstiger Malware, unangemessenen Inhalten, Datenlecks und ähnlichen Problemen. Zudem sorgt sie für die Einhaltung gesetzlicher Bestimmungen (Compliance) und eine reibungslos funktionierende Arbeitsumgebung. Inhalt Filtern des Web-Datenverkehrs Hauptfunktionen der Appliance Hauptkomponenten der Appliance Bereitstellung der Appliance Allgemeine Verwaltungsaktivitäten Filtern des Web-Datenverkehrs Die Appliance wird als Gateway installiert, das Ihr Netzwerk mit dem Web verbindet und den ein- und ausgehenden Datenverkehr filtert. Die von Benutzern aus dem Netzwerk an das Web gesendeten Anfragen sowie die aus dem Web zurückgesendeten Antworten werden entsprechend den implementierten Web-Sicherheitsregeln gefiltert. Mit Anfragen oder Antworten gesendete eingebettete Objekte werden ebenfalls gefiltert. McAfee Web Gateway 7.5.0 Produkthandbuch 17 1 Einführung Hauptfunktionen der Appliance Bösartige und unangemessene Inhalte werden blockiert, während das Passieren nützlicher Inhalte zugelassen wird. Abbildung 1-1 Filtern des Web-Datenverkehrs 1 – Ihr Netzwerk 2 – Web Gateway 3 – Web Sendet Anfragen an das Web. Filtert Anfragen und Antworten. Sendet Antworten an Ihr Netzwerk. Hauptfunktionen der Appliance Das Filtern von Web-Datenverkehr ist ein komplexer Prozess. Die Hauptfunktionen der Appliance tragen auf unterschiedliche Weise dazu bei. Filtern von Web-Objekten Spezielle Virenschutz- und Malware-Schutzfunktionen auf der Appliance scannen und filtern Web-Datenverkehr und blockieren Web-Objekte, wenn diese infiziert sind. Andere Funktionen filtern angefragte URLs anhand der Informationen aus dem Global Threat Intelligence -System oder führen eine Medientyp- und Anwendungsfilterung durch. ™ Sie werden von Funktionen unterstützt, die sich selbst nicht filtern, jedoch beispielsweise Benutzeranfragen zählen oder den Fortschritt beim Herunterladen von Web-Objekten anzeigen. Filtern von Benutzern Authentifizierungsfunktionen der Appliance filtern Benutzer unter Verwendung der Informationen aus internen und externen Datenbanken und Methoden, z. B. NTLM, LDAP, RADIUS, Kerberos usw. Zusätzlich zum Filtern regulärer Benutzer können Sie über die Appliance die Rechte und Zuständigkeiten des Administrators steuern. Abfangen des Web-Datenverkehrs Beim jedem Filtern von Web-Objekten oder Benutzern ist eine Voraussetzung zu erfüllen. Diese wird durch die Proxy-Funktionen der Appliance anhand verschiedener Netzwerkprotokolle erreicht, z. B. HTTP, HTTPS, FTP, Yahoo, ICQ, Windows Live Messenger, XMPP usw. Die Appliance kann im expliziten Proxy-Modus, im transparenten Bridge-Modus oder im Router-Modus ausgeführt werden. 18 McAfee Web Gateway 7.5.0 Produkthandbuch Einführung Hauptfunktionen der Appliance 1 Überwachen des Filterungsprozesses Die Überwachungsfunktionen der Appliance bieten eine fortlaufende Übersicht über den Filterungsprozess. Sie umfassen ein Dashboard zur Anzeige von Informationen zu Warnmeldungen, zur Web-Nutzung, zu Filteraktivitäten und zum Systemverhalten. Neben Protokollierungs- und Verfolgungsfunktionen sind auch Optionen zur Weiterleitung von Daten an den McAfee ePolicy Orchestrator -Server (McAfee ePO) oder zur Ereignisüberwachung mit einem SNMP-Agenten verfügbar. ® McAfee Web Gateway 7.5.0 ™ Produkthandbuch 19 1 Einführung Hauptkomponenten der Appliance Hauptkomponenten der Appliance Die McAfee Web Gateway-Appliance umfasst mehrere Subsysteme zur Bereitstellung der Filterung und anderer Funktionen, die auf dem Betriebssystem basieren. Appliance-Subsysteme Die Subsysteme der Appliance und deren Module haben folgende Aufgaben: • Kern-Subsystem: Bietet ein Proxy-Modul zum Abfangen des Web-Datenverkehrs und ein Regelmodul zum Verarbeiten der Filterregeln, aus denen Ihre Web-Sicherheitsrichtlinie besteht. Des weiteren stellt dieses Subsystem die Module bereit, die spezielle Aufgaben für die Filterregeln erfüllen und von Ihnen konfiguriert werden können, z. B. das Anti-Malware-Modul, das URL Filter-Modul oder das Authentication-Modul. Ein Modul zur Ablaufverwaltung sorgt für eine effiziente Zusammenarbeit der Module. • Koordinator-Subsystem: Speichert alle Konfigurationsdaten, die auf der Appliance verarbeitet werden Dieses Subsystem bietet auch Funktionen zur Aktualisierung und für die zentrale Verwaltung. • Konfigurator-Subsystem: Stellt die Benutzeroberfläche zur Verfügung (Name des internen Subsystems ist Konfigurator) Abbildung 1-2 Appliance-Subsysteme und Module Betriebssystem Die Subsysteme der Appliance basieren auf den Funktionen ihres Betriebssystems, bei dem es sich um MLOS2 handelt (McAfee Linux Operating System, Version 2). 20 McAfee Web Gateway 7.5.0 Produkthandbuch Einführung Bereitstellung der Appliance 1 Diese Version wird auch von anderen Linux-basierten McAfee-Sicherheitsprodukten verwendet, z. B. von McAfee Email Gateway. Dies erleichtert die Einarbeitung, wenn Sie für die Verwaltung von mehreren dieser Produkte zuständig sind. Das Betriebssystem bietet Funktionen zum Ausführen der durch die Filterregeln ausgelösten Aktionen, zum Lesen und Schreiben in der Datei und im Netzwerk sowie zur Zugriffssteuerung. Ein Konfigurations-Daemon (sysconfd-Daemon) implementiert geänderte Konfigurationseinstellungen im Betriebssystem. Bereitstellung der Appliance Entscheiden Sie vor der Einrichtung der McAfee Web Gateway-Appliance, auf welche Weise diese genutzt werden soll. Sie kann auf unterschiedlichen Plattformen ausgeführt werden, und Sie haben die Möglichkeit, verschiedene Modi der Netzwerkintegration zu konfigurieren. Sie können auch mehrere Appliances als Knoten innerhalb einer Konfiguration mit zentraler Verwaltung einrichten und entsprechend verwalten. Plattform Sie können die Appliance auf unterschiedlichen Plattformen ausführen. • Hardware-basierte Appliance: auf einer physischen Hardware-Plattform • Virtuelle Appliance: auf einer virtuellen Maschine Netzwerkintegration Die Appliance kann für das Abfangen, Filtern und Übertragen des Web-Datenverkehrs im Netzwerk verschiedene Modi nutzen. • Expliziter Proxy-Modus: Die mit der Appliance kommunizierenden Clients registrieren, dass es sich um Kommunikation mit der Appliance handelt. Sie müssen die Clients „explizit“ für das Senden des Datenverkehrs an die Appliance konfigurieren. • Transparente Modi: Die Clients registrieren nicht, dass mit der Appliance kommuniziert wird. • Transparente Bridge: Die Appliance agiert als „unsichtbare“ Verbindung zwischen Clients und Web. Die Clients müssen hierfür nicht extra konfiguriert werden. • Transparenter Router: Die Appliance leitet den Datenverkehr entsprechend einer Routing-Tabelle weiter, die von Ihnen ausgefüllt werden muss. Verwaltung und Aktualisierungen Das Verwalten der Appliance sowie die Verteilung von Aktualisierungen kann auf unterschiedliche Arten erfolgen. • Eigenständig: Die Appliance wird separat verwaltet und erhält keine Aktualisierungen von anderen Appliances. • Zentrale Verwaltung: Die Appliance wird als Knoten innerhalb einer komplexen Konfiguration eingerichtet. Von der Benutzeroberfläche der Appliance aus können andere Knoten verwaltet und auch Aktualisierungen verteilt werden. Die Appliance kann dann auch von anderen Knoten aus verwaltet und dafür konfiguriert werden, dass sie Aktualisierungen von diesen Knoten erhält. McAfee Web Gateway 7.5.0 Produkthandbuch 21 1 Einführung Allgemeine Verwaltungsaktivitäten Allgemeine Verwaltungsaktivitäten Die Verwaltung der Appliance umfasst verschiedene Aktivitäten, die von den jeweiligen Anforderungen Ihres Netzwerks abhängen. Im Folgenden werden die empfohlenen allgemeinen Verwaltungsaktivitäten erläutert. Vorgehensweise 1 Führen Sie die Erstkonfiguration durch. Die Einrichtung umfasst die Erstkonfiguration von Systemparametern wie Host-Name und IP-Adresse, die Implementierung eines anfänglichen Systems von Filterregeln sowie die Lizenzierung. In dieser Phase sind zwei Assistenten verfügbar: einer für die Erstkonfiguration und einer für die Filterregeln. 2 Konfigurieren Sie die Proxy-Funktionen. Nach Abschluss der Erstkonfiguration sind der explizite Proxy-Modus und das HTTP-Protokoll auf der Appliance vorkonfiguriert. Sie können diese Konfiguration ändern und außerdem andere Netzwerkkomponenten konfigurieren, mit denen die Appliance kommuniziert. 3 Implementieren Sie ggf. die Authentifizierung. Die Authentifizierung ist auf der Appliance nicht standardmäßig implementiert. Wenn Sie sie implementieren möchten, können Sie aus einer Reihe von Authentifizierungsmethoden eine Methode auswählen, u. a. NTLM, LDAP und Kerberos. 4 Konfigurieren Sie die Web-Filterung. Sie können die während der Erstkonfiguration implementierten Regeln für Viren- und Malware-Filterung, URL-Filterung, Medientyp-Filterung und andere Filterprozesse überprüfen. Sie können diese Regeln optimieren und an die jeweiligen Anforderungen Ihres Netzwerks anpassen. Die Arbeit mit den Filterregeln umfasst das Verwalten der von den Regeln verwendeten Listen und das Konfigurieren der Einstellungen für Aktionen von Regeln sowie von Modulen, die am Filterprozess beteiligt sind. 5 Überwachen Sie das Verhalten der Appliance. Wenn Sie die Appliance entsprechend den jeweiligen Anforderungen konfiguriert haben, sollten Sie überwachen, auf welche Weise sie den Filterprozess durchführt. Darüber hinaus können Sie Systemfunktionen wie CPU- und Speicherauslastung, Anzahl der aktiven Verbindungen und weitere Funktionen überwachen. Weitere Informationen zu diesen Aktivitäten finden Sie in den Abschnitten, in denen sie konkret behandelt werden, z. B. in Einrichtung, Authentifizierung oder Web-Filterung. 22 McAfee Web Gateway 7.5.0 Produkthandbuch 2 Benutzeroberfläche Auf der Benutzeroberfläche können Sie mit Regeln, Listen, Einstellungen, Konten und weiteren Elementen zur Verwaltung von Web Gateway arbeiten. Sie bietet Informationen zur Schlüsselfilterung und zu Systemparametern und ermöglicht die Durchführung von Maßnahmen zur Fehlerbehebung. Inhalt Hauptelemente der Benutzeroberfläche Unterstützende Konfigurationsfunktionen Konfigurieren einer Web-Sicherheitsrichtlinie auf der Benutzeroberfläche Verwalten von Web Gateway ohne die Benutzeroberfläche McAfee Web Gateway 7.5.0 Produkthandbuch 23 2 Benutzeroberfläche Hauptelemente der Benutzeroberfläche Hauptelemente der Benutzeroberfläche Die Hauptelemente der Benutzeroberfläche werden auf dem folgenden Beispielbildschirm angezeigt. Abbildung 2-1 Benutzeroberfläche In der folgenden Tabelle werden die Hauptelemente der Benutzeroberfläche beschrieben. Tabelle 2-1 Hauptelemente der Benutzeroberfläche Option Definition System-Informationszeile Zeigt System- und Benutzerinformationen an. User Preferences (Benutzereinstellungen) Öffnet ein Fenster, in dem Sie Einstellungen für die Benutzeroberfläche konfigurieren und Ihr Kennwort ändern können. Logout (Abmelden) Meldet Sie von der Benutzeroberfläche ab. Hilfesymbol Öffnet die Online-Hilfe. Sie können die Seiten durchsuchen oder über eine Verzeichnisstruktur navigieren sowie eine Volltextsuche durchführen oder nach Indexbegriffen suchen. 24 McAfee Web Gateway 7.5.0 Produkthandbuch 2 Benutzeroberfläche Hauptelemente der Benutzeroberfläche Tabelle 2-1 Hauptelemente der Benutzeroberfläche (Fortsetzung) Option Definition Übergeordnete Menüleiste Sie können eines der folgenden Menüs auswählen: • Dashboard: Zum Anzeigen von Informationen zu Ereignissen, zur Web-Nutzung, zu Filteraktivitäten und zum Systemverhalten • Policy (Richtlinie): Zum Konfigurieren Ihrer Web-Sicherheitsrichtlinie • Configuration (Konfiguration): Zum Konfigurieren der Systemeinstellungen der Appliance • Accounts (Konten): Zum Verwalten der Administratorkonten • Troubleshooting (Fehlerbehebung): Zum Beheben von Problemen auf der Appliance Search (Suche) Öffnet ein Fenster mit den folgenden Suchoptionen: • Search for objects (Suche nach Objekten): Ermöglicht die Suche nach Regelsätzen, Regeln, Listen und Einstellungen. Durch die Eingabe des Suchbegriffs im Eingabefeld werden alle Objekte angezeigt, deren Namen mit dem Suchbegriff übereinstimmen. • Search for objects referring to (Suche nach verweisenden Objekten): Ermöglicht die Auswahl einer Liste, einer Eigenschaft oder die Auswahl von Einstellungen und zeigt alle Regeln, die das ausgewählte Element verwenden. Save Changes (Änderungen speichern) Speichert die Änderungen. Registerkartenleiste Stellt die Registerkarten des aktuell ausgewählten übergeordneten Menüs bereit. Übergeordnete Menüs haben die folgenden Registerkarten: • Dashboard • Alerts (Warnungen) • Charts and Tables (Diagramme und Tabellen) • Policy (Richtlinie) • Rule Sets (Regelsätze) • Liste (Listen) • Settings (Einstellungen) • Templates (Vorlagen) • Configuration (Konfiguration) • Appliances • File Editor (Datei-Editor) • Accounts (Konten) • Administrator Accounts (Administratorkonten) Das übergeordnete Menü Troubleshooting (Fehlerbehebung) enthält keine Registerkarten. Symbolleiste (auf Registerkarte) McAfee Web Gateway 7.5.0 Bietet verschiedene Tools (abhängig von der ausgewählten Registerkarte). Produkthandbuch 25 2 Benutzeroberfläche Unterstützende Konfigurationsfunktionen Tabelle 2-1 Hauptelemente der Benutzeroberfläche (Fortsetzung) Option Definition Navigationsbereich Bietet Verzeichnisstrukturen der Konfigurationselemente, z. B. Regeln, Listen und Einstellungen. Konfigurationsbereich Bietet Optionen zum Konfigurieren des derzeit im Navigationsbereich ausgewählten Elements. Unterstützende Konfigurationsfunktionen Die Benutzeroberfläche bietet mehrere Funktionen zur Unterstützung Ihrer Konfigurationsaktivitäten. Tabelle 2-2 Unterstützende Administrationsfunktionen Option Definition Gelbes Dreieck Wird mit dem Namen einer Liste angezeigt, die noch leer ist und von Ihnen gefüllt werden muss. Einige Listen werden vom Assistenten der Richtlinienkonfiguration erstellt, aber nicht gefüllt, da sie vertraulich sind. Text mit gelbem Hintergrund Wird angezeigt, wenn Sie den Mauszeiger über ein Element auf der Benutzeroberfläche bewegen und bietet Informationen zur Bedeutung und Verwendung des Elements. OK-Symbol Wird in einem Fenster angezeigt, wenn Ihre Eingabe gültig ist. Fehlersymbol Wird in einem Fenster angezeigt, wenn Ihre Eingabe ungültig ist. Meldungstext Wird mit dem Fehlersymbol angezeigt und bietet Informationen zur ungültigen Eingabe. Hellrotes Eingabefeld Gibt einen ungültigen Eintrag an. Save Changes (Änderungen speichern) Schaltfläche wird rot angezeigt, wenn Sie ein Element ändern. Rotes Dreieck Wird mit Registerkarten, Symbolen und Listeneinträgen angezeigt, wenn Sie ein Element geändert und noch nicht gespeichert haben. Wird wieder grau angezeigt, nachdem Sie Ihre Änderungen gespeichert haben. Wenn Sie eine Regel geändert haben, wird das rote Dreieck beispielsweise an folgenden Stellen angezeigt: • In der Zeile des Regeleintrags im Abschnitt für Einstellungen • Auf dem Regelsatzsymbol • Auf der Prognose der Registerkarte Rule Sets (Regelsätze) • Auf dem Symbol Policy (Richtlinie) in der übergeordneten Menüleiste Verwerfen von Änderungen Wenn Sie auf der Benutzeroberfläche Administratortätigkeiten ausgeführt haben, können Sie statt des Speicherns der vorgenommenen Änderungen diese Änderungen auch verwerfen. Eine Möglichkeit ist es, beim Abmelden die Abmeldung ohne Speichern der Änderungen zu bestätigen. Alternativ dazu können Sie auch Änderungen verwerfen, indem Sie die Konfigurationsdaten erneut laden. 26 McAfee Web Gateway 7.5.0 Produkthandbuch Benutzeroberfläche Konfigurieren einer Web-Sicherheitsrichtlinie auf der Benutzeroberfläche 2 Beim erneuten Laden der Konfigurationsdaten wird die Konfiguration wieder hergestellt, die nach dem letzten Speichern vorhanden war. Dies kann von Ihnen oder einem anderen Administratoren vorgenommen worden sein. Wenn nach der Ersteinrichtung der Appliance noch keine Änderungen gespeichert wurden, wird die Konfiguration der Ersteinrichtung wieder hergestellt. Verwerfen von Änderungen durch erneutes Laden der Daten Sie können auf der Benutzeroberfläche vorgenommene Änderungen verwerfen, indem Sie die bestehenden Konfigurationsdaten erneut laden. Vorgehensweise 1 Klicken Sie hierfür auf das kleine schwarze Dreieck neben der Schaltfläche Save Changes (Änderungen speichern). Es wird der Hinweis Reload Data from Backend (Daten neu aus Backend laden) eingeblendet. 2 Klicken Sie auf den Hinweis. Die vorgenommenen Änderungen werden verworfen, und die Konfigurationsdaten werden erneut geladen. Konfigurieren einer Web-Sicherheitsrichtlinie auf der Benutzeroberfläche Auf der Benutzeroberfläche können Sie für Ihr Netzwerk eine Web-Sicherheitsrichtlinie konfigurieren. Eine Web-Sicherheitsrichtlinie wird in Web Gateway mittels verschiedener Regeln implementiert, die zu Regelsätzen zusammengefasst sind. Die Regeln innerhalb eines Regelsatzes beziehen sich für gewöhnlich auf einen bestimmten Bereich der Web-Sicherheit. Beispielsweise gibt es Regelsätze mit Regeln für die Malware-Schutz-Filterung, für URL-Filterung, für Medientyp-Filterung usw. Auf der Benutzeroberfläche können Sie diese Regeln und Regelsätze anzeigen, bearbeiten, löschen und auch neue Regeln und Regelsätze erstellen. Eine Regel umfasst verschiedene Elemente. Eine Regel zur URL-Filterung kann z. B. eine Liste mit Kategorien für URLS, eine Aktion zur Blockierung und weitere Elemente enthalten. Wenn ein Benutzer eine Anfrage für den Web-Zugriff sendet, würde diese Regel die Anfrage blockieren, sofern die dabei angefragte URL in eine der Kategorien fällt. Mit der Verwendung dieser Regel in Ihrer Web-Sicherheitsrichtlinie können Sie dafür sorgen, dass Benutzer vom Netzwerk aus beispielsweise keine Websites aufrufen können, die in die Kategorien Online-Shopping, Unterhaltung oder Drogen fallen. McAfee Web Gateway 7.5.0 Produkthandbuch 27 2 Benutzeroberfläche Konfigurieren einer Web-Sicherheitsrichtlinie auf der Benutzeroberfläche Registerkarten für Richtlinien Auf der Benutzeroberfläche stehen für das Konfigurieren einer Web-Sicherheitsrichtlinie drei Registerkarten zur Auswahl. • Rule Sets (Regelsätze): Auf dieser Registerkarte können Sie alle Schritte zum Konfigurieren von Web-Sicherheitsregeln vornehmen. Die von den Regeln auf dieser Registerkarte verwendeten Listen und Einstellungen können auch bearbeitet werden. • Lists (Listen): Diese Registerkarte bietet eine alternative Zugriffsmöglichkeit auf die in den Regeln verwendeten Listen. Sie können hier Listen aus der Listen-Baumstruktur auswählen und sie anschließend konfigurieren. Weitere Informationen zum Arbeiten mit Listen finden Sie im Kapitel Listen. • Settings (Einstellungen): Diese Registerkarte bietet eine alternative Zugriffsmöglichkeit auf die in den Regeln verwendeten Einstellungen. Sie können hier Einstellungen aus der Einstellungs-Baumstruktur auswählen und sie anschließend konfigurieren. Bei der Konfiguration von Regeln in Web Gateway wird der Begriff Einstellungen für eine Gruppe von Parametern verwendet, für die bestimmte Werte festgelegt sind. Es gibt zwei Arten von Einstellungen: • Einstellungen für die Module (auch als Engines bezeichnet), die Aufgaben der Regelverarbeitung übernehmen, beispielsweise das Modul „Anti-Malware“, das Web-Objekte auf Viren- und andere Malware-Infektionen scannt. • Einstellungen für die von Regeln durchgeführten Aktionen, z. B. die Aktion zur Blockierung. Für ein Modul bzw. eine Aktion kann es unterschiedliche Einstellungen geben. Auf diese Weise kann ein Modul seine Aufgabe auf verschiedene Arten durchführen und eine Aktion kann auf unterschiedliche Weise ausgeführt werden, je nachdem, welche der verschiedenen Einstellungen für das Modul bzw. die Aktion gerade konfiguriert sind. Weitere Informationen zum Arbeiten mit Einstellungen finden Sie im Kapitel Einstellungen. Arbeiten mit der Registerkarte „Rule Sets“ (Regelsätze) Auf der Registerkarte Rule Sets (Regelsätze) können Sie einen Regelsatz auswählen, z. B. den Regelsatz „URL Filtering“, und die darin enthaltenen Regeln bearbeiten. Für Regelsätze sind zwei unterschiedliche Ansichten möglich, in denen Sie jeweils folgendermaßen arbeiten können: • Schlüsselelemente von Regeln: In dieser Regelsatzansicht werden nur die Schlüsselelemente der Regeln eines bestimmten Regelsatzes angezeigt, jedoch nicht die vollständigen Regeln mit allen konfigurierbaren Elementen. Schlüsselelemente sind diejenigen, deren Bearbeitung beim Konfigurieren der Web-Sicherheitsrichtlinie am wahrscheinlichsten ist. Bei dieser Ansicht können Sie sich voll und ganz auf die Arbeit an diesen wichtigen Elementen konzentrieren. Diese Regelsatzansicht wird bei folgenden Aktionen aufgerufen: • Bei Auswahl eines Standard-Regelsatzes • Beim Importieren bestimmter Regelsätze aus der Regelsatz-Bibliothek Manche Regelsätze aus der Bibliothek werden nicht in dieser Ansicht angezeigt. 28 McAfee Web Gateway 7.5.0 Produkthandbuch Benutzeroberfläche Konfigurieren einer Web-Sicherheitsrichtlinie auf der Benutzeroberfläche 2 Diese Regelsatzansicht wird nicht für Regelsätze angezeigt, die Sie selbst erstellt haben. Hier sehen Sie ein Beispiel für ein Schlüsselelement, das in dieser Ansicht konfiguriert werden kann: Abbildung 2-2 Beispiel für Schlüsselelement: URL-Whitelist Eine URL-Whitelist ist beispielsweise ein Elementeiner Regel zur URL-Filterung. Klicken Sie auf Edit (Bearbeiten), um die Liste zur Bearbeitung zu öffnen. • Vollständige Regeln: In dieser Regelsatzansicht werden vollständige Regeln angezeigt, sowie alle Regeln, die in einem bestimmten Regelsatz enthalten sind. Sie können einzelne Elemente dieser Regeln auswählen und sie anschließend konfigurieren. Dies gilt auch für die Schlüsselelemente. Das Löschen von Regeln und das Erstellen von neuen Regeln ist in dieser Ansicht ebenfalls möglich. Wenn Sie einen Standard-Regelsatz oder einen Bibliotheks-Regelsatz auswählen, für den beide Ansichten verfügbar sind, müssen Sie erst die Schlüsselelementansicht verlassen, bevor Sie in der Ansicht für vollständige Regeln arbeiten können. Nach dem Verlassen der Schlüsselelementansicht können Sie zu dieser Ansicht nur zurückkehren, wenn Sie alle Änderungen verwerfen oder den Regelsatz erneut importieren. Das Beispiel der URL-Whitelist ist ein Schlüsselelement einer Regel für die URL-Filterung, das bei Anzeige in der Ansicht für vollständige Regeln folgendermaßen aussieht: Abbildung 2-3 Beispiel für Element innerhalb einer vollständigen Regel: URL-Whitelist Klicken Sie auf URL WhiteList (URL-Whitelist), um die Liste zur Bearbeitung zu öffnen. Siehe auch Schlüsselelementansicht auf Seite 30 Ansicht für vollständige Regeln auf Seite 33 McAfee Web Gateway 7.5.0 Produkthandbuch 29 2 Benutzeroberfläche Konfigurieren einer Web-Sicherheitsrichtlinie auf der Benutzeroberfläche Schlüsselelementansicht In der Schlüsselelementansicht werden Schlüsselelemente der Regeln in einem Regelsatz angezeigt; diese können in der Ansicht konfiguriert werden. Abbildung 2-4 Schlüsselelementansicht Optionen der Schlüsselelementansicht In der folgenden Tabelle werden die Optionen der Schlüsselelementansicht beschrieben. Tabelle 2-3 Optionen der Schlüsselelementansicht Option Definition Rule set name field (Feld für Zeigt den Standardnamen des Regelsatzes an, für den den Regelsatznamen) Schlüsselelemente angezeigt werden; dieser Name kann bearbeitet werden. 30 Rule set description field (Feld für die Regelsatzbeschreibung) Zeigt die Standardbeschreibung des Regelsatzes an, für den Schlüsselelemente angezeigt werden; diese Beschreibung kann bearbeitet werden. Enable (Aktivieren) Bei Auswahl dieser Option wird der Regelsatz aktiviert, dessen Schlüsselelemente derzeit konfiguriert werden. McAfee Web Gateway 7.5.0 Produkthandbuch Benutzeroberfläche Konfigurieren einer Web-Sicherheitsrichtlinie auf der Benutzeroberfläche 2 Tabelle 2-3 Optionen der Schlüsselelementansicht (Fortsetzung) Option Definition Unlock View (Ansicht entsperren) Schließt die Schlüsselelementansicht und zeigt die entsprechende Ansicht für vollständige Regeln an. Eine Bestätigungsmeldung wird angezeigt. Beachten Sie, dass Sie nach dem Verlassen der Schlüsselelementansicht zu dieser Ansicht nur zurückkehren können, wenn Sie alle Änderungen verwerfen oder den Regelsatz erneut importieren. In der Regelsatz-Baumstruktur zeigen Symbole vor dem Regelsatznamen, welche der beiden Anzeigen gerade aktiviert ist. Regelsatz in der Schlüsselelementansicht Regelsatz in Ansicht für vollständige Regeln • Klicken Sie zum Arbeiten mit untergeordneten Regelsätzen auf Unlock View (Ansicht entsperren) für den untergeordneten Regelsatz. Die untergeordneten Regelsätze werden in der Regelsatz-Baumstruktur mit jeweils aktivierter Ansicht der vollständigen Regelsätze angezeigt. • Um die untergeordneten Regelsätze des Standardregelsatzes Common Rules (Allgemeine Regeln) anzuzeigen, erweitern Sie diesen Regelsatz. Die Ansicht für vollständige Regeln ist bereits für den letzten der untergeordneten Regelsätze aktiviert, während die anderen weiterhin in der Schlüsselelementansicht angezeigt werden. Mit der Option Unlock (Entsperren) im Kontextmenü des Regelsatzes können Sie die Schlüsselelementansicht für einen Regelsatz oder mehrere Regelsätze in einem Schritt verlassen. 1 Wählen Sie einen Regelsatz oder mehrere Regelsätze auf einmal aus, klicken Sie mit der rechten Maustaste, und wählen Sie Unlock (Entsperren). Sie können auch einen Regelsatz erweitern, der untergeordnete Regelsätze enthält, und einen oder mehrere untergeordnete Regelsätze auswählen. 2 Bestätigen Sie, dass Sie die Schlüsselelementansicht beenden möchten. Die Ansicht für vollständige Regeln wird für alle ausgewählten Regelsätze aktiviert. McAfee Web Gateway 7.5.0 Produkthandbuch 31 2 Benutzeroberfläche Konfigurieren einer Web-Sicherheitsrichtlinie auf der Benutzeroberfläche Tabelle 2-3 Optionen der Schlüsselelementansicht (Fortsetzung) Option Definition Permissions (Berechtigungen) Öffnet ein Fenster, in dem Sie festlegen können, welche Personen auf den Regelsatz zugreifen dürfen, dessen Schlüsselelemente Sie gerade konfigurieren. Schlüsselelemente für einen Regelsatz Die Schlüsselelemente variieren für die verschiedenen Regelsätze. Schlüsselelemente für zusammengehörende Funktionen werden in einer Gruppe angezeigt. Jeder Gruppe ist ein Gruppen-Header vorangestellt. In der Schlüsselelementansicht für die URL-Filterung werden Schlüsselelemente z. B. in Basic Filtering (Grundlegende Filterung), SafeSearch und anderen Gruppen angezeigt. Diese Gruppen enthalten Schlüsselelemente für die grundlegende URL-Filterung, für die zusätzliche Verwendung von SafeSearch-Funktionen im Filterprozess sowie für andere Funktionen. Konfigurieren eines Schlüsselelements Nachfolgend finden Sie einen Beispiel-Task zum Konfigurieren eines Schlüsselelements einer Web-Sicherheitsregel. Eine URL wird in eine URL-Whitelist eingegeben. Diese Whitelist ist ein Schlüsselelement für eine Regel im Standard-Regelsatz zur URL-Filterung. Wenn bei Web Gateway eine Anfrage für den Zugriff auf ein Web-Objekt eingeht, lässt die Regel zu, dass die Anfrage die URL-Filterung überspringt, wenn sich die mit der Anfrage übermittelte URL auf der Whitelist befindet. Dies reduziert den Filterungsaufwand und die Zeit für Anfragen bezüglich des Zugriffs auf „zulässige“ Web-Objekte. Der URL-Eintrag im Beispiel lautet http://www.mcafee.com/*. Aufgrund des Platzhalterelements (*) überspringen alle Anfragen mit URLs, die mit diesem Eintrag übereinstimmen, z. B. http:// www.mcafee.com/us/products/web-gateway.aspx, die URL-Filterung. Vorgehensweise 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus. 2 Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz URL Filtering aus. Schlüsselelemente der Regeln in diesem Regelsatz werden im Konfigurationsbereich angezeigt. 3 Klicken Sie unter Basic Filtering (Standardfilter) neben URL Whitelist (URL-Whitelist) auf Edit (Bearbeiten). Daraufhin öffnet sich das Fenster Edit List (Liste bearbeiten). 4 Geben Sie eine URL in die Whitelist ein. a Klicken Sie unter List content (Listeninhalt) auf das Symbol Add (Hinzufügen). Daraufhin öffnet sich das Fenster Add Wildcard Expression (Platzhalterausdruck hinzufügen). b Geben Sie im Feld Wildcard Expression (Platzhalterausdruck) den Ausdruck http:// www.mcafee.com/* ein. c Klicken Sie auf OK. Das Fenster Add Wildcard Expression (Platzhalterausdruck hinzufügen) schließt sich, und die URL wird in der Liste im Fenster Edit List (Liste bearbeiten) angezeigt. 32 McAfee Web Gateway 7.5.0 Produkthandbuch Benutzeroberfläche Konfigurieren einer Web-Sicherheitsrichtlinie auf der Benutzeroberfläche 5 2 Klicken Sie auf OK. Daraufhin wird das Fenster Edit List (Liste bearbeiten) geschlossen. 6 Klicken Sie auf Save Changes (Änderungen speichern). Ansicht für vollständige Regeln Die Ansicht für vollständige Regeln zeigt die in einem Regelsatz enthaltenen vollständigen Regeln an. In dieser Ansicht können Sie mit den zugehörigen Elementen, auch den Schlüsselelementen, arbeiten. Sie können Regeln bearbeiten und löschen sowie eigene Regeln erstellen. Sie können auch Regelsätze bearbeiten, löschen und erstellen. Neue Regelsätze können sowohl mit bestehenden Regeln als auch mit eigenen Regeln gefüllt werden. Sie können auch Regelsätze aus einer Regelsatz-Bibliothek auf Web Gateway oder aus einer Online-Regelsatz-Bibliothek importieren. Sie können auf die gleiche Weise wie mit anderen Regeln und Regelsätzen auch mit diesen Regelsätzen und ihren Regeln arbeiten. Abbildung 2-5 Ansicht für vollständige Regeln Weitere Informationen zur Ansicht für vollständige Regeln finden Sie im Kapitel Regeln. Konfigurieren eines Regelelements in der Ansicht für vollständige Regeln Nachfolgend finden Sie einen Beispiel-Task zum Konfigurieren eines Elements einer Web-Sicherheitsregel in der Ansicht für vollständige Regeln. Eine URL wird in eine URL-Whitelist eingegeben. Diese Whitelist ist ein Element einer Regel im Standard-Regelsatz zur URL-Filterung. Um dies zu erreichen, muss beinahe genauso vorgegangen werden wie beim Ausführen dieses Tasks in der Schlüsselelement-Ansicht. Der einzige Unterschied ist die Art und Weise des Zugriffs auf die URL-Whitelist. McAfee Web Gateway 7.5.0 Produkthandbuch 33 2 Benutzeroberfläche Verwalten von Web Gateway ohne die Benutzeroberfläche Wenn bei Web Gateway eine Anfrage für den Zugriff auf ein Web-Objekt eingeht, lässt die Regel zu, dass die Anfrage die URL-Filterung überspringt, wenn sich die mit der Anfrage übermittelte URL auf der Whitelist befindet. Dies reduziert den Filterungsaufwand und die Zeit für Anfragen bezüglich des Zugriffs auf „zulässige“ Web-Objekte. Der URL-Eintrag im Beispiel lautet http://www.mcafee.com/*. Aufgrund des Platzhalterelements (*) überspringen alle Anfragen mit URLs, die mit diesem Eintrag übereinstimmen, z. B. http:// www.mcafee.com/us/products/web-gateway.aspx, die URL-Filterung. Vorgehensweise 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus. 2 Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz URL Filtering aus. Schlüsselelemente der Regeln in diesem Regelsatz werden im Konfigurationsbereich angezeigt. 3 Klicken Sie auf Unlock View (Anzeige entsperren), um die Schlüsselelement-Ansicht zu verlassen. Sie werden nun in einer Meldung aufgefordert, das Verlassen der Ansicht für die Schlüsselelemente zu bestätigen, und zudem gewarnt, dass Sie nicht zu dieser Ansicht zurückkehren können. 4 Klicken Sie auf Yes (Ja). Nur wird die Ansicht der vollständigen Regeln angezeigt. 5 Klicken Sie in der Regel Allow URLs that match in URL WhiteList auf URL WhiteList. Daraufhin öffnet sich das Fenster Edit List (Liste bearbeiten). 6 Geben Sie eine URL in die Whitelist ein. a Klicken Sie unter List content (Listeninhalt) auf das Symbol Add (Hinzufügen). Daraufhin öffnet sich das Fenster Add Wildcard Expression (Platzhalterausdruck hinzufügen). b Geben Sie im Feld Wildcard Expression (Platzhalterausdruck) beispielsweise http:// www.mcafee.com/* ein. c Klicken Sie auf OK. Das Fenster Add Wildcard Expression (Platzhalterausdruck hinzufügen) schließt sich, und die URL wird in der Liste im Fenster Edit List (Liste bearbeiten) angezeigt. 7 Klicken Sie auf OK. Daraufhin wird das Fenster Edit List (Liste bearbeiten) geschlossen. 8 Klicken Sie auf Save Changes (Änderungen speichern). Weitere Informationen zum Arbeiten mit Regeln und Regelsätzen finden Sie im Kapitel Regeln. Verwalten von Web Gateway ohne die Benutzeroberfläche Mit der zusätzlich zur Verfügung stehenden Schnittstelle können Sie Verwaltungsvorgänge für Web Gateway vornehmen, ohne bei der standardmäßigen Benutzeroberfläche angemeldet zu sein. Diese alternative Schnittstelle wird als REST-Schnittstelle (Representational State Transfer) bezeichnet. Hiermit können Sie auf einer bestimmten Web Gateway-Appliance und auch auf anderen damit verbundenen Appliances Verwaltungsaktivitäten durchführen, z. B. eine Appliance ausschalten und neu starten, mit Listen und Einstellungen arbeiten oder Aktualisierungen starten. 34 McAfee Web Gateway 7.5.0 Produkthandbuch Benutzeroberfläche Verwalten von Web Gateway ohne die Benutzeroberfläche 2 Eine Einführung zur REST-Schnittstelle mit Erklärungen zu den grundlegenden Arbeitsweisen sowie Beispielskripten für die Kommunikation mit der Schnittstelle finden Sie im Abschnitt REST-Schnittstelle im Anhang dieses Handbuchs. McAfee Web Gateway 7.5.0 Produkthandbuch 35 2 Benutzeroberfläche Verwalten von Web Gateway ohne die Benutzeroberfläche 36 McAfee Web Gateway 7.5.0 Produkthandbuch 3 Regeln Web-Filterung und Authentifizierung werden durch Regeln gesteuert, die Sie implementieren und so modifizieren können, dass sie genau auf die Anforderungen Ihres Netzwerks zugeschnitten sind. Die Regeln werden in Gruppen zusammengefasst und in Regelsätzen verfügbar gemacht, die jeweils ein bestimmtes Feld der Filteraktivitäten abdecken. Es kann z. B. einen Regelsatz für die Viren- und Malware-Filterung, einen Regelsatz für die URL-Filterung, einen Regelsatz für Authentifizierungen usw. geben. Bei der Ersteinrichtung der Appliance wird ein Standard-Regelsatzsystem implementiert. Diese Regelsätze und die zugehörigen Regeln können Sie überprüfen, ändern oder löschen, und Sie können auch Ihre eigenen Regeln und Regelsätze oder sogar ein komplettes System selbst erstellen. Darüber hinaus können Sie Regelsätze aus Bibliotheken importieren und sie ebenfalls auf diese Weise ändern. Inhalt Informationen zur Filterung Regelelemente Regelsätze Regelsatzsystem Regelsatz-Bibliothek Registerkarte „Rule Sets“ (Regelsätze) Erstellen einer Regel Erstellen eines Regelsatzes Importieren eines Regelsatzes Empfohlene Vorgehensweisen – Konfigurieren von Regeln Beschränken des Zugriffs auf Konfigurationselemente Informationen zur Filterung Auf der Appliance wird ein Filterprozess ausgeführt, der mithilfe der implementierten Regeln durchgehend für die Web-Sicherheit im Netzwerk sorgt. Dieser Prozess filtert den Web-Datenverkehr. Hierbei wird einigen Objekten der Durchgang verwehrt, während andere durchgelassen werden, in etwa so wie ein Teesieb Teeblätter auffängt und den Tee selbst in die Tasse fließen lässt. McAfee Web Gateway 7.5.0 Produkthandbuch 37 3 Regeln Informationen zur Filterung Woher kann der Prozess nun zwischen Blättern und Flüssigkeit unterscheiden? Das Teesieb arbeitet offensichtlich nach dem Konzept der Größenunterschiede: Was zu groß ist, wird nicht durchgelassen. Auf ähnliche Weise nutzt der Filterprozess auf der Appliance in seinen Regeln alle möglichen Eigenschaften, die Web-Objekte haben können bzw. die sich auf irgendeine Weise auf Web-Objekte beziehen, um entsprechende Filterentscheidungen zu treffen. Eigenschaften gefilterter Objekte Eine der möglichen Eigenschaften eines während des Filterprozesses überprüften Web-Objekts ist being virus-infected (mit Virus infiziert). Ein Web-Objekt kann also die Eigenschaft „mit Virus infiziert“ haben. Um es klarer auszudrücken: es kann mit einem Virus infiziert sein. Weitere Beispiele sind u. a. die Eigenschaft, zu einer bestimmten URL-Kategorie zu gehören oder die Eigenschaft, eine bestimmte IP-Adresse zu besitzen. Bezüglich dieser und auch anderer Eigenschaften können nun folgende Fragen gestellt werden: • Welchen Wert hat die Eigenschaft p eines bestimmten Web-Objekts? • Sowie: Wenn dieser Wert gleich x ist, welche Aktion ist dann erforderlich? Die Antwort auf die zweite Frage ergibt bereits eine Regel: Wenn der Wert der Eigenschaft p gleich x ist, dann muss Aktion y durchgeführt werden. Eigenschaften sind Schlüsselelemente, die in allen Regeln auf der Appliance verwendet werden. Das genaue Verständnis einer Eigenschaft ist grundlegend wichtig für das Verständnis der gesamten Regel. Beim Erstellen einer Regel ist es immer sinnvoll, mit der Überlegung zu beginnen, welche Eigenschaft genutzt werden soll. Nimmt man die Eigenschaft einer bereits vorhandenen Regel als Beispiel, so könnten Sie folgende Überlegung anstellen: Ich möchte Viren und andere Malware filtern. Hierfür nutze ich die Eigenschaft „mit Virus infiziert“ und verwende diese als Grundlage zum Erstellen einer Regel. Wenn ein bestimmtes Web-Objekt diese Eigenschaft besitzt, lasse ich die Regel eine Blockierungsaktion vornehmen. Die entsprechende Regel könnte folgendermaßen aussehen: Wenn „mit Virus infiziert“ den Wert „true“ hat (für ein bestimmtes Web-Objekt), dann blockiere den Zugriff auf dieses Objekt. Das Web-Objekt könnte z. B. eine Datei sein, die von einem Web-Server auf Anfrage eines Benutzers im Netzwerk gesendet wurde und die auf der Appliance abgefangen und gefiltert wird. In diesem Abschnitt werden die Eigenschaften und Regeln auf Deutsch benannt und beschrieben. Auf der Benutzeroberfläche der Appliance werden diese dann auf Englisch angezeigt, das Format unterscheidet sich jedoch nicht wesentlich von der normalerweise verwendeten Sprache. Die oben beschriebene Regel bezüglich Virusinfektionen könnte auf der Benutzeroberfläche folgendermaßen aussehen: Antimalware.Infected equals true –> Block (Default) Hierbei ist Antimalware.infected (Malware-Schutz infiziert) die Eigenschaft und Block (blockieren) die Aktion, die standardmäßig durchgeführt wird. Der Pfeil wird auf der Benutzeroberfläche nicht angezeigt, sondern nur in dieser Darstellung hinzugefügt, um zu verdeutlichen, dass die Blockierungsaktion ausgelöst wird, wenn ein Web-Objekt tatsächlich die besagte Eigenschaft aufweist. 38 McAfee Web Gateway 7.5.0 Produkthandbuch 3 Regeln Informationen zur Filterung Filtern von Benutzern Eigenschaften können nicht nur im Zusammenhang mit Web-Objekten, sondern auch mit den sie anfragenden Benutzern verwendet werden. Beispielsweise könnte eine Regel die Eigenschaft Benutzergruppen, in denen dieser Benutzer Mitglied ist nutzen, um alle Anfragen von Benutzern zu blockieren, die nicht zu einer zugelassenen Gruppe gehören: Wenn Benutzergruppen, deren Mitglied der Benutzer ist (für einen bestimmten Benutzer), nicht in der Liste zugelassener Gruppen enthalten sind, dann werden von diesem Benutzer gesendete Anfragen blockiert. Filterzyklen Der Filterprozess auf der Appliance weist drei Zyklen auf: „Request“ (Anfrage), „Response“ (Antwort) und „Embedded Objects“ (Eingebettete Objekte). Es kann immer nur jeweils einer dieser Zyklen laufen. Der Zyklus „Request“ (Anfrage) wird zum Filtern von Anfragen ausgeführt, die Benutzer Ihres Netzwerks an das Web senden, der Zyklus Response (Antwort) hingegen für die Antworten, die auf diese Anfragen aus dem Web empfangen werden. Wenn mit den Anfragen oder Antworten eingebettete Objekte gesendet werden, wird als zusätzlicher Verarbeitungszyklus der Zyklus „Embedded Objects“ (Eingebettete Objekte) ausgeführt. Ein eingebettetes Objekt ist z. B. eine Datei, die mit einer Anfrage zum Hochladen einer Datei gesendet wird und die in die betreffende Datei eingebettet ist. Der Filterprozess beginnt mit dem Zyklus „Request“ (Anfrage), wobei die Anfrage gefiltert und die Datei überprüft wird, deren Upload angefordert wurde. Anschließend wird der Zyklus „Embedded Objects“ (Eingebettete Objekte) für die eingebettete Datei gestartet. Ebenso werden der Zyklus Response (Antwort) und der Zyklus „Embedded Objects“ (Eingebettete Objekte) nacheinander für eine Datei gestartet, die als Antwort von einem Web-Server gesendet wird und in die eine andere Datei eingebettet ist. Für jede Regel auf der Appliance wird angegeben, in welchem Zyklus sie verarbeitet wird. Der Zyklus wird jedoch nicht einzeln für eine Regel angegeben, sondern für den Regelsatz, in dem sie enthalten ist. Ein Regelsatz kann in nur einem Zyklus oder in einer Kombination von Zyklen verarbeitet werden. Prozessablauf Im Filterprozess werden die implementierten Regeln nacheinander verarbeitet, je nach den Positionen, an denen sie in ihren jeweiligen Regelsätzen aufgeführt sind. Die Regelsätze selbst werden in der Reihenfolge des Regelsatzsystems verarbeitet, die auf der Registerkarte Rule Sets (Regelsätze) der Benutzeroberfläche angezeigt wird. In jedem der drei Zyklen werden die implementierten Regelsätze der Reihe nach durchsucht, um festzustellen, welche Regelsätze im jeweiligen Zyklus verarbeitet werden müssen. Wenn eine Regel verarbeitet wird und anzuwenden ist, löst sie eine Aktion aus. Die Aktion führt eine Filtermaßnahme aus, z. B. Blockieren einer Anfrage für den Zugriff auf ein Web-Objekt oder Entfernen eines angeforderten Objekts. Darüber hinaus wirkt sich eine Aktion auf den Filterprozess aus. Sie kann angeben, dass der Filterprozess komplett beendet werden muss, dass einige Regeln übersprungen werden und der Prozess anschließend fortgesetzt wird oder dass einfach mit der nächsten Regel fortgefahren werden soll. McAfee Web Gateway 7.5.0 Produkthandbuch 39 3 Regeln Informationen zur Filterung Die Verarbeitung wird auch beendet, nachdem alle implementierten Regeln verarbeitet wurden. Demzufolge kann der Prozessablauf wie folgt aussehen: Alle Regeln wurden für alle konfigurierten Zyklen verarbeitet, und es wurde keine weitere anwendbare Regel mehr gefunden. –> Die Verarbeitung wird beendet. Im Anfragezyklus wird gestattet, dass die Anfrage an den entsprechenden Web-Server übergeben wird. Im Antwortzyklus wird die aus dem Web gesendete Antwort an den entsprechenden Benutzer weitergeleitet. Im Zyklus für eingebettete Objekte wird gestattet, dass das eingebettete Objekt zusammen mit der Anfrage bzw. der Antwort übergeben wird, mit der es gesendet wurde. Die Verarbeitung beginnt erneut, wenn die nächste Anfrage empfangen wird. Eine Regel wird angewendet, und sie erfordert, dass die Verarbeitung vollständig beendet werden muss. –> Die Verarbeitung wird beendet. Ein Beispiel für eine Regel, die die Verarbeitung vollständig beendet, ist eine Regel mit einer Blockierungsaktion. Wenn beispielsweise eine Anfrage blockiert wird, weil die angeforderte URL in einer Blockierungsliste aufgeführt wird, ist eine weitere Verarbeitung ohne jeden Nutzen. Es wird keine Antwort empfangen, da die Anfrage blockiert und nicht an den entsprechenden Web-Server übergeben wurde. Auch ein möglicherweise mit der Anfrage gesendetes eingebettetes Objekt muss nicht gefiltert werden, weil die Anfrage ohnehin blockiert wird. An den von der Aktion betroffenen Benutzer wird eine Meldung gesendet; in dieser wird der Benutzer z. B. über die Blockierung der Anfrage und die Gründe für diese Aktion informiert. Die Verarbeitung beginnt erneut, wenn die nächste Anfrage empfangen wird. Eine Regel wird angewendet, und sie erfordert, dass die Verarbeitung für den aktuellen Regelsatz beendet werden muss. –> Die Verarbeitung für diesen Regelsatz wird beendet. Die auf die beendende Regel folgenden Regeln des Regelsatzes werden übersprungen. Ein Beispiel für eine Regel, die die Verarbeitung eines Regelsatzes beendet, ist eine Whitelist-Regel, auf die in demselben Regelsatz eine Blockierungsregel folgt. Wird ein angefordertes Web-Objekt in einer Whitelist gefunden, wird das Weiterleiten der Anfrage ohne weitere Filtervorgänge zugelassen. Daher erfolgt keine weitere Verarbeitung des Regelsatzes, und die Regel, die das Objekt schließlich blockiert, wird übersprungen. Die Verarbeitung wird mit dem nächsten Regelsatz fortgesetzt. Der nächste Regelsatz kann Regeln enthalten, die z. B. eine Anfrage blockieren, obwohl deren Weiterleitung durch den vorhergehenden Regelsatz zugelassen wurde. Eine Regel wird angewendet, und sie erfordert, dass die Verarbeitung für den aktuellen Zyklus beendet werden muss. –> Die Verarbeitung für diesen Zyklus wird beendet. Die Regel und die Regelsätze, die auf die beendende Regel im Zyklus folgen, werden übersprungen. Ein Beispiel für eine Regel, die die Verarbeitung eines Zyklus beendet, ist eine Regel für globale Whitelists. 40 McAfee Web Gateway 7.5.0 Produkthandbuch Regeln Regelelemente 3 Wird ein angefordertes Web-Objekt in einer globalen Whitelist gefunden, wird das Weiterleiten der Anfrage an den entsprechenden Web-Server zugelassen. Um sicherzustellen, dass die Anfrage nicht schließlich durch eine der folgenden Regeln und Regelsätze blockiert wird, wird die Verarbeitung des Anfragezyklus beendet. Die Verarbeitung wird mit dem nächsten Zyklus fortgesetzt. Eine Regel wird angewendet, und sie erfordert, dass die Verarbeitung mit der nächsten Regel fortgesetzt wird. –> Die Verarbeitung wird mit der nächsten Regel fortgesetzt. Dabei kann es sich um die nächste Regel im aktuellen Regelsatz oder um die erste Regel im nächsten Regelsatz oder Zyklus handeln. Ein Beispiel für eine Regel, die die nahtlose Fortsetzung des Filterprozesses ermöglicht, ist eine Statistikregel. Diese Regel zählt lediglich Anfragen durch Erhöhen eines Zählers; andere Aktionen werden von ihr nicht durchgeführt. Regelelemente Eine Web Security-Regel auf der Appliance weist drei Hauptelemente auf: Criteria, Action und (optional) Event (Kriterien, Aktion und Ereignis). 1 Criteria (Kriterien) Diese bestimmen, ob eine Regel angewendet wird. In anderer Regelsyntax wird anstelle von Criteria (Kriterien) der Begriff Condition (Bedingung) verwendet. If the category of a URL is on list x, ... Die Kriterien setzen sich aus drei Elementen zusammen: Property, Operator und Operand (Eigenschaft, Operator und Operand) • Property (Eigenschaft) Bezieht sich auf ein Web-Objekt oder einen Benutzer. ... the category of a URL ... • Operator Verknüpft die Eigenschaft mit einem Operanden. ... is on list ... • Operand Gibt einen Wert an, den die Eigenschaft aufweisen kann. ... x (list name), ... Der Operand wird auf der Benutzeroberfläche auch als Parameter bezeichnet. McAfee Web Gateway 7.5.0 Produkthandbuch 41 3 Regeln Regelelemente 2 Action (Aktion) Wird ausgeführt, wenn die Kriterien erfüllt sind. ... block the URL ... 3 Event (Ereignis) Wird ausgeführt, wenn die Kriterien erfüllt sind. ... and log this action. Ein Ereignis ist für eine Regel optional. Eine Regel kann zudem über mehrere Ereignisse verfügen. Format von Regeln auf der Benutzeroberfläche Auf der Benutzeroberfläche werden Regeln im folgenden Format dargestellt. Abbildung 3-1 Format einer Regel auf der Benutzeroberfläche In der folgenden Tabelle wird die Bedeutung der einzelnen Elemente einer Regel erläutert. Tabelle 3-1 Elemente einer Regel auf der Benutzeroberfläche Option Definition Enabled (Aktiviert) Ermöglicht Ihnen das Aktivieren bzw. Deaktivieren der Regel. Name Der Name der Regel • Block URLs... Text für den Namen • Category BlockList (im Namen der Regel): Von der Regel verwendete Liste Wenn Sie auf den Listennamen klicken, wird die Liste im Bearbeitungsmodus geöffnet. • Gelbes Dreieck (neben dem Namen einer Liste): Gibt an, dass die Liste anfänglich leer ist und Sie Einträge hinzufügen müssen. 42 McAfee Web Gateway 7.5.0 Produkthandbuch 3 Regeln Regelelemente Tabelle 3-1 Elemente einer Regel auf der Benutzeroberfläche (Fortsetzung) Option Definition Criteria (Kriterien) Kriterien der Regel Die Kriterien werden erst angezeigt, nachdem Sie auf die Schaltfläche Show details (Details anzeigen) geklickt haben. • URL.Categories: Eigenschaft • <Default>: Einstellungen des Moduls, das einen Wert für die Eigenschaft abruft Die hier angezeigten Einstellungen für Default sind z. B. die Einstellungen des URL Filter-Moduls. Wenn Sie auf den Namen der Einstellungen klicken, werden die Einstellungen im Bearbeitungsmodus geöffnet. Der Modulname wird in der Regel nicht angezeigt. Er wird jedoch im Fenster Edit (Bearbeiten) für die Regelkriterien angegeben. • at least one in list: Operator • Category BlockList: Operand (wird auch als Parameter bezeichnet) Wenn Sie auf den Listennamen klicken, wird die Liste im Bearbeitungsmodus geöffnet. Der Listenname wird sowohl im Regelnamen als auch in den Kriterien angezeigt, sodass er auch dann verfügbar ist, wenn die Kriterien nicht sichtbar sind. • Gelbes Dreieck (neben dem Namen einer Liste): Gibt an, dass die Liste anfänglich leer ist. Action (Aktion) Die Aktion der Regel • Block: Name der Aktion • <URLBlocked>: Einstellungen der Aktion Wenn Sie auf den Namen der Einstellungen klicken, werden die Einstellungen im Bearbeitungsmodus geöffnet. Events (Ereignisse) Ein oder mehrere Ereignisse der Regel Die Ereignisse werden erst dann vollständig angezeigt, nachdem Sie auf die Schaltfläche Show Details (Details anzeigen) geklickt haben. • Statistics.Counter. Increment: Name des Ereignisses • "BlockedByURLFilter, 1": Parameter des Ereignisses • <Default>: Einstellungen des Ereignisses Wenn Sie auf den Namen der Einstellungen klicken, werden die Einstellungen im Bearbeitungsmodus geöffnet. Komplexe Kriterien Die Kriterien einer Regel können durch die Konfiguration mit zwei oder mehr Teilen komplex gestaltet werden. Bei komplexen Kriterien verfügt jeder Teil über eine Eigenschaft mit Operator und Operand. Die Teile sind durch UND bzw. ODER verbunden. McAfee Web Gateway 7.5.0 Produkthandbuch 43 3 Regeln Regelsätze Die Kriterien sind erfüllt, wenn eine gefilterte URL zu einer Kategorie gehört, die sich in einer der beiden angegebenen Kategorielisten (oder in beiden) befindet. Wenn Sie Kriterien mit drei oder mehr Teilen konfigurieren, und sowohl UND als auch ODER zwischen ihnen verwenden, müssen Sie durch Setzen von Klammern angeben, wie die Teile logisch verbunden sind. Beispielsweise hat (a UND b) ODER c eine andere Bedeutung als a UND (b ODER c). Wenn Sie auf der Benutzeroberfläche einen dritten Kriterienteil hinzufügen, werden Kleinbuchstaben vor den Teilen angezeigt, und unten im Konfigurationsbereich wird ein zusätzliches Feld eingefügt. Das Feld zeigt Ihre Kriterienteile in Kurzform an, z. B. a UND b ODER c. Sie können dann nach Bedarf Klammern im Feld eingeben. Regelsätze Regeln werden in Regelsätzen auf der Appliance gruppiert und eingeschlossen. Eine Regel kann nicht eigenständig verwaltet werden, sie muss in einem Regelsatz enthalten sein. Ein Regelsatz kann eine einzige Regel oder mehrere Regeln enthalten. Er kann auch einen oder mehrere untergeordnete Regelsätze enthalten. Wenn untergeordnete Regelsätze enthalten sind, können sich einzelne Regeln auf derselben Ebene wie die untergeordneten Regelsätze befinden. Regelsätze enthalten normalerweise Regeln, die zusammenwirken, um eine bestimmte Funktion zum Gewährleisten der Web-Sicherheit bereitzustellen. Ein Regelsatz für die Viren- und Malware-Filterung beispielsweise enthält eine Regel, die infizierte Objekte blockiert und eine oder mehrere andere Regeln, die Objekte in Whitelists aufnehmen, damit für diese die Blockierungsregel umgangen wird und Benutzer darauf zugreifen können. Sie können die implementierten Regelsätze ändern und eigene Regelsätze erstellen, um Funktionseinheiten aufzubauen, die den konkreten Anforderungen Ihres Netzwerks gerecht werden. Regelsatzkriterien Ebenso wie Regeln weisen Regelsätze Kriterien auf und werden angewendet, wenn ihre Kriterien erfüllt sind. Normalerweise unterscheiden sich die Kriterien eines Regelsatzes von denen seiner Regeln. Damit eine Regel angewendet wird, müssen sowohl ihre eigenen Kriterien als auch die Kriterien ihres Regelsatzes erfüllt sein. Regelsatzzyklen Regelsätze werden mit ihren Regeln in drei Zyklen des Filterprozesses verarbeitet. Ein Regelsatz kann in einer beliebigen Kombination dieser Zyklen verarbeitet werden, z. B. ausschließlich im Anfragezyklus, sowohl im Anfrage- als auch im Antwortzyklus oder aber in allen drei Zyklen. Die Zyklen eines Regelsatzes sind gleichzeitig diejenigen der einzelnen in ihm enthaltenen Regeln. Eine Regel kann in Bezug auf Zyklen kein Verhalten aufweisen, das von dem des Regelsatzes abweicht. Untergeordnete Regelsätze Regelsätze können untergeordnete Regelsätze enthalten. Ein untergeordneter Regelsatz verfügt über eigene Kriterien. Hinsichtlich der Zyklen kann er nur in den Zyklen des übergeordneten Regelsatzes verarbeitet werden; er muss jedoch nicht in allen diesen Zyklen verarbeitet werden. 44 McAfee Web Gateway 7.5.0 Produkthandbuch Regeln Regelsatzsystem 3 Auf diese Weise kann ein untergeordneter Regelsatz so konfiguriert werden, dass er ausschließlich in einem bestimmten Zyklus angewendet wird, während ein anderer untergeordneter Regelsatz in einem anderen Zyklus verarbeitet wird. Ein Regelsatz für die Medientyp-Filterung kann sich z. B. auf alle Zyklen beziehen, er kann jedoch untergeordnete Regelsätze enthalten, die nur in bestimmten Zyklen verarbeitet werden. Regelsatz Media Type Filtering (für Anfragen, Antworten und eingebettete Objekte) • Untergeordneter Regelsatz Media Type Upload (für Anfragen) • Untergeordneter Regelsatz Media Type Download (für Antworten und eingebettete Objekte) Regelsatzsystem Regelsätze werden auf der Appliance in einem Regelsatzsystem implementiert. Wenn eine Web-Zugriffanfrage auf der Appliance empfangen wird, werden für diese Anfrage alle Regelsätze im System der Reihe nach von oben nach unten verarbeitet. Wenn festgestellt wird, dass eine Regel in einem Regelsatz anwendbar ist, wird die Aktion der betreffenden Regel ausgeführt. Wenn die Aktion „Block“ (Blockieren) ist, wird die Verarbeitung beendet. Andere Aktionen hingegen setzen die Verarbeitung auf bestimmte Weise fort. Ebenso werden die Regelsätze des implementierten Systems für Antworten und eingebettete Objekte verarbeitet, die mit Anfragen und Antworten gesendet werden. Arbeiten mit dem Regelsatzsystem Während der Erstkonfiguration der Appliance wird ein Standardsystem von Regelsätzen implementiert. Sie können dieses System wie folgt optimieren und an die jeweiligen Anforderungen Ihres Netzwerks anpassen: • Ändern von Regeln und Regelsätzen • Löschen von Regeln und Regelsätzen • Erstellen von neuen Regeln und Regelsätzen • Importieren von Regelsätzen • Verschieben von Regeln und Regelsätzen an neue Positionen • Kopieren von Regeln und Einfügen der Regeln in anderen Regelsätzen Standard-Regelsatzsystem Das Standard-Regelsatzsystem sieht wie folgt aus (untergeordnete Regelsätze sind nicht abgebildet). Tabelle 3-2 Standard-Regelsatzsystem Regelsatz Beschreibung SSL Scanner Bereitet SSL-gesicherten Web-Datenverkehr für die Verarbeitung durch andere Filterfunktionen vor. (standardmäßig nicht aktiviert) Global Whitelist Gibt an, dass die Filterung von Anfragen für in Whitelists enthaltene URLs oder IP-Adressen übersprungen wird. Common Rules Stellt Funktionen bereit, die den Filterprozess unterstützen, z. B. Web-Caching, Fortschrittsanzeige und Öffnen von Archiven. McAfee Web Gateway 7.5.0 Produkthandbuch 45 3 Regeln Regelsatz-Bibliothek Tabelle 3-2 Standard-Regelsatzsystem (Fortsetzung) Regelsatz Beschreibung URL Filtering Steuert das Filtern von einzelnen URLs und von URL-Kategorien. Media Type Filtering Steuert das Filtern von bestimmten Medientypen. Gateway AntiMalware Steuert die Viren- und Malware-Filterung mithilfe von Virussignaturen und proaktiven Methoden. Regelsatz-Bibliothek Die Regelsatz-Bibliothek stellt Regelsätze bereit, die Sie in Ihr Regelsatzsystem importieren können. Sie können einen Regelsatz importieren, um z. B. eine Funktion hinzuzufügen, die in Ihrem System nicht vorhanden ist oder wenn die implementierten Regelsätze für Ihr Netzwerk nicht geeignet sind. • Die Regelsatz-Bibliothek enthält zudem die Regelsätze, die Teil des Standard-Regelsatzsystems sind. • Weitere Regelsätze sind in einer Online-Regelsatz-Bibliothek verfügbar. Ein Link zu dieser Bibliothek befindet sich im Fenster der Regelsatz-Standardbibliothek. Im Standard-Regelsatzsystem sind Regelsätze in Kategorien gruppiert, z. B. Authentifizierung oder URL-Filterung. In der folgenden Tabelle sind die Kategorien der Regelsatz-Standardbibliothek aufgelistet. Tabelle 3-3 Kategorien von Bibliotheks-Regelsätzen 46 Regelsatzkategorie Zweck der enthaltenen Regelsätze Application Control (Anwendungssteuerung) Filtern von Anwendungen und einzelnen Funktionen von Anwendungen Authentication (Authentifizierung) Authentifizieren von Benutzern Coaching/Quota (Coaching/Kontingente) Festlegen von Kontingenten und anderen Einschränkungen für den Web-Zugriff von Benutzern Common Rules (Allgemeine Regeln) Unterstützen des Filterprozesses, z. B. durch Web-Caching, Fortschrittsanzeige oder Öffnen von Archiven DLP Implementieren von Data Loss Prevention ePO Aktivieren der Verwendung von ePolicy Orchestrator Error Handling (Fehlerbehandlung) Implementieren von Maßnahmen der Fehlerbehandlung Gateway Anti-Malware Filtern von Web-Objekten auf Infektionen mit Viren und sonstiger Malware HTML/Script Filter (HTML-/Skript-Filter) Filtern von HTML-Seiten und Skripts ICAP Client (ICAP-Client) Ausführen eines ICAP-Clients auf einer Appliance Logging (Protokollierung) Protokollieren der Filterung und anderer Aktivitäten Media Type Filter (Medientypfilter) Filtern von bestimmten Medientypen Mobile Security (Sicherheit für Mobilgeräte) Filtern des Datenverkehrs von Mobilgeräten Next Hop Proxy (Nächster-Hop-Proxy) Verwenden von Nächster-Hop-Proxys für die Datenübertragung Privacy (Datenschutz) Ändern von Anfragen zum Gewährleisten des Datenschutzes McAfee Web Gateway 7.5.0 Produkthandbuch Regeln Registerkarte „Rule Sets“ (Regelsätze) 3 Tabelle 3-3 Kategorien von Bibliotheks-Regelsätzen (Fortsetzung) Regelsatzkategorie Zweck der enthaltenen Regelsätze SiteAdvisor Enterprise Verwenden des SiteAdvisor zum Filtern von Anfragen SSL Scanner (SSL-Scanner) Verarbeiten von SSL-gesichertem Web-Datenverkehr URL Filter (URL-Filter) Filtern einzelner URLs und von URL-Kategorien Web Hybrid Aktivieren der Synchronisierung mit dem McAfee SaaS Web Protection Service Registerkarte „Rule Sets“ (Regelsätze) Auf der Registerkarte Rule Sets (Regelsätze) können Sie mit Regeln und Regelsätzen arbeiten. Hauptelemente der Registerkarte „Rule Sets“ (Regelsätze) In der folgenden Tabelle werden die Hauptelemente der Registerkarte Rule Sets (Regelsätze) beschrieben. Tabelle 3-4 Hauptelemente der Registerkarte „Rule Sets“ (Regelsätze) Element Beschreibung Symbolleiste „Rule Sets“ (Regelsätze) Elemente zum Arbeiten mit den Regelsätzen in der Regelsatz-Baumstruktur Regelsatz-Baumstruktur McAfee Web Gateway 7.5.0 Verzeichnisstruktur, in der die Regelsätze der Appliance-Konfiguration angezeigt werden Produkthandbuch 47 3 Regeln Registerkarte „Rule Sets“ (Regelsätze) Tabelle 3-4 Hauptelemente der Registerkarte „Rule Sets“ (Regelsätze) (Fortsetzung) Element Beschreibung Menü „Rule sets“ (Regelsätze) Schaltflächen zum Anzeigen der Verzeichnisstrukturen für folgende Elemente: • (Allgemeine) Regelsätze • Protokoll-Handler-Regelsätze • Fehler-Handler-Regelsätze • Benutzerdefinierte Eigenschaften (für die Verwendung in Regelsatzkriterien, Regelkriterien und Regelereignissen) Symbolleiste „Rules“ (Regeln) Elemente zum Arbeiten mit Regeln Regeln Regeln des derzeit ausgewählten Regelsatzes Symbolleiste „Rule Sets“ (Regelsätze) Die Symbolleiste „Rules Sets“ (Regelsätze) bietet die folgenden Optionen. Tabelle 3-5 Symbolleiste „Rule Sets“ (Regelsätze) Option Definition Add (Hinzufügen) Öffnet ein Menü oder ein Fenster zum Hinzufügen eines Elements, in Abhängigkeit von der aktuellen Auswahl im Menü „Rule sets“ (Regelsätze). • (Rule Sets (Regelsätze) ist ausgewählt): Öffnet ein Menü, in dem Folgendes ausgewählt werden kann: • Rule Set from Library (Regelsatz aus Bibliothek): Öffnet das Fenster Add from Rule Set Library (Aus Regelsatz-Bibliothek hinzufügen), in dem ein Regelsatz aus der Regelsatz-Bibliothek hinzugefügt werden kann. • Rule Set (Regelsatz): Öffnet das Fenster Add New Rule Set (Neuen Regelsatz hinzufügen), in dem Sie der Appliance-Konfiguration einen Regelsatz hinzufügen können. • Top-Level Rule Set (Regelsatz der obersten Ebene): Öffnet das Fenster Add New Top-Level Rule Set (Neuen Regelsatz der obersten Ebene hinzufügen), in dem Sie in der Regelsatz-Baumstruktur einen Regelsatz an oberster Position hinzufügen können. • (Log Handler (Protokoll-Handler) ist ausgewählt): Hiermit können Sie in einem Menü Log Handler (Protokoll-Handler) als einzige zugängliche Option auswählen, um das Fenster Add New Log Handler (Neuen Protokoll-Handler hinzufügen) zu öffnen, in dem Sie einen neuen Protokoll-Handler-Regelsatz hinzufügen können. • (Error Handler (Fehler-Handler) ist ausgewählt): Hiermit können Sie in einem Menü Error Handler (Fehler-Handler) als einzige zugängliche Option auswählen, um das Fenster Add New Error Handler (Neuen Fehler-Handler hinzufügen) zu öffnen, in dem Sie einen neuen Fehler-Handler-Regelsatz hinzufügen können. • (User-Defined Property (Benutzerdefinierte Eigenschaft) ist ausgewählt): Hiermit können Sie User-Defined Property (Benutzerdefinierte Eigenschaft) auswählen, um das Fenster Add New User-Defined Property (Neue benutzerdefinierte Eigenschaft hinzufügen) zum Hinzufügen einer Eigenschaft zu öffnen. 48 Export (Exportieren) Öffnet das Fenster Export Rule Set (Regelsatz exportieren), in dem Sie einen Regelsatz in die Bibliothek oder in eine Datei exportieren können. Edit (Bearbeiten) Öffnet das Fenster Edit Rule Set (Regelsatz bearbeiten), in dem Sie einen ausgewählten Regelsatz bearbeiten können. McAfee Web Gateway 7.5.0 Produkthandbuch Regeln Erstellen einer Regel 3 Tabelle 3-5 Symbolleiste „Rule Sets“ (Regelsätze) (Fortsetzung) Option Definition Delete (Löschen) Löscht einen ausgewählten Regelsatz. Hierbei wird ein Fenster angezeigt, in dem Sie den Löschvorgang bestätigen müssen. Move up (Nach oben) Verschiebt einen Regelsatz unter anderen Regelsätzen auf der gleichen Ebene nach oben. Move down (Nach unten) Verschiebt einen Regelsatz unter anderen Regelsätzen auf der gleichen Ebene nach unten. Move out of (Verschieben aus) Verschiebt einen Regelsatz aus seinem übergeordneten Regelsatz auf die gleiche Ebene wie der übergeordnete Regelsatz. Move into (Verschieben in) Verschiebt einen Regelsatz aus seinem übergeordneten Regelsatz in den Regelsatz, der auf den betreffenden Regelsatz folgt. Expand all (Alle einblenden) Zeigt alle ausgeblendeten Elemente in der Regelsatz-Baumstruktur an. Collapse all (Alle ausblenden) Blendet alle angezeigten Elemente in der Regelsatz-Baumstruktur aus. Symbolleiste „Rules“ (Regeln) Die Symbolleiste „Rules“ (Regeln) bietet die folgenden Optionen. Tabelle 3-6 Symbolleiste „Rules“ (Regeln) Option Definition Add (Hinzufügen) Öffnet das Fenster Add Rule (Regel hinzufügen), in dem eine Regel hinzugefügt werden kann. Edit (Bearbeiten) Öffnet das Fenster Edit Rule (Regel bearbeiten), in dem eine ausgewählte Regel bearbeitet werden kann. Delete (Löschen) Löscht eine ausgewählte Regel. Hierbei wird ein Fenster angezeigt, in dem Sie den Löschvorgang bestätigen müssen. Move up (Nach oben) Verschiebt eine Regel innerhalb ihres Regelsatzes nach oben. Move down (Nach unten) Verschiebt eine Regel innerhalb ihres Regelsatzes nach unten. Copy (Kopieren) Kopiert eine ausgewählte Regel. Paste (Einfügen) Fügt eine kopierte Regel ein. Show details (Details anzeigen) Zeigt die Details des Regeleintrags einschließlich der Kriterien an bzw. blendet diese aus. Erstellen einer Regel Das Erstellen einer Regel umfasst verschiedene Schritte, die jeweils für die unterschiedlichen Elemente einer Regel erforderlich sind. Zum Erstellen einer Regel wird das Fenster Add Rule (Regel hinzufügen) verwendet. Hier können Sie die zum Konfigurieren der Regelelemente erforderlichen Aktivitäten in der von Ihnen gewünschten Reihenfolge durchführen. Sie können beispielsweise mit dem Benennen und Aktivieren einer Regel beginnen und anschließend Kriterien, die Aktion sowie ein Ereignis hinzufügen. McAfee Web Gateway 7.5.0 Produkthandbuch 49 3 Regeln Erstellen einer Regel Aufgaben • Benennen und Aktivieren einer Regel auf Seite 50 Das Benennen und Aktivieren gehört zu den allgemeinen Einstellungen für eine Regel. • Hinzufügen von Regelkriterien auf Seite 53 Sie können Regelkriterien hinzufügen, die bestimmen, wann eine Regel angewendet wird. • Hinzufügen einer Regelaktion auf Seite 54 Sie können eine Aktion hinzufügen, die bei Übereinstimmung mit den Regelkriterien ausgeführt wird. • Hinzufügen eines Regelereignisses auf Seite 55 Sie können optional ein oder mehrere Ereignisse hinzufügen, das bzw. die bei Übereinstimmung mit den Regelkriterien ausgeführt wird bzw. werden. Benennen und Aktivieren einer Regel Das Benennen und Aktivieren gehört zu den allgemeinen Einstellungen für eine Regel. Vorgehensweise 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus. 2 Wählen Sie in der Regelsatz-Baumstruktur einen Regelsatz für die neue Regel aus. 3 Klicken Sie über dem Einstellungsbereich auf Add Rule (Regel hinzufügen). Daraufhin öffnet sich das Fenster Add Rule (Regel hinzufügen), in dem der Schritt Name ausgewählt ist. 4 Konfigurieren Sie allgemeine Einstellungen für die Regel: a Geben Sie im Feld Name einen Namen für die Regel ein. b Wählen Sie Enable rule (Regel aktivieren), damit die Regel zusammen mit dem Regelsatz verarbeitet wird. c [Optional] Geben Sie im Feld Comment (Kommentar) einen Kommentar (Nur-Text-Format) zur Regel ein. Setzen Sie das Hinzufügen der Regelelemente fort. Arbeiten mit dem Fenster „Add Criteria“ (Kriterien hinzufügen) Das Fenster zum Hinzufügen der Regelkriterien bietet eine Reihe von Funktionen, die die Auswahl geeigneter Elemente für Kriterien erleichtern. Gemäß den drei Elementen der Regelkriterien ist auch das Fenster in die folgenden drei Spalten unterteilt: • Linke Spalte zum Auswählen einer Eigenschaft • Mittlere Spalte zum Auswählen eines Operators • Rechte Spalte zum Auswählen eines Operanden Innerhalb einer Spalte werden Eigenschaften, Operatoren und Operanden in Listen angezeigt. 50 McAfee Web Gateway 7.5.0 Produkthandbuch Regeln Erstellen einer Regel 3 Sie können beispielsweise Folgendes auswählen: • Linke Spalte: MediaType.EnsuredTypes • Mittlere Spalte: non in list • Rechte Spalte: Anti-Malware Media Type Whitelist Damit wird das Kriterium MediaType.EnsuredTypes none in list Anti-Malware Media Type Whitelist erstellt. Wenn Sie Block (Blockieren) als Aktion hinzufügen, erhalten Sie eine Regel zum Blockieren des Zugriffs auf Medien sämtlicher Typen, die sich nicht in der angegebenen Whitelist befinden. Im Fenster werden Sie durch Folgendes bei der Auswahl geeigneter Elemente unterstützt: • Listen werden gemäß den von Ihnen angegebenen Filtereinstellungen gefiltert. • Bei der Auswahl eines Elements in einer Spalter werden die Listen in anderen Spalten entsprechend angepasst, sodass nur Elemente angezeigt werden, die sich für die Konfiguration mit dem ausgewählten Element eignen. • Listenelemente in der linken und der rechten Spalte werden in die Kategorien Recommended (Empfohlen), Suggested (Vorgeschlagen) und Other (Sonstige) gruppiert, wenn eine solche Kategorisierung für die derzeit angezeigten Elemente möglich ist. • Es werden zwei oder drei Elemente (je ein Element pro Spalte) vorab ausgewählt, wenn diese Kombination empfehlenswert ist. Beginnen mit der linken oder rechten Spalte Je nach Ihren Vorstellungen in Bezug auf die weiteren Kriterien können Sie mit der Auswahl eines Elements aus der linken oder der rechten Spalte beginnen. Wenn das Kriterium z. B. Bestandteil einer Regel zum Filtern infizierter Web-Objekte sein soll, können Sie beginnen, indem Sie die Antimalware.Infected-Eigenschaft in der linken Spalte auswählen und anschließend überprüfen, welche geeigneten Elemente damit kombiniert werden können. Mögliches Ergebnis: Antimalware.Infected (Eigenschaft) equals (Operator) true (Operand). Wenn Sie jedoch die Kriterien in eine Regel einschließen möchten, die den Zugriff Ihrer Benutzer im Netzwerk auf Drogenhändler-Websites verhindern soll, könnten Sie beginnen, indem Sie die URL-Kategorieliste Drugs (Drogen) als Operanden auswählen und diesen anschließend mit einem geeigneten Operator und einer geeigneten Eigenschaft kombinieren. Mögliches Ergebnis: URL.Categories (Eigenschaft) at least one in list (Operator) Drugs (Operand). Linke Spalte In der Liste in der linken Spalte des Fensters können Sie eine Eigenschaft auswählen. Die derzeit ausgewählte Eigenschaft wird in der Spalte an oberster Stelle im Feld Selected property (Ausgewählte Eigenschaft) angezeigt. Sie können die Liste wie folgt anpassen: • Filtern Sie die Liste. • Filtern Sie mithilfe des Menüs Filter nach Folgendem: • Eigenschaftentyp • Modul (auch als Engine bezeichnet), das aufgerufen wird, um einen Wert für eine Eigenschaft zu liefern McAfee Web Gateway 7.5.0 Produkthandbuch 51 3 Regeln Erstellen einer Regel • Gruppe von Kriterien, z. B. Kriterien für „Anti-Malware“, für „Media Type“ usw. Dieser Teil des Menüs wird auch unmittelbar vor dem Öffnen des Fensters angezeigt. Nach dem Auswählen einer Gruppe von Kriterien werden in den Listen sämtlicher Spalten lediglich die Elemente angezeigt, die für das Konfigurieren von Kriterien der ausgewählten Gruppe geeignet sind. • • • Benutzerdefinierte Eigenschaften (sodass nur die betreffenden Eigenschaften angezeigt werden) Mit einem Filterbegriff, den Sie im Eingabefeld unterhalb des Menüs eingeben Fügen Sie der Liste mithilfe der Schaltfläche und des Fensters Add User-Defined Property (Benutzerdefinierte Eigenschaft hinzufügen) selbstkonfigurierte Eigenschaften hinzu. Wenn Sie einen Operanden in der Liste in der rechten Spalte auswählen, wird die Liste automatisch angepasst. Es werden dann nur Eigenschaften angezeigt, die sich für die Konfiguration mit dem betreffenden Operanden eignen. Nach dem Auswählen einer Eigenschaft können Sie deren Einstellungen und Parameter konfigurieren (sofern vorhanden). Anschließend werden die Schaltflächen Settings (Einstellungen) und Parameter angezeigt, über die Fenster zum Konfigurieren der entsprechenden Elemente aufgerufen werden. Mittlere Spalte In der Liste in der mittleren Spalte des Fensters können Sie einen Operator auswählen. Der derzeit ausgewählte Operator wird in der Spalte an oberster Stelle im Feld Selected operator (Ausgewählter Operator) angezeigt. Wenn Sie ein Element in der Liste in der linken bzw. rechten Spalte auswählen, wird die Liste automatisch angepasst. Es werden dann nur Operatoren angezeigt, die sich für die Konfiguration mit den betreffenden Elementen eignen. Rechte Spalte In der Liste in der rechten Spalte des Fensters können Sie einen Operanden auswählen. Der derzeit ausgewählte Operand wird in der Spalte an oberster Stelle im Feld Selected operand (Ausgewählter Operand) angezeigt. Ein Operand kann ein Einzelelement von verschiedenen Typen, einer Liste von Elementen oder einer anderen Eigenschaft sein. Die Einzeloperanden können vom Typ Boolean, String, Number, Category usw. sein. Sie können die Liste wie folgt anpassen: • Wählen Sie einen Operandentyp (einschließlich des Listen- und Eigenschaftentyps) in der Liste oben in der Spalte aus. In der Hauptliste werden dann nur Elemente dieses Typs angezeigt. • (Nur für Listen und Eigenschaften:) Filtern Sie die Liste mithilfe des Dropdown-Menüs Filter oder des darunter befindlichen Eingabefelds. Wenn Listen als Operanden angezeigt werden, werden am unteren Rand der Spalte die Schaltflächen Add <Listentyp> (<Listentyp> hinzufügen) und Edit <Listentyp> (<Listentyp> bearbeiten) angezeigt. Über diese Schaltflächen können Sie Fenster öffnen, in denen Sie auf normale Weise Listen hinzufügen und bearbeiten können. Die Liste wird automatisch angepasst, wenn Sie eine Eigenschaft in der Liste in der linken Spalte auswählen. Anschließend werden nur Operanden angezeigt, die für die Konfiguration mit der betreffenden Eigenschaft geeignet sind. 52 McAfee Web Gateway 7.5.0 Produkthandbuch Regeln Erstellen einer Regel 3 Hinzufügen von Regelkriterien Sie können Regelkriterien hinzufügen, die bestimmen, wann eine Regel angewendet wird. Vorgehensweise 1 Klicken Sie im Fenster Add Rule (Regel hinzufügen) auf Rule Criteria (Regelkriterien). 2 Im Abschnitt Apply this rule (Diese Regel anwenden) können Sie auswählen, wann die Regel angewendet werden soll: • Always (Immer): Die Regel wird immer angewendet. Fügen Sie nun ein weiteres Element hinzu, beispielsweise die Regelaktion. • If the following criteria is matched (Bei Erfüllung folgender Kriterien): Die Regel wird angewendet, wenn die konfigurierten Kriterien erfüllt werden. Fahren Sie mit dem nächsten Schritt fort. 3 Klicken Sie im Abschnitt Criteria (Kriterien) auf Add (Hinzufügen), und wählen Sie im Dropdown-Menü eine Kriteriengruppe aus. Nun wird das Fenster Add Criteria (Kriterien hinzufügen) geöffnet, das die geeigneten Elemente zum Konfigurieren der Kriterien aus der ausgewählten Gruppe enthält. Wenn Sie die Elemente aller Kriterien anzeigen möchten, klicken Sie auf Advanced criteria (Kriterien – erweitert). Im Fenster werden drei Spalten angezeigt: • Links: Auswahl einer Eigenschaft • Mitte: Auswahl eines Operators • Rechts: Auswahl eines Operanden Die aktuell ausgewählten Elemente werden in den einzelnen Spalten jeweils oben unter Selected property (Ausgewählte Eigenschaft), Selected operator (Ausgewählter Operator) bzw. Compare with (Vergleichen mit) angezeigt. Das Fenster unterstützt die Auswahl geeigneter Elemente, indem die Listen der anderen Spalten automatisch angepasst werden, sobald Sie in einer Spalte ein Element ausgewählt haben. In den anderen Spalten werden nun ausschließlich Elemente angezeigt, die gemeinsam mit dem ausgewählten Element konfiguriert werden können. Sie können mit der Auswahl sowohl in der linken als auch in der rechten Spalte beginnen. Entsprechend können die Schritte 4 bis 6 auch in umgekehrter Reihenfolge erfolgen. Wenn eines Ihrer Kriterien die Nutzung einer Liste als Operand ist, wird empfohlen, diese Liste aus der rechten Spalte auszuwählen. 4 Wählen Sie eine Eigenschaft aus. a Wählen Sie aus der Liste in der linken Spalte ein Element aus, bzw. lassen Sie das vorausgewählte Element unverändert (falls dies zutrifft). Sie können die Liste auch filtern und selbstkonfigurierte Eigenschaften hinzufügen. McAfee Web Gateway 7.5.0 Produkthandbuch 53 3 Regeln Erstellen einer Regel b [Falls zutreffend] Wenn Sie eine Eigenschaft ausgewählt haben, bei der Einstellungen erforderlich sind, wählen Sie diese aus dem Dropdown-Menü Settings (Einstellungen) aus, das für die Eigenschaft angezeigt wird, oder lassen Sie die vorkonfigurierten Einstellungen unverändert. c [Falls zutreffend] Wenn Sie eine Eigenschaft ausgewählt haben, bei der das Festlegen von Parametern erforderlich ist, klicken Sie unter dem Eigenschaftsnamen auf Parameters (Parameter). In dem nun angezeigten Fenster können Sie mittels der vorhandenen Optionen die Werte für alle benötigten Parameter festlegen. 5 Wählen Sie aus der Liste in der mittleren Spalte einen Operator aus, bzw. lassen Sie den vorausgewählten unverändert (falls dies zutrifft). 6 Wählen Sie aus der Liste in der rechten Spalte einen Operanden aus, bzw. übernehmen Sie den vorausgewählten (sofern vorhanden). Sollte die Liste leer sein, geben Sie einen geeigneten Wert ein, z. B. eine Zahl. Wenn der Typ der angezeigten Operanden geändert werden soll, wählen Sie aus der Liste oben in der Spalte einen anderen Typen aus. Nach der Auswahl eines bestimmten Operanden bzw. Operandentyps werden die Listen in der mittleren und der linken Spalte angepasst und zeigen ausschließlich passenden Operatoren und Eigenschaften an. 7 Klicken Sie zum Schließen des Fensters Add Criteria (Kriterien hinzufügen) auf OK. Die neuen Kriterien werden nun im Fenster Add Rule (Regel hinzufügen) angezeigt. Wenn Sie komplexere Kriterien konfigurieren möchten, wiederholen Sie die Schritte 3 bis 6 zum Konfigurieren weiterer Teilkriterien. Die einzelnen Teilkriterien können durch die in diesem Fall verfügbaren Optionen AND (UND) bzw. OR (ODER) kombiniert werden. Beim Vorhandensein von drei oder mehr Teilkriterien wird das Feld Criteria combination (Kriterienkombination) angezeigt. Legen Sie dort durch Eingabe von Klammern fest, welche logische Verbindung zwischen den Teilkriterien bestehen soll. Fügen Sie nun ein weiteres Element hinzu, beispielsweise die Regelaktion. Hinzufügen einer Regelaktion Sie können eine Aktion hinzufügen, die bei Übereinstimmung mit den Regelkriterien ausgeführt wird. Vorgehensweise 54 1 Klicken Sie im Fenster Add Rule (Regel hinzufügen) auf Action (Aktion). 2 Wählen Sie aus der Liste Action (Aktion) eine der folgenden Aktionen aus: • Continue (weiter): Fährt mit der Verarbeitung der nächsten Regel fort. • Block (Blockieren): Blockiert den Zugriff auf ein Objekt und beendet die Regelverarbeitung. • Redirect (Umleiten): Leitet den Client, der den Zugriff auf ein Objekt anfragt, auf ein anderes Objekt um. • Authenticate (Authentifizieren): Beendet die Verarbeitung des aktuellen Zyklus und sendet eine Authentifizierungsanfrage. • Stop Rule Set (Regelsatz anhalten): Beendet die Verarbeitung des aktuellen Regelsatzes und fährt mit dem nächsten Regelsatz fort. McAfee Web Gateway 7.5.0 Produkthandbuch 3 Regeln Erstellen einer Regel 3 • Stop Cycle (Zyklus anhalten): Beendet die Verarbeitung des aktuellen Regelsatzes, blockiert jedoch nicht den Zugriff auf das angefragte Objekt. • Remove (Entfernen): Entfernt das angefragte Objekt und beendet die Verarbeitung des aktuellen Zyklus. [Falls zutreffend] Wenn Sie eine Aktion ausgewählt haben, für die Einstellungen erforderlich sind (Blockieren, Umleiten, Authentifizieren), wählen Sie aus der Liste Settings (Einstellungen) die entsprechenden Einstellungen aus. Wenn Sie neue Einstellungen hinzufügen oder vorhandene Einstellungen bearbeiten möchten, klicken Sie vor dem Auswählen von Einstellungen auf Add (Hinzufügen) bzw. Edit (Bearbeiten), um das entsprechende Fenster zu öffnen. 4 Wenn Sie alle erforderlichen Regelelemente erstellt haben, aber kein Ereignis hinzufügen möchten, dann führen Sie folgende Schritte durch: a [Optional] Klicken Sie auf Summary (Zusammenfassung), um die vorgenommenen Konfigurationen zu überprüfen. b Klicken Sie auf Finish (Fertig stellen). Das Fenster Add Rule (Regel hinzufügen) wird nun geschlossen, und die neue Regel wird in dem dafür ausgewählten Regelsatz angezeigt. Hinzufügen eines Regelereignisses Sie können optional ein oder mehrere Ereignisse hinzufügen, das bzw. die bei Übereinstimmung mit den Regelkriterien ausgeführt wird bzw. werden. Vorgehensweise 1 Klicken Sie im Fenster Add Rule (Regel hinzufügen) auf Events (Ereignisse). 2 Klicken Sie im Abschnitt Events (Ereignisse) auf Add (Hinzufügen), und wählen Sie im Dropdown-Menü den Eintrag Events (Ereignisse) aus. Daraufhin öffnet sich das Fenster Add Event (Ereignis hinzufügen). 3 Wählen Sie in der Liste Event (Ereignis) ein Ereignis aus. Tragen Sie zum Filtern der Liste einen Filterbegriff in das oberhalb der Liste befindliche Eingabefeld ein. 4 [Falls zutreffend] Wenn Sie ein Ereignis ausgewählt haben, bei dem das Festlegen von Einstellungen erforderlich ist, wählen Sie aus der Liste Settings (Einstellungen) die entsprechenden Einstellungen aus. Wenn Sie neue Einstellungen hinzufügen oder vorhandene Einstellungen bearbeiten möchten, klicken Sie vor dem Auswählen von Einstellungen auf Add (Hinzufügen) bzw. Edit (Bearbeiten), um das entsprechende Fenster zu öffnen. 5 [Falls zutreffend] Wenn Sie ein Ereignis ausgewählt haben, bei dem das Festlegen von Parametern erforderlich ist, klicken Sie auf Parameters (Parameter). In dem nun angezeigten Fenster können Sie mittels der vorhandenen Optionen die Werte für alle benötigten Parameter festlegen. 6 Klicken Sie auf OK. Das Fenster Add Event (Ereignis hinzufügen) wird geschlossen, und das neue Ereignis wird nun in der Liste Events (Ereignisse) angezeigt. McAfee Web Gateway 7.5.0 Produkthandbuch 55 3 Regeln Erstellen eines Regelsatzes 7 Sofern dies der letzte Schritt beim Hinzufügen ist: a [Optional] Klicken Sie auf Summary (Zusammenfassung), um die vorgenommenen Konfigurationen zu überprüfen. b Klicken Sie auf Finish (Fertig stellen). Das Fenster Add Rule (Regel hinzufügen) wird nun geschlossen, und die neue Regel wird in dem dafür ausgewählten Regelsatz angezeigt. Erstellen eines Regelsatzes Sie können einen Regelsatz erstellen und diesen zur Konfiguration hinzufügen. Vorgehensweise 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus. 2 Navigieren Sie in der Regelsatz-Baumstruktur zu der Position, an der der neue Regelsatz eingefügt werden soll. 3 Klicken Sie über der Regelsatz-Baumstruktur auf Add (Hinzufügen). Daraufhin öffnet sich ein Dropdown-Menü. 4 Wählen Sie die Option Rule Set (Regelsatz) aus. Daraufhin öffnet sich das Fenster Add New Rule Set (Neuen Regelsatz hinzufügen). 5 6 7 8 Konfigurieren Sie für den Regelsatz die folgenden allgemeinen Einstellungen: • Name: Name der Regel • Enable (Aktivieren): Bei Auswahl dieser Option wird der Regelsatz aktiviert. • [Optional] Comment (Kommentar): Kommentar zum Regelsatz im Nur-Text-Format Konfigurieren Sie im Abschnitt Applies to (Anwendung auf) die Verarbeitungszyklen. Sie können nur einen Zyklus oder auch eine beliebige Kombination dieser drei Zyklen auswählen: • Requests (Anfragen): Der Regelsatz wird verarbeitet, wenn auf der Appliance Anfragen von Benutzern des Netzwerks eingehen. • Responses (Antworten): Der Regelsatz wird verarbeitet, wenn Antworten von Web-Servern empfangen werden. • Embedded objects (eingebettete Objekte): Der Regelsatz wird verarbeitet, wenn mit Anfragen oder Antworten eingebettete Objekte mitgesendet werden. Im Abschnitt Apply this rule set (Diesen Regelsatz anwenden) können Sie konfigurieren, wann der Regelsatz angewendet werden soll: • Always (Immer): Der Regelsatz wird immer angewendet. • If the following criteria is matched (Bei Erfüllung folgender Kriterien): Der Regelsatz wird angewendet, wenn die unten konfigurierten Kriterien erfüllt werden. Klicken Sie im Abschnitt Criteria (Kriterien) auf Add (Hinzufügen). Daraufhin öffnet sich das Fenster Add Criteria (Kriterien hinzufügen). 56 McAfee Web Gateway 7.5.0 Produkthandbuch Regeln Erstellen eines Regelsatzes 9 3 Konfigurieren Sie im Bereich Property (Eigenschaft) eine Eigenschaft unter Verwendung folgender Elemente: • Property (Eigenschaft): Auswahlliste für Eigenschaften (Typ der jeweiligen Eigenschaft wird in Klammern angezeigt) • Search (Suchen): Öffnet das Fenster Property Search (Eigenschaftensuche), in dem Sie nach Eigenschaften suchen können. • Parameter: Öffnet das Fenster Property Parameters (Eigenschaftenparameter), in dem bis zu drei Parameter hinzugefügt werden können (siehe Schritt 10). Wenn die Eigenschaft keine Parameter beinhaltet, ist dieses Symbol abgeblendet. • Settings (Einstellungen): Auswahlliste für Einstellungen des Moduls, das für die Eigenschaft einen Wert ausgibt (Modulnamen werden in Klammern angezeigt). Wenn für eine Eigenschaft keine Einstellungen erforderlich sind, ist dieses Symbol abgeblendet, und es wird ergänzend die Information (not needed) (nicht erforderlich) angezeigt. • Add (Hinzufügen; Zeichenfolge, boolescher oder numerischer Wert): Konfigurieren Sie dies im Bereich Value (Wert). Klicken Sie anschließend auf OK. • Edit (Bearbeiten): Öffnet das Fenster Edit Settings (Einstellungen bearbeiten) zum Bearbeiten der ausgewählten Einstellungen. Falls für die Eigenschaft keine Parameter konfiguriert werden müssen, klicken Sie auf OK, und fahren Sie mit Schritt 11 fort. 10 Wenn Eigenschaftenparameter hinzugefügt werden müssen, verfahren Sie folgendermaßen: a Klicken Sie auf Parameter. Daraufhin öffnet sich das Fenster Property Parameters (Eigenschaftenparameter). b Fügen Sie die benötigte Anzahl an Parametern hinzu. Es gibt die zwei folgenden Parametertypen: • Value (Wert; Zeichenfolge, boolescher oder numerischer Wert): Konfigurieren Sie diesen Parameter im Bereich Value (Wert). Klicken Sie anschließend auf OK. • Property (Eigenschaft): Befolgen Sie die Anweisungen zum Bearbeiten von Eigenschaften ab Schritt 4. 11 Wählen Sie in der Liste Operator einen Operator aus. 12 Fügen Sie im Bereich Parameter einen Parameter (auch als Operand bezeichnet) hinzu. Die beiden möglichen Parametertypen sind: • Value (Wert; Zeichenfolge, boolescher oder numerischer Wert): Konfigurieren Sie diesen Parameter im Bereich Value (Wert). • Property (Eigenschaft): Befolgen Sie die Anweisungen zum Bearbeiten von Eigenschaften ab Schritt 4. 13 Klicken Sie zum Schließen des Fensters Add Criteria (Kriterien hinzufügen) auf OK. 14 [Optional] Klicken Sie auf die Registerkarte Permissions (Berechtigungen), und legen Sie dort fest, wer zum Zugriff auf den neuen Regelsatz berechtigt ist. McAfee Web Gateway 7.5.0 Produkthandbuch 57 3 Regeln Importieren eines Regelsatzes 15 Klicken Sie auf OK, um das Fenster Add New Rule Set (Neuen Regelsatz hinzufügen) zu schließen. Das Fenster Add New Rule Set (Neuen Regelsatz hinzufügen) wird geschlossen, und der Regelsatz wird in das Regelsatzsystem eingefügt. 16 Klicken Sie auf Save Changes (Änderungen speichern). Importieren eines Regelsatzes Sie können einen Regelsatz aus der Bibliothek in Ihr Regelsatzsystem importieren. Vorgehensweise 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus. 2 Navigieren Sie in der Regelsatz-Baumstruktur zu der Position, an der der neue Regelsatz eingefügt werden soll. 3 Wählen Sie im Dropdown-Menü Add (Hinzufügen) die Option Rule Set from Library (Regelsatz aus Bibliothek) aus. Daraufhin öffnet sich ein Fenster mit einer Liste der Bibliotheks-Regelsätze. 4 Wählen den zu importierenden Regelsatz aus, z. B. den Regelsatz Gateway Antimalware. Wenn beim Importieren des betreffenden Regelsatzes Konflikte auftreten, werden diese im Fenster angezeigt. Konflikte treten auf, wenn ein Regelsatz Konfigurationsobjekte wie Listen oder Einstellungen verwendet, die bereits im Regelsatzsystem vorhanden sind. 5 Sie können Konflikte mit einer der folgenden Methoden beheben: • • 6 Klicken Sie auf Auto-Solve Conflicts (Konflikte automatisch beheben), und wählen Sie eine der folgenden Strategien für alle Konflikte aus: • Solve by referring to the existing objects (Beheben durch Verweisen auf vorhandene Objekte): Wenn Regeln des importierten Regelsatzes auf Objekte verweisen, die in der Appliance-Konfiguration unter denselben Namen vorhanden sind, werden Verweise auf die vorhandenen Objekte erstellt. • Solve by copying and renaming to suggested (Beheben durch Kopieren und Umbenennen in vorgeschlagene Namen): Wenn Regeln des importierten Regelsatzes auf Objekte verweisen, die in der Appliance-Konfiguration unter denselben Namen vorhanden sind, werden die betreffenden Objekte ebenfalls verwendet, jedoch umbenannt, sodass Konflikte vermieden werden. Klicken Sie nacheinander auf die aufgelisteten Konflikte, um sie einzeln zu beheben, indem Sie jedes Mal eine der beiden obigen Strategien auswählen. Klicken Sie auf OK. Der Regelsatz wird nun in der Regelsatz-Baumstruktur eingefügt. Er ist standardmäßig aktiviert. Vom Regelsatz zum Durchführen der Filteraufgaben benötigte Listen und Einstellungen werden zusammen mit dem Regelsatz implementiert. Sie werden in der Struktur der Listen und der Einstellungs-Baumstruktur angezeigt. 58 McAfee Web Gateway 7.5.0 Produkthandbuch 3 Regeln Empfohlene Vorgehensweisen – Konfigurieren von Regeln 7 Verwenden Sie ggf. die blauen Pfeile oberhalb der Regelsatz-Baumstruktur, um den Regelsatz an die gewünschte Position zu verschieben. 8 Klicken Sie auf Save Changes (Änderungen speichern). Empfohlene Vorgehensweisen – Konfigurieren von Regeln In Web Gateway können Regeln auf unterschiedliche Weise konfiguriert werden. Für eine effiziente Filterung sollten jedoch einige Richtlinien berücksichtigt werden. • Verwenden Sie Regeln und Regelsätze in den dafür geeigneten Filterzyklen: Einige Filteraktivitäten eignen sich eher für den Anfragezyklus, während andere auch gut im Antwortzyklus verarbeitet werden können. Beispielsweise sollte eine Regel, die Anfragen basierend auf den Kategorien der gesendeten URLs blockiert, im Antwortzyklus verarbeitet werden. • „Aufwändige“ Eigenschaften gegen Ende des Filterprozesses einsetzen: Bei manchen Eigenschaften ist ein höherer Zeitaufwand und mehr Bandbreite erforderlich, um während des Filterprozesses für diese Eigenschaften Werte abzurufen. Beispielsweise erfordert die Eigenschaft Antimalware.Infected einen solchen hohen Aufwand. Deshalb sollte eine Regel, in der diese Eigenschaft enthalten ist, eher hinter einer Regel platziert werden, die z. B. über die weniger aufwändige Eigenschaft URL.Categories verfügt. Wird nämlich eine Anfrage gleich von der ersten Regel blockiert, entfällt der Verarbeitungsaufwand für die zweite Regel. • In den Regelkriterien möglichst nicht mehr als zwei Eigenschaften verwenden: Dies verringert zwar nicht den Verarbeitungsaufwand, die Funktionsweise der Regeln lässt sich jedoch besser nachvollziehen. Verwenden von Regeln und Regelsätzen in passenden Zyklen Die Regelverarbeitung in Web Gateway erfolgt in unterschiedlichen Zyklen. Filteraktivitäten sollten in den Zyklen eingesetzt werden, die sich am besten für die jeweilige Aktivität eignen. Es stehen folgende Zyklen zur Verfügung: • Request cycle (Anfragezyklus): Für die Verarbeitung der Anfragen von Clients von Web Gateway. Dieser Zyklus arbeitet mit allen in einer Anfrage vorhandenen Daten, z. B. der Client-IP-Adresse, der URL, dem Benutzernamen (sofern eine Authentifizierung durchgeführt wird) und Browser-bezogenen Header-Informationen. Wenn eine Anfrage in diesem Zyklus blockiert wird, erfolgt kein Antwortzyklus, da die Anfrage nicht an einen Web-Server weitergeleitet und daher auch keine Antwort empfangen wird. • Response cycle (Antwortzyklus): Für die Verarbeitung von Antworten, die Web-Server als Reaktion auf die von Web Gateway an sie weitergeleiteten Anfragen senden. Dieser Zyklus arbeitet mit allen in einer Antwort vorhandenen Daten, wie z. B. mit den angefragten Daten oder mit Server-bezogenen Header-Informationen. • Embedded objects cycle (Zyklus für eingebettete Objekte): Für die Verarbeitung von in Anfragen bzw. Antworten eingebettete Web-Objekte. McAfee Web Gateway 7.5.0 Produkthandbuch 59 3 Regeln Empfohlene Vorgehensweisen – Konfigurieren von Regeln Dieser Zyklus wird durchgeführt, wenn im Anfrage- oder Antwortzyklus ein Öffnungsmodul aufgerufen wird, damit die Filtermodule ein Web-Objekt detaillierter untersuchen können. Es stehen die beiden folgenden Öffnungsmodule zur Verfügung: • Composite Opener: das reguläre Öffnungsmodul zur Untersuchung von ZIP-, EXE- und weiteren Dateien • HTML Opener: sehr selten in bestimmten komplexen Konfigurationen verwendet Der Zyklus für eingebettete Objekte wird nach dem Anfrage- bzw. Antwortzyklus und nur dann durchgeführt, wenn eingebettete Objekte untersucht werden müssen. Wenn keine eingebetteten Objekte vorhanden sind, wird der Zyklus nicht durchgeführt. Nachdem die Anfrage- und Antwortzyklen sowie der Zyklus für eingebettete Objekte abgeschlossen sind, werden in Web Gateway Regelsätze mit Protokollierungsregeln verarbeitet, damit die entsprechenden Daten in Protokollierungsdateien geschrieben werden. Die Verarbeitung dieser Regelsätze wird manchmal auch als Durchführung des Protokollierungszyklus bezeichnet. Allgemeine empfohlene Vorgehensweise zur Verwendung des Anfragezyklus Lassen Sie alle in einer Anfrage vorhandenen Informationen bereits im Anfragezyklus filtern, um alle blockierten Elemente so früh wie möglich zu beseitigen. Die folgende Beispielfälle veranschaulichen den Nutzen dieser Vorgehensweise: • Wenn die Filterung nach URL-Kategorien im Antwort- und nicht schon im Anfragezyklus erfolgt, werden die angefragten Daten des Web-Servers erst empfangen, um anschließend festzustellen, dass sie gar nicht an den Client weitergeleitet werden können, da ihre Kategorie nicht zulässig ist. • Wenn die Filterung nach Client-IP-Adressen im Anfragezyklus erfolgt und eine Anfrage blockiert wird, erfolgt kein Antwortzyklus, weshalb es nutzlos wäre, eine Regel zum Filtern dieser Daten im Antwortzyklus zu platzieren. Wenn eine Anfrage zugelassen wird, ist ein zweiter Filterdurchgang im Antwortzyklus nicht erforderlich. Verarbeitungszyklen und empfohlene Filteraktivitäten In der folgenden Tabelle sind die für die jeweiligen Zyklen empfohlenen Filteraktivitäten aufgeführt. Tabelle 3-7 Verarbeitungszyklen und empfohlene Filteraktivitäten Anfragezyklus Antwortzyklus Zyklus für eingebettete Objekte Filterung basierend auf Whitelists Filterung basierend auf Whitelists Untersuchung des Inhalts einer Anfrage bzw. Antwort Filterung basierend auf Blockierungslisten Filterung basierend auf von Servern gesendeten Headern, z. B. dem Content-Length-Header Medientyp-Filterung Filterung basierend auf von Clients gesendeten Headern, z. B. dem User-Agent-Header Medientyp-Filterung Malware-Schutz-Scan für eingebettete Objekte Benutzerauthentifizierung Malware-Schutz-Scan für Downloads URL-Filterung Malware-Schutz-Scan für Uploads Diese Übersicht zeigt unter anderem auch, dass manche Aktivitäten nur für einen Zyklus empfohlen werden, während andere, wie beispielsweise die Nutzung von Whitelists oder Malware-Schutz-Scans für zwei oder mehr Zyklen empfohlen werden. 60 McAfee Web Gateway 7.5.0 Produkthandbuch 3 Regeln Empfohlene Vorgehensweisen – Konfigurieren von Regeln Verwendung aufwändiger Eigenschaften am Ende des Filterprozesses „Aufwändige“ Eigenschaften beanspruchen beim Verarbeiten eine hohe Kapazität. Regeln mit diesen Eigenschaften sollten deshalb am Ende des Regelsatzsystems platziert werden. Beim Verarbeiten von Regeln werden die Module (auch als Engines bezeichnet) in Web Gateway aufgerufen, um Werte für ihre Eigenschaften abzurufen. Einige dieser Module beanspruchen in der Regel mehr Zeitaufwand und höhere Bandbreiten als andere. Beispielsweise werden beim Betreiben der Malware-Scan-Module meistens mehr Ressourcen verbraucht als beim Abrufen von Informationen zu URL-Kategorien durch das Modul „URL Filter“. Sie sollten daher zur Leistungsoptimierung Regelsätze mit Regeln, die solche aufwändigen Eigenschaften enthalten, am Ende des Regelsatzsystems platzieren, sodass zuerst die Regeln mit weniger aufwändigen Eigenschaften verarbeitet werden. Wenn nun eine Anfrage bzw. Antwort bereits von einer der ersten Regeln blockiert wird, müssen die Regeln mit aufwändigeren Eigenschaften gar nicht erst verarbeitet werden. Aufwand von Eigenschaften Die folgende Tabelle gibt den erforderlichen „Aufwand“ für einige häufig in Regeln eingesetzte Eigenschaften an. Eigenschaften, die mit einem Sternchen (*) markiert sind, nutzen außerdem noch externe Komponenten, z. B. Authentifizierungs-Server, was die Leistung zusätzlich beeinträchtigt. Des Weiteren ist in der Tabelle auch der Aufwand zweier Regelelemente aufgeführt, bei denen es sich nicht um Eigenschaften, sondern um Ereignisse handelt. Geringerer Aufwand Mittel Höherer Aufwand URL URL.Destination.IP* Antimalware.Infected URL.Host Media.EnsuredTypes Für DLP-Filterung (Data Loss Prevention) genutzte Eigenschaften URL.Categories* Zur Authentifizierung von Benutzern verwendete Eigenschaften* Nutzung des Moduls „HTML Opener“ (durch ein Ereignis aktiviert) Client.IP Nutzung des Moduls „Composite Opener“ (durch ein Ereignis aktiviert) Proxy.IP Proxy.Port System.Hostname Zur Überprüfung von HTTP-Header-Informationen genutzte Eigenschaften Aufwand von Eigenschaften innerhalb von Regeln Die empfohlene Vorgehensweise für den Einsatz von Eigenschaften entsprechend ihres Aufwands gilt nicht nur für die Positionierung von Regeln und Regelsätzen innerhalb des gesamten Regelsystems, sondern auch für die Positionierung von Eigenschaften innerhalb einer einzelnen Regel. Die folgende Regel blockiert die Zugriffsanfrage für einen Web-Server mit einem bestimmten Host-Namen, wenn die Anfrage von einem Client mit einer bestimmten IP-Adresse gesendet wurde. McAfee Web Gateway 7.5.0 Produkthandbuch 61 3 Regeln Empfohlene Vorgehensweisen – Konfigurieren von Regeln Name Block host abcd.com for client with IP address 1.2.3.4 Criteria (Kriterium) Client.IP equals 1.2.3.4 AND URL.Host matches *abcd.com Action (Aktion) Event (Ereignis) –> Block<Default>Continue Bei der Verarbeitung der Regel wird zuerst der Wert für Client.IP abgerufen, um die Herkunft der Anfrage zu ermitteln. Wenn diese nicht mit dem konfigurierten Operanden übereinstimmt, wird die Regel nicht angewendet, und die Verarbeitung wird mit der nächsten Regel fortgesetzt. Nur wenn der Wert für Client IP exakt 1.2.3.4 entspricht, wird auch der Wert für URL.Host abgerufen, um zu ermitteln, ob die Kriterien vollständig übereinstimmen. Client.IP steht an der ersten Stelle der Kriterien, da der Vergleich zweier Client-IP-Adressen geringeren Aufwand verursacht als die Prüfung der Übereinstimmung eines Host-Namens mit einem Platzhalterausdruck. Verwendung von höchstens zwei Eigenschaften in den Kriterien einer Regel Wenn Sie in den Kriterien einer Regel (nach Möglichkeit) maximal zwei Eigenschaften einsetzen, lässt sich diese Regel nicht nur von anderen Benutzern, sondern bei späterer erneuter Verwendung auch von Ihnen selbst leichter nachvollziehen. Die folgende Beispielregel lässt den Zugriff auf Ziele mit einer bestimmten Domäne sowie für Administratoren zu, jedoch nur dann, wenn sie einen bestimmten Port für den Zugriff verwenden. Die Kriterien dieser Regel verfügen über vier verschiedene Eigenschaften, mit denen folgende Parameter überprüft werden: • Host name of a URL (Host-Name einer URL): Wird Zugriff auf die konfigurierte Domäne angefordert? • User group (Benutzergruppe): Ergab die Authentifizierung, dass der Benutzer, der die Anfrage gesendet hat, zur Benutzergruppe für Administratoren gehört? • Client IP address range (Client-IP-Adressbereich): Wurde die Anfrage von einem Client gesendet, dessen IP-Adresse sich im für Administratoren reservierten IP-Adressbereich befindet? • Proxy port (Proxy-Port): Wurde die Zugriffsanfrage für die Domäne über den konfigurierten Port gesendet? Die Regel sieht folgendermaßen aus: Name/Criteria Action Event Allow only administrators using port 9090 access to test domain URL.Host matches "testdomain.com" AND (Authentication.UserGroups does not contain "Administrator" OR Client.IP is not in range 192.168.42.0/24 OR Proxy.Port does not equal 9090) –> Block <Default> Damit eine Übereinstimmung die Regel zur Anwendung bringt, kontrolliert der erste Teil der Regelkriterien, ob tatsächlich eine Zugriffsanfrage für die Testdomäne erfolgt ist. Alle anderen Kriterienelemente werden negativ formuliert: Wenn der Benutzer kein Administrator ist oder sich die Client-IP-Adresse nicht innerhalb des konfigurierten Bereichs befindet oder der Proxy-Port nicht 9090 lautet, wird die Anfrage blockiert. 62 McAfee Web Gateway 7.5.0 Produkthandbuch 3 Regeln Beschränken des Zugriffs auf Konfigurationselemente Diese Regel lässt den Zugriff also nur dann zu, wenn eine Zugriffsanfrage für die Testdomäne von einem Administrator eines Clients mit einer IP-Adresse innerhalb des konfigurierten Bereichs unter Verwendung des Proxy-Ports 9090 gesendet wird. Die drei letzten Kriterienkomponenten sind in Klammern eingeschlossen, damit für diese ein kombinierter Wahrheitswert ermittelt und anschließend mit dem Wert der ersten Komponente überprüft werden kann. Eine identische Vorgehensweise hinsichtlich der Filterung kann auch erreicht werden, indem diese Regel in die drei folgenden kürzeren Regeln aufgeteilt wird. Name/Criteria Action Event Check whether request is for accessing test domain URL.Host does not match *testdomain.com –> Stop Rule Set Block access if not over proxy port 9090 Proxy.Port does not equal 9090 –> Block <Default> Block users who are not administrators based on user name and client IP address Authentication.UserGroups does not contain "Administrator" OR Client.IP –> Block <Default> is not in range 192.168.42.0/24 Die erste der drei Regeln kontrolliert, ob tatsächlich eine Zugriffsanfrage für die Testdomäne erfolgt ist. Wenn dies nicht der Fall ist, werden die auf diese Regel folgenden weiteren Regeln innerhalb des Regelsatzes nicht mehr verarbeitet. Dies bedeutet, dass keine Verarbeitung der beiden auf die erste Regel folgenden Blockierungsregeln erfolgt. Da überhaupt kein Zugriffsversuch auf die Testdomäne erfolgt ist, müssen diese Regeln gar nicht verarbeitet werden. Bei der Verarbeitung der beiden Blockierungsregeln überprüfen diese die beteiligten Parameter, um zu ermitteln, ob eine Zugriffsanfrage für die Testdomäne zugelassen wird. Diese Überprüfung erfolgt auf die gleiche Weise wie in der oben erläuterten Regel, deren Kriterien vier Eigenschaften umfasste. Die Parameter bezüglich des Administratorstatus eines Benutzers werden in einer Regel mit zwei Eigenschaften kombiniert. Beschränken des Zugriffs auf Konfigurationselemente Beim Erstellen von bzw. beim Arbeiten mit vorhandenen Regelsätzen, Listen oder Einstellungen können Sie den Zugriff darauf beschränken. Vorgehensweise 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) bzw. Lists (Listen) oder Settings (Einstellungen) aus. 2 Navigieren Sie in der Verzeichnisstruktur zu der Position, an der Sie das neue Element hinzufügen möchten. 3 Klicken Sie oben in der Verzeichnisstruktur auf Add (Hinzufügen). Daraufhin öffnet sich das Fenster Add (Hinzufügen). McAfee Web Gateway 7.5.0 Produkthandbuch 63 3 Regeln Beschränken des Zugriffs auf Konfigurationselemente 4 Führen Sie die Schritte zum Hinzufügen eines neuen Elements aus. Klicken Sie anschließend auf die Registerkarte Permissions (Berechtigungen). Es können drei Zugriffsmodi konfiguriert werden: Read and Write (Lesen und Schreiben), Read (Lesen) und No Access (Kein Zugriff). 5 Klicken Sie unter dem Abschnitt Read and Write (Lesen und Schreiben) auf Add (Hinzufügen). Das Fenster Add Role or User (Rolle oder Benutzer hinzufügen) wird geöffnet. 6 Wählen Sie in der Liste im entsprechenden Abschnitt eine Rolle oder einen Benutzer (oder mehrere Einträge des entsprechenden Typs gleichzeitig) aus. Sie können auch im Feld Wildcard (Platzhalter) einen Platzhalterausdruck als Namen einer Rolle oder eines Benutzers eingeben. 7 Fügen Sie im Feld Read and Write (Lesen und Schreiben) die erforderliche Anzahl von Einträgen hinzu. Löschen Sie Einträge, indem Sie unter dem Abschnitt auf die Schaltfläche Delete (Löschen) klicken. 8 Füllen Sie die Abschnitte Read (Lesen) und No Access (Kein Zugriff) auf dieselbe Weise. 9 Konfigurieren Sie mithilfe der Optionsfelder unter All other roles have (Alle anderen Rollen verfügen über) den Zugriff für alle Rollen und Benutzer, die in keiner der Listen auf der Registerkarte enthalten sind. 10 Klicken Sie auf OK, um das Fenster zu schließen. 11 Klicken Sie auf Save Changes (Änderungen speichern). 64 McAfee Web Gateway 7.5.0 Produkthandbuch 4 Listen Listen werden von Regeln zum Abrufen von Informationen über Web-Objekte und Benutzer verwendet. Es gibt verschiedene Arten von Listen, die sich zum Beispiel hinsichtlich des Erstellers oder der darin enthaltenen Elementtypen unterscheiden. Dementsprechend arbeiten Sie auf unterschiedliche Art mit diesen Listen. Listen erscheinen an verschiedenen Stellen auf der Benutzeroberfläche, zum Beispiel in den Kriterien von Regeln und Regelsätzen, auf der Registerkarte „Lists“ (Listen) und in den Einstellungen. Nach der ersten Einrichtung der Appliance werden die Listen gemeinsam mit dem Regelsatzsystem implementiert. Sie können die Listen des implementierten Systems überprüfen, ändern oder löschen, und Sie können auch Ihre eigenen Listen erstellen. Inhalt Listentypen Registerkarte „Lists“ (Listen) Zugreifen auf eine Liste Erstellen einer Liste Arbeiten mit verschiedenen Listentypen Abonnierte Listen Externe Listen Zuordnungstyplisten Allgemeiner Katalog JSON-Daten (JavaScript Object Notation) McAfee Web Gateway 7.5.0 Produkthandbuch 65 4 Listen Listentypen Listentypen Web-Sicherheitsregeln in Web Gateway verwenden verschiedene Arten von Listen zum Abrufen von Informationen zu Web-Objekten und Benutzern. Dies sind die wichtigsten Listentypen: • Benutzerdefinierte Listen: Diese Listen können von Ihnen geändert werden. Sie werden in der Listenstruktur im oberen Zweig auf der Registerkarte Lists (Listen) angezeigt, z. B. die Liste der URLs, die von der Filterung ausgenommen werden. Benutzerdefinierte Listen können Einträge im Zeichenfolgen-, Zahlen-, Kategorie- und anderen Formaten enthalten. Listen mit unterschiedlichen Formaten erfordern möglicherweise unterschiedliche Methoden zur Verwaltung. Einige benutzerdefinierte Listen sind anfangs leer und müssen von Ihnen mit Einträgen gefüllt werden. Zu den benutzerdefinierten Listen, die von Web Gateway nach der Ersteinrichtung bereitgestellt werden, können Sie eigene Listen hinzufügen. • Systemlisten: Diese Listen können nicht von Ihnen geändert werden. Sie werden in der Listenstruktur im unteren Zweig auf der Registerkarte Lists (Listen) angezeigt. Zu den Systemlisten gehören Listen mit Kategorie-, Medientyp- und Anwendungsnamen sowie mit Konnektoren, die für Cloud Single Sign On verwendet werden. Sie werden aktualisiert, wenn Sie ein Upgrade auf eine neue Version von Web Gateway vornehmen. Systemlisten, die für Data Loss Prevention (DLP), die Anwendungsfilterung und den Dynamic Content Classifier verwendet werden, können in von Ihnen geplante automatische Aktualisierungen einbezogen werden. • Interne Listen: Diese Listen können von Ihnen geändert werden, werden jedoch nicht auf der Registerkarte Lists (Listen) angezeigt. Sie werden intern in den Einstellungen eines Konfigurationselements angezeigt, z. B. eine Liste von HTTP-Ports in den Proxy-Einstellungen. • Abonnierte Listen: Diese Listen werden von Ihnen mit einem Namen in Web Gateway eingerichtet. Sie sind anfangs leer, und ihr Inhalt wird von einer Datenquelle abgerufen, die Sie abonniert haben. Abonnierte Listen werden in der Listenstruktur am Ende der benutzerdefinierten Listen angezeigt. Es gibt zwei Untertypen von abonnierten Listen: • Von McAfee verwaltete Listen: Der Inhalt dieser Listen wird von einem McAfee-Server abgerufen. Eine Reihe von Listen stehen auf dem McAfee-Server zur Verfügung, z. B. Listen mit IP-Adressbereichen oder Medientypen. • Von Kunden verwaltete Listen: Der Inhalt dieser Listen wird von einer Datenquelle abgerufen, die Sie angeben. Die Quellen, die Sie angeben können, sind Dateien auf Web-Servern, die unter HTTP, HTTPS oder FTP ausgeführt werden. Der Listeninhalt wird auf den jeweiligen Servern verwaltet. Um sicherzustellen, dass neuere Versionen dieses Inhalts in Ihre Listen in Web Gateway übertragen werden, können Sie manuelle Aktualisierungen durchführen oder automatische Aktualisierungen konfigurieren. 66 McAfee Web Gateway 7.5.0 Produkthandbuch Listen Listentypen • 4 Externe Listen: Diese Listen sind unter ihrem eigenen Namen in externen Quellen gespeichert. Ihr Inhalt wird in Web Gateway übertragen, wo sie den Wert einer Eigenschaft in einer Regel bereitstellen. Der Inhalt von externen Listen wird zur Laufzeit übertragen, d. h., er wird abgerufen, wenn die Regel mit der Eigenschaft für externe Listen verarbeitet wird. Wenn der Inhalt abgerufen wurde, wird dieser im Cache gespeichert und bis zu seinem Ablaufdatum, das Sie einstellen können, wiederverwendet. Nach dem Ablauf erfolgt eine neue Übertragung, wenn die Regel wieder verarbeitet wird. Zu den Quellen, aus denen Inhalt abgerufen werden kann, gehören Dateien auf Web-Servern, die unter HTTP, HTTPS, FTP oder LDAP ausgeführt werden, sowie Dateien in bestimmten Arten von Datenbanken. Darüber hinaus gehören dazu Dateien, die in Ihrem lokalen Dateisystem gespeichert sind. • Zuordnungstyplisten: In diesen Listen werden einander zugeordnete Schlüssel- und Wertepaare gespeichert. Sie können Zuordnungstyplisten in Web Gateway erstellen und mit Listeneinträgen füllen oder diese als abonnierte oder externe Listen aus anderen Quellen abrufen. Schlüssel und Werte in Zuordnungslisten werden anfangs im Zeichenfolgenformat gespeichert, können jedoch mithilfe von entsprechenden Eigenschaften in Regeln in andere Formate konvertiert werden. • Common Catalog-Listen: Diese Listen können von einem McAfee ePO-Server mithilfe von Push auf Web Gateway übertragen werden. Common Catalog-Listen können Einträge im IP-Adress-, Domänennamen-, Zeichenfolgen- oder Platzhalterausdruckformat enthalten. Sie werden auf dem McAfee ePO-Server verwaltet. McAfee Web Gateway 7.5.0 Produkthandbuch 67 4 Listen Registerkarte „Lists“ (Listen) Registerkarte „Lists“ (Listen) Auf der Registerkarte Lists (Listen) können Sie mit Listen arbeiten. Hauptelemente der Registerkarte „Lists“ (Listen) In der folgenden Tabelle werden die Hauptelemente der Registerkarte Liste (Listen) beschrieben. Tabelle 4-1 Hauptelemente der Registerkarte „Lists“ (Listen) Element Beschreibung Listen-Symbolleiste Elemente zum Arbeiten mit den Listen in der Listenbaumstruktur Listen-Baumstruktur Verzeichnisstruktur, die die Listen der Appliance-Konfiguration anzeigt Listeneinträge-Symbolleiste Einstellungen für das derzeit ausgewählte Element in der Einstellungs-Baumstruktur Listeneinträge Einträge der aktuell ausgewählten Liste Listen-Symbolleiste Die Listen-Symbolleiste bietet die folgenden Optionen. 68 McAfee Web Gateway 7.5.0 Produkthandbuch Listen Registerkarte „Lists“ (Listen) 4 Tabelle 4-2 Listen-Symbolleiste Option Definition Add (Hinzufügen) Öffnet das Fenster Add List (Liste hinzufügen) zum Hinzufügen einer Liste. Edit (Bearbeiten) Öffnet das Fenster Edit List (Liste bearbeiten) zum Bearbeiten einer ausgewählten Liste. Delete (Löschen) Löscht eine ausgewählte Liste. Hierbei wird ein Fenster angezeigt, in dem Sie den Löschvorgang bestätigen müssen Import (Importieren) Öffnet den Datei-Manager auf Ihrem System, damit Sie eine Liste importieren können. Export (Exportieren) Öffnet den Datei-Manager auf Ihrem System, damit Sie die in der Listen-Baumstruktur ausgewählte Liste exportieren können. View (Anzeigen) Öffnet ein Menü zum Anzeigen der Listen auf unterschiedliche Weise (A-Z, Z-A, nach Listentyp, mit oder ohne Listentypen, für die derzeit keine Listen vorhanden sind). Expand All (Alle einblenden) Zeigt alle bis dahin ausgeblendeten Elemente der Listen-Baumstruktur wieder an. Collapse All (Alle ausblenden) Blendet alle in der Listen-Baumstruktur eingeblendeten Elemente aus. Listeneinträge-Symbolleiste Die Listeneinträge-Symbolleiste bietet die folgenden Optionen. Tabelle 4-3 Listeneinträge-Symbolleiste Option Definition Add (Hinzufügen) Öffnet das Fenster Add <List type> (<Listentyp> hinzufügen) zum Hinzufügen eines Listeneintrags, z. B. das Fenster Add String (Zeichenfolge hinzufügen). Add multiple (Mehrere hinzufügen) Öffnet das Fenster Add <List type> (<Listentyp> hinzufügen) zum Hinzufügen mehrerer Listeneinträge, wenn dies für einen Listentyp möglich ist. Edit (Bearbeiten) Öffnet das Fenster Edit <List type> (<Listentyp> bearbeiten) zum Bearbeiten eines ausgewählten Listeneintrags, z. B. das Fenster Edit String (Zeichenfolge bearbeiten). Delete (Löschen) Löscht einen ausgewählten Listeneintrag. Hierbei wird ein Fenster angezeigt, in dem Sie den Löschvorgang bestätigen müssen. Move up (Nach oben) Verschiebt einen Eintrag in der Liste nach oben. Move down (Nach unten) Verschiebt einen Eintrag in der Liste nach unten. Filter (Filtern) Feld zur Eingabe eines Filterbegriffs, sodass nur übereinstimmende Einträge angezeigt werden Die Filterfunktion wird sofort ausgeführt, sobald Sie ein Zeichen in das Feld eingeben. McAfee Web Gateway 7.5.0 Produkthandbuch 69 4 Listen Zugreifen auf eine Liste Zugreifen auf eine Liste Sie können auf eine Liste über die Registerkarte Lists (Listen) zugreifen oder indem Sie in einer Regel auf den entsprechenden Listennamen klicken. Aufgaben • Zugreifen auf eine Liste auf der Registerkarte „Lists“ (Listen) auf Seite 70 Wenn Sie auf eine Liste auf der Registerkarte Lists (Listen) zugreifen möchten, suchen Sie die entsprechende Liste in der Listen-Baumstruktur, und wählen Sie sie aus. • Zugreifen auf eine Liste in einer Regel auf Seite 70 Wenn Sie auf eine Liste in einer Regel zugreifen möchten, suchen Sie diese Regel auf der Registerkarte Rule Sets (Regelsätze), und klicken Sie darauf. Zugreifen auf eine Liste auf der Registerkarte „Lists“ (Listen) Wenn Sie auf eine Liste auf der Registerkarte Lists (Listen) zugreifen möchten, suchen Sie die entsprechende Liste in der Listen-Baumstruktur, und wählen Sie sie aus. Vorgehensweise 1 Wählen Sie Policy | Lists (Richtlinie | Listen) aus. 2 Navigieren Sie in der Listen-Baumstruktur zu dem Zweig, der die gewünschte Liste enthält, und klicken Sie auf den Listennamen. Daraufhin werden im Einstellungsbereich die Listeneinträge angezeigt. Nun können Sie mit der Liste arbeiten. Zugreifen auf eine Liste in einer Regel Wenn Sie auf eine Liste in einer Regel zugreifen möchten, suchen Sie diese Regel auf der Registerkarte Rule Sets (Regelsätze), und klicken Sie darauf. Vorgehensweise 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus. 2 Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz aus, der die Regel mit der gewünschten Liste enthält. Daraufhin werden die Regeln des Regelsatzes im Einstellungsbereich angezeigt. 3 Hierfür muss die Option Show details (Details anzeigen) aktiviert sein. 4 Führen Sie in der Regel mit der Liste, auf die Sie zugreifen möchten, einen der folgenden Schritte aus: • Klicken Sie im Regelnamen auf den Listennamen, sofern dieser dort enthalten ist. • Klicken Sie in den Regelkriterien auf den Listennamen. Daraufhin öffnet sich das Fenster Edit List <Typ> (Liste <Typ> bearbeiten), wobei <Typ> hier für den Typ der gewünschten Liste steht. Nun können Sie mit der Liste arbeiten. 70 McAfee Web Gateway 7.5.0 Produkthandbuch Listen Erstellen einer Liste 4 Erstellen einer Liste Zusätzlich zu den bei der Erstkonfiguration der Appliance implementierten oder aus der Bibliothek importierten Listen können Sie auch eigene Listen erstellen. Für das Erstellen einer Liste sind die beiden folgenden Schritte erforderlich: • Hinzufügen einer neuen Liste • Füllen der neuen Liste mit Einträgen Aufgaben • Hinzufügen einer neuen Liste auf Seite 71 Sie können eine neue Liste hinzufügen, die erst später mit Einträgen gefüllt wird. • Füllen einer Liste mit Einträgen auf Seite 71 Wenn Sie auf der Appliance eine neue Liste hinzugefügt haben, müssen Sie diese mit Einträgen füllen. Hinzufügen einer neuen Liste Sie können eine neue Liste hinzufügen, die erst später mit Einträgen gefüllt wird. Vorgehensweise 1 Wählen Sie Policy | Lists (Richtlinie | Listen) aus. 2 Navigieren Sie in der Listen-Baumstruktur zu der Position, an der die gewünschte Liste eingefügt werden soll. 3 Klicken Sie auf der Symbolleiste auf Add (Hinzufügen). Daraufhin wird das Fenster Add List (Liste hinzufügen) geöffnet, in dem die Registerkarte Add List (Liste hinzufügen) ausgewählt ist. 4 Mithilfe der folgenden Elemente können Sie die allgemeinen Einstellungen der Liste konfigurieren: • Name: Name der Liste • Comment (Kommentar): [Optional] Kommentar zur Liste im Nur-Text-Format • Type (Typ): Liste zur Auswahl des Listentyps 5 [Optional] Klicken Sie auf die Registerkarte Permissions (Berechtigungen), und legen Sie dort fest, wer zum Zugriff auf die Liste berechtigt ist. 6 Klicken Sie auf OK. Das Fenster Add List (Liste hinzufügen) wird geschlossen, und die neue Liste wird nun in der Listen-Baumstruktur angezeigt. 7 Klicken Sie auf Save Changes (Änderungen speichern). Nun können Sie Einträge in die Liste einfügen. Füllen einer Liste mit Einträgen Wenn Sie auf der Appliance eine neue Liste hinzugefügt haben, müssen Sie diese mit Einträgen füllen. Vorgehensweise 1 Wählen Sie Policy | Lists (Richtlinie | Listen) aus. 2 Wählen Sie in der Struktur der Listen die Liste aus, der Einträge hinzugefügt werden sollen. McAfee Web Gateway 7.5.0 Produkthandbuch 71 4 Listen Arbeiten mit verschiedenen Listentypen 3 Klicken Sie im Abschnitt für Einstellungen auf Add (Hinzufügen). Das Fenster Add <Listentyp> (<Listentyp> hinzufügen) wird geöffnet, z. B. das Fenster Add String (Zeichenfolge hinzufügen). 4 Fügen Sie einen Eintrag in der entsprechenden Weise für den jeweiligen Listentyp hinzu. 5 [Optional] Geben Sie im Feld Comment (Kommentar) einen Kommentar (Nur-Text-Format) zum Listeneintrag ein. 6 Klicken Sie auf OK. Das Fenster Add <Listentyp> (<Listentyp> hinzufügen) wird geschlossen, und der Eintrag wird nun in der Liste angezeigt. 7 Klicken Sie auf Save Changes (Änderungen speichern). Arbeiten mit verschiedenen Listentypen Die Vorgehensweise bei der Arbeit mit Listen hängt vom Listentyp ab. Wenn der Typ beispielsweise String (Zeichenfolge) ist, können Sie Einträge hinzufügen, indem Sie im Fenster Add String (Zeichenfolge hinzufügen) im Feld String (Zeichenfolge) Zeichenfolgen eingeben. Wenn der Typ jedoch MediaType ist, müssen Sie einen Eintrag aus einem Medientypordner auswählen, der Teil eines Ordnersystems ist. Listen für Zeichenfolgen und Platzhalterausdrücke verfügen über eine Option zum gleichzeitigen Hinzufügen mehrerer Einträge. Klicken Sie dazu auf „Add multiple“ (Mehrere hinzufügen), und geben Sie für jeden Eintrag Text in einer neuen Zeile ein. In einer Medientypliste können Sie gleichzeitig mehrere Einträge oder Ordner auswählen, wenn Sie diese nicht separat hinzufügen möchten. Aufgaben • Hinzufügen eines Platzhalterausdrucks zu einer globalen Whitelist für URLs auf Seite 72 Sie können einen Platzhalterausdruck zu einer Whitelist hinzufügen, die von einer Regel für eine globale Whitelist verwendet wird. • Hinzufügen einer URL-Kategorie zu einer Blockierungsliste auf Seite 73 Sie können eine URL-Kategorie zu einer Blockierungsliste hinzufügen und so den Zugriff auf alle URLs blockieren lassen, die in diese Kategorie fallen. • Hinzufügen eines Medientyps zu einer Filterliste für Medientypen auf Seite 74 Sie können zu einer Liste zum Filtern von Medientypen selbst weitere Medientypen hinzufügen. Hinzufügen eines Platzhalterausdrucks zu einer globalen Whitelist für URLs Sie können einen Platzhalterausdruck zu einer Whitelist hinzufügen, die von einer Regel für eine globale Whitelist verwendet wird. Vorgehensweise 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus. 2 Wählen Sie in der Regelsatz-Baumstruktur einen Regelsatz aus, der Regeln für das Führen einer globalen Whitelist enthält, beispielsweise Global Whitelist. Daraufhin werden im Einstellungsbereich die enthaltenen Regeln angezeigt. 72 McAfee Web Gateway 7.5.0 Produkthandbuch Listen Arbeiten mit verschiedenen Listentypen 3 4 Suchen Sie nach der Regel, die mittels einer Whitelist Anfragen freistellt, wenn die Hosts der dabei übermittelten URLs mit den Platzhalterausdrücken in der Liste übereinstimmen, z. B. URL.Host matches in list Global Whitelist, und klicken Sie auf den Namen der Liste. Ein gelbes Dreieck neben dem Listennamen zeigt an, dass die Liste anfänglich leer ist und Sie Einträge hinzufügen müssen. Daraufhin öffnet sich das Fenster Edit List (Wildcard Expression) (Liste bearbeiten, Platzhalterausdruck). 4 Klicken Sie auf Add (Hinzufügen). Daraufhin öffnet sich das Fenster Add Wildcard Expression (Platzhalterausdruck hinzufügen). 5 Geben Sie im Feld Wildcard expression (Platzhalterausdruck) einen Platzhalterausdruck ein. Wenn Sie gleichzeitig mehrere Platzhalterausdrücke hinzufügen möchten, klicken Sie auf Add multiple (Mehrere hinzufügen), und beginnen Sie für jeden Platzhalterausdruck eine neue Zeile. 6 [Optional] Geben Sie in das Feld Comment (Kommentar) einen Kommentar zum Platzhalterausdruck im Nur-Text-Format ein. 7 Klicken Sie auf OK. Das Fenster wird geschlossen, und der Platzhalterausdruck wird nun in der Whitelist angezeigt. 8 Klicken Sie auf Save Changes (Änderungen speichern). Hinzufügen einer URL-Kategorie zu einer Blockierungsliste Sie können eine URL-Kategorie zu einer Blockierungsliste hinzufügen und so den Zugriff auf alle URLs blockieren lassen, die in diese Kategorie fallen. Vorgehensweise 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus. 2 Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz aus, der die Regeln zur URL-Filterung enthält. Daraufhin werden im Einstellungsbereich die enthaltenen Regeln angezeigt. 3 Suchen Sie nach der Regel, die eine auf Kategorien basierende Blockierungsliste verwendet, z. B. Block URLs whose category is in Category BlockList, und klicken Sie auf den Namen der Liste. Ein gelbes Dreieck neben der Liste zeigt an, dass die Liste anfänglich leer ist und Sie Einträge hinzufügen müssen. Daraufhin öffnet sich das Fenster Edit List (Category) (Liste bearbeiten, Kategorie). 4 Erweitern Sie den Gruppenordner, der die zu blockierende Kategorie enthält, z. B. Purchasing (Einkauf), und wählen Sie die Kategorie aus, z. B. Online Shopping (Online-Shopping). Wenn Sie mehrere Kategorien auf einmal hinzufügen möchten, wählen Sie mehrere Kategorien oder einen bzw. mehrere Gruppenordner aus. 5 Klicken Sie auf OK. Das Fenster wird geschlossen, und die Kategorie wird nun in der Blockierungsliste angezeigt. 6 Klicken Sie auf Save Changes (Änderungen speichern). McAfee Web Gateway 7.5.0 Produkthandbuch 73 4 Listen Abonnierte Listen Hinzufügen eines Medientyps zu einer Filterliste für Medientypen Sie können zu einer Liste zum Filtern von Medientypen selbst weitere Medientypen hinzufügen. Vorgehensweise 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus. 2 Navigieren Sie in der Regelsatz-Baumstruktur zu einem Regelsatz mit Regeln zur Medienfilterung, z. B. dem untergeordneten Regelsatz Download Media Types, und wählen Sie diesen aus. Daraufhin werden im Einstellungsbereich die enthaltenen Regeln angezeigt. 3 Wählen Sie die Regel Block types from Media Type Blocklist aus, und klicken Sie auf den Listennamen. Daraufhin öffnet sich das Fenster Edit List (MediaType) (Liste bearbeiten, Medientyp). 4 Klicken Sie auf Edit (Bearbeiten). Daraufhin öffnet sich das Fenster Edit (Bearbeiten). Es enthält eine Liste mit Gruppenordnern mit Medientypen. 5 Erweitern Sie den Gruppenordner, der den hinzuzufügenden Medientypen enthält, z. B. Audio, und wählen Sie den Medientypen aus, beispielsweise audio/mp4. Wenn Sie mehrere Medientypen auf einmal hinzufügen möchten, wählen Sie mehrere Medientypen oder einen bzw. mehrere Gruppenordner aus. 6 Klicken Sie auf OK. Das Fenster wird geschlossen, und der Medientyp wird nun in der Filterliste angezeigt. 7 Klicken Sie auf Save Changes (Änderungen speichern). Abonnierte Listen Listen zur Verwendung in Web-Sicherheitsregeln können mit Inhalt gefüllt werden, der von entsprechenden Servern abgerufen wird. Diese Listen werden als abonnierte Listen bezeichnet. Beim Arbeiten mit abonnierten Listen müssen Sie lediglich allgemeine Einstellungen wie den Listennamen selber konfigurieren. Der Listeninhalt, z. B. IP-Adressen oder URLs, stammt von einem Server. Dies kann der McAfee-Server, der zur Verwaltung abonnierter Listen zur Verfügung steht, oder ein anderer, von Ihnen angegebener Server sein. Abonnierte Listen, die den Inhalt vom McAfee-Server abrufen, werden als McAfee-verwaltete Listen bezeichnet. Listen, die den Inhalt von anderen Server abrufen, werden als Kundenverwaltete Listen bezeichnet. Nachdem Sie eine abonnierte Liste erstellt haben, wird diese auf der Benutzeroberfläche in der Listen-Baumstruktur im Zweig der abonnierten Listen angezeigt. Sie können mit abonnierten Listen auf die gleiche Weise wie mit anderen Listen der Listen-Baumstruktur arbeiten. Für abonnierte Listen gilt eine Größenbeschränkung. Eine abonnierte Liste darf nicht größer als 4 MB sein oder nicht mehr als 100.000 Einträge enthalten. Durch das Konfigurieren von Aktualisierungsplänen oder durch manuelle Aktualisierungen stellen Sie sicher, dass den Web-Sicherheitsregeln der aktuelle Inhalt durch eine abonnierte Liste bereitgestellt wird. 74 McAfee Web Gateway 7.5.0 Produkthandbuch 4 Listen Abonnierte Listen Abrufen des Listeninhalts vom McAfee-Server Wenn der Inhalt einer abonnierten Liste vom McAfee-Server abgerufen wird, der zu diesem Zweck bereitgestellt wird, wählen Sie die Art des Inhalts für diese Liste aus einem Katalog aus. Der Inhalt wird auf dem McAfee-Server verwaltet. Um sicherzustellen, dass McAfee-verwaltete Listen über aktuellen Inhalt verfügen, führen Sie manuelle Aktualisierungen auf der Benutzeroberfläche Ihrer Appliance durch. Abrufen des Listeninhalts von einem anderen Server Wenn der Inhalt einer abonnierten Liste von einem anderen Server als dem McAfee-Server abgerufen wird, geben Sie die URL für die Datei an, die diesen Inhalt auf dem Server enthält. Der Inhalt wird auf diesem Server verwaltet. Aktualisierungen für diese Art von abonnierten Listen werden nach einem Zeitplan durchgeführt, den Sie beim Konfigurieren der Listeneinstellungen festlegen. Erstellen einer abonnierten Liste Zum Erstellen einer abonnierten Liste müssen Sie allgemeine Listeneinstellungen sowie Einstellungen für den Listeninhalt konfigurieren. Vorgehensweise 1 Wählen Sie Policy | Lists (Richtlinie | Listen) aus. 2 Klicken Sie über der Listen-Baumstruktur auf das Symbol Add (Hinzufügen). Daraufhin öffnet sich das Fenster Add List (Liste hinzufügen). 3 Konfigurieren Sie die allgemeinen Einstellungen für die Liste. a Geben Sie im Feld Name den Namen für die Liste ein. b Wählen Sie aus der Liste Type (Typ) den Listentyp aus. c Wählen Sie unter Contains (Enthält) die Art der Einträge, die in der Liste enthalten sein werden. d [Optional] Geben Sie im Feld Comments (Kommentare) einen Kommentar (Nur-Text-Format) zur Liste ein. e [Optional] Klicken Sie auf die Registerkarte Permissions (Berechtigungen), und legen Sie dort fest, wer zum Zugriff auf die Liste berechtigt ist. 4 Wählen Sie die Option List content is managed remotely (Verwaltung des Listeninhalts per Fernzugriff) aus. 5 Konfigurieren Sie die gewünschten Einstellungen für den Listeninhalt. • Bei Listeninhalt, der vom McAfee-Server abgerufen wird: • Wählen Sie unter Source (Quelle) die Quelle McAfee maintained list (Von McAfee gepflegte Liste). • Klicken Sie auf Choose (Auswählen). Daraufhin öffnet sich das Fenster Choose List Content (Listeninhalt auswählen). • Wählen Sie einen Inhaltstyp aus. • Klicken Sie auf OK, um das Fenster zu schließen. McAfee Web Gateway 7.5.0 Produkthandbuch 75 4 Listen Abonnierte Listen • Bei Listeninhalt, der von einem anderen Server abgerufen wird: • Wählen Sie unter Source (Quelle) die Quelle Customer maintained list (Von Kunden gepflegte Liste). • Klicken Sie auf Setup (Einrichten). Daraufhin öffnet sich Fenster Setup (Einrichten). 6 • Konfigurieren Sie die gewünschten Einstellungen für den Listeninhalt. • Klicken Sie auf OK, um das Fenster zu schließen. Klicken Sie erneut auf OK. Das Fenster Add List (Liste hinzufügen) wird geschlossen, und die Liste wird nun in der Listen-Baumstruktur im Zweig Subscribed Lists (Abonnierte Listen) angezeigt. 7 Klicken Sie auf Save Changes (Änderungen speichern). Einstellungen für Inhalt abonnierter Listen Wenn eine abonnierte Liste auf einem anderen Server als dem McAfee-Server verwaltet wird, müssen Einstellungen für den Inhalt konfiguriert werden. Tabelle 4-4 Einstellungen für Inhalt abonnierter Listen Option Definition URL to download (Herunterzuladende URL) Gibt die URL einer Datei mit Inhalt für eine abonnierte Liste an. Die URL wird im folgenden Format angegeben: HTTP| HTTPS| FTP ://<Pfad>/<Dateiname>.<Erweiterung> Use this (Dies verwenden) Bei Auswahl dieser Option wird das Zertifikat verwendet, das in der Zertifizierungsstellenkette enthalten ist, die neben dem Optionsfeld angezeigt wird. Dies ist erforderlich, wenn es sich bei der Verbindung zum Server, der den Listeninhalt bereitstellt, um eine SSL-gesicherte Verbindung zur Kommunikation unter dem HTTPS-Protokoll handelt. Ignore certificate errors (Zertifikatfehler ignorieren) Bei Auswahl dieser Option führen Zertifikatfehler nicht zu einem Fehler beim Abrufen des Listeninhalts von einem Server URL authentication (URL-Authentifizierung) Bietet Einstellungen zum Konfigurieren eines Benutzernamens und eines Kennworts, wenn für den Zugriff auf einen Server eine Authentifizierung erforderlich ist. • User name (Benutzername): Gibt einen Benutzernamen für die Authentifizierung beim Server an. • Password (Kennwort): Legt ein Kennwort für die Authentifizierung beim Server fest. Proxy Bietet eine Liste zur Auswahl von Proxy-Servern, die für den Zugriff auf einen Server mit Listeninhalt verwendet werden. Standardmäßig wird kein Proxy-Server für den Zugriff auf einen Server mit Listeninhalt verwendet. 76 McAfee Web Gateway 7.5.0 Produkthandbuch 4 Listen Abonnierte Listen Tabelle 4-4 Einstellungen für Inhalt abonnierter Listen (Fortsetzung) Option Definition Add Proxy (Proxy hinzufügen) Öffnet ein Fenster zum Hinzufügen eines Proxy-Servers zur Liste. List content update (Aktualisierung des Listeninhalts) Bietet Einstellungen zum Konfigurieren eines Aktualisierungsplans für Listeninhalt. Eine Aktualisierung kann wie folgt durchgeführt werden: • Hourly at (Stündlich um): Legt die Minuten nach der vollen Stunde fest. • Daily at (Täglich um): Legt Stunden und Minuten fest. • Weekly at (Wöchentlich um): Legt einen Wochentag mit Stunden und Minuten fest. • Every (Alle): Legt die Minuten des Intervalls fest, nach dessen Ablauf die nächste Aktualisierung erfolgt. Aktualisieren abonnierter Listen Aktualisierungen der Inhalte abonnierter Listen erfolgen manuell oder entsprechend einem Plan, abhängig davon, ob der Inhalt von dem zu diesem Zweck bereitgestellten McAfee-Server oder einem anderen Server abgerufen wird. Für Listeninhalt, der vom McAfee-Server abgerufen wird, müssen die Aktualisierungen manuell durchgeführt werden. Bei jeder manuellen Aktualisierung werden alle McAfee-verwalteten Listen zusammen aktualisiert. Der Inhalt McAfee-verwalteter Listen wird ebenfalls beim Erstellen jeder neuen Liste dieses Typs aktualisiert. Für Listeninhalt, der von einem anderen Server als dem McAfee-Server abgerufen wird, werden die Aktualisierungen gemäß einem Zeitplan durchgeführt. Jede abonnierte Liste verfügt über einen eigenen Plan. Sie können den Plan beim Konfigurieren der Einstellungen für den Listeninhalt einrichten und bearbeiten. Beim Verwalten abonnierter Listen auf einem Knoten in einer Konfiguration mit zentraler Verwaltung werden Aktualisierungen mit allen anderen Knoten innerhalb der Aktualisierungsgruppe geteilt. Die Aktualisierungsgruppe wird im Abschnitt This Node Is a Member of the Following Groups (Dieser Knoten gehört zu folgenden Gruppen) der Einstellungen für die zentrale Verwaltung konfiguriert. Aktualisieren der auf dem McAfee-Server verwalteten abonnierten Listen Für abonnierte Listen, die auf dem McAfee-Server verwaltet werden, müssen Aktualisierungen manuell durchgeführt werden. Der Inhalt McAfee-verwalteter Listen wird auch beim Erstellen einer neuen Liste aktualisiert. Vorgehensweise 1 Wählen Sie Configuration | Appliances (Konfiguration | Appliances) aus. 2 Klicken Sie auf der Symbolleiste über der Appliances-Baumstruktur auf Manual Engine Update (Manuelle Modulaktualisierung). Der Inhalt aller McAfee-verwalteter Listen wird aktualisiert. McAfee Web Gateway 7.5.0 Produkthandbuch 77 4 Listen Abonnierte Listen Erstellen einer Inhaltsdatei für eine von Kunden gepflegte Liste Wenn eine abonnierte Liste als eine von Kunden gepflegte Liste konfiguriert ist, muss eine Inhaltsdatei zur Beschreibung der Listen-Baumstruktur erstellt und auf dem Web-Server gespeichert werden, von dem der Inhalt für diese Liste abgerufen wird. Inhaltsdateien werden im TXT- oder XML-Format erstellt, je nachdem, ob sie die Struktur einer einfachen oder einer komplexen von Kunden gepflegten Liste beschreiben. Bei einfachen Listen kann die Erstellung der Inhaltsdatei in beiden Formaten erfolgen, bei komplexen Listen muss das XML-Format verwendet werden. Von Kunden gepflegte einfache Listen können Listen folgenden Typs sein: Application Name (Anwendungsname), Category (Kategorie), Dimension (Größe), IP, IPRange (IP-Bereich), MediaType (Medientyp), Number (Zahl), String (Zeichenfolge), Wildcard Expression (Platzhalterausdruck). Von Kunden gepflegte komplexe Listen können dagegen Listen folgenden Typs sein: Certificate Authority (Zertifizierungsstelle), Extended List Element (erweitertes Listenelement), HostAndCertificate (Host und Zertifikat), ICAP Server (ICAP-Server), NextHopProxy (Nächster-Hop-Proxy). Inhaltsdatei einer einfachen Liste im TXT-Format Dies ist ein Beispiel für eine Inhaltsdatei im TXT-Format für eine von Kunden gepflegte Liste des Typs „Wildcard Expression“ (Platzhalterausdruck). type=regex"*.txt" "txt file extension""*.xml" "xml file extension" Das Beispiel veranschaulicht die für eine Inhaltsdatei im TXT-Format geltenden Konventionen. • Die erste Zeile der Datei gibt den Typ der von Kunden gepflegten Liste an, der die Inhaltsdatei zugeordnet ist. Die Zeile hat das folgende Format: type=<Listentyp> Als Listentyp muss einer der folgenden Begriffe verwendet werden: applcontrol, category, dimension, ip, iprange, mediatype, number, string, regex. • Die nach der ersten Zeile folgenden Zeilen sind für Listeneinträge in der von Kunden gepflegten Liste reserviert. Eine Zeile enthält jeweils die gleiche Anzahl an Elementen, die in einem Listeneintrag in der von Kunden gepflegten Liste vorhanden ist. Jedes einzelne Element ist in doppelte Anführungszeichen gefasst. Die Einträge in einer Liste des Typs „Wildcard Expression“ (Platzhalterausdruck) enthalten jeweils zwei Elemente. Ein Element ist der Platzhalterausdruck, das zweite ein Kommentar, der diesen Platzhalterausdruck beschreibt. Das folgende Beispiel veranschaulicht noch weitere Konventionen für Inhaltsdateien. type=string"withoutDescription""*emptyDescription\"\"\" """data with description and more spaces in-between" "description""data with spaces* " "description""Hello \"Michael\" \"Michael!\"" "" 78 McAfee Web Gateway 7.5.0 Produkthandbuch 4 Listen Abonnierte Listen • Die Einträge in Listen des Typs „String“ (Zeichenfolge) enthalten ebenfalls jeweils zwei Elemente: die Zeichenfolge sowie einen beschreibenden Kommentar. Eine Beschreibung ist jedoch nicht obligatorisch. Wenn die Beschreibung weggelassen wird, kann das entsprechende Element dafür in der Inhaltsdatei ebenfalls entfallen. Dies wird in Zeile 2 gezeigt. • Eine weggelassene Beschreibung kann alternativ auch durch zwei direkt aufeinander folgende doppelte Anführungszeichen dargestellt werden. Dies ist in Zeile 3 zu sehen. In dieser Zeile wird außerdem Folgendes veranschaulicht: • Auf in einer Zeichenfolge verwendete doppelte Anführungszeichen muss immer ein umgekehrter Schrägstrich folgen. • Ein umgekehrter Schrägstrich, der nicht unmittelbar hinter doppelten Anführungszeichen steht, stellt einen tatsächlichen umgekehrten Schrägstrich dar. • Als erstes Zeichen in einer Zeichenfolge dürfen auch nicht-alphanumerische Zeichen, wie z. B. das Sternchen (*), verwendet werden. Der in Zeile 3 angegebene Listeneintrag würde auf der Benutzeroberfläche folgendermaßen dargestellt werden: *emptyDescription\"" • Wenn sich zwischen den in der Inhaltsdatei vorhandenen Elementen mehrfache Leerzeichen befinden, werden diese in den Listeneinträgen der von Kunden gepflegten Liste ignoriert. Der in Zeile 4 angegebene Eintrag würde auf der Benutzeroberfläche daher folgendermaßen dargestellt werden: "data with description and more spaces in-between" "description" • Mehrfache Leerzeichen innerhalb einer Zeichenfolge in einer Inhaltsdatei werden in den Listeneinträgen der von Kunden gepflegten Liste ebenfalls ignoriert. Der in Zeile 5 angegebene Eintrag würde auf der Benutzeroberfläche also folgendermaßen dargestellt werden: "data with spaces* " "description" • Zeile 6 veranschaulicht mehrere der bereits erläuterten Konventionen. Inhaltsdatei einer einfachen Liste im XML-Format Dies ist ein Beispiel für eine Inhaltsdatei im XML-Format für eine von Kunden gepflegte Liste des Typs „Wildcard Expression“ (Platzhalterausdruck). Der Listeninhalt ist mit dem im ersten Beispiel des vorhergehenden Unterabschnitts dargestellten Listeninhalt identisch. <content type="regex"> <listEntry> <entry>*.txt</entry> <description>txt file extension</ description> </listEntry> <listEntry> <entry>*.xml</entry> <description>xml file extension</description> </listEntry> </content> Für den Inhaltstyp müssen dieselben Begriffe wie für eine Inhaltsdatei im TXT-Format verwendet werden. Inhaltsdateien für komplexe Listen Das manuelle Erstellen einer Inhaltsdatei für eine von Kunden gepflegte komplexe Liste ist relativ schwierig. Sie können jedoch mithilfe der Optionen auf der Benutzeroberfläche eine vorhandene komplexe Liste importieren und in einer Datei speichern. In dieser Datei ist die komplexe Liste dann im XML-Format hinterlegt. Wenn Sie in der Datei nun alle Zeilen vor dem öffnenden Tag <content> sowie alle Zeilen nach dem schließenden Tag </content> löschen, hat diese Datei schon fast die Struktur einer Inhaltsdatei für die entsprechende komplexe Liste. McAfee Web Gateway 7.5.0 Produkthandbuch 79 4 Listen Abonnierte Listen Nun müssen Sie nur noch das öffnende Tag von <content> in <content type="<Dateityp>" ändern, beispielsweise: <content type="nexthopproxy">. Zur Angabe des Dateityps können Sie folgende Begriffe verwenden: ca, extendedlist, icapserver, hostandcertificate, nexthopproxy. Empfohlene Vorgehensweisen – Arbeiten mit einer von McAfee verwalteten abonnierten Liste Sie können von McAfee verwaltete abonnierte Listen in einer Regel Ihrer Web-Sicherheitsrichtlinie einsetzen, z. B. wenn eine bestimmte Art von Datenverkehr das SSL-Scannen umgehen soll. Angenommen, dass von den Clients Ihres Unternehmensnetzwerkes aus über SSL-verschlüsselte Verbindungen Datenverkehr an bestimmte Ziele, z. B. WebEx-Anwendungen, gesendet wird. Wenn dieser Datenverkehr nun von Web Gateway empfangen wird, soll das SSL-Scannen übersprungen werden. Hierfür benötigen Sie eine Liste der von WebEx verwendeten IP-Adressbereiche. Da sich diese Adressen häufig ändern, verwaltet McAfee eine entsprechende Adressliste, so dass Sie die Liste nicht ständig manuell aktualisieren müssen. Die Liste ist in dem von Ihnen in Web Gateway konfigurierten Aktualisierungsplan enthalten, sodass alle Aktualisierungen von McAfee an Ihre Web Gateway-Appliance bzw. an alle in einer Konfiguration mit zentraler Verwaltung vorhandenen Appliances weitergegeben werden. So verwenden Sie die von McAfee verwaltete Liste in Ihrer Web-Sicherheitsrichtlinie: • Erstellen Sie eine neue leere Liste, und lassen Sie diese mit den WebEx-Adressbereichen aus der McAfee-Liste füllen. • Richten Sie eine Regel ein, die anhand dieser Liste dafür sorgt, dass Zugriffsanfragen für WebEx-Ziele das SSL-Scannen überspringen können. Erstellen einer von McAfee verwalteten abonnierten Liste mit IPAdressbereichen Zum Erstellen einer von McAfee verwalteten abonnierten Liste mit IP-Adressbereichen für WebEx-Anwendungen müssen Sie zuerst eine eigene Liste erstellen und diese anschließend mit Inhalten aus einer von McAfee verwalteten Liste füllen. Vorgehensweise 1 Wählen Sie Policy | Lists (Richtlinie | Listen) aus. 2 Klicken Sie über der Listen-Baumstruktur auf das Symbol Hinzufügen. 3 Konfigurieren Sie im Fenster Add List (Liste hinzufügen) eine Liste nach folgendem Muster. a 80 Konfigurieren Sie die allgemeinen Einstellungen für die Liste: • Name: Abonnierte Liste für WebEx oder ein ähnlich aussagekräftiger Name • Type (Typ): IPRange (IP-Adressbereich) b Wählen Sie die Option List content is managed remotely (Listeninhalt wird per Fernzugriff verwaltet) aus. c Wählen Sie die Option McAfee-maintained list (Von McAfee verwaltete Liste) aus, und klicken Sie auf Choose (Auswählen). d Wählen Sie im Fenster Choose List Content (Listeninhalt auswählen) die Liste WebEx IP Ranges (WebEx-IP-Adressbereiche) aus. McAfee Web Gateway 7.5.0 Produkthandbuch Listen Externe Listen 4 4 Klicken Sie in beiden Fenstern auf OK. Die Liste wird nun in der Listenbaumstruktur im Zweig Subscribed Lists (Abonnierte Listen) angezeigt. 5 Klicken Sie auf Save Changes (Änderungen speichern). Sie können die neu erstellte Liste nun in einer geeigneten Rege einsetzen. Verwenden einer von McAfee verwalteten abonnierten Liste in einer Regel Wenn eine von McAfee verwaltete abonnierte Liste in einer Regel verwendet werden soll, die für Web-Datenverkehr zu bestimmten Zielen eine entsprechende Aktion durchführt, muss diese Liste in den Regelkriterien konfiguriert werden. Vorgehensweise 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus. 2 Wählen Sie in der Regelsatz-Baumstruktur den Standard-Regelsatz SSL Scanner aus, und klicken Sie zum Anzeigen der vollständigen Regelansicht auf Unlock View (Anzeige entsperren). 3 Achten Sie darauf, dass der Regelsatz aktiviert ist, und wählen Sie den untergeordneten Regelsatz Handle CONNECT Call aus. 4 Klicken Sie auf Add Rule (Regel hinzufügen), und konfigurieren Sie im nun angezeigten Fenster auf folgende Weise eine Regel. a Geben Sie unter Name einen Regelnamen an, z. B. Bypass SSL scanning for WebEx destinations (SSL-Scannen bei WebEx-Zielen umgehen). b Nehmen Sie unter Criteria (Kriterien) folgende Konfigurationen vor: • Property (Eigenschaft): URL.Destination.IP • Operator: is in range list • Compare with (operand) (Vergleichen mit, Operand): WebEx IP Ranges Subscribed Lists c Wählen Sie unter Action (Aktion) die Aktion Stop Rule Set. d Klicken Sie auf Finish (Fertig stellen). Das Fenster wird geschlossen, und die Regel wird nun als letzte Regel des Regelsatzes angezeigt. e 5 Verschieben Sie die Regel an die oberste Position. Klicken Sie auf Save Changes (Änderungen speichern). Anfragen zu Zielen, deren IP-Adressen auf der WebEx-Liste aufgeführt sind, werden nun beim SSL-Scan in Web Gateway umgangen. Externe Listen Daten können aus externen Quellen (z. B. von Web-Servern) abgerufen und in Regeln auf der Appliance verwendet werden. Bei diesen Daten kann es sich um eine ganze Liste oder um einen einzelnen Wert handeln. Im Allgemeinen werden sie als externe Listen oder Daten aus externen Listen bezeichnet. In einer externen Liste können unterschiedliche Datentypen wie Zeichenfolgen, Zahlen, IP-Adressen usw. vorhanden sein. McAfee Web Gateway 7.5.0 Produkthandbuch 81 4 Listen Externe Listen Ein wichtiges Merkmal von externen Listen besteht darin, dass sie dynamisch auf der Appliance verarbeitet werden. Das Abrufen und Konvertieren der Daten aus externen Listen erfolgt komplett zur Laufzeit, wenn die Daten erstmalig in einer Regel verwendet werden. Nach dem Abrufen der Daten werden diese für einen konfigurierbaren Zeitraum in einem internen Cache, jedoch nicht auf einem Datenträger gespeichert, sodass sie bei einem Neustart der Appliance nicht erhalten bleiben. Zudem werden externe Listen nicht in der Struktur der Listen auf der Benutzeroberfläche aufgeführt. Eigenschaften für externe Listen Der Zugriff auf die aus externen Quellen abgerufenen Daten wird über spezielle Eigenschaften ermöglicht. Der Name einer Eigenschaft für externe Listen ist ExtLists.<Typ>, wobei <Typ> den Typ der Elemente in der Liste angibt, die den Wert der Eigenschaft darstellt. Der Wert von ExtLists.IntegerList ist beispielsweise eine Liste von ganzen Zahlen. Mögliche Listenelementtypen sind Zeichenfolge, Zahl, Platzhalterausdruck u. a. Normalerweise ist der Wert einer Eigenschaft für externe Listen eine Liste, es gibt jedoch auch Eigenschaften für externe Listen für einzelne Werte. Wenn eine externe Quelle mehrere Werte als Eingabe für den letzteren Typ von Eigenschaft liefert, wird lediglich der letzte Wert abgerufen und gespeichert. Daten aus externen Listen können je nach Quelltyp gefiltert werden. Zudem können sie in ein anderes Format konvertiert werden; dies hängt vom Typ der Eigenschaft ab, die in der jeweiligen Regel verwendet wird. Indem Sie Parameter für eine Eigenschaft für externe Listen konfigurieren, können Sie Platzhalter angeben, die zur Laufzeit durch Eigenschaftenparameter ersetzt werden. Durch die Angabe dieser Platzhalter können Sie den Inhalt einer externen Liste von Kriterien wie einem Benutzernamen oder Benutzergruppennamen abhängig machen. Für Protokollierungszwecke können Sie die Eigenschaft ExtLists.LastUsedListName verwenden, deren Wert der Name der Einstellungen für das Modul „External Lists (Externe Listen) ist, die zuletzt verwendet wurden. Modul „External Lists“ Um anzugeben, welche Daten aus einer externen Quelle abgerufen werden sollen, müssen Sie die Einstellungen des Moduls External Lists (Externe Listen) konfigurieren, das die Daten abruft (dieses Modul wird auch als Filter oder Engine „External Lists“ bezeichnet). Wenn keine externen Daten abgerufen werden können, gibt das Modul „External Lists“ einen Fehlercode zurück, der mit Fehler-Handler-Regeln verarbeitet werden kann. Für diesen Zweck ist ein gesonderter Bereich von Fehler-IDs verfügbar. Das Modul „External Lists“ belegt Speicher beim Caching von Daten, die es aus externen Quellen abruft. Dies sollten Sie beim Einrichten von Regeln für die Verarbeitung externer Listen berücksichtigen. Quellen von Daten aus externen Listen Zu den Quellen der Inhalte, mit denen externe Listen gefüllt werden, zählen Folgende: 82 • Ein Web-Dienst, auf den unter dem HTTP-, HTTPS- oder FTP-Protokoll zugegriffen wird • Eine Datei in Ihrem lokalen Dateisystem • Ein LDAP- oder LDAPS-Server McAfee Web Gateway 7.5.0 Produkthandbuch 4 Listen Externe Listen • Eine Datenbank: • PostgreSQL • SQLite3 Beim Abfragen der Datenbanken wird die SQL-Abfragesprache verwendet. Das konkrete Abfrageformat kann sich jedoch für beide Datenbanktypen unterscheiden. Da eine SQLite3-Datenbank dateibasiert arbeitet, empfiehlt es sich, sie für Testzwecke und nicht in einer Produktionsumgebung zu nutzen. Dennoch können Sie diesen Typ ggf. nutzen, wenn Sie bereits über Daten in einer Datenbank dieses Typs verfügen. Andernfalls ist es einfacher, einen Web-Dienst oder eine Dateidatenquelle zu nutzen, um Inhalte externer Listen abzurufen. Empfohlene Verwendung Die Arbeit mit externen Listen empfiehlt sich u. a. in den nachfolgend beschriebenen Fällen. Sie müssen eine große Anzahl von Listen verwalten, die zum Großteil in externen Quellen gespeichert sind, Sie führen mehrere Appliances als Knoten in einer Konfiguration mit zentraler Verwaltung aus, und Sie müssen häufig Änderungen an den Listendaten vornehmen. Beim Synchronisieren sämtlicher Listendaten auf allen Knoten ist möglicherweise keine Skalierbarkeit mehr gegeben. Verwenden externer Listendaten in Regeln Zum Verarbeiten externer Listendaten müssen Sie Regeln konfigurieren, die passende Eigenschaften für externe Listen in ihren Kriterien enthalten. Angenommen, Sie möchten eine Anfrage für ein Web-Objekt blockieren, wenn dessen URL über eine Ziel-IP-Adresse verfügt, die in einem der IP-Adressenbereiche in einer Liste liegt, die auf einer externen Quelle gespeichert ist. Sie können dies mit der folgenden Regel erreichen: Block URLs with IP addresses in forbidden range URL.Destination.IP is in range ExtLists.IPRangeList(“ ”, “ ”, “ ”)<External Lists> –> Block<URL Blocked> Beim Verarbeiten der Regel wird überprüft, ob die IP-Adresse, bei der es sich um den Wert der Eigenschaft URL.Destination.IP handelt, in einem der Bereiche in der Liste liegt, die der Wert für ExtLists.IPRangeList ist. Zusammen mit der Eigenschaft der externen Liste werden die <External Lists>-Einstellungen angegeben. Hierbei handelt es sich um die Einstellungen, mit denen das Modul „External Lists“ (Externe Listen) die entsprechenden Daten als Wert für die Eigenschaft der externen Liste abruft. Sie müssen diese Einstellungen konfigurieren, um dem Modul anzugeben, von welchem Speicherort und auf welche Weise eine bestimmte externe Liste abgerufen werden soll. Wenn beispielsweise die Liste in einer Textdatei auf einem Web-Server gespeichert wird, können Sie die URL für den Zugriff auf die Datei angeben. Außerdem können Sie Einstellungen wie Zeitlimits und Größenbeschränkungen konfigurieren. Die Parameter der Eigenschaft einer externen Liste sind optional. In diesem Beispiel sind die Parameter leer. McAfee Web Gateway 7.5.0 Produkthandbuch 83 4 Listen Externe Listen Standardmäßig sind auf der Appliance keine Regeln zur Verarbeitung externer Listen vorhanden. Wenn Sie über Daten der externen Liste den Web-Zugriff für die Benutzer Ihres Netzwerks einschränken möchten, müssen Sie eine oder mehrere Regeln wie die obigen Regeln einrichten und in einen passenden Regelsatz einfügen. Ersetzung und Platzhalter Für eine höhere Flexibilität beim Abrufen externer Listendaten können Platzhalter beim Konfigurieren der Einstellungen des Moduls „External Lists“ (Externe Listen) verwendet werden, z. B. in URLs. Ein Platzhalter wird zur Laufzeit durch einen Wert ersetzt, den Sie als Parameter einer Eigenschaft für externe Listen bereitstellen. Angenommen, Sie möchten Daten von einem Web-Dienst abrufen, der Listen mit Medientypen bereitstellt, die für einzelne Benutzer zulässig sind. Eine URL für einen bestimmten Medientyp sähe dann wie folgt aus: http://my-web-service.com/ mediatypes?user= <Wert> Dabei ist <Wert> der Name eines Benutzers. Da das Konfigurieren separater Einstellungen für das Modul „External Lists“ (Externe Listen) zur individuellen Berücksichtigung jedes einzelnen Benutzers sehr aufwändig wäre, können Platzhalter wie folgt verwendet werden: • Für den Parameter Web service’s URL (URL des Web-Diensts) in den Einstellungen geben Sie Folgendes an: http://my-web-service.com/mediatypes?user=${0} Dabei ist ${0} ein Platzhalter für den ersten der drei Parameter der Eigenschaft für externe Listen, die Sie in einer Regel verwenden. • Für den ersten Parameter der Eigenschaft für externe Listen geben Sie die Eigenschaft Authentication.Username an. Dadurch wird eine Liste mit den Medientypen abgerufen, die für einen individuellen Benutzer zulässig sind. Der Benutzername ist der Name, den dieser Benutzer angegeben hat, als er sich nach dem Senden einer Anfrage für den Zugriff auf einen bestimmten Medientyp authentifizieren musste. 84 McAfee Web Gateway 7.5.0 Produkthandbuch 4 Listen Externe Listen Die folgenden beiden Platzhaltertypen können verwendet werden: • ${<n>}: Durch einen konvertierten Wert ersetzter Platzhalter <n> ist die Positionsnummer (0, 1, 2) für einen Parameter der Eigenschaft für externe Listen. Zur Laufzeit wird dieser Platzhalter durch den Wert ersetzt, den Sie beim Konfigurieren des Parameters angegeben haben. Vor dem Ersetzen des Platzhalters wird der Wert konvertiert. Dieser Vorgang wird auch als „Escaping“ bezeichnet. Die Konvertierung erfolgt gemäß den internen Regeln der beteiligten Datenquelle. Wenn die Quelle beispielsweise ein Web-Dienst ist, werden alle Zeichen ersetzt, die durch %XX-Folgen nicht zulässig sind, wie im entsprechenden HTTP-Standard (RFC 2616) angegeben. • $<<n>>: Durch einen nicht konvertierten Wert ersetzter Platzhalter Wie oben, jedoch ohne Konvertierung. Sie müssen also selber dafür sorgen, dass die Ersetzung zu keinen unerwünschten Ergebnissen führt. Sie können diesen Platzhaltertyp verwenden, wenn URLs vollständig und nicht nur teilweise ersetzt werden. Konfigurieren des Moduls „External Lists“ Sie können die Einstellungen für das Modul „External Lists“ konfigurieren, um die erforderlichen Informationen anzugeben, anhand derer das Modul Daten aus externen Listen abruft. Standardmäßig sind für dieses Modul auf der Appliance keine Einstellungen vorhanden. Sie müssen einzelne Einstellungen hinzufügen und diese für jede externe Liste konfigurieren, aus der in einer Regel Daten abgerufen werden sollen. Vorgehensweise 1 Wählen Sie Policy | Settings (Richtlinie | Einstellungen) aus. 2 Wählen Sie in der Einstellungs-Baumstruktur External Lists (Externe Listen) aus, und klicken Sie auf Add (Hinzufügen). Daraufhin öffnet sich das Fenster Add Settings (Einstellungen hinzufügen). 3 Geben Sie im Feld Name den Namen der Einstellungen ein. 4 [Optional] Geben Sie im Feld Comment (Kommentar) einen Kommentar (Nur-Text-Format) zu den Einstellungen ein. 5 [Optional] Klicken Sie auf die Registerkarte Permissions (Berechtigungen), und geben Sie an, welchen Benutzern Sie die Berechtigung für den Zugriff auf die Einstellungen zuweisen möchten. 6 Konfigurieren Sie die anderen Parameter der Einstellungen nach Bedarf. 7 Klicken Sie auf OK. Das Fenster wird nun geschlossen, und die Einstellungen werden in der Einstellungs-Baumstruktur unter External Lists (Externe Listen) angezeigt. 8 Klicken Sie auf Save Changes (Änderungen speichern). McAfee Web Gateway 7.5.0 Produkthandbuch 85 4 Listen Externe Listen Einstellungen für das Modul „External Lists“ Mit den Einstellungen für das Modul „External Lists“ (Externe Listen) können Sie das Modul konfigurieren, das Daten aus externen Quellen abruft. Typ der Datenquelle Einstellungen für den Typ der Quelle, von der die Daten abgerufen werden Sie können bestimmte Einstellungen für jeden Quellentyp in einem anderen Abschnitt konfigurieren, der je nachdem erscheint, was Sie hier auswählen. Tabelle 4-5 Typ der Datenquelle Option Definition Web service (Web-Dienst) Daten werden mithilfe eines Web-Diensts unter dem HTTP-, HTTPS- oder FTP-Protokoll abgerufen. File on disk (Datei auf Datenträger) Daten werden aus einer Datei innerhalb Ihres lokalen Dateisystems abgerufen. LDAP Data werden von einem LDAP-Server abgerufen. Database (Datenbank) Daten werden aus einer PostgreSQL- oder SQLite3-Datenbank abgerufen. Allgemeine Parameter Einstellungen für Zeitbegrenzungen bei der Verarbeitung externer Listen 86 McAfee Web Gateway 7.5.0 Produkthandbuch Listen Externe Listen 4 Tabelle 4-6 Allgemeine Parameter Option Definition Operation timeout (Vorgangszeitlimit) Gibt die Zeitspanne (in Sekunden) an, nach der ein Verarbeitungsvorgang für externe Listen abgebrochen wird, wenn er nicht erfolgreich abgeschlossen werden kann. Diese Option wird angewendet, wenn die Quelle einer externen Liste ein Web-Server ist. Das Zeitlimit ist erreicht, wenn beispielsweise ein Web-Server nicht auf die Anfrage der Appliance antwortet. Das Ende des Zeitlimits können Sie wie folgt angeben: • Simple expiration (Einfaches Ende): Bei Auswahl dieser Option können Sie im Eingabefeld „Expiration time“ (Ablaufzeit) die Zeit (in Minuten) angeben, die verstreichen soll, bevor abgerufene Listendaten aus dem internen Cache gelöscht werden. • Scheduled expiration (Geplantes Ende): Bei Auswahl dieser Option können Sie in mehreren angezeigten Eingabefeldern die Zeit angeben, die verstreichen soll, bevor eine externe Liste aus dem internen Cache gelöscht wird. Expiration time (Ablaufzeit) Begrenzung der Zeit (in Minuten), die verstreicht, bevor abgerufene Daten aus dem internen Cache gelöscht werden. Minutes/Hours/Days/Months/ Week days (Minuten/ Stunden/Tage/Monate/ Wochentage) Begrenzung der Zeit, die verstreicht, bevor abgerufene Daten aus dem internen Cache gelöscht werden. Diese Eingabefelder werden angezeigt, wenn Sie Scheduled expiration (Geplantes Ende) auswählen. Ihre Eingabe muss in einem „cron“-kompatiblen Format erfolgen, da der Löschvorgang von einem Cron-Job berechnet und durchgeführt wird. Weitere Informationen hierzu finden Sie auf der Hilfeseite crontab (5) der Dokumentation für Linux (UNIX)-Betriebssysteme. Sie können in einem dieser Felder oder in einer beliebigen Kombination aus Feldern Werte angeben. Datenkonvertierungseinstellungen Einstellungen für die Konvertierung von Daten, die aus einer externen Quelle abgerufen wurden Diese Einstellungen sind nur verfügbar, wenn Sie als Datenquelle Web service (Web-Dienst) oder File on disk (Datei auf Datenträger) ausgewählt haben. McAfee Web Gateway 7.5.0 Produkthandbuch 87 4 Listen Externe Listen Tabelle 4-7 Datenkonvertierungseinstellungen Option Definition Data type (Datentyp) Hier können Sie das Eingabeformat der zu konvertierenden Daten auswählen. Sie können eine der folgenden Optionen auswählen: • Plain text (Nur-Text): Die Daten liegen im Nur-Text-Format vor. Jede Zeile erscheint als separater Eintrag in einer konvertierten Liste. Optional können Sie einen regulären Ausdruck als Filterbegriff im darunter befindlichen Eingabefeld angeben. Dann werden nur Zeichenfolgen, die mit diesem Begriff übereinstimmen, in die Liste eingetragen. Wenn sich im regulären Ausdruck kein Gruppierungsoperator befindet, wird die gesamte Zeichenfolge in einer Liste gespeichert. Andernfalls werden die von der ersten Gruppe erfassten Daten gespeichert. • XML: Die Daten liegen im XML-Format vor. Sie müssen einen XPath-Ausdruck angeben, um die abzurufenden Daten auszuwählen. Die Daten können beispielsweise gemäß XML-Tags oder Attributen abgerufen werden. Regular expression Hier können Sie einen regulären Ausdruck angeben, mit dem die zu (Regulärer Ausdruck) konvertierenden Daten abgerufen werden. Diese Option wird angezeigt, wenn Sie unter Data type (Datentyp) die Option Plain text (Nur-Text) ausgewählt haben. XPath expression (XPath-Ausdruck) Hier können Sie einen XPath-Ausdruck angeben, mit dem die zu konvertierenden Daten abgerufen werden. Diese Option wird angezeigt, wenn Sie unter Data type (Datentyp) die Option XML text (XML-Text) ausgewählt haben. Informationen über die Verwendung von XPath-Ausdrücken finden Sie in der entsprechenden Dokumentation, beispielsweise im XPath-Tutorial auf der Website w3schools. XPath expression for second attribute (only for MapType) (XPath-Ausdruck für zweites Attribut (nur für Zuordnungstyp)) Hier können Sie einen XPath-Ausdruck für ein zweites Attribut angeben, das zum Abrufen von Konvertierungsdaten vom Typ „Zuordnungstyp“ verwendet wird. Die mit dem zweiten Attribut abgerufenen Daten enthalten den Wert eines Zuordnungstyp-Schlüsselwertpaars. Die Daten für den Schlüssel werden mithilfe eines ersten Attributs abgerufen, das durch das Angeben eines XPath-Ausdrucks im Feld XPath expression (XPath-Ausdruck) konfiguriert wird. Die Anzahl der Einträge, die mithilfe dieses XPath-Ausdrucks aus einer externen Liste abgerufen werden, muss genauso groß wie die Anzahl der Einträge sein, die mithilfe des Ausdrucks für das erste Attribut abgerufen werden. Die Reihenfolge, in der die Einträge mithilfe der beiden Ausdrücke abgerufen werden, muss ebenfalls gleich sein. Web-Dienst-spezifische Parameter Einstellungen, die angewendet werden, wenn die Quelle einer externen Liste ein Web-Dienst ist Diese Einstellungen werden angezeigt, wenn im Abschnitt Data Source Type (Datenquelltyp) die Option „Web service“ (Web-Dienst) ausgewählt ist. 88 McAfee Web Gateway 7.5.0 Produkthandbuch Listen Externe Listen 4 Tabelle 4-8 Web-Dienst-spezifische Parameter Option Definition Web service’s URL (URL des Web-Diensts) Hier können Sie die URL einer Datei auf einem Web-Server angeben, die eine externe Liste enthält und die von einem bestimmten Web-Dienst (HTTP, HTTPS oder FTP) bereitgestellt wird. In der URL können Sie einen Platzhalter angeben. Specify authentication data (Authentifizierungsdaten angeben) Bei Auswahl dieser Option können Sie Informationen für eine Authentifizierung angeben, die erfolgreich durchgeführt werden muss, bevor Daten von einem Web-Dienst abgerufen werden können. Type of HTTP authentication (HTTP-Authentifizierungstyp) Hier können Sie aus einer Liste einen HTTP-Authentifizierungstyp auswählen. Die folgenden Typen werden unterstützt: None (Keine), Basic (Einfach), Digest User's name (Benutzername) Hier können Sie einen Benutzernamen angeben, der zur Authentifizierung gesendet wird. User's password (Benutzerkennwort) Hier können Sie ein Kennwort festlegen, das zur Authentifizierung gesendet wird. Klicken Sie auf Set (Festlegen), um ein Fenster zum Festlegen des Kennworts zu öffnen. Use next-hop proxy for access to server (Proxy Bei Auswahl dieser Option erfolgt der Zugriff auf den am nächsten Hop für Server-Zugriff Web-Server über einen Proxy-Server des nächsten Hops verwenden) Wenn Sie dieses Kontrollkästchen aktivieren, können die folgenden drei Elemente ausgewählt werden. List of next-hop proxy servers to use (Liste der zu verwendenden Proxy-Server am nächsten Hop) Hier können Sie aus einer Liste einen Server auswählen, der als Proxy des nächsten Hops für den Zugriff auf den Web-Server verwendet werden kann. Klicken Sie auf Add (Hinzufügen) oder Edit (Bearbeiten), um ein Fenster zum Hinzufügen einer neuen Liste bzw. zum Bearbeiten einer vorhandenen Liste zu öffnen. List of certificate authorities (Liste der Zertifizierungsstellen) Hier können Sie aus einer Liste eine Zertifizierungsstelle auswählen, die für die SSL-gesicherte Kommunikation mit einem Web-Dienst verwendet werden kann. Klicken Sie auf Add (Hinzufügen) oder Edit (Bearbeiten), um ein Fenster zum Hinzufügen einer neuen Liste bzw. zum Bearbeiten einer vorhandenen Liste zu öffnen. List of additional HTTP headers (Liste der zusätzlichen HTTP-Header) Hier können Sie aus einer Liste einen Header auswählen, der zu einer HTTP-Anfrage hinzugefügt wird, nachdem sie auf einer Appliance empfangen wurde. In der folgenden Tabelle sind die Elemente eines Eintrags unter List of additional HTTP headers (Liste der zusätzlichen HTTP-Header) beschrieben. McAfee Web Gateway 7.5.0 Produkthandbuch 89 4 Listen Externe Listen Tabelle 4-9 Zusätzliche HTTP-Header – Listeneintrag Option Definition Header name (Header-Name) Hier können Sie den Namen eines Headers angeben, der einer HTTP-Anfrage hinzugefügt wird. Header value (Header-Wert) Hier können Sie den Wert eines Headers angeben, der einer HTTP-Anfrage hinzugefügt wird. Comment (Kommentar) Hier können Sie einen Kommentar im Nur-Text-Format zum Header eingeben. Dateispezifische Parameter Einstellungen, die angewendet werden, wenn die Quelle einer externen Liste eine Datei in Ihrem lokalen Dateisystem ist Diese Einstellungen werden angezeigt, wenn im Abschnitt Data Source Type (Datenquelltyp) die Option File on disk (Datei auf Datenträger) ausgewählt ist. Tabelle 4-10 Dateispezifische Parameter Option Definition Full path to the file (Vollständiger Pfad zur Datei) Hier können Sie den Pfad zu der Datei in Ihrem lokalen Dateisystem angeben, die die Quelle einer externen Liste ist. LDAP-spezifische Parameter Einstellungen, die angewendet werden, wenn die Quelle einer externen Liste ein LDAP-Server ist Diese Einstellungen werden angezeigt, wenn im Abschnitt Data Source Type (Datenquelltyp) die Option LDAP ausgewählt ist. Tabelle 4-11 LDAP-spezifische Parameter Option Definition LDAP server’s URL (URL des Hier können Sie den Namen der Datei in Ihrem lokalen Dateisystem LDAP-Servers) angeben, die die Quelle einer externen Liste ist. In der URL können Sie einen Platzhalter angeben. Um den möglichen Speicherort der Datei einzugrenzen, können Sie bei der Konfiguration der Systemeinstellungen für externe Listen einen bestimmten Teil Ihres lokalen Dateisystems angeben. Die Datei muss sich dann in diesem Teil befinden, z. B. opt/mwg/temp. List of certificate authorities (Liste der Zertifizierungsstellen) Hier können Sie aus einer Liste eine Zertifizierungsstelle auswählen, die für die SSL-gesicherte Kommunikation mit einem Web-Dienst verwendet werden kann. Klicken Sie auf Add (Hinzufügen) oder Edit (Bearbeiten), um ein Fenster zum Hinzufügen einer neuen Liste bzw. zum Bearbeiten einer vorhandenen Liste zu öffnen. User name (Benutzername) Hier können Sie den Benutzernamen angeben, den die Appliance zum Herstellen einer Verbindung mit einem LDAP-Server sendet. LDAP password (LDAP-Kennwort) Hier können Sie das Kennwort festlegen, das die Appliance zum Herstellen einer Verbindung mit einem LDAP-Server sendet. Zum Festlegen oder Ändern des Kennworts verwenden Sie die Schaltfläche Set/Change (Festlegen/Ändern). 90 McAfee Web Gateway 7.5.0 Produkthandbuch 4 Listen Externe Listen Tabelle 4-11 LDAP-spezifische Parameter (Fortsetzung) Option Definition Search DN (DN durchsuchen) Hier können Sie den Namen einer Domäne in der Datenbank auf einem LDAP-Server angeben, die nach einer externen Liste durchsucht wird. In diesem Namen können Sie einen Platzhalter angeben. Search scope (Suchbereich) Hier können Sie den Suchbereich für die Suche nach einer externen Liste auf einem LDAP-Server auswählen. • Subtree (Unterstruktur): Die gesamte Unterstruktur der unter Search DN (DN durchsuchen) angegebenen Domäne wird durchsucht. • One level (Eine Ebene): Nur eine Ebene unter der unter Search DN (DN durchsuchen) angegebenen Domäne wird durchsucht. • Base (Basis): Nur die Basis der unter Search DN (DN durchsuchen) angegebenen Domäne wird durchsucht. Search filter (Suchfilter) Hier können Sie einen Begriff für die Filterung der Suchergebnisse nach einer externen Liste auf einem LDAP-Server angeben. Nur wenn der Name eines Eintrags in der Datenbank mit dem Filterbegriff übereinstimmt, wird das Element, für das der Eintrag steht, abgerufen. In diesem Begriff können Sie einen Platzhalter angeben. Attribute (Attribut) Hier können Sie das Attribut eines Elements in der Datenbank auf einem LDAP-Server angeben, nach dem gesucht wird, beispielsweise eine E-Mail-Adresse. Second attribute (only for MapType) (Zweites Attribut (nur für MapType)) Hier können Sie ein zweites Attribut eines Datenbankelements auf einem LDAP-Server angeben, nach dem gesucht wird, wenn die Daten für dieses Element vom Typ „Zuordnungstyp“ sind. Die mit dem zweiten Attribut abgerufenen Daten enthalten den Wert eines Zuordnungstyp-Schlüsselwertpaars. Die Daten für den Schlüssel werden mithilfe eines ersten Attributs abgerufen, das im Feld Attribute (Attribut) konfiguriert wird. Enable LDAP version 3 (LDAP-Version 3 aktivieren) Bei Auswahl dieser Option wird die Version 3 des LDAP-Protokolls verwendet Wenn Sie diese Option deaktivieren, müssen Sie die Codierung angeben, die für die Kommunikation mit dem LDAP-Server verwendet wird. Das folgende Eingabefeld für diese Informationen wird angezeigt, wenn Sie die Auswahl von Enable LDAP version 3 (LDAP-Version 3 aktivieren) aufheben. Allow LDAP library to follow referrals (Verfolgen von Weiterleitungen für LDAP-Bibliothek zulassen) Bei Auswahl dieser Option können Weiterleitungen zu Speicherorten außerhalb des LDAP-Servers, auf dem eine Suche nach einer externen Liste durchgeführt wurde, verfolgt werden, um die Liste abzurufen. Datenbankspezifische Parameter Einstellungen, die angewendet werden, wenn die Quelle einer externen Liste eine Datenbank ist Diese Einstellungen werden angezeigt, wenn im Abschnitt Data Source Type (Datenquelltyp) die Option Database (Datenbank) ausgewählt ist. McAfee Web Gateway 7.5.0 Produkthandbuch 91 4 Listen Externe Listen Tabelle 4-12 Datenbankspezifische Parameter Option Definition SQL query (SQL-Abfrage) Hier können Sie eine Zeichenfolge zur Kennzeichnung des Abfragetyps angeben, der in einer Datenbank durchgeführt wird. Der Standardabfragetyp zum Abrufen externer Listeninformationen lautet SELECT. Sie können die Zeichenfolge mit einem Semikolon (;) abschließen, dies ist jedoch nicht erforderlich. Eine Abfrage kann auch Platzhalter enthalten, um variable Daten einzuschließen. Wenn der Platzhalter $N verwendet wird, werden die als Variablenwert eingefügten Daten „escaped“, um eine SQL-Injektion zu verhindern. Ein \ (umgekehrter Schrägstrich) wird dann durch einen \\ (doppelten umgekehrten Schrägstrich) ersetzt, und einem ' (Apostroph) wird ein \ (umgekehrter Schrägstrich) vorangestellt. Eine SQL-Abfrage gibt normalerweise eine Datenspalte zurück. Wenn Sie eine Abfrage durchführen, die mehrere Spalten zurückgibt, wird nur die erste Spalte für externen Listeninhalt verwendet. Um Inhalt aus mehreren Spalten abzurufen, müssen Sie mithilfe der entsprechenden SQL-Operatoren kombinierte Spalten für die Ausgabe angeben. Type of database (Datenbanktyp) Hier können Sie den Datenbanktyp angeben, aus dem Inhalt externer Listen abgerufen wird. Die folgenden Typen stehen zur Verfügung: • PostgreSQL • SQLite3 Nach der Auswahl des Datenbanktyps werden die entsprechenden datenbankspezifischen Parameter angezeigt. Tabelle 4-13 PostgreSQL-Datenbank-spezifische Parameter Option Definition Database host (Datenbank-Host) Hier können Sie den Host-Namen des Servers angeben, auf dem sich eine Datenbank befindet. Database port (Datenbank-Port) Hier können Sie die Port-Nummer des Ports auf einem Datenbank-Host angeben, der auf Anfragen zum Abrufen externer Listeninhalte überwacht. Die Standard-Port-Nummer lautet 5432. Name of database on database server (Name der Datenbank auf dem Datenbank-Server) Hier können Sie den Namen einer Datenbank angeben, unter dem die Datenbank auf dem Datenbank-Server bekannt ist. Database user name (Benutzername für Datenbank) Hier können Sie den Benutzernamen einer Appliance angeben, der zum Herstellen einer Verbindung mit einem Datenbank-Server verwendet wird. Database password (Kennwort für Datenbank) Hier können Sie ein Kennwort für den Benutzernamen einer Appliance festlegen. Klicken Sie auf Set (Festlegen), um ein Fenster zum Festlegen des Kennworts zu öffnen. 92 McAfee Web Gateway 7.5.0 Produkthandbuch Listen Externe Listen 4 Tabelle 4-14 SQLite-Datenbank-spezifische Parameter Option Definition File path to SQLite database (Dateipfad zu SQLite-Datenbank) Hier können Sie den vollständigen Pfad zu der Datei auf einer Appliance angeben, die eine Datenbank enthält. Erweiterte Parameter Einstellungen für erweiterte Methoden bei der Verarbeitung externer Listen Tabelle 4-15 Erweiterte Parameter Option Definition Skip „bad“ entries during data conversion (Fehlerhafte Einträge bei Datenkonvertierung überspringen) Bei Auswahl dieser Option werden Daten, die nicht in den gewünschten Typ konvertiert werden können, z. B. Integer, Double oder Boolean, übersprungen Maximal number of entries to fetch (Maximale Anzahl abzurufender Einträge) Hier können Sie die Anzahl der Einträge begrenzen, die aus der externen Liste abgerufen werden. Die Zahl kann im Bereich von 0 bis unbegrenzt liegen Es wird empfohlen, hier einen Grenzwert einzugeben, um im Falle von großen Listen einen hohen Speicherverbrauch zu vermeiden. Maximal size of entries to fetch (Maximale Größe abzurufender Einträge) Hier können Sie die Datenmenge begrenzen (in KB), die aus einer externen Liste abgerufen wird. Die Zahl kann im Bereich von 0 bis unbegrenzt liegen Es wird empfohlen, hier einen Grenzwert einzugeben, um im Falle von großen Listen einen hohen Speicherverbrauch zu vermeiden. Diese Option ist nicht verfügbar, wenn die Quelle der externen Liste ein LDAP-Server ist. Konfigurieren von allgemeinen Einstellungen für externe Listen Sie können Einstellungen konfigurieren, die für alle externen Listen gelten, die für die Verwendung auf der Appliance abgerufen werden. Vorgehensweise 1 Wählen Sie Configuration | Appliances (Konfiguration | Appliances) aus. 2 Wählen Sie in der Appliances-Baumstruktur die Appliance aus, für die Sie Einstellungen konfigurieren möchten, und klicken Sie auf External Lists (Externe Listen). Nun werden die Einstellungen für die externen Listen im Einstellungsbereich angezeigt. 3 Konfigurieren Sie diese Einstellungen nach Bedarf. 4 Klicken Sie auf Save Changes (Änderungen speichern). Systemeinstellungen für „External Lists“ (Externe Listen) Die Systemeinstellungen für „External Lists“ (Externe Listen) gelten für alle externen Listen, die auf der Appliance verarbeitet werden. Global Configuration (Globale Konfigurationen) Einstellung für den internen Cache auf der Appliance, in dem Daten aus externen Listen gespeichert werden McAfee Web Gateway 7.5.0 Produkthandbuch 93 4 Listen Externe Listen Tabelle 4-16 Global Configuration (Globale Konfigurationen) Option Definition Flush External Lists Cache Entfernt die im internen Cache gespeicherten Daten. (Cache für externe Listen leeren) Time before retry after failure Beschränkt den Zeitraum (in Sekunden), für den vom Modul „External (Zeitraum bis Wiederholung nach Lists“ (Externe Listen) ein Fehler beim Abrufen von Daten aus einer Fehler) bestimmten externen Quelle gespeichert wird, auf den angegebenen Wert. Das Modul führt keine Wiederholungsversuche für eine Quelle aus, solange der Fehler gespeichert ist. Es wird empfohlen, den Standardwert zu übernehmen oder diesen entsprechend den jeweiligen Anforderungen Ihres Netzwerks zu ändern. Auf diese Weise vermeiden Sie eine weitere Belastung eines ohnehin bereits überlasteten Web-Servers durch ständige Wiederholungsversuche. File Data Source Configuration (Konfiguration von Dateidatenquellen) Einstellung für das lokale Dateisystem, aus dem Daten aus externen Listen abgerufen werden können Tabelle 4-17 File Data Source Configuration (Konfiguration von Dateidatenquellen) Option Definition File system allowed for file data access (Zulässiges Dateisystem für Dateidatenzugriff) Gibt den Pfad zu dem Ordner im lokalen Dateisystem an, in dem externe Listen gespeichert sind. Externe Listen, aus denen Daten abgerufen werden, müssen in diesem Ordner gespeichert sein. Andernfalls wird beim Versuch, die Daten abzurufen, der Fehler „Zugriff verweigert“ ausgegeben. Wenn Daten aus externen Listen aus einer SQLite-Datenbank abgerufen werden, wird hier der Pfad zum Ordner im lokalen Dateisystem angegeben, der die Datenbank enthält. Web Data Source Configuration (Konfiguration von Web-Datenquellen) Einstellung für alle Web-Dienste, die Quellen für Daten aus externen Listen darstellen Tabelle 4-18 Web Data Source Configuration (Konfiguration von Web-Datenquellen) Option Definition Check SSL certificate identity (Identität für SSL-Zertifikat überprüfen) Bei Auswahl dieser Option wird ein von einem Web-Server in der SSL-gesicherten Kommunikation unter dem HTTPS-Protokoll gesendetes Zertifikat überprüft Die Überprüfung erfolgt gemäß den SSL-Scan-Regeln, die auf der Appliance implementiert sind. Dies kann z. B. zu einem Fehler führen, wenn der Web-Server ein selbstsigniertes Zertifikat verwendet. 94 McAfee Web Gateway 7.5.0 Produkthandbuch 4 Listen Zuordnungstyplisten Zuordnungstyplisten Mit Zuordnungstyplisten, auch als Zuordnungen bezeichnet, können einander zugeordnete Schlüsselund Wertepaare gespeichert werden. Bei den Schlüsseln und den zugehörigen Werten handelt es sich jeweils um Zeichenfolgen. Vorhandene Zuordnungen können für Suchvorgänge verwendet werden, um beispielsweise herauszufinden, ob ein bestimmter Schlüssel in einer Zuordnung vorhanden ist oder welcher Wert einem Schlüssel zugeordnet ist. Weiterhin ist es möglich, Werte für einen bestimmten Schlüssel zu setzen oder zu löschen und eine komplette Zuordnung in eine einzelne Zeichenfolge zu konvertieren. Sie können Zuordnungstyplisten auf der Benutzeroberfläche von Web Gateway erstellen und füllen oder sie mithilfe der Funktionen „Externe Listen“ und „Abonnierte Listen“ von einem Remote-Speicherort abrufen. Wenn Sie mit anderen Datentypen für Ihre Zuordnungen arbeiten möchten, z. B. Nummern oder IP-Adressen, können Sie diese mithilfe von Eigenschaften wie Number.ToString oder IP.ToString konvertieren. Erstellen einer Zuordnungstypliste Zum Erstellen einer Zuordnungstypliste fügen Sie eine Liste dieses Typs hinzu und füllen diese mit Paaren aus Schlüsseln und Werten. Vorgehensweise 1 Wählen Sie Policy | Lists (Richtlinie | Listen) aus. 2 Klicken Sie über der Listen-Baumstruktur auf das Symbol Add (Hinzufügen). Daraufhin öffnet sich das Fenster Add List (Liste hinzufügen). 3 Fügen Sie eine Zuordnungsliste hinzu. a Geben Sie im Feld Name den Namen für die Liste ein. b Wählen Sie in der Liste Type (Typ) die Option MapType (Zuordnungstyp) aus. c Klicken Sie auf OK. Das Fenster wird geschlossen, und die neue Zuordnungsliste wird nun in der Listen-Baumstruktur unter Custom Lists | MapType (Benutzerdefinierte Listen | Zuordnungstyp) angezeigt. Mithilfe des Einstellungsbereichs können Sie nun Einträge in die Liste einfügen. 4 Klicken Sie im Einstellungsbereich auf das Symbol Add (Hinzufügen). Daraufhin öffnet sich das Fenster Add Map Type (Zuordnungstyp hinzufügen). 5 Für jedes Eintragungspaar müssen Sie Folgendes in die Liste eingeben: a Geben Sie im Feld key (Schlüssel) einen Schlüsselnamen ein. b Geben Sie im Feld value (Wert) einen Wert ein. c Klicken Sie auf OK. Das Fenster wird geschlossen, und das Eintragungspaar wird in der ersten Zeile des Einstellungsbereichs angezeigt. 6 Klicken Sie auf Save Changes (Änderungen speichern). McAfee Web Gateway 7.5.0 Produkthandbuch 95 4 Listen Zuordnungstyplisten Verwenden von Eigenschaften zur Arbeit mit Zuordnungstyplisten Es gibt mehrere Eigenschaften zur Arbeit mit Zuordnungstyplisten. Durch das Verwenden dieser Eigenschaften in Regelkriterien können Sie Informationen zu einer Zuordnungstypliste abrufen, eine Liste bearbeiten, eine neue Liste erstellen und auch eine Liste in eine Zeichenfolge konvertieren. Zum Abrufen von Informationen über eine Zuordnungstypliste (Zuordnung) können Sie folgende Aktionen ausführen: • Abrufen einer Zuordnung, für die Sie einen Namen angeben • Überprüfen, ob in einer Zuordnung ein bestimmter Schlüssel vorhanden ist • Abrufen der Anzahl an Schlüsselwertpaaren in einer Zuordnung • Abrufen einer Liste der Schlüssel in einer Zuordnung • Abrufen des Werts für einen bestimmten Schlüssel in einer Zuordnung Die folgenden Eigenschaften werden zum Durchführen dieser Aktivitäten verwendet. Eigenschaft Beschreibung Map.ByName Stellt eine Zuordnung mit dem von Ihnen angegebenen Namen bereit. Map.HasKey Ist „True“, wenn die angegebene Zuordnung den angegebenen Schlüssel enthält. Map.Size Gibt die Anzahl der Schlüsselwertpaare in einer Zuordnung an. Map.GetKeys Bietet eine Liste der Schlüssel in einer Zuordnung. Map.GetStringValue Bietet die Zeichenfolge, die den Wert des angegebenen Schlüssels in der angegebenen Zuordnung darstellt. Sie können beispielsweise mithilfe der Eigenschaft Map.GetStringValue in den Kriterien einer Regel feststellen, ob ein Schlüssel in einer Liste über einen bestimmten Wert verfügt. Der Schlüssel könnte ein Benutzername und der Wert eine Zeichenfolge sein, die als Token zur Authentifizierung dient. Die Kriterien würden dann folgendermaßen konfiguriert werden: Map.GetStringValue (testmap, "sampleuser") equals "sampletoken" Wenn der Schlüssel sampleuser den Wert sampletoken hat, stimmen die Kriterien überein, und die Regel führt eine bestimmte Aktion aus, z. B. Weiter. Wenn eine Zuordnung bearbeitet wird, werden die Änderungen für eine Kopie der ursprünglichen Zuordnung übernommen, und die ursprüngliche Zuordnung bleibt selber unverändert. Um eine Zuordnung auf diese Weise zu bearbeiten, können Sie folgende Aktionen durchführen: • Festlegen eines bestimmten Werts für einen Schlüssel • Löschen eines Schlüssels Die folgenden Eigenschaften werden zum Durchführen dieser Aktivitäten verwendet. Eigenschaft Beschreibung Map.SetStringValue Bietet eine Zuordnung, in der der angegebene Wert für den angegebenen Schlüssel festgelegt ist. Map.DeleteKey Bietet eine Zuordnung, in der der angegebene Wert gelöscht wird. Zum Erstellen einer neuen Zuordnung oder zum Konvertieren einer Zuordnung in eine Zeichenfolge werden die folgenden Eigenschaften verwendet. 96 McAfee Web Gateway 7.5.0 Produkthandbuch Listen Zuordnungstyplisten Eigenschaft Beschreibung Map.CreateStringMap Bietet eine neue Zuordnung, die noch leer ist. Map.ToString Bietet eine in eine Zeichenfolge konvertierte Zuordnung. 4 Abrufen von Zuordnungsdaten aus externen und abonnierten Listen Daten für Zuordnungstyplisten (Zuordnungen) können aus externen und abonnierten Listen abgerufen werden. Externe Listen Zum Abrufen von Zuordnungsdaten aus einer externen Liste wird die Eigenschaft ExtLists.StringMap bereitgestellt, die in den Kriterien einer geeigneten Regel angegeben werden kann. Der Wert dieser Eigenschaft ist eine Liste von Zuordnungen, deren Quelle eine externe Liste ist. Wenn Sie z. B. feststellen möchten, ob ein bestimmter Schlüssel in einer aus einer externen Quelle abgerufenen Liste enthalten ist, können Sie die folgenden Regelkriterien konfigurieren: Map.GetKeys(ExtLists.StringMap(" ", " ", " ")<External Lists>) contains "samplekeyname" Zum Angeben der externen Liste und der Quelle, aus der sie abgerufen werden kann, müssen Sie die Einstellungen des Moduls „External Lists“ (Externe Listen) konfigurieren, das die Listen abruft. In den oben angegebenen Kriterien werden diese Einstellungen unter dem Namen External Lists (Externe Listen) angezeigt. Daten aus externen Listen können von einem Web-Dienst, aus einer Datei, einer PostgreSQL- oder SQLite3-Datenbank oder über LDAP abgerufen werden. Beim Konfigurieren des Abrufens von Daten für eine Zuordnung ist bei diesen Quelltypen Folgendes zu beachten: • Web-Dienst oder Datei Der Typ der Daten, die von einem Web-Dienst oder aus einer Datei abgerufen werden, muss Plain Text (Nur-Text-Format) sein. Zum Auffinden der Daten wird ein regulärer Ausdruck verwendet, der zwei Teile umfasst. Der erste Teil ist für die Schlüssel und der zweite Teil für die Werte bestimmt. • Datenbanken Die Datenbankabfrage zum Abrufen der Daten muss zwei Spalten zurückgeben. Die erste Spalte liefert die Schlüssel, während in der zweiten Spalte die Werte enthalten sind. • LDAP Zum Abrufen der Daten werden in den LDAP-Einstellungen ein erstes und ein zweites Attribut konfiguriert. Das erste Attribut liefert die Schlüssel, während das zweite Attribut die Werte angibt. Abonnierte Listen Einträge in abonnierten Listen, aus denen Zuordnungsdaten abgerufen werden, müssen das folgende Format aufweisen. <listEntry> <complexEntry defaultRights="2"> <configurationProperties> <configurationProperty key="key" type="com.scur.type.string" value="key"/> <configurationProperty key="value" type="com.scur.type.string" value="value"/> </ configurationProperties> </complexEntry> <description></description> <l/istEntry> Im Element listEntry ist ein complexEntry eingebettet. Dadurch kann das Modul „Subscribed Lists“ das Format verarbeiten. McAfee Web Gateway 7.5.0 Produkthandbuch 97 4 Listen Allgemeiner Katalog Allgemeiner Katalog Der allgemeine Katalog bietet Listen, die von einem McAfee ePO-Server mithilfe von Push an eine Web Gateway-Appliance übertragen werden können. Die folgenden Listentypen können mithilfe von Push übertragen werden: IP-Adresse, Domänenname, Zeichenfolge, Platzhalterausdruck. Der Inhalt dieser Listen auf der Web Gateway-Appliance darf nicht verändert werden, da dieser Inhalt regelmäßig auf dem McAfee ePO-Server aktualisiert wird. Diese Aktualisierungen überschreiben alle von Ihnen vorgenommenen Änderungen. Die Listendaten werden über eine intern auf beiden Systemen ausgeführte REST-Schnittstelle (Representational State Transfer) übertragen. Außerdem muss eine McAfee ePO-Erweiterung für Web Gateway auf dem McAfee ePO-Server ausgeführt werden. Diese Erweiterung umfasst eine Hilfserweiterung, die eine Online-Hilfe zum Umgang mit der Erweiterung bietet. Ein Erweiterungspakt ist auf der Benutzeroberfläche von Web Gateway unter den Systemeinstellungen für ePolicy Orchestrator verfügbar. Um Anfragen des McAfee ePO-Servers die Filterung durch Web-Sicherheitsregeln auf Web Gateway umgehen zu lassen, müssen Sie einen passenden Regelsatz aus der Bibliothek importieren, diesen an der höchstmöglichen Stelle der Regelsatz-Baumstruktur platzieren und aktivieren. Zusätzlich müssen Sie ein McAfee ePO-Benutzerkonto einrichten, da sich auf der Appliance eine Instanz befinden muss, die die Listenübertragung bearbeiten darf. Zum Einrichten dieses Kontos werden die ePolicy Orchestrator-Systemeinstellungen verwendet. Der Benutzer des McAfee ePO-Kontos muss auch als ein Administrator mit einem Konto zwischen den internen Web Gateway-Administratorkonten angezeigt werden. Nachdem die Listen mithilfe von Push aus dem allgemeinen Katalog an Web Gateway übertragen wurden, werden sie auf der Registerkarte Lists (Listen) ihrer Benutzeroberfläche angezeigt. Ein Präfix im Listennamen gibt an, dass ein McAfee ePO-Server die Quelle einer Liste ist. Wie alle anderen Listen auf der Registerkarte Lists (Listen) können Sie diese Listen zum Konfigurieren von Regeln verwenden. Vorbereiten der Verwendung von Common Catalog-Listen Führen Sie die folgenden allgemeinen Schritte aus, um die Verwendung von Common Catalog-Listen vorzubereiten, die von einem McAfee ePO-Server mithilfe von Push auf eine Web Gateway-Appliance übertragen werden. Vorgehensweise 98 1 Richten Sie ein Konto für einen McAfee ePO-Benutzer in Web Gateway ein. 2 Richten Sie ein Administratorkonto mit demselben Benutzernamen und demselben Kennwort in Web Gateway ein. 3 Aktivieren Sie die Verwendung der REST-Schnittstelle in Web Gateway. 4 Importieren Sie den Regelsatz Bypass ePO Requests aus der Bibliothek auf der Benutzeroberfläche von Web Gateway, verschieben Sie ihn in der Regelsatz-Baumstruktur an die oberste Position, und aktivieren Sie ihn. 5 Laden Sie ein McAfee ePO-Erweiterungspaket für Web Gateway herunter, und installieren Sie es auf dem McAfee ePO-Server. McAfee Web Gateway 7.5.0 Produkthandbuch Listen Allgemeiner Katalog 6 4 Registrieren Sie auf der Benutzeroberfläche des McAfee ePO-Servers einen neuen Server für die Kommunikation mit Web Gateway, und geben Sie dabei eine Appliance an, auf der Web Gateway ausgeführt wird. Im Dashboard auf der Benutzeroberfläche werden nach ca. 15 Minuten Daten zum in Web Gateway verarbeiteten Web-Datenverkehr angezeigt. 7 Übertragen Sie Listen vom McAfee ePO-Server mithilfe von Push zu Web Gateway. Die mithilfe von Push zu Web Gateway übertragenen Listen werden in der Listen-Baumstruktur der Benutzeroberfläche angezeigt. Weitere Informationen zum Installieren eines McAfee ePO-Erweiterungspakets und zum Durchführen von Aktivitäten auf dem McAfee ePO-Server finden Sie in der Dokumentation zu McAfee ePO. Einrichten eines Benutzerkontos für Common Catalog-Listen Um die Verwendung von Common Catalog-Listen zu ermöglichen, müssen Sie auf Web Gateway ein McAfee ePO-Benutzerkonto einrichten, um eine Instanz zu erstellen, die die Listenübertragung verarbeiten darf. Vorgehensweise 1 Wählen Sie Configuration | ePolicy Orchestrator (Konfiguration | ePolicy Orchestrator) aus. 2 Konfigurieren Sie unter ePolicy Orchestrator Settings (ePolicy Orchestrator-Einstellungen) ein Benutzerkonto. a Übernehmen Sie im Feld ePO user account (ePO-Benutzerkonto) den vorkonfigurierten Wert epo. b Klicken Sie neben dem Feld Password (Kennwort) auf Change (Ändern). Daraufhin öffnet sich das Fenster New Password (Neues Kennwort). c Legen Sie über die Fensteroptionen ein neues Kennwort fest. 3 Achten Sie darauf, dass Enable data collection for ePO (Datensammlung für ePO aktivieren) aktiviert ist. 4 Klicken Sie auf Save Changes (Änderungen speichern). Der Benutzer des von ihnen konfigurierten McAfee ePO-Kontos muss auch als Administrator in einem Administratorkonto auf Web Gateway angezeigt werden. Einrichten eines Administratorkontos für Common CatalogListen Um die Verwendung von Common Catalog-Listen zu aktivieren, müssen Sie auf Web Gateway ein Administratorkonto mit demselben Benutzernamen und Kennwort wie für das McAfee ePO-Benutzerkonto einrichten. Vorgehensweise 1 Wählen Sie Accounts | Administrator Accounts (Konten | Administratorkonten) aus. 2 Klicken Sie unter Internal Administrator Accounts (Interne Administratorkonten) auf Add (Hinzufügen). Daraufhin öffnet sich das Fenster Add Administrator (Administrator hinzufügen). McAfee Web Gateway 7.5.0 Produkthandbuch 99 4 Listen Allgemeiner Katalog 3 Richten Sie ein Administratorkonto zur Verwendung von Common Catalog-Listen ein. a Geben Sie im Feld User name (Benutzername) den Wert epo ein. b Geben Sie in den Feldern Password (Kennwort) und Password repeated (Kennwort wiederholen) das Kennwort ein, das Sie beim Einrichten des Benutzerkontos für den ePO-Benutzer konfiguriert haben. c Wählen Sie in der Liste Role (Rolle) die Rolle ePO Common Catalog Administrator (ePO-Common Catalog-Administrator) aus. d Klicken Sie auf Edit (Bearbeiten), um die aktuellen Rolleneinstellungen zu überprüfen. Daraufhin öffnet sich das Fenster Edit Role (Rolle bearbeiten). Aktivieren Sie bei Bedarf die folgenden Einstellungen: e • Policy — Lists accessible (Richtlinie: Listen zugänglich) • Policy — Lists creation (Richtlinie: Listen erstellen) • REST Interface accessible (REST-Schnittstelle zugänglich) Klicken Sie auf OK. Das Fenster wird nun geschlossen, und das neue Administratorkonto wird unter Internal Administrator Accounts (Interne Administratorkonten) angezeigt. Zusammen mit dem Benutzerkonto für den McAfee ePO-Benutzer dient dieses Administratorkonto als die Instanz auf Web Gateway, die zur Verarbeitung der Übertragung von Listen von einem McAfee ePO-Server vorhanden sein muss. Aktivieren der Nutzung der REST-Schnittstelle für Common Catalog-Listen Für die Kommunikation mit dem McAfee ePO-Server, von dem aus die Common Catalog-Listen übertragen werden können, müssen Sie in Web Gateway die interne REST-Schnittstelle (Representational State Transfer) aktivieren. Vorgehensweise 1 Wählen Sie Configuration | Appliances (Konfiguration | Appliances) aus. 2 Wählen Sie in der Appliances-Baumstruktur die Appliance aus, auf die Sie die Common Catalog-Listen übertragen möchten, und klicken Sie auf User Interface (Benutzeroberfläche). 3 Aktivieren Sie unter UI Access (Benutzeroberflächen-Zugriff) die beiden Optionen Enable REST interface over HTTP (REST-Schnittstelle über HTTP aktivieren) und Enable REST interface over HTTPS (REST-Schnittstelle über HTTPS aktivieren). 4 Aktivieren Sie unter Login Page Options (Optionen Anmeldeseite) die Option Allow multiple logins per login name (Mehrere Anmeldungen pro Anmeldename zulassen). 5 Klicken Sie auf Save Changes (Änderungen speichern). Beispieleinstellungen zum Registrieren von Web Gateway auf einem McAfee ePO-Server Um Common Catalog-Listen an eine Web Gateway-Appliance übertragen zu können, müssen Sie die Appliance auf dem McAfee ePO-Server als neuen Server registrieren. Nachfolgend finden Sie Beispieleinstellungen für diese Registrierung. 100 McAfee Web Gateway 7.5.0 Produkthandbuch 4 Listen JSON-Daten (JavaScript Object Notation) Option Beispielwert Server type (Servertyp) McAfee Web Gateway 7 Name mwg7-3.sample-lab.local Notes (Hinweise) (optional) Host name (Host-Name) mwg7-3.sample-lab.local Host address (Host-Adresse) 171.18.19.226 Administration port (Verwaltungs-Port) 4712 Statistics retrieval port (Statistikabruf-Port) 9090 User name (for access to the host GUI) (Benutzername (für Zugriff auf Host-GUI)) <Initialer oder aktueller Benutzername für Zugriff auf Web Gateway-Benutzeroberfläche> Password (Kennwort) <Initiales oder aktuelles Kennwort für Zugriff auf die Web Gateway-Benutzeroberfläche> epo User name (for statistics retrieval and list management) (Benutzername (für Statistikabruf und Listenverwaltung) Password (Kennwort) <Gleiches Kennwort wie das für den ePO-Benutzer und die Administratorkonten auf Web Gateway konfigurierte Kennwort> Options (Optionen) Allow ePO to manage lists on this system (Zulassen, dass ePO Listen auf diesem System verwaltet) (aktiviert) Der initiale Benutzername und das initiale Kennwort für den Zugriff auf die Benutzeroberfläche von Web Gateway sind admin und webgateway. JSON-Daten (JavaScript Object Notation) In Web Gateway können im JSON-Format (JavaScript Object Notation) codierte Daten gelesen, bearbeitet und erstellt werden. JavaScript Object Notation ist ein textbasiertes Format für den Datenaustausch. Es ist unkompliziert mit JavaScript lesbar, die Verwendung von JavaScript ist jedoch nicht zwingend notwendig. Diese Notation wird für die Kommunikation mit interaktiven Websites und auch mit NoSQL- und dokumentenorientierten Datenbanken (z. B. MongoDB oder CouchDB) verwendet. JSON-basierte Programmierschnittstellen werden beispielsweise in populären sozialen Netzwerken wie Facebook und Twitter genutzt. ® In Web Gateway werden z. B. in von McAfee Advanced Threat Defense (Advanced Threat Defense) erstellten Scan-Berichten JSON-Daten verwendet. Auch aus externen Quellen stammende Listen, die in Web Gateway verarbeitet werden, können das JSON-Datenformat aufweisen. JSON-Daten JSON-Daten werden als Objekte zur Verfügung gestellt. Ein JSON-Objekt ist sozusagen ein Container, in dem Daten eines einzigen oder unterschiedlicher einfacher Typen enthalten sind, beispielsweise Zeichenfolgen, Zahlen usw. Die grundlegende Struktur eines JSON-Objekts kann folgendermaßen dargestellt werden: object: {"key": value, "key": value, ...} McAfee Web Gateway 7.5.0 Produkthandbuch 101 4 Listen JSON-Daten (JavaScript Object Notation) Beispiel: Employee: {"First name": "Joe", "Last name": "Miller", "Age": 32} Als Wert eines JSON-Elements sind Daten der folgenden Typen möglich: Zeichenfolge, Zahl, boolescher Wert, leer. JSON-Objekte können auch ein Array enthalten: object: {"key": value, "key": value, array: [value, value, ...]} Beispiel: Employee: {"First name": "Joe", "Last Name": "Miller", "Children": [Ian, Lisa]} In der ursprünglichen JavaScript Object Notation dürfen sich auf der obersten Ebene einer hierarchischen Datenstruktur ausschließlich Objekte und Felder befinden. Sofern dies in Web Gateway unterstützt wird, kann sich jedoch auch ein einfaches Element auf der obersten Ebene befinden. JSON-Objekte können auch in andere JSON-Objekte eingebettet werden. Umgang mit JSON-Daten mithilfe von Eigenschaften In Web Gateway stehen mehrere Eigenschaften zum Lesen, Bearbeiten und Erstellen von JSON-Daten zur Verfügung. Beispielsweise kann mithilfe der Eigenschaft JSON.FromString aus einer Zeichenfolge ein JSON-Element erstellt werden. Die Zeichenfolge wird als Parameter der Eigenschaft angegeben. Auf diese Weise gibt die Eigenschaft JSON.FromString("Meier") die Zeichenfolge "Meier" als Wert eines JSON-Elements aus. Mit der Eigenschaft JSON.CreateObject kann ein JSON-Objekt erstellt werden. Nach der Erstellung ist das Objekt vorerst leer. Um in dem Objekt nun ein JSON-Element speichern zu können, müssen beide durch die Vergabe eines Namens identifiziert werden. Das Objekt wird benannt, indem daraus eine benutzerdefinierte Eigenschaft gemacht wird, da Eigenschaften immer mit einem Namen konfiguriert werden. Beispielsweise können Sie eine benutzerdefinierte Eigenschaft mit dem Namen User-Defined.myjsonemployee erstellen und dieser dann anhand eines Regelereignisses den Wert der Eigenschaft „JSON.CreateObject“ zuweisen. Name JSON-Objekt als benutzerdefinierte Eigenschaft erstellen Kriterien Always Aktion –> Continue Ereignis – Set User-Defined.myjsonemployee = JSON.CreateObject Das leere JSON-Objekt User-Defined.myjsonemployee kann mittels der Eigenschaft JSON.StoreByName gefüllt werden, die Parameter für den Namen des Objekts sowie für Schlüssel und Wert des Elements enthält. Beispielsweise wird wie folgt ein Element mit dem Schlüssel "Nachname" und dem Wert "Meier" im Objekt gespeichert: JSON.StoreByName(User-Defined.myjsonemployee, "Nachname", JSON.FromString("Meier")) 102 McAfee Web Gateway 7.5.0 Produkthandbuch 4 Listen JSON-Daten (JavaScript Object Notation) Das Speichern eines Elements in einem Objekt lässt sich aber auch einfacher realisieren: • Es ist gar nicht notwendig, das Objekt vor Verwendung der Eigenschaft „JSON.StoreByName“ zu erstellen. Wenn Sie einen Objektnamen als Parameter der Eigenschaft angeben, wird dieses Objekt automatisch erstellt, sofern es noch nicht vorhanden ist. • Die Verwendung der Eigenschaft „JSON.FromString“ zur Erfassung des Elementwerts ist nicht notwendig. Dieser Wert wird bei der direkten Angabe einer Zeichenfolge automatisch erstellt. Dies gilt ebenfalls für die anderen einfachen Datentypen, zu denen der Wert eines JSON-Elements gehören kann. Demzufolge wird mit folgender Aktion ebenfalls ein Element in einem Objekt gespeichert: JSON.StoreByName(User-Defined.myjsonemployee, "Nachname", "Meier")) Zusammenfassung der JSON-Eigenschaften in Gruppen Viele JSON-Eigenschaften gleichen einander insofern, als dass sie für ähnliche Aktivitäten bezüglich Daten verwendet werden. So liefern die Eigenschaften des Formats JSON.From<x> (z. B. JSON.FromString) ein JSON-Element, das den Wert eines einfachen Datentyps enthält. Dieser Wert mit einfachem Datentyp ist als Parameter der JSON-Eigenschaft angegeben. Dies sind einige wichtige Gruppen von JSON-Eigenschaften: • JSON.From<x> = Liefert ein JSON-Element, das den Wert eines einfachen Datentyps enthält. Eigenschaften: JSON.FromString, JSON.FromNumber, JSON.FromBool, JSON.FromStringList, JSON.FromNumberList • JSON.As<x> = Liefert den Wert eines JSON-Elements in einem einfachen Datenformat. Mit den Eigenschaften dieser Gruppe wird eine entgegengesetzte Aktion zu derjenigen durchgeführt, für die die Eigenschaften der Form JSON.From<x> verwendet werden. Damit die Eigenschaften dieser Gruppe korrekt eingesetzt werden können, muss das Format des JSON-Elements dem einfachen Datenformat entsprechen. Beispielsweise gibt die Eigenschaft „JSON.AsString“ nur dann eine (einfache) Zeichenfolge aus, wenn der Wert des JSON-Elements tatsächlich eine (JSON-)Zeichenfolge ist. Eigenschaften: JSON.AsString, JSON.AsNumber, JSON.AsBool • JSON.Create<x> = Erstellt ein JSON-Objekt, ein entsprechendes Feld oder den Elementwert 0. Eigenschaften: JSON.CreateObject, JSON.CreateArray, JSON.CreateNull • JSON.Get<x> = Gibt ein in einem Objekt enthaltenes JSON-Element oder den Datentypen eines solchen Elements aus. JSON.GetByName: Gibt ein in einem Objekt enthaltenes Element aus, das durch seinen Schlüssel bezeichnet wird. JSON.GetAt: Gibt ein Element aus, das durch seine Position innerhalb eines JSON-Felds identifiziert wird. JSON.GetType: Gibt den Typen eines Elements aus. McAfee Web Gateway 7.5.0 Produkthandbuch 103 4 Listen JSON-Daten (JavaScript Object Notation) JSON-Eigenschaften in Filterregeln verwenden Die Eigenschaft JSON.ToString gibt den Wert eines JSON-Elements im Zeichenfolgenformat aus. Sie können diese Eigenschaft z. B. in einer einfachen Regel zum Hinzufügen einer bestimmten Client-IP-Adresse zur Whitelist verwenden. Bei dieser Regel wird eine vorgegebene Client-IP-Adresse auf Übereinstimmung mit der Adresse überprüft, die zur Whitelist hinzugefügt werden soll. Name Als JSON-Elementwert gelieferte Client-IP-Adresse zulassen Kriterien Aktion Client.IP equals String.ToIP(JSON.ToString(User-Defined.myjsonipaddress)) –> StopCycle (Zyklus anhalten) Die Client-IP-Adresse, die zur Whitelist hinzugefügt werden soll, liegt als Wert der benutzerdefinierten Eigenschaft User-Defined.myjsonipaddress vor. Die Eigenschaft JSON.ToString gibt diesen Wert im Zeichenfolgenformat aus. Die Eigenschaft „String.ToIP“ konvertiert die Zeichenfolge wieder in eine IP-Adresse, damit diese mit der im Wert der Eigenschaft „Client.IP“ am Beginn der Regel enthaltenen Adresse verglichen werden kann. Vor der Verwendung der Eigenschaft „UserDefined.myjsonipaddress“ in der Beispielregel muss diese Eigenschaft erst im JSON-Datenformat erstellt und als deren Wert die zur Whitelist hinzuzufügenden Adresse festlegen. Für das Zuweisen dieses Werts können Sie, wie im Folgenden gezeigt, ein Ereignis in einer weiteren Beispielregel verwenden. Name Für Wert einer benutzerdefinierten Eigenschaft vom Typ JSON Client-IP-Adresse festlegen Kriterien Always Aktion Ereignis –> Continue – Set User-Defined.myjsonipaddress = JSON.FromString ("10.149.8.34") Die Eigenschaft „JSON.FromString“ des Regelereignisses konvertiert die Client-IP-Adresse, die als Eigenschaftsparameter im Zeichenfolgenformat angegeben ist, in den Wert eines JSON-Elements. Abrufen von JSON-Daten aus einem Advanced Threat Defense-Bericht Wenn eine Regel in Web Gateway zum Scannen eines Web-Objekts Advanced Threat Defense aufruft, wird das Scan-Ergebnis als Wert der Eigenschaft Antimalware.MATD.Report gespeichert. Die Ausgabe des Ergebnisses erfolgt als Zeichenfolge, in der die Ergebniselemente im JSON-Format angeordnet sind. Mithilfe der Eigenschaft „JSON.ReadFromString“ kann das Ergebnis in ein JSON-Element umgewandelt werden. Diese Eigenschaft verwendet die Eigenschaft „AntiMalware.MATD.Report“ als Parameter. Anschließend kann das JSON-Element als Wert einer benutzerdefinierten Eigenschaft festgelegt werden. Die entsprechende Regel für die Verwendung dieser Eigenschaften könnte z. B. so aussehen: Name Für Wert einer benutzerdefinierten Eigenschaft vom Typ JSON Advanced Threat Defense-Bericht festlegen 104 McAfee Web Gateway 7.5.0 Produkthandbuch Listen JSON-Daten (JavaScript Object Notation) Kriterien Always Aktion 4 Ereignis –> Continue – Set User-Defined.myjsonmatdreport = JSON.ReadFromString (Antimalware.MATD.Report) Die Ergebnisdaten können mit der Eigenschaft „JSON.GetByName“ abgerufen und z. B. in eine Protokolldatei geschrieben werden. Name JSON-Daten aus Advanced Threat Defense-Bericht in Protokolldatei schreiben Kriterien Always Aktion Ereignis – Continue – FileSystemLogging.WriteLogEntry(GetByName(User-Defined.myjsonmatdreport, > "Summary")<AdvancedThreat DefenseLog> Im Ereignis dieser Regel stellt "Summary" (Zusammenfassung) den Schlüssel eines JSON-Elements dar, dessen Wert aus den Daten eines Scan-Ergebnisses besteht. Dieser Schlüssel sowie sein Wert stammen aus einem JSON-Objekt, das den Wert der Eigenschaft „Antimalware.MATD.Report“ darstellt. Die Struktur dieses JSON-Objekts wird im Folgenden dargestellt. Das Objekt enthält mehrere weitere eingebettete Objekte. Die aufgeführten Elementschlüssel sind genauso in Berichten enthalten, für die Werte wurden lediglich Beispielangaben verwendet. Report: {"Summary": {"Selectors": [{"Engine": "GAM engine", "MalwareName": "EICAR test file", "Severity": "5" }], "Verdict": {"Severity": "5", "Description": "Subject is malicious" }, "Stats": [{"ID": "0", "Category": "Persistence, Installation Boot Survival", "Severity": "5" }] } Externe Listen im JSON-Datenformat abrufen Um den weiteren Umgang mit JSON-Daten einer aus einer externen Quelle abgerufenen Liste zu ermöglichen, kann die Eigenschaft Ext.Lists.JSON verwendet werden. Nach dem Abrufen der externen Liste mittels dieser Eigenschaft ist der Listeninhalt in einem JSON-Element enthalten, das den Wert der Eigenschaft bildet. Genau wie alle anderen Eigenschaften für externe Listen verfügt auch Ext.Lists.JSON über drei Parameter im Zeichenfolgenformat, die Angaben zur externen Quelle enthalten. McAfee Web Gateway 7.5.0 Produkthandbuch 105 4 Listen JSON-Daten (JavaScript Object Notation) 106 McAfee Web Gateway 7.5.0 Produkthandbuch 5 Einstellungen Mit Einstellungen werden in Web Gateway die Module, Regelaktionen und Systemfunktionen konfiguriert. Die Namen der Einstellungen werden an verschiedenen Stellen auf der Benutzeroberfläche angezeigt, z. B. in den Regelkriterien, -aktionen und -ereignissen oder auf den Registerkarten Settings (Einstellungen) und Appliances. Nachdem Sie auf den Namen einer Einstellung geklickt haben, können Sie die Parameter und Einstellungswerte aufrufen und konfigurieren. Bei der Ersteinrichtung der Appliance werden neben dem Regelsatzsystem Modul- und Aktionseinstellungen sowie Einstellungen für das Appliance-System implementiert. Weitere Modul- und Aktionseinstellungen werden implementiert, wenn Sie einen Regelsatz aus der Regelsatz-Bibliothek importieren. Die ursprünglich implementierten oder importierten Einstellungen können Sie überprüfen und ändern. Sie können die Modul- und Aktionseinstellungen auch vollständig löschen und eigene Modul- und Aktionseinstellungen erstellen. Inhalt Einstellungstypen Registerkarte „Settings“ (Einstellungen) Zugreifen auf Einstellungen Erstellen von Aktions- und Moduleinstellungen Einstellungstypen In der Regelverarbeitung und für andere Funktionen auf der Appliance werden verschiedene Arten von Einstellungen verwendet. • Moduleinstellungen: Einstellungen für die Module (auch als Engines bezeichnet), die von Regeln aufgerufen werden, um Werte für Eigenschaften bereitzustellen und andere Jobs auszuführen • Aktionseinstellungen: Einstellungen für die von Regeln ausgeführten Aktionen • Systemeinstellungen: Einstellungen des Appliance-Systems McAfee Web Gateway 7.5.0 Produkthandbuch 107 5 Einstellungen Einstellungstypen Moduleinstellungen Moduleinstellungen sind Einstellungen für die Module (auch als Engines bezeichnet), die von Regeln aufgerufen werden, um Werte für Eigenschaften bereitzustellen und andere Jobs auszuführen. Beispielsweise ruft das Modul „URL Filter“ Informationen zu URL-Kategorien ab, um Werte für die Eigenschaft „URL.Categories“ in einer Filterregel bereitzustellen. In einer Regel wird der Einstellungsname für ein durch die Regel aufgerufenes Modul neben einer Regeleigenschaft angezeigt. Beispielsweise kann in einer Regel zur Viren- und Malware-Filterung Gateway Antimalware als Einstellungsname neben der Eigenschaft Antimalware.Infected angezeigt werden. Wenn also das Modul „Anti-Malware“ aufgerufen wird, um den Wert True oder False für die Eigenschaft bereitzustellen, wird das Modul mit den Gateway Antimalware-Einstellungen ausgeführt. Diese Einstellungen geben beispielsweise an, welche Methoden zum Scannen von Web-Objekten auf Infektionen verwendet werden. Auf Moduleinstellungen kann in den Regeln sowie auf der Registerkarte „Settings“ (Einstellungen) im unteren Hauptzweig der Verzeichnisstruktur zugegriffen werden. Sie können diese Einstellungen bearbeiten und auch neue Einstellungen erstellen. Aktionseinstellungen Aktionseinstellungen sind Einstellungen für die von Regeln ausgeführten Aktionen. Sie werden hauptsächlich konfiguriert, um die Meldungen anzugeben, die an durch Regelaktionen wie „Block“ (Blockieren) oder „Authenticate“ (Authentifizieren) betroffene Benutzer gesendet werden. Aktionen, die Benutzer nicht betreffen, verfügen über keine Einstellungen, z. B. „Continue“ (Weiter) oder „Stop Rule Set“ (Regelsatz anhalten). Auf diese Einstellungen kann in den Regeln sowie auf der Registerkarte „Settings“ (Einstellungen) im oberen Hauptzweig der Verzeichnisstruktur zugegriffen werden. Sie können diese Einstellungen bearbeiten und auch neue Einstellungen erstellen. Systemeinstellungen Systemeinstellungen sind Einstellungen des Appliance-Systems, z. B. Einstellungen der Netzwerkschnittstelle oder des Domain Name Systems Sie können auf diese Einstellungen auf der Registerkarte Appliances des übergeordneten Menüs Configuration (Konfiguration) zugreifen. Sie können diese Einstellungen bearbeiten, jedoch keine neuen Systemeinstellungen erstellen. 108 McAfee Web Gateway 7.5.0 Produkthandbuch Einstellungen Registerkarte „Settings“ (Einstellungen) 5 Registerkarte „Settings“ (Einstellungen) Auf der Registerkarte Settings (Einstellungen) können Sie mit Einstellungen für Aktionen und Module arbeiten. Hauptelemente der Registerkarte „Settings“ (Einstellungen) In der folgenden Tabelle werden die Hauptelemente der Registerkarte Settings (Einstellungen) erläutert. Tabelle 5-1 Hauptelemente der Registerkarte „Settings“ (Einstellungen) Element Beschreibung Einstellungs-Symbolleiste Steuerelemente zum Arbeiten mit Einstellungen für Aktionen und Module Einstellungs-Baumstruktur Verzeichnisstruktur mit Aktionen und Modulen Einstellungen Parameter und Werte der aktuell ausgewählten Aktion oder des aktuell ausgewählten Moduls Einstellungssymbolleiste Die Einstellungssymbolleiste bietet die folgenden Optionen. McAfee Web Gateway 7.5.0 Produkthandbuch 109 5 Einstellungen Zugreifen auf Einstellungen Tabelle 5-2 Einstellungssymbolleiste Option Definition Add (Hinzufügen) Öffnet das Fenster Add Settings (Einstellungen hinzufügen) zum Erstellen neuer Einstellungen. Edit (Bearbeiten) Öffnet das Fenster Edit Settings (Einstellungen bearbeiten) zum Bearbeiten vorhandener Einstellungen. Delete (Löschen) Löscht die ausgewählten Einstellungen. Hierbei wird ein Fenster angezeigt, in dem Sie den Löschvorgang bestätigen müssen. Expand all (Alle einblenden) Blendet alle ausgeblendeten Elemente der Verzeichnisstruktur ein. Collapse all (Alle ausblenden) Blendet alle eingeblendeten Elemente der Verzeichnisstruktur aus. Zugreifen auf Einstellungen Sie können auf Einstellungen über die Registerkarte Settings (Einstellungen) zugreifen oder indem Sie in einer Regel auf den entsprechenden Einstellungsnamen klicken. Der Zugriff auf Systemeinstellungen erfolgt hingegen über die Registerkarte Appliances im übergeordneten Menü Configuration (Konfiguration). Aufgaben • Zugreifen auf Einstellungen für Aktionen und Module auf der Registerkarte „Einstellungen“ auf Seite 110 Über die Registerkarte Settings (Einstellungen) können Sie auf die Einstellungen für Aktionen und Module zugreifen. • Zugreifen auf Einstellungen für Aktionen und Module in einer Regel auf Seite 111 Um auf die Einstellungen für Aktionen und Module, die in Regeln angezeigt werden, zugreifen zu können, klicken Sie auf die Namen der entsprechenden Einstellungen. • Zugreifen auf Systemeinstellungen auf Seite 111 Sie können über das übergeordnete Menü Configuration (Konfiguration) auf die Systemeinstellungen zugreifen. Zugreifen auf Einstellungen für Aktionen und Module auf der Registerkarte „Einstellungen“ Über die Registerkarte Settings (Einstellungen) können Sie auf die Einstellungen für Aktionen und Module zugreifen. Vorgehensweise 1 Wählen Sie Policy | Settings (Richtlinie | Einstellungen) aus. 2 Navigieren Sie in der Einstellungs-Baumstruktur zu einem der Zweige Actions (Aktionen) oder Engines (Module), um auf die gewünschten Einstellungen zugreifen zu können. 3 Führen Sie zur Auswahl der Einstellungen einen der folgenden Schritte durch: • Klicken Sie im Zweig Actions (Aktionen) auf eine Aktion, damit diese vollständig angezeigt wird, und wählen Sie dann die gewünschte Einstellung aus. • Klicken Sie im Zweig Engine (Modul) auf ein Modul (auch als Engine bezeichnet), damit dieses vollständig angezeigt wird, und wählen Sie dann die gewünschte Moduleinstellung aus. Die Parameter und Werte der Einstellungen werden im Einstellungsbereich angezeigt. Nun können Sie mit den Einstellungen arbeiten. 110 McAfee Web Gateway 7.5.0 Produkthandbuch Einstellungen Erstellen von Aktions- und Moduleinstellungen 5 Zugreifen auf Einstellungen für Aktionen und Module in einer Regel Um auf die Einstellungen für Aktionen und Module, die in Regeln angezeigt werden, zugreifen zu können, klicken Sie auf die Namen der entsprechenden Einstellungen. Vorgehensweise 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus. 2 Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz aus, der die Regel mit den gewünschten Einstellungen enthält. Daraufhin werden die Regeln des Regelsatzes im Einstellungsbereich angezeigt. 3 Hierfür muss die Option Show details (Details anzeigen) aktiviert sein. 4 Klicken Sie in der Regel mit den Einstellungen, auf die Sie zugreifen möchten, auf den Namen der entsprechenden Einstellungen: • In den Regelkriterien für Zugriff auf die Moduleinstellungen • In der Regelaktion für Zugriff auf die Aktionseinstellungen Daraufhin öffnet sich das Fenster Edit Settings (Einstellungen bearbeiten) mit den ausgewählten Einstellungen. Nun können Sie mit den Einstellungen arbeiten. Zugreifen auf Systemeinstellungen Sie können über das übergeordnete Menü Configuration (Konfiguration) auf die Systemeinstellungen zugreifen. Vorgehensweise 1 Wählen Sie Configuration | Appliances (Konfiguration | Appliances) aus. 2 Wählen Sie in der Appliances-Baumstruktur die Appliance aus, deren Systemeinstellungen Sie konfigurieren möchten, und klicken Sie dort auf den entsprechenden Einstellungsnamen. Die Parameter und Werte der Einstellungen werden im Einstellungsbereich angezeigt. Nun können Sie mit den Einstellungen arbeiten. Erstellen von Aktions- und Moduleinstellungen Sie können für Module und Aktionen neue Einstellungen erstellen. Beim Erstellen solcher Einstellungen werden diese nicht komplett neu angelegt. Vielmehr verwenden Sie vorhandene Einstellungen, denen Sie einen neuen Namen geben und an denen Sie je nach Bedarf alle erforderlichen Änderungen vornehmen. McAfee Web Gateway 7.5.0 Produkthandbuch 111 5 Einstellungen Erstellen von Aktions- und Moduleinstellungen Vorgehensweise 1 Wählen Sie Policy | Settings (Richtlinie | Einstellungen) aus. 2 Für die Auswahl der Einstellungen, die als Ausgangsbasis für das Erstellen neuer Eigenschaften dienen, stehen die beiden folgenden Möglichkeiten zur Verfügung: • Wählen Sie die entsprechenden Einstellungen in der Einstellungs-Baumstruktur aus, und klicken Sie auf Add (Hinzufügen). Daraufhin öffnet sich das Fenster Add Settings (Einstellungen hinzufügen) mit den Parametern und Werten der ausgewählten Einstellungen. • Klicken Sie nun wieder auf Add (Hinzufügen). Daraufhin öffnet sich das Fenster Add Settings (Einstellungen hinzufügen). Wählen Sie im Bereich Settings for (Einstellungen für) des Fensters die gewünschten Einstellungen aus. Die Parameter und Werte dieser Einstellungen werden nun im Fenster angezeigt. 3 Geben Sie im Fenster im Feld Name einen Namen für die neuen Einstellungen ein. 4 [Optional] Geben Sie im Feld Comment (Kommentar) einen Kommentar (Nur-Text-Format) zu den Einstellungen ein. 5 Ändern Sie die bestehenden Werte der Einstellungen nach Bedarf. 6 [Optional] Klicken Sie auf die Registerkarte Permissions (Berechtigungen), und geben Sie an, welchen Benutzern Sie die Berechtigung für den Zugriff auf die Einstellungen zuweisen möchten. 7 Klicken Sie auf OK. Das Fenster wird nun geschlossen, und die neuen Einstellungen werden in der Einstellungs-Baumstruktur angezeigt. 8 112 Klicken Sie auf Save Changes (Änderungen speichern). McAfee Web Gateway 7.5.0 Produkthandbuch 6 Proxys Mithilfe der Proxy-Funktionen fängt die Appliance den Web-Datenverkehr ab und überträgt ihn weiter, wenn dies durch die Filterregeln zugelassen wird. Diese Funktionen können Sie so konfigurieren, dass sie den Anforderungen in Ihrem Netzwerk entsprechen. Hier die wichtigsten Einstellungen für Proxys: • Netzwerkmodus: Expliziter Proxy-Modus oder ein transparenter Modus Für jeden Modus können spezifische Einstellungen konfiguriert werden. • Netzwerkprotokoll: HTTP, HTTPS, FTP, ICAP sowie Instant Messaging-Protokolle Die Protokolleinstellungen gehören zu den allgemeinen Proxy-Einstellungen, die für jeden Netzwerkmodus konfiguriert werden können. Sie können auch andere allgemeine Proxy-Einstellungen konfigurieren und spezielle Proxy-Lösungen implementieren, zum Beispiel eine Reverse-HTTPS-Proxy-Konfiguration oder eine automatische Proxy-Konfiguration. Inhalt Konfigurieren von Proxys Modus „Expliziter Proxy“ Transparenter Router-Modus Transparenter Bridge-Modus Secure ICAP SOCKS-Proxy Instant Messaging XMPP-Proxy Konfigurieren von allgemeinen Proxy-Einstellungen Proxy-Einstellungen Steuern ausgehender Quell-IP-Adressen Verwenden von WCCP zum Umleiten von FTP-Datenverkehr Verwenden der Raptor-Syntax für die FTP-Anmeldung Protokolle für die Kommunikation zwischen Knoten Verwendung von DNS-Servern in Abhängigkeit von Domänen Reverse-HTTPS-Proxy Automatische Proxy-Konfiguration (Proxy Auto-Configuration, PAC) Verwenden des Helix-Proxys McAfee Web Gateway 7.5.0 Produkthandbuch 113 6 Proxys Konfigurieren von Proxys Konfigurieren von Proxys Sie können die Proxy-Funktionen der Appliance passend für Ihr Netzwerk konfigurieren. Führen Sie die folgenden allgemeinen Schritte aus. Vorgehensweise 1 Überprüfen Sie die Proxy-Einstellungen. Die folgenden Schlüsseleinstellungen sind standardmäßig konfiguriert: 2 • Netzwerkmodus: Expliziter Proxy • Netzwerkprotokoll: HTTP Ändern Sie diese Einstellungen gegebenenfalls. Sie können beispielsweise Folgendes ausführen: • Konfigurieren Sie einen anderen Netzwerkmodus. Sie können eine der folgenden Optionen auswählen: • • Expliziter Proxy-Modus mit Hochverfügbarkeitsfunktionen • Transparenter Router-Modus • Transparenter Bridge-Modus Konfigurieren Sie ein anderes Netzwerkprotokoll. Sie können HTTP ein oder mehrere der folgenden Protokolle hinzufügen (oder die Protokolle hinzufügen und HTTP deaktivieren): • • HTTPS • FTP • IFP • ICAP • Instant Messaging-Protokolle: Yahoo, ICQ, Windows Live Messenger, XMPP (für Jabber und andere Dienste) Ändern Sie weitere Proxy-Einstellungen, z. B. Zeitlimits und die höchstzulässige Anzahl von Client-Verbindungen. 3 Konfigurieren Sie bei Bedarf eine spezielle Proxy-Lösung, z. B. einen HTTPS-Reverse-Proxy oder die automatische Konfiguration von Proxys. 4 Speichern Sie die Änderungen. Modus „Expliziter Proxy“ Im Modus „Expliziter Proxy“ ist den Clients, deren Web-Datenverkehr auf der Appliance gefiltert wird, bekannt, dass eine entsprechende Verbindung besteht. Sie müssen explizit so konfiguriert sein, dass ihr Web-Datenverkehr an die betreffende Appliance weitergeleitet wird. Wenn dies sichergestellt ist, kommt dem Umstand, an welcher Stelle die Appliance im Netzwerk bereitgestellt ist, geringere Bedeutung zu. Normalerweise wird sie hinter einer Firewall platziert und über einen Router mit ihren Clients und der Firewall verbunden. 114 McAfee Web Gateway 7.5.0 Produkthandbuch 6 Proxys Modus „Expliziter Proxy“ Die folgende Abbildung veranschaulicht eine Konfiguration im Modus „Expliziter Proxy“. Abbildung 6-1 Modus „Expliziter Proxy“ Konfigurieren des expliziten Proxy-Modus Sie können die Proxy-Funktionen einer Appliance im expliziten Proxy-Modus konfigurieren, der den Standardmodus für diese Funktionen darstellt. Vorgehensweise 1 Wählen Sie Configuration | Appliances (Konfiguration | Appliances) aus. 2 Wählen Sie in der Appliances-Baumstruktur die Appliance aus, für die der explizite Proxy-Modus konfiguriert werden soll, und klicken Sie auf Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys (HTTP(S), FTP, ICAP und IM)). 3 Wählen Sie unter Network Setup (Netzwerkeinrichtung) eine der beiden Optionen für den expliziten Proxy-Modus aus. • Proxy: Für den expliziten Proxy-Modus Dies ist der Proxy-Standardmodus. Wenn dieser ausgewählt ist, werden spezifische Einstellungen zum Konfigurieren transparenter Funktionen des expliziten Proxy-Modus unter den Einstellungen für Network Setup (Netzwerkeinrichtung) angezeigt. • Proxy HA (Proxy-Hochverfügbarkeit): Für einen expliziten Proxy-Modus mit Hochverfügbarkeitsfunktionen Wenn Sie diese Option ausgewählt haben, werden spezifische Einstellungen für Proxy HA (Proxy-Hochverfügbarkeit) unter den Einstellungen für Network Setup (Netzwerkeinrichtung) angezeigt. 4 Konfigurieren Sie für die ausgewählte Option spezifische und allgemeine Einstellungen nach Bedarf. 5 Klicken Sie auf Save Changes (Änderungen speichern). McAfee Web Gateway 7.5.0 Produkthandbuch 115 6 Proxys Modus „Expliziter Proxy“ Siehe auch Empfohlene Vorgehensweisen – Konfigurieren des Proxy-Hochverfügbarkeitsmodus auf Seite 116 Einstellungen für „Transparenter Proxy“ auf Seite 121 Einstellungen für „Proxy HA“ (Proxy-Hochverfügbarkeit) auf Seite 129 Proxy-Einstellungen auf Seite 149 Empfohlene Vorgehensweisen – Konfigurieren des ProxyHochverfügbarkeitsmodus Der in Web Gateway konfigurierbare Proxy-Hochverfügbarkeits-Netzwerkmodus ist ein expliziter Proxy-Modus mit Hochverfügbarkeitsfunktionen. Er ermöglicht die Durchführung von Failover und Lastausgleich ohne externe Lastausgleichsgeräte. Es wird empfohlen, dieses Setup nur für Netzwerke mit bis zu 1000 Web Gateway-Benutzern zu verwenden. Bei größeren Netzwerken empfiehlt sich die Verwendung externer Lastausgleichsgeräte. Master-Knoten und Scan-Knoten Eine der Appliances in einer Proxy-Hochverfügbarkeitskonfiguration wird als Master-Knoten konfiguriert. Die anderen Appliances werden dann als Scan-Knoten konfiguriert. Die Rolle wird jeder Appliance durch Konfigurieren eines Prioritätswerts zugewiesen. Der Master-Knoten führt den Lastausgleich im Hochverfügbarkeits-Cluster durch, indem er die Last an die Scan-Knoten verteilt. Normalerweise übernimmt der Master-Knoten auch die Funktion eines Scan-Knotens. Die Scan-Knoten können als Sicherungsknoten eingesetzt werden, um einen ausgefallenen Master-Knoten zu ersetzen. Sie können einen Knoten auch als einfachen Scan-Knoten konfigurieren, der keine Sicherungsfunktionen übernimmt. Der Knoten, der zu einem bestimmten Zeitpunkt die Rolle des Master-Knoten innehat, wird als aktiver Master bezeichnet. Der aktive Master-Knoten verwendet eine virtuelle IP-Adresse (VIP) als Alias-IP-Adresse für die Schnittstelle zur Kommunikation mit den Clients. Es wird empfohlen, die Appliances, die in die Proxy-Hochverfügbarkeitskonfiguration aufgenommen werden sollen, auch als Mitglieder einer Konfiguration mit zentraler Verwaltung einzurichten. Diese Konfigurationen können auch unabhängig voneinander ordnungsgemäß ausgeführt werden. Wenn die Appliances jedoch nicht durch eine zentrale Verwaltung gesteuert und synchronisiert werden, ist es möglich, dass jede Appliance nach einer Weile anderen Web-Sicherheitsregeln folgt. Lastausgleich Beim Lastausgleich in einer Proxy-Hochgeschwindigkeitskonfiguration werden die Ressourcenauslastung und die Anzahl aktiver Verbindungen berücksichtigt. Wenn also ein Scan-Knoten überlastet ist, wird dies durch Verteilung des Datenverkehrs auf die anderen Knoten kompensiert. Beim Lastausgleich werden Anfragen von einem bestimmten Client normalerweise immer an denselben Scan-Knoten weitergeleitet. Failover Wenn der Master-Knoten ausfällt, übernimmt der Sicherungsknoten mit der höchsten Priorität die Master-Rolle. Kehrt der ursprüngliche Master-Knoten dann wieder in den aktiven Status zurück, übernimmt er wieder die Master-Rolle. Zur Überprüfung der Verfügbarkeit von Knoten wird VRRP (Virtual Router Redundancy Protocol) für Integritätsprüfungen verwendet. Sie müssen für VRRP auf jeder Appliance Folgendes konfigurieren, um die Integritätsprüfungen zu aktivieren: eine VRRP-Schnittstelle und eine virtuelle Router-ID, die für alle Mitglieder des Hochverfügbarkeits-Clusters gleich ist. 116 McAfee Web Gateway 7.5.0 Produkthandbuch Proxys Modus „Expliziter Proxy“ 6 Jeder Knoten sendet ein Multicast-Paket pro Sekunde an die IP-Adresse 224.0.0.18. Wenn 3– 4 Sekunden lang kein Multicast-Paket vom aktiven Master empfangen wird, erfolgt ein Failover. Beim Failover wird der Sicherungsknoten mit der höchsten Priorität zum Master-Knoten. Dieser Knoten wird zum Inhaber der virtuellen IP-Adresse des Hochverfügbarkeits-Clusters und meldet den anderen Knoten seine neue Master-Rolle. Die ARP-Tabellen der teilnehmenden Clients und Router werden mithilfe von Gratuitous ARP (Address Resolution Protocol) aktualisiert. („Gratuitous ARP“ bedeutet „unaufgefordertes ARP“, eine spezielle Nutzung von ARP.) Jedes Mal, wenn die gemeinsame virtuelle IP-Adresse den Besitzer wechselt (d. h. ein Failover erfolgt), sendet der neue Master-Knoten eine Gratuitous ARP-Nachricht. Alle nachfolgenden TCP/IP-Pakete gelangen dann zu diesem Knoten. Siehe auch Empfohlene Vorgehensweisen – Größenbeschränkungen für Hochverfügbarkeitskonfiguration auf Seite 119 Konfigurieren des Proxy-Hochverfügbarkeitsmodus Sie können den Proxy-Hochverfügbarkeitsmodus konfigurieren, damit Lastausgleich und Failover ohne externe Lastausgleichsgeräte durchgeführt werden können. Vorgehensweise 1 Wählen Sie Configuration | Appliances (Konfiguration | Appliances) aus. 2 Wählen Sie in der Appliances-Struktur die Appliance aus, die Sie in die Proxy-Hochverfügbarkeitskonfiguration einbeziehen möchten, und klicken Sie dann auf Proxies (HTTP, HTTP(S), FTP, SOCKS, ICAP ...) (Proxys (HTTP, HTTP(S), FTP, SOCKS, ICAP ...)). 3 Wählen Sie unter Network Setup (Netzwerkeinrichtung) die Option Proxy HA (Proxy-Hochverfügbarkeit) aus. Nun werden sofort die Einstellungen für Proxy HA (Proxy-Hochverfügbarkeit) unter den Einstellungen für Network Setup (Netzwerkeinrichtung) angezeigt. 4 Konfigurieren Sie in Web Gateway Folgendes für jede Appliance in der Proxy-Hochverfügbarkeitskonfiguration: a Port redirects (Port-Umleitungen): Fügen Sie einen Eintrag mit den folgenden Parametern zur Liste der Port-Umleitungen hinzu. • Protocol name (Protokollname): HTTP • Original destination ports (Ursprüngliche Ziel-Ports): Proxy-Port, den die Benutzer in Ihrem Netzwerk in ihren Browsern auswählen • Destination proxy port (Ziel-Proxy-Port): Von Web Gateway verwendeter Proxy-Port Der vom Benutzer im Browser ausgewählte und der von Web Gateway verwendete Proxy-Port können identisch sein, beispielsweise Port 9090. Geben Sie in diesem Fall eine Port-Umleitung in die Liste ein, die beispielsweise Port 9090 zu Port 9090 umleitet. McAfee Web Gateway 7.5.0 Produkthandbuch 117 6 Proxys Modus „Expliziter Proxy“ b Director priority (Master-Priorität): Stellen Sie die Priorität bei der Übernahme der Master-Rolle anhand einer Zahl ein. • Die höchste Priorität lautet beispielsweise 99: für den Master-Knoten • Geringere Prioritäten müssen über 0 liegen, z. B. 89: für einen Sicherungsknoten Ein Sicherungsknoten kann einen Failover durchführen, um den Master-Knoten bei einem Ausfall zu ersetzen, wenn kein anderer Knoten mit einer höheren Priorität verfügbar ist. Ansonsten übernimmt der Sicherungsknoten die Funktion eines Scan-Knotens. • c 0: Für einen Knoten, der nur als Scan-Knoten fungiert Management IP (Verwaltungs-IP-Adresse): Geben Sie die lokale IP-Adresse der Appliance an. Anhand dieser IP-Adresse können Scan-Knoten automatisch erkannt werden. Für die automatische Erkennung müssen sich alle Knoten in demselben Subnetz befinden. d Virtual IPs (Virtuelle IP-Adressen): Geben Sie die gemeinsame IP-Adresse für das Hochverfügbarkeits-Cluster an. Der aktive Master ist der Inhaber dieser Adresse, die auf allen Knoten identisch sein muss. Ihre Benutzer müssen diese Adresse in ihrem Browser auswählen. e Konfigurieren Sie die Einstellungen für die VRRP-Integritätsprüfungen. • Virtual router ID (ID des virtuellen Routers): Dies ist die für VRRP-Integritätsprüfungen verwendete ID. Diese ID muss auf allen Knoten identisch sein. Der Standardwert lautet 51. Sie können die Standard-ID beibehalten, sofern VRRP nicht bereits mit ID 51 in Ihrem Netzwerk verwendet wird. In diesem Fall müssen Sie die ID hier ändern, da sie für die Proxy-Hochverfügbarkeitskonfiguration eindeutig sein muss. • VRRP interface (VRRP-Schnittstelle): Dies ist die von VRRP für die Integritätsprüfungen verwendete Schnittstelle. Diese Schnittstelle lautet standardmäßig eth0. Sie können die Standardschnittstelle beibehalten, es sei denn, Sie verwenden die Schnittstelle "eth0" gar nicht auf Ihren Appliances oder Sie möchten mehrere Schnittstellen verwenden. 5 Klicken Sie auf Save Changes (Änderungen speichern). Siehe auch Einstellungen für „Proxy HA“ (Proxy-Hochverfügbarkeit) auf Seite 129 Beheben von Problemen bei einer Proxy-Hochverfügbarkeitskonfiguration Zum Beheben von Problemen bei einer Proxy-Hochverfügbarkeitskonfiguration können mehrere Maßnahmen ergriffen werden. Überprüfen der VRRP-Zustandsprüfungsmeldungen Meldungen zu den VRRP-Zustandsprüfungen werden auf dem Appliance-System im folgenden Verzeichnis gespeichert: /var/log/messages In diesen Meldungen wird auch angegeben, ob sich eine Appliance im Master-Knoten- oder Sicherungsknotenstatus befindet. 118 McAfee Web Gateway 7.5.0 Produkthandbuch 6 Proxys Modus „Expliziter Proxy“ Ermitteln des Knotens, durch den eine Anfrage blockiert wurde Sie können ermitteln, durch welchen der Knoten in einem Hochverfügbarkeits-Cluster eine Anfrage blockiert wurde, indem Sie die Benutzermeldungsvorlage für Blockierungsaktionen bearbeiten. Fügen Sie die Eigenschaft System.HostName ein. Testen eines bestimmten Knotens Sie können das Verhalten eines bestimmten Knotens testen, indem Sie in der Liste der Port-Umleitungen einen neuen Proxy-Port nur für diesen Knoten eingeben, z. B. 9091. Geben Sie dann im Browser auf dem zum Testen des Knotens verwendeten Client-System <IP-Adresse von Web Gateway>:9091 ein. Identifizieren des aktiven Master-Knotens Sie können den aktiven Master-Knoten identifizieren, zu dem die virtuelle IP-Adresse des Hochverfügbarkeits-Clusters gehört, indem Sie eine SSH-Sitzung mit den einzelnen Knoten einrichten. Führen Sie dann auf jedem Knoten den Befehl ip addr show aus. Untersuchen von Fehlern bei der Verteilung von Web-Datenverkehr Wenn der gesamte Web-Datenverkehr auf dem Master-Knoten oder einem anderen einzelnen Knoten verarbeitet wird, anstatt an andere Knoten verteilt zu werden, kann dies folgende Gründe haben: • Auf dem Master-Knoten sind keine Port-Umleitungen konfiguriert. Wenn keine Port-Umleitungen vorhanden sind, leitet der Master-Knoten den Datenverkehr nicht an andere Knoten um, sondern verarbeitet diesen lokal. • Der Master-Knoten erkennt die anderen Knoten nicht, da diese mit IP-Adressen konfiguriert sind, die nicht zu demselben Subnetz gehören. • Der gesamte Datenverkehr stammt von derselben Quell-IP-Adresse, da ein Downstream-Proxy oder ein NAT-Gerät verwendet wird. In diesem Fall ist das übliche Verhalten für den Lastausgleich, diesen Datenverkehr immer an denselben Knoten weiterzuleiten. Empfohlene Vorgehensweisen – Größenbeschränkungen für Hochverfügbarkeitskonfiguration Beim Konfigurieren des Proxy HA-Netzwerkmodus (High Availability, Hochverfügbarkeit) müssen Sie die Anzahl der in die Konfiguration einzubindenden Web Gateway-Appliances berücksichtigen. In den meisten Fällen werden mehrere Appliances in einem Netzwerk ausgeführt und sind als Knoten konfiguriert, die über die Funktionen zur zentralen Verwaltung verwaltet werden. Üblicherweise ist einer dieser Knoten als der Master-Knoten konfiguriert, der eingehenden Datenverkehr an die anderen Knoten weiterleitet, die als Scan-Knoten bezeichnet werden, da sie für das Scannen dieses Datenverkehrs zuständig sind. Auf einer bestimmten Appliance werden Netzwerkschnittstellen üblicherweise in einer zweigleisigen Lösung konfiguriert, die separate Schnittstellen für eingehenden und ausgehenden Datenverkehr verwendet, oder in einer dreigleisigen Lösung, die eine zusätzliche Schnittstelle zur Kommunikation der zentralen Verwaltung verwendet. McAfee Web Gateway 7.5.0 Produkthandbuch 119 6 Proxys Modus „Expliziter Proxy“ Ausgehend von einem auf diese Weise konfigurierten Netzwerk muss Folgendes berücksichtigt werden: • Die Anzahl der Scan-Knoten muss so ausgewählt werden, dass der hinzugefügte maximale Durchsatz nicht den maximalen Durchsatz verbraucht oder übersteigt, der vom Master-Knoten erreicht werden kann, der standardmäßig 1 Gigabit pro Sekunde beträgt. Dieser Wert ergibt sich aus den folgenden internen Beschränkungen: Die vom Master-Knoten standardmäßig verwendete Netzwerkschnittstelle ist auf die Verarbeitung eines Datenvolumens von 1 Gigabit pro Sekunde eingeschränkt. Zudem lässt der Kernel-Modustreiber des MLOS-Betriebssystems, das auf einer Web Gateway-Appliance ausgeführt wird, nur eine Skalierung von bis zu 1 Gigabit pro Sekunde zu. • Es wird empfohlen, einen deutlichen Sicherheitsabschlag beim Konfigurieren der Anzahl der Scan-Knoten zu lassen, die unter diesen Bedingungen theoretisch möglich wäre. • Beispielsweise wären bei einem Durchsatz von 100 Megabits pro Sekunde für einen Scan-Knoten zehn Knoten möglich, empfohlen werden jedoch fünf. • Bei einem Durchsatz von 300 Megabits pro Sekunde wären drei Knoten möglich, empfohlen werden jedoch zwei. Der maximale Durchsatz auf einem Scan-Knoten variiert mit dem Appliance-Modell, das als Knoten verwendet wird, und mit der Art und Weise der Knotenkonfiguration, ob beispielsweise die Malware-Schutz-Filterung oder der Web-Cache aktiviert ist. Diesen Wert für einen Knoten können Sie mithilfe eines Größenrechners ermitteln. Die Berechnungen sehen anders aus, wenn eine 10G-Netzwerkschnittstelle von einem Master-Knoten anstelle der standardmäßigen 1G-Netzwerkschnittstelle verwendet wird oder wenn IP-Spoofing in einer Konfiguration aktiviert ist. Dies wird nachfolgend erläutert. 10G-Netzwerkschnittstellen Wenn eine 10G-Netzwerkschnittstelle auf einer als Master-Knoten konfigurierten Appliance installiert ist, erhöht sich der maximale Durchsatz für diesen Knoten. Jedoch darf die maximale Skalierung des MLOS-Kernel-Modustreibers weiterhin nicht ausgelastet oder überschritten werden. • Beispielsweise wären bei einem Durchsatz von 100 Megabits pro Sekunde für einen Scan-Knoten mehr als fünf Knoten möglich, es wird jedoch weiterhin empfohlen, die Anzahl nicht auf zehn zu erhöhen. • Bei einem Durchsatz von 300 Megabits pro Sekunde sind drei Knoten möglich, es wird empfohlen, nicht mehr zu verwenden. IP-Spoofing Wenn IP-Spoofing konfiguriert ist, durchlaufen Datenpakete den Master-Knoten zweimal. Einmal, wenn der Master-Knoten die Pakete an die Scan-Knoten weiterleitet, und ein weiteres Mal, wenn die Pakete von den Scan-Knoten an den Master-Knoten zurückgegeben werden, da dieser Knoten die Datenpakete an ihre ursprünglichen IP-Adressen weiterleitet. Das bedeutet, dass der maximale Durchsatz auf dem Master-Knoten lediglich 500 Megabits pro Sekunde beträgt, wenn eine 1G-Netzwerkschnittstelle verwendet wird, während die maximale Skalierung des MLOS-Kernel-Modustreibers unverändert bleibt. 120 McAfee Web Gateway 7.5.0 Produkthandbuch 6 Proxys Modus „Expliziter Proxy“ Die Anzahl der Scan-Knoten muss entsprechend angepasst werden. • Beispielsweise müsste bei einem Durchsatz von 100 Megabits pro Sekunde für einen Scan-Knoten und einen Master-Knoten, der eine 1G-Netzwerkschnittstelle verwendet, die Anzahl der Scan-Knoten weniger als fünf sein. Bei Verwendung einer 10G-Netzwerkschnittstelle kann die Anzahl der Scan-Module höher sein, es werden jedoch trotzdem fünf empfohlen. • Bei einem Durchsatz von 300 Megabits pro Sekunde für einen Scan-Knoten und einen Master-Knoten, der eine 1G-Netzwerkschnittstelle verwendet, darf nur ein Scan-Knoten vorhanden sein. Bei Verwendung einer 10G-Netzwerkschnittstelle wird empfohlen, nicht mehr als drei San-Knoten zu konfigurieren. Siehe auch Empfohlene Vorgehensweisen – Konfigurieren des Proxy-Hochverfügbarkeitsmodus auf Seite 116 Einstellungen für „Transparenter Proxy“ Die Einstellungen für „Transparenter Proxy“ werden zur Konfiguration der transparenten Funktionen des expliziten Proxy-Modus verwendet. Transparenter Proxy Einstellungen zur Konfiguration des expliziten Proxy-Modus mit transparenten Funktionen McAfee Web Gateway 7.5.0 Produkthandbuch 121 6 Proxys Modus „Expliziter Proxy“ Tabelle 6-1 Transparenter Proxy Option Definition Supported client redirection methods (Unterstützte Methoden zur Client-Umleitung) Bietet Methoden, um den Web-Datenverkehr abzufangen und an eine Appliance umzuleiten. • WCCP: Wenn diese Option ausgewählt ist, werden unter dem IPv4-Protokoll an Web-Server gesendete HTTP-Client-Anfragen von einem zusätzlichen Netzwerkgerät abgefangen und über das WCCP-Protokoll an die Appliance weitergeleitet. Die Clients sind sich der Umleitung nicht bewusst, diese bleibt für sie transparent, also unsichtbar. Auf die gleiche Weise wie für Client-Anfragen werden Antworten der Web-Server zurück an die Appliance geleitet. Wenn Sie die WCCP-Umleitungsmethode verwenden, müssen Sie auf der Appliance einen oder mehrere WCCP-Dienste konfigurieren, die die Umleitung durchführen. Zudem müssen Sie das Netzwerkgerät konfigurieren, das die Client-Anfragen und Server-Antworten abfängt. Das Gerät kann als Router oder Switch mit Router-Funktion konfiguriert werden. Nach Auswahl dieser Option wird die Inline-Liste WCCP Services (WCCP-Dienste) zum Konfigurieren und Hinzufügen von WCCP-Diensten angezeigt. • L2 transparent: Wenn diese Option ausgewählt ist, werden unter den IPv4- und IPv6-Protokollen an Web-Server gesendete Client-Anfragen von einem zusätzlichen Netzwerkgerät abgefangen und über die Layer 2-Umleitungsmethode an die Appliance weitergeleitet. Bei dieser Methode werden Client-Anfragen auch dann auf der Appliance akzeptiert, wenn ihre Ziel-IP-Adressen keine Adressen der Appliance sind. Die Umleitung ist für die Geräte transparent, also unsichtbar. Sie müssen die ursprünglichen Ports für die abzufangenden und umzuleitenden Client-Anfragen in einer Liste auf der Appliance eingeben, zusammen mit den Ports, an die diese Anfragen umgeleitet werden. Das zusätzliche Netzwerkgerät muss entsprechend konfiguriert werden. Wenn diese Option ausgewählt ist, können Anfragen nicht über eine Verbindung im aktiven FTP-Modus übertragen werden. Es steht dann nur der passive FTP-Modus zur Verfügung. Nach Auswahl dieser Option wird die Inline-Liste Port Redirects (Port-Umleitungen) zur Eingabe der Ports angezeigt. Die folgenden beiden Tabellen beschreiben Listeneinträge in den Listen der WCCP-Dienste und Port-Umleitungen. Tabelle 6-2 WCCP-Dienste – Listeneintrag Option Definition Service ID (Dienst-ID) Gibt einen Dienst an, der Web-Datenverkehr unter dem WCCP-Protokoll an eine Appliance weiterleitet. WCCP router definition (WCCP-Router-Definition) Gibt die Multicast-IP-Adresse und den DNS-Namen eines Routers (oder Switch mit Router-Funktion) an, der Web-Datenverkehr über einen WCCP-Dienst an eine Appliance weiterleitet. Sie können hier mehrere Router konfigurieren und die Einträge durch Kommas voneinander trennen. 122 McAfee Web Gateway 7.5.0 Produkthandbuch 6 Proxys Modus „Expliziter Proxy“ Tabelle 6-2 WCCP-Dienste – Listeneintrag (Fortsetzung) Option Definition Ports to be redirected (Umzuleitende Ports) Führt die Ports beispielsweise der Web-Server auf, die in den Adressinformationen der Pakete enthalten sein müssen, damit diese umgeleitet werden. Sie könne hier bis zu acht Port-Nummern angeben, durch Kommas getrennt. Ports to be redirected are source ports (Umzuleitende Ports sind Quell-Ports) Gibt an, ob die umzuleitenden Ports Quell-Ports sind. Proxy listener IP address (Proxy-Listener-IP-Adresse) Gibt die IP-Adresse einer Appliance beim Ausgeben von Client-Anfragen an. Proxy listener port (Proxy-Listener-Port) Gibt einen Port zum Reagieren auf Client-Anfragen an. Beim Konfigurieren eines WCCP-Dienstes müssen Sie diese Option auswählen, wenn der Dienst dazu verwendet wird, Antworten der Web-Server zurück zur Appliance umzuleiten. Die Standard-Port-Nummer lautet 9090. MD5 authentication key (MD5-Authentifizierungsschlüssel) Legt ein Kennwort fest, das unter dem MD5-Algorithmus zum Signieren und Verifizieren der Kontrolldatenpakete verwendet wird. Klicken Sie auf Set (Festlegen), um ein Fenster zum Festlegen des Kennworts zu öffnen. Das Kennwort kann aus bis zu acht Zeichen bestehen. Assignment method (Zuweisungsmethode) Dieses Hauptelement ist in der Liste nicht enthalten, wird in den Fenstern zum Hinzufügen und Bearbeiten jedoch angezeigt. Die folgenden beiden Elemente beziehen sich auf das Element und geben die Zuweisungsmethode an. • Assignment by mask (Zuweisung nach Maske): Wenn diese Option ausgewählt ist, wird die Maskierung der Quell- oder Ziel-IP-Adressen zur Lastenverteilung verwendet. • Assignment by hash (Zuweisung nach Hash): Wenn diese Option ausgewählt ist, wird ein Hash-Algorithmus zur Lastenverteilung verwendet. McAfee Web Gateway 7.5.0 Produkthandbuch 123 6 Proxys Modus „Expliziter Proxy“ Tabelle 6-2 WCCP-Dienste – Listeneintrag (Fortsetzung) Option Definition Input for load distribution (Eingabe für Lastenverteilung) Dieses Hauptelement ist in der Liste nicht enthalten, wird in den Fenstern zum Hinzufügen und Bearbeiten jedoch angezeigt. Die folgenden Elemente beziehen sich auf dieses Element und geben an, was in einem Datenpaket als Kriterien zur Lastenverteilung verwendet wird. Abhängig davon, ob Sie die Zuweisung nach Maske oder nach Hash ausgewählt haben, stehen verschiedene Elemente zur Verfügung. Beim Ausführen mehrere Appliances, kann die Lastenverteilung für die Proxys auf diesen konfiguriert werden. Datenpakete können basierend auf ihren Quell- oder Ziel-IP-Adressen und Port-Nummern an diese Proxys verteilt werden. Wenn Quell- oder Ziel-IP-Adressen für die Lastenverteilung verwendet werden, können diese maskiert werden, oder es kann ein Hash-Algorithmus für diese angewendet werden. Siehe Optionen unter Assignment method (Zuweisungsmethode). Wenn Quell- oder Ziel-Ports verwendet werden, kann nur die Hash-Algorithmusmethode ausgewählt werden. Lastenverteilungsoptionen für die Zuweisung nach Maske: • Source IP mask (Quell-IP-Maske): Gibt die Maske für eine Quell-IP-Adresse an. Der Standardmaskenwert ist 0x15. • Destination IP mask (Ziel-IP-Maske): Gibt die Maske für eine Ziel-IP-Adresse an. 124 McAfee Web Gateway 7.5.0 Produkthandbuch 6 Proxys Modus „Expliziter Proxy“ Tabelle 6-2 WCCP-Dienste – Listeneintrag (Fortsetzung) Option Definition Der Standardmaskenwert ist 0x15. Die Maske darf maximal 4 Ziffern lang sein, z. B. 0xa000. Für beide Masken zusammen können 6 Bit als Maximum festgelegt werden. Wenn eine Maske auf 0x0 gesetzt ist, hat diese keinen Einfluss auf die Lastenverteilung. Wenn Sie also beispielsweise nur die Quell-IP-Adressen zur Lastenverteilung verwenden möchten, müssen Sie die Maske für Ziel-IP-Adressen auf diesen Wert setzen. Lastenverteilungsoptionen für Zuweisung nach Hash: • Source IP (Quell-IP): Wenn diese Option ausgewählt ist, basiert die Lastenverteilung auf Quell-IP-Adressen. • Destination IP (Ziel-IP): Wenn diese Option ausgewählt ist, basiert die Lastenverteilung auf Ziel-IP-Adressen. • Source port (Quell-Port): Wenn diese Option ausgewählt ist, basiert die Lastenverteilung auf Quell-Port-Nummern. • Destination port (Ziel-Port): Wenn diese Option ausgewählt ist, basiert die Lastenverteilung auf Ziel-Port-Nummern. Wenn Sie einen WCCP-Dienst für die Verarbeitung von Client-Anfragen und einen anderen für die Verarbeitung von Web-Server-Antworten konfigurieren, müssen Sie Source IP (Quell-IP) und Destination IP (Ziel-IP) entsprechend „über Kreuz“ auswählen. Das heißt also, wenn Sie Source IP (Quell-IP) für den Client-Anfragendienst auswählen, müssen Sie Destination IP (Ziel-IP) für den Web-Server-Antwortendienst auswählen. Wenn Sie Source IP (Quell-IP) für den Web-Server-Antwortendienst auswählen, müssen Sie Destination IP (Ziel-IP) für den Client-Anfragendienst auswählen usw. Das Gleiche gilt für die Auswahl von Source port (Quell-Port) und Destination port (Ziel-Port). Assignment weight (Zuweisungsgewichtung) Legt einen Wert fest, um zu bestimmen, wie viel Last einem Proxy zugewiesen ist. Verwenden Sie diesen Wert, um einem Proxy auf einer Appliance mit größerer CPU-Kapazität mehr Last zuzuweisen. 0 bedeutet, dass keine Last an einen Proxy verteilt wird. Forwarding method (Weiterleitungsmethode) Dieses Hauptelement ist in der Liste nicht enthalten, wird in den Fenstern zum Hinzufügen und Bearbeiten jedoch angezeigt. Die folgenden beiden Elemente beziehen sich auf das Element und geben die Weiterleitungsmethode an. • GRE-encapsulated (GRE-gekapselt): Wenn diese Option ausgewählt ist, werden Datenpakete vor der Umleitung durch den Router gekapselt. • L2-rewrite to local NIC (L2-Neuschreibung in lokalen NIC): Wenn diese Option ausgewählt ist, werden Datenpakete an die Appliance umgeleitet, indem die MAC-Adresse auf dem nächsten Gerät (auf dem Weg zum Web-Server) durch die Adresse der Appliance ersetzt wird. McAfee Web Gateway 7.5.0 Produkthandbuch 125 6 Proxys Modus „Expliziter Proxy“ Tabelle 6-2 WCCP-Dienste – Listeneintrag (Fortsetzung) Option Definition L2-redirect target (L2-Umleitung Ziel) Gibt eine Netzwerkschnittstelle auf einer Appliance an, an die Pakete umgeleitet werden Magic (Mask assignment) (Magic (Maskenzuweisung)) Ermöglicht das Festlegen eines unbekannten Felds in der Maske, die eine Appliance an den Router sendet. Diese Einstellung ist erforderlich, um die Kompatibilität mit verschiedenen Versionen des Betriebssystems des Anbieters zu gewährleisten, das für den Router verwendet wird. Comment (Kommentar) Bietet einen Kommentar im Nur-Text-Format zu einem WCCP-Dienst. Tabelle 6-3 Port-Umleitungen – Listeneintrag Option Definition Original destination port (Ursprünglicher Ziel-Port) Gibt den Port an, an den die Datenpakete einer Client-Anfrage ursprünglich gerichtet waren. Destination proxy port (Ziel-Proxy-Port) Gibt einen Port an, an den Pakete umgeleitet werden. Comment (Kommentar) Enthält einen Kommentar im Nur-Text-Format zu einer Port-Umleitung. Erweiterte Einstellungen der ausgehenden Verbindung Einstellungen zur Angabe von Methoden für den Umgang mit Informationen aus an Web-Server gesendeten Client-Anfragen, die Voraussetzungen für die Netzwerkumgebung der Appliance sind 126 McAfee Web Gateway 7.5.0 Produkthandbuch 6 Proxys Modus „Expliziter Proxy“ Tabelle 6-4 Erweiterte Einstellungen der ausgehenden Verbindung Option Definition IP-Spoofing (HTTP, HTTPS, FTP) Wenn diese Option ausgewählt ist, behält die Appliance die Client-IP-Adresse aus einer Client-Anfrage als Quell-Adresse bei und verwendet diese zur Kommunikation mit dem angefragten Web-Server unter verschiedenen Protokollen. Wenn zum Abfangen des Web-Datenverkehrs und zur Umleitung an die Appliance WCCP-Dienste verwendet werden, müssen Sie für jeden Port der Appliance, die auf Client-Anfragen reagiert, zwei Dienste konfigurieren: einen für die Anfragen des Clients und einen für die Antworten auf diese Anfragen, die von den Web-Servern gesendet werden. Wenn diese Option nicht ausgewählt ist, wählt die Appliance einen Quell-Port und verwendet diesen in dieser Kommunikation. • IP spoofing for explicit proxy connections (IP-Spoofing für explizite Proxy-Verbindungen): Wenn diese Option ausgewählt ist, verbleiben die Client-Adressen im expliziten Proxy-Modus, in dem Web-Datenverkehr nicht durch ein zusätzliches Gerät abgefangen wird. • Use same source port as client for IP spoofing (Gleichen Quell-Port als Client für IP-Spoofing verwenden): Wenn diese Option ausgewählt ist, werden Client-Quell-Ports beibehalten und zusätzlich zu Client-Quell-Adressen für die Kommunikation mit Web-Servers verwendet. Wenn diese Option nicht ausgewählt ist, wählt die Appliance einen zufälligen Quell-Port und verwendet diesen in dieser Kommunikation. HTTP: Host header has priority over original destination address (transparent proxy) (HTTP: Host-Header hat Priorität gegenüber ursprünglicher Zieladresse (transparenter Proxy)) Wenn diese Option ausgewählt ist, wird die Zieladresse, die im HOST-Header-Teil einer Client-Anfrage unter dem HTTP-Protokoll bereitgestellt wird, für die Kommunikation mit dem angefragten Web-Server verwendet. In einer transparenten Proxy-Konfiguration könnte für die Kommunikation mit einem Web-Server auch die Zieladresse verwendet werden, die unter dem TCP-Protokoll für die zur Übertragung einer Client-Anfrage dienenden Verbindung angegeben wurde. Diese Adresse ist auch als die ursprüngliche Zieladresse bekannt. Beide Kommunikationsmethoden stehen einem transparenten Proxy auf einer Appliance, die Client-Anfragen abfängt, oder einem WCCP-Dienst, der Anfragen abfängt und an eine Appliance umleitet, zur Verfügung. Die Verwendung der HOST-Header-Zieladresse ist die bevorzugte Methode, bei einigen Konfigurationen kann es jedoch erforderlich sein, die Auswahl dieser Option aufzuheben und die ursprüngliche Zieladresse für die Kommunikation mit einem Web-Server zu verwenden. • Wenn der Web-Datenverkehr auf mehreren Appliances verarbeitet wird, auf denen transparente Proxys ausgeführt werden und an die Client-Anfragen entsprechend den Zieladressen geleitet werden, muss sichergestellt werden, dass die Proxys für die Verbindung mit den Web-Servern die ursprünglichen Zieladressen verwenden. • Dies gilt auch, wenn ein WCCP-Dienst unter Verwendung der Zieladressen zur Lastenverteilung Client-Anfragen abfängt und an mehrere Appliances umleitet. Beispiel-WCCP-Diensteinstellungen für IP-Spoofing Beispieleinstellungen zur Konfiguration der WCCP-Dienste mit IP-Spoofing Konfigurieren Sie diese Einstellungen nur, wenn Sie IP-Spoofing ausführen möchten. Normalerweise ist es nicht erforderlich, zwei Dienste für die Umleitung des Web-Datenverkehrs an die Appliance unter dem WCCP-Protokoll zu definieren. McAfee Web Gateway 7.5.0 Produkthandbuch 127 6 Proxys Modus „Expliziter Proxy“ Sie können IP-Spoofing in einer Konfiguration mit WCCP-Diensten verwenden, die Web-Datenverkehr abfangen und an die Appliance umleiten. In diesem Fall müssen Sie zwei Dienste für alle Ports auf der Appliance konfigurieren, die auf Anfragen reagieren. Einer dieser Dienste gilt für die von Clients eingehenden Anfragen und der andere für die von den Web-Servern gesendeten Antworten auf diese Anfragen. Die folgende Tabelle zeigt Beispielparameterwerte für diese Dienste. Tabelle 6-5 Beispielparameterwerte für zwei mit IP-Spoofing konfigurierte WCCP-Dienste Option Dienst für Client-Anfragen Dienst für Web-Server-Antworten Service ID (Dienst-ID) 51 52 WCCP router definition (WCCP-Router-Definition) 10.150.107.254 10.150.107.254 Ports to be redirected (Umzuleitende Ports) 80, 443 80, 443 Ports to be redirected are source ports (Umzuleitende Ports sind Quell-Ports) false true Proxy listener IP address (Proxy-Listener-IP-Adresse) 10.150.107.251 10.150.107.251 Proxy listener port (Proxy-Listener-Port) 9090 9090 MD5 authentication key (MD5-Authentifizierungsschlüssel) ***** ***** Input for load distribution (Eingabe Dieses Hauptelement ist in der Einstellungsliste nicht enthalten, für Lastenverteilung) wird in den Fenstern zum Hinzufügen und Bearbeiten jedoch angezeigt. Die folgenden vier Elemente beziehen sich auf dieses Element Source IP (Quell-IP) true false Destination IP (Ziel-IP) false true Source port (Quell-Port) true false Destination port (Ziel-Port) false true Assignment method (Zuweisungsmethode) Dieses Hauptelement ist in der Einstellungsliste nicht enthalten, wird in den Fenstern zum Hinzufügen und Bearbeiten jedoch angezeigt. Die folgenden vier Elemente beziehen sich auf dieses Element Assignment by mask (Zuweisung nach Maske) true true Assignment by hash (Zuweisung nach Hash) false false Assignment weight (Zuweisungsgewichtung) 100 100 Forwarding method (Weiterleitungsmethode) Dieses Hauptelement ist in der Einstellungsliste nicht enthalten, wird in den Fenstern zum Hinzufügen und Bearbeiten jedoch angezeigt. Die Elemente „GRE-encapsulated“ (GRE-gekapselt) und „L2-rewrite to local NIC“ (L2-Neuschreibung in lokalen NIC) beziehen sich auf dieses Element GRE-encapsulated (GRE-gekapselt) false false L2-rewrite to local NIC (L2-Neuschreibung in lokalen NIC) true true L2-redirect target (L2-Umleitung Ziel) eth1 eth1 Magic (Mask assignment) (Magic (Maskenzuweisung)) -1 -1 Comment (Kommentar) 128 McAfee Web Gateway 7.5.0 Produkthandbuch 6 Proxys Modus „Expliziter Proxy“ Einstellungen für „Proxy HA“ (Proxy-Hochverfügbarkeit) Mit den Einstellungen für „Proxy HA“ (Proxy-Hochverfügbarkeit) werden die Proxy-Funktionen der Appliance im expliziten Proxy-Modus mit Hochverfügbarkeitsfunktionen konfiguriert. Proxy HA (Proxy-Hochverfügbarkeit) Einstellungen für den expliziten Proxy-Modus mit Hochverfügbarkeitsfunktionen Tabelle 6-6 Proxy HA (Proxy-Hochverfügbarkeit) Option Definition Port redirects (Port-Umleitungen) Stellt eine Liste zum Eingeben der Ports bereit, an die von Benutzern gesendete Anfragen umgeleitet werden. Director priority (Weiterleitungspriorität) Legt die Priorität (im Bereich von 0 bis 99) fest, die eine Appliance bei der Weiterleitung von Datenpaketen befolgt. Der größte Wert gibt die höchste Priorität an. 0 (null) bedeutet, dass die Appliance Datenpakete nie weiterleitet, sondern diese nur filtert. In einer Hochverfügbarkeitskonfiguration sind normalerweise zwei Appliances als Master-Knoten mit einer höheren Priorität als 0 (null) festgelegt, die Datenpakete weiterleiten und Failover-Funktionen für den jeweils anderen Knoten bereitstellen. Die übrigen Knoten sind mit einer Priorität von 0 (null) konfiguriert; sie werden auch als Scan-Knoten bezeichnet. Der Prioritätswert wird auf einem Schieberegler eingestellt. Management IP (Verwaltungs-IP-Adresse) Gibt die IP-Quelladresse einer Appliance an, die Datenpakete beim Senden von Heartbeat-Meldungen an andere Appliances weiterleitet. Virtual IPs (Virtuelle IP-Adressen) Stellt eine Liste von virtuellen IP-Adressen bereit. Es wird dringend empfohlen, wenn Sie den expliziten Proxy-Modus mit Hochverfügbarkeitsfunktionen („Proxy HA“) in Web Gateway konfiguriert haben, keine virtuelle IP-Adresse beim Anmelden bei der Benutzeroberfläche zu verwenden. In den folgenden beiden Tabellen werden Einträge in der Liste der Port-Umleitungen („Port redirects) und der Liste der virtuellen IP-Adressen („Virtual IPs“) beschrieben. Tabelle 6-7 Port redirects (Port-Umleitungen) – Listeneintrag Option Definition Protocol name (Protokollname) Gibt den Namen des Protokolls an, das beim Senden einer Anfrage durch einen Benutzer für eingehende Datenpakete verwendet wird. Original destination ports (Ursprüngliche Ziel-Ports) Gibt die Ports an, an die umgeleitete Datenpakete ursprünglich gesendet wurden. Destination proxy port (Ziel-Proxy-Port) Gibt den Port an, an den die an die obigen Ports gesendeten Datenpakete ursprünglich umgeleitet wurden. Optional 802.1Q VLANs (Optionale 802.1Q-VLANs) Listet die IDs der konfigurierten Netzwerkschnittstellen für VLAN-Datenverkehr auf. Comment (Kommentar) Enthält einen Kommentar im Nur-Text-Format zu einer Port-Umleitung. McAfee Web Gateway 7.5.0 Produkthandbuch 129 6 Proxys Transparenter Router-Modus Tabelle 6-8 Virtual IPs (Virtuelle IP-Adressen) – Listeneintrag Option Definition Virtual IP address (Virtuelle IP-Adresse) Gibt eine virtuelle IP-Adresse (in CIDR-Notation) an. Network interface (Netzwerkschnittstelle) Gibt eine Netzwerkschnittstelle auf einer Appliance an, die für Heartbeats unter dem VRRP-Protokoll (Virtual Router Redundancy Protocol) verwendet wird. Comment (Kommentar) Enthält einen Kommentar im Nur-Text-Format zu einer virtuellen IP-Adresse. Transparenter Router-Modus Der transparente Router-Modus ist einer der beiden transparenten Modi, die Sie für die Proxy-Funktionen der Appliance konfigurieren können, wenn Sie keinen expliziten Modus verwenden möchten. Im transparenten Router-Modus ist den Clients die Appliance nicht bekannt, sodass diese nicht zur Weiterleitung ihres Web-Datenverkehrs an die Appliance konfiguriert werden müssen. Die Appliance wird als Router direkt hinter der Firewall platziert. Die Appliance kann über einen Switch mit ihren Clients verbunden werden. Zum Weiterleiten des Datenverkehrs wird eine Routing-Tabelle verwendet. Das folgende Diagramm veranschaulicht eine Konfiguration im transparenten Router-Modus. Abbildung 6-2 Transparenter Router-Modus Konfigurieren des transparenten Router-Modus Führen Sie die folgenden allgemeinen Schritte aus, um die Proxy-Funktionen einer Appliance im transparenten Router-Modus zu konfigurieren. Vorgehensweise 130 1 Wählen Sie Configuration | Appliances (Konfiguration | Appliances) aus. 2 Wählen Sie in der Appliances-Baumstruktur die Appliance aus, für die der transparente Router-Modus konfiguriert werden soll, und klicken Sie auf Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys (HTTP(S), FTP, ICAP und IM)). McAfee Web Gateway 7.5.0 Produkthandbuch 6 Proxys Transparenter Router-Modus 3 Wählen Sie unter Network Setup (Netzwerkeinrichtung) den Modus Transparent Router (Transparenter Router) aus. Nach dem Auswählen dieses Modus werden spezifische Einstellungen für Transparent Router (Transparenter Router) unter den Einstellungen für Network Setup (Netzwerkeinrichtung) angezeigt. Auf die spezifischen Einstellungen folgen allgemeine Einstellungen, u. a. Einstellungen zum Konfigurieren von HTTP, FTP und anderen Netzwerkprotokollen. 4 Konfigurieren Sie die spezifischen und allgemeinen Einstellungen nach Bedarf. 5 Klicken Sie auf Save Changes (Änderungen speichern). Wenn mehrere Appliances als Knoten in einer Konfiguration mit zentraler Verwaltung ausgeführt werden, können Sie für jeden dieser Knoten den transparenten Router-Modus konfigurieren. Konfigurieren von Knoten im transparenten Router-Modus Sie können den transparenten Router-Modus für zwei oder mehr Appliances konfigurieren, die Knoten in einer Konfiguration mit zentraler Verwaltung darstellen. Einer der Knoten übernimmt die Weiterleitungsrolle; d. h., er leitet Datenpakete weiter, die von den Scan-Knoten gefiltert werden. Beim Konfigurieren der Knoten müssen Netzwerk- und Proxy-Einstellungen konfiguriert werden. Aufgaben • Konfigurieren von Netzwerkeinstellungen für einen Weiterleitungsknoten im transparenten Router-Modus auf Seite 131 Zum Konfigurieren eines Master-Knotens im transparenten Router-Modus müssen Sie Netzwerkschnittstellen für eingehenden und ausgehenden Web-Datenverkehr konfigurieren. • Konfigurieren von Proxy-Einstellungen für einen Weiterleitungsknoten im transparenten Router-Modus auf Seite 132 Zum Konfigurieren von Proxy-Einstellungen für einen Weiterleitungsknoten im transparenten Router-Modus müssen Sie die Master-Rolle für den betreffenden Knoten sowie Port-Umleitungen und Proxy-Ports konfigurieren. • Konfigurieren eines Scan-Knotens im transparenten Router-Modus auf Seite 133 Zum Konfigurieren eines Scan-Knotens im transparenten Router-Modus müssen Sie mindestens eine Netzwerkschnittstelle für ausgehenden Datenverkehr konfigurieren. Konfigurieren Sie die Proxy-Einstellungen auf dieselbe Weise wie für einen Master-Knoten in diesem Modus, mit Ausnahme der Scan-Rolle. Konfigurieren von Netzwerkeinstellungen für einen Weiterleitungsknoten im transparenten Router-Modus Zum Konfigurieren eines Master-Knotens im transparenten Router-Modus müssen Sie Netzwerkschnittstellen für eingehenden und ausgehenden Web-Datenverkehr konfigurieren. Vorgehensweise 1 Wählen Sie Configuration | Appliances (Konfiguration | Appliances) aus. 2 Wählen Sie in der Appliances-Baumstruktur die Appliance aus, die Sie als Weiterleitungsknoten konfigurieren möchten, und klicken Sie auf Network interfaces (Netzwerkschnittstellen). 3 Konfigurieren Sie die Netzwerkschnittstellen für Ihr Netzwerk nach Bedarf. Sie benötigen mindestens eine Schnittstelle für eingehenden und eine Schnittstelle für ausgehenden Web-Datenverkehr. 4 Klicken Sie auf Save Changes (Änderungen speichern). Sie werden bei der Appliance abgemeldet und anschließend wieder angemeldet. McAfee Web Gateway 7.5.0 Produkthandbuch 131 6 Proxys Transparenter Router-Modus Konfigurieren von Proxy-Einstellungen für einen Weiterleitungsknoten im transparenten Router-Modus Zum Konfigurieren von Proxy-Einstellungen für einen Weiterleitungsknoten im transparenten Router-Modus müssen Sie die Master-Rolle für den betreffenden Knoten sowie Port-Umleitungen und Proxy-Ports konfigurieren. Die Weiterleitungsrolle wird konfiguriert, indem dem Knoten ein Prioritätswert > 0 zugewiesen wird. Vorgehensweise 1 Wählen Sie Configuration | Appliances (Konfiguration | Appliances) aus. 2 Wählen Sie in der Appliances-Baumstruktur die Appliance aus, die Sie als Weiterleitungsknoten konfigurieren möchten, und klicken Sie anschließend auf Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys (HTTP(S), FTP, ICAP und IM)). 3 Wählen Sie unter Network Setup (Netzwerkeinrichtung) den Modus Transparent Router (Transparenter Router) aus. Nun werden spezifische Einstellungen für Transparent Router (Transparenter Router) unter den Einstellungen für Network Setup (Netzwerkeinrichtung) angezeigt. 4 Konfigurieren Sie eine oder mehrere Port-Umleitungen, mit denen von Web Gateway-Clients gesendete Anfragen an einen bestimmten Port umgeleitet werden. a Klicken Sie unter Port redirects (Port-Umleitungen) auf Add (Hinzufügen). Daraufhin öffnet sich das Fenster Add Port Redirects (Port-Umleitungen hinzufügen). b Konfigurieren Sie folgende Einstellungen für eine neue Port-Umleitung, die für HTTP- bzw. HTTPS-Verbindungen gilt: • Protocol name (Protokollname) – http http deckt sowohl HTTP-Verbindungen als auch HTTPS-Verbindungen ab. • Original destination ports (Ursprüngliche Ziel-Ports) – 80. 443 Dies sind die standardmäßigen Ziel-Ports. Sie decken sowohl HTTP-Verbindungen als auch HTTPS-Verbindungen ab. Wenn Sie außerdem HTTPS-Datenverkehr filtern möchten, aktivieren Sie den Regelsatz „SSL Scanner“, der in der Regelsatz-Baumstruktur zwar standardmäßig bereitgestellt wird, jedoch nicht aktiviert ist. • Destination proxy port (Ziel-Proxy-Port) – 9090 9090 ist der standardmäßige Proxy-Port auf einer Appliance. Wenn Sie aufgrund der spezifischen Anforderungen Ihres Netzwerks andere Ports verwenden müssen, ändern Sie ggf. diese Einstellungen. Wählen Sie zum Konfigurieren einer Port-Umleitung für FTP-Verbindungen das FTP-Protokoll aus. Standard-Ports sind dann vorkonfiguriert; Sie können diese jedoch bei Bedarf ändern. 132 5 Legen Sie Director priority (Weiterleitungspriorität) auf einen Wert > 0 fest. 6 Geben Sie im Feld Management IP (IP-Adresse für Verwaltung) eine IP-Adresse für jeden Scan-Knoten ein, mit denen der Master Verbindungen herstellen können soll. 7 Konfigurieren Sie unter Virtual IPs (Virtuelle IP-Adressen) virtuelle IP-Adressen für die eingehende und die ausgehende Netzwerkschnittstelle; geben Sie hierbei freie IP-Adressen an. 8 Behalten Sie die Zahl unter Virtual router ID (ID für virtuellen Router) unverändert bei. McAfee Web Gateway 7.5.0 Produkthandbuch 6 Proxys Transparenter Router-Modus 9 Wählen Sie in der Liste VRRP interface (VRRP-Schnittstelle) die Schnittstellen für Heartbeats unter diesem Protokoll aus. 10 Konfigurieren Sie ggf. das IP-Spoofing. 11 Vergewissern Sie sich, dass unter HTTP proxy port (HTTP-Proxy-Port) die Option Enable HTTP proxy (HTTP-Proxy aktivieren) ausgewählt ist. Die Einstellung ist standardmäßig ausgewählt. Ein Eintrag für Port 9090 ist in der HTTP Port Definition List (Liste der HTTP-Port-Definitionen) ebenfalls standardmäßig konfiguriert. • Sie können diesen Port ggf. ändern. Wenn Sie auf Add (Hinzufügen) klicken, wird das Fenster Add HTTP Proxy Port (HTTP-Proxy-Port hinzufügen) geöffnet, in dem Sie weitere Proxy-Ports hinzufügen können. • Wählen Sie zum Konfigurieren eines oder mehrerer FTP-Proxys unter FTP Proxy (FTP-Proxy) die Option Enable FTP Proxy (FTP-Proxy aktivieren) aus. Nun wird ein Eintrag für FTP-Kontrollport 2121 und FTP-Datenport 2020 in der FTP Port Definition List (Liste der FTP-Port-Definitionen) vorkonfiguriert. 12 Klicken Sie auf Save Changes (Änderungen speichern). Konfigurieren eines Scan-Knotens im transparenten Router-Modus Zum Konfigurieren eines Scan-Knotens im transparenten Router-Modus müssen Sie mindestens eine Netzwerkschnittstelle für ausgehenden Datenverkehr konfigurieren. Konfigurieren Sie die Proxy-Einstellungen auf dieselbe Weise wie für einen Master-Knoten in diesem Modus, mit Ausnahme der Scan-Rolle. Die Scan-Rolle wird konfiguriert, indem dem Knoten der Prioritätswert 0 (null) zugewiesen wird. Vorgehensweise 1 Wählen Sie Configuration | Appliances (Konfiguration | Appliances) aus. 2 Wählen Sie in der Appliances-Baumstruktur die Appliance aus, die Sie als Scan-Knoten konfigurieren möchten, und klicken Sie auf Network Interfaces (Netzwerkschnittstellen). 3 Konfigurieren Sie die Netzwerkschnittstellen für Ihr Netzwerk nach Bedarf. Sie benötigen mindestens eine Schnittstelle für ausgehenden Web-Datenverkehr. 4 Klicken Sie auf Save Changes (Änderungen speichern). 5 Sie werden bei der Appliance abgemeldet und anschließend wieder angemeldet. 6 Wählen Sie in der Appliances-Struktur die Appliance aus, die Sie als Scan-Knoten konfigurieren möchten, und klicken Sie anschließend auf Proxies (HTTP(S), FTP, SOCKS, ICAP ...) (Proxys (HTTP(S), FTP, SOCKS, ICAP ...)). 7 Wählen Sie unter Network Setup (Netzwerkeinrichtung) den Modus Transparent Router (Transparenter Router) aus. Nun werden spezifische Einstellungen für Transparent Router (Transparenter Router) unter den Einstellungen für Network Setup (Netzwerkeinrichtung) angezeigt. 8 Konfigurieren Sie dieselben Port-Umleitungen wie für den Weiterleitungsknoten. 9 Legen Sie Director priority (Weiterleitungspriorität) auf den Wert 0 (null) fest. 10 Konfigurieren Sie das IP-Spoofing auf dieselbe Weise wie für den Weiterleitungsknoten. 11 Konfigurieren Sie dieselben HTTP- und FTP-Proxy-Ports wie für den Weiterleitungsknoten. 12 Klicken Sie auf Save Changes (Änderungen speichern). McAfee Web Gateway 7.5.0 Produkthandbuch 133 6 Proxys Transparenter Router-Modus Wenn mehrere Scan-Knoten im Modus „Transparenter Router“ ausgeführt werden sollen, konfigurieren Sie weitere Appliances auf die gleiche Weise. Einstellungen für „Transparenter Router“ Die Einstellungen für „Transparenter Router“ sind spezielle Einstellungen zur Konfiguration der Proxy-Funktionen einer Appliance im Modus „Transparenter Router“. Transparenter Router Einstellungen zum Konfigurieren des Modus „Transparenter Router“ Tabelle 6-9 Transparenter Router Option Definition Port redirects (Port-Umleitungen) Bietet eine Liste zur Eingabe der Ports, an die von Benutzern gesendete Web-Zugriffsanfragen umgeleitet werden. Director priority (Weiterleitungspriorität) Legt die Priorität (von 0 bis 99) fest, die eine Appliance beim Weiterleiten der in einer Anfrage gesendeten Datenpakete hat. Die Weiterleitungspriorität wird relevant, wenn es sich bei der Appliance um einen von mehreren Knoten innerhalb einer Konfiguration mit zentraler Verwaltung handelt. Der Knoten mit dem höchsten Wert ist dann der Weiterleitungsknoten für die Pakete, während die anderen Knoten diese lediglich filtern. Wenn Sie für einen Knoten 0 angeben, kann dieser niemals ein Weiterleitungsknoten sein. Management IP (Verwaltungs-IP-Adresse) Gibt die IP-Quelladresse einer Appliance an, die Datenpakete beim Senden von Heartbeat-Meldungen an andere Appliances weiterleitet. Virtual IPs (Virtuelle IP-Adressen) Stellt eine Liste zur Eingabe virtueller IP-Adressen bereit. Virtual router ID (ID des virtuellen Routers) Gibt einen virtuellen Router an. VRRP interface (VRRP-Schnittstelle) Gibt die Netzwerkschnittstelle auf einer Appliance zum Senden und Empfangen von Heartbeat-Meldungen an. IP spoofing (HTTP, HTTPS) (IP-Spoofing (HTTP, HTTPS)) Bei Auswahl dieser Option behält die Appliance die mit einer Anfrage gesendete Client-IP-Adresse als Quell-Adresse bei und verwendet diese zur Kommunikation mit dem angefragten Web-Server unter verschiedenen Protokollen. Die Appliance überprüft nicht, ob diese Adresse mit dem Host-Namen der Anfrage übereinstimmt. IP spoofing (FTP) (IP-Spoofing (FTP)) Bei Auswahl dieser Option kommuniziert die Appliance mit einem Datei-Server unter dem FTP-Protokoll auf die gleiche Art und Weise wie unter dem HTTP- oder HTTPS-Protokoll, um das IP-Spoofing durchzuführen. Diese Option muss für ein aktives FTP aktiviert sein. In den folgenden beiden Tabellen werden Einträge in der Liste der Port-Umleitungen („Port redirects) und der Liste der virtuellen IP-Adressen („Virtual IPs“) beschrieben. 134 McAfee Web Gateway 7.5.0 Produkthandbuch 6 Proxys Transparenter Router-Modus Tabelle 6-10 Port-Umleitungen – Listeneintrag Option Definition Protocol name (Protokollname) Gibt den Namen des Protokolls an, das zum Senden und Empfangen von Anfragen verwendet wird. Original destination ports (Ursprüngliche Ziel-Ports) Gibt die Ports an, an die Anfragen ursprünglich gesendet werden müssen, wenn diese umzuleiten sind. Destination proxy port (Ziel-Proxy-Port) Gibt den Port an, an den Anfragen umgeleitet werden. Source IP based exceptions (Quell-IP-basierte Ausnahmen) Schließt Anfragen von der Umleitung aus, die von Clients mit den angegebenen IP-Adressen erhalten wurden. • Für jede IP-Adresse muss auch eine Netzmaske angegeben werden. • Wenn eine Anfrage von der Umleitung ausgeschlossen wird, wird diese von keiner der implementierten Filterregeln verarbeitet. • Sie können Umleitungsausnahmen auf diese Weise konfigurieren, um von vertrauenswürdigen Quellen eingegangene Anfragen die weitere Verarbeitung auf Web Gateway überspringen zu lassen, oder zur Fehlerbehebung bei Verbindungsproblemen. Destination IP based exceptions (Ziel-IP-basierte Ausnahmen) Schließt Anfragen von der Umleitung aus, die an ein Ziel mit der angegebenen IP-Adresse gesendet werden. • Für jede IP-Adresse muss auch eine Netzmaske angegeben werden. • Wenn eine Anfrage von der Umleitung ausgeschlossen wird, wird diese von keiner der implementierten Filterregeln verarbeitet. • Sie können Umleitungsausnahmen auf diese Weise konfigurieren, um an vertrauenswürdige Ziele gesendeten Anfragen die weitere Verarbeitung auf Web Gateway überspringen zu lassen, oder zur Fehlerbehebung bei Verbindungsproblemen. Optional 802.1Q VLANs Listet die IDs der konfigurierten Netzwerkschnittstellen für (Optionale 802.1Q-VLANs) VLAN-Datenverkehr auf. Comment (Kommentar) Tabelle 6-11 Enthält einen Kommentar im Nur-Text-Format zu einer Port-Umleitung. Virtual IPs (Virtuelle IP-Adressen) – Listeneintrag Option Definition Virtual IP address (Virtuelle IP-Adresse) Gibt eine virtuelle IP-Adresse (in CIDR-Notation) an. Network interface (Netzwerkschnittstelle) Gibt eine Netzwerkschnittstelle auf einer Appliance an, der die hier konfigurierte virtuelle IP-Adresse zugewiesen wird. Diese virtuelle IP-Adresse wird nur dann der Schnittstelle zugewiesen, wenn der aktuelle Knoten die Rolle des aktiven Weiterleitungsknotens annimmt. Comment (Kommentar) McAfee Web Gateway 7.5.0 Enthält einen Kommentar im Nur-Text-Format zu einer virtuellen IP-Adresse. Produkthandbuch 135 6 Proxys Transparenter Bridge-Modus Transparenter Bridge-Modus Der transparente Bridge-Modus ist einer der transparenten Modi, die Sie für die Proxy-Funktionen der Appliance konfigurieren können, wenn Sie keinen expliziten Modus verwenden möchten. In diesem Modus ist den Clients die Appliance nicht bekannt, sodass diese nicht zur Weiterleitung ihres Web-Datenverkehrs an die Appliance konfiguriert werden müssen. Die Appliance befindet sich üblicherweise zwischen einer Firewall und einem Router, wo sie als unsichtbare Bridge dient. Das folgende Diagramm veranschaulicht eine Konfiguration im transparenten Bridge-Modus. Abbildung 6-3 Transparenter Bridge-Modus Konfigurieren des transparenten Bridge-Modus Führen Sie die folgenden allgemeinen Schritte aus, um die Proxy-Funktionen einer Appliance im transparenten Bridge-Modus zu konfigurieren. Vorgehensweise 1 Wählen Sie Configuration | Appliances (Konfiguration | Appliances) aus. 2 Wählen Sie in der Appliances-Baumstruktur die Appliance aus, für die der transparente Bridge-Modus konfiguriert werden soll, und klicken Sie auf Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys (HTTP(S), FTP, ICAP und IM)). 3 Wählen Sie unter Network Setup (Netzwerkeinrichtung) den Modus Transparent Bridge (Transparente Bridge) aus. Nach dem Auswählen dieses Modus werden spezifische Einstellungen für Transparent Bridge (Transparente Bridge) unter den Einstellungen für Network Setup (Netzwerkeinrichtung) angezeigt. Auf die spezifischen Einstellungen folgen allgemeine Einstellungen, u. a. Einstellungen zum Konfigurieren von HTTP, FTP und anderen Netzwerkprotokollen. 4 Konfigurieren Sie die spezifischen und allgemeinen Einstellungen nach Bedarf. 5 Klicken Sie auf Save Changes (Änderungen speichern). Wenn mehrere Appliances als Knoten in einer Konfiguration mit zentraler Verwaltung ausgeführt werden, können Sie für jeden dieser Knoten den transparenten Bridge-Modus konfigurieren. 136 McAfee Web Gateway 7.5.0 Produkthandbuch 6 Proxys Transparenter Bridge-Modus Konfigurieren von Knoten im transparenten Bridge-Modus Sie können den transparenten Bridge-Modus für zwei oder mehr Appliances konfigurieren, die Knoten in einer Konfiguration mit zentraler Verwaltung darstellen. Einer der Knoten übernimmt die Weiterleitungsrolle; d. h., er leitet Datenpakete weiter, die von den Scan-Knoten gefiltert werden. Beim Konfigurieren der Knoten müssen Netzwerk- und Proxy-Einstellungen sowie Einstellungen für die zentrale Verwaltung konfiguriert werden. Aufgaben • Konfigurieren von Netzwerkeinstellungen und Einstellungen für die zentrale Verwaltung für einen Weiterleitungsknoten im transparenten Bridge-Modus auf Seite 137 Zum Konfigurieren eines Master-Knotens im transparenten Bridge-Modus müssen Sie eine Netzwerkschnittstelle für die Funktionen der transparenten Bridge konfigurieren und deren IP-Adresse für die Verwendung bei der Kommunikation mit der zentralen Verwaltung freigeben. • Konfigurieren von Proxy-Einstellungen für einen Weiterleitungsknoten im transparenten Bridge-Modus auf Seite 138 Zum Konfigurieren von Proxy-Einstellungen für einen Weiterleitungsknoten im transparenten Bridge-Modus müssen Sie die Master-Rolle für den betreffenden Knoten sowie Port-Umleitungen und Proxy-Ports konfigurieren. • Konfigurieren eines Scan-Knotens im transparenten Bridge-Modus auf Seite 139 Zum Konfigurieren eines Scan-Knotens im transparenten Bridge-Modus müssen Sie dieselben Einstellungen wie für einen Master-Knoten in diesem Modus konfigurieren, mit Ausnahme der Scan-Rolle. Konfigurieren von Netzwerkeinstellungen und Einstellungen für die zentrale Verwaltung für einen Weiterleitungsknoten im transparenten Bridge-Modus Zum Konfigurieren eines Master-Knotens im transparenten Bridge-Modus müssen Sie eine Netzwerkschnittstelle für die Funktionen der transparenten Bridge konfigurieren und deren IP-Adresse für die Verwendung bei der Kommunikation mit der zentralen Verwaltung freigeben. Vorgehensweise 1 Wählen Sie Configuration | Appliances (Konfiguration | Appliances) aus. 2 Wählen Sie in der Appliances-Baumstruktur die Appliance aus, die Sie als Weiterleitungsknoten konfigurieren möchten, und klicken Sie auf Network interfaces (Netzwerkschnittstellen). 3 Bereiten Sie die Netzwerkschnittstelle für die Funktionen der transparenten Bridge vor. a Wählen Sie eine bisher nicht verwendete Netzwerkschnittstelle auf der Appliance aus, aktivieren Sie diese jedoch noch nicht. b Wählen Sie auf der Registerkarte Advanced (Erweitert) die Option Bridge enabled (Bridge aktiviert) aus. c Geben Sie im Feld Name ibr0 als Namen der Schnittstelle ein. d Wählen Sie auf der Registerkarte IPv4 unter IP Settings (IP-Einstellungen) die Option Disable IPv4 (IPv4 deaktivieren) aus. e Klicken Sie auf Save Changes (Änderungen speichern). Sie werden bei der Appliance abgemeldet und anschließend wieder angemeldet. McAfee Web Gateway 7.5.0 Produkthandbuch 137 6 Proxys Transparenter Bridge-Modus 4 Konfigurieren Sie die Netzwerkschnittstelle für die Funktionen der transparenten Bridge. a Wählen Sie Configuration | Appliances (Konfiguration | Appliances) aus. Wählen Sie anschließend erneut die Appliance aus, und klicken Sie auf Network interfaces (Netzwerkschnittstellen). Daraufhin wird eine weitere Netzwerkschnittstelle mit dem Namen ibr0 verfügbar. 5 b Wählen Sie die Schnittstelle ibr0 aus. c Konfigurieren Sie auf der Registerkarte IPv4 eine IP-Adresse, eine Subnetz-Maske und eine Standardroute für diese Schnittstelle. d Aktivieren Sie das Kontrollkästchen neben der Schnittstelle, um diese zu aktivieren. Konfigurieren Sie die derzeit für den Zugriff auf die Appliance verwendete Netzwerkschnittstelle als Netzwerkschnittstelle für die Funktionen der transparenten Bridge. a Wählen Sie die derzeit für den Zugriff auf die Appliance verwendete Netzwerkschnittstelle aus. b Wählen Sie auf der Registerkarte Advanced (Erweitert) die Option Bridge enabled (Bridge aktiviert) aus. c Geben Sie im Feld Name ibr0 als Namen der Schnittstelle ein. d Wählen Sie auf der Registerkarte IPv4 unter IP Settings (IP-Einstellungen) die Option Disable IPv4 (IPv4 deaktivieren) aus. 6 Aktivieren Sie die Netzwerkschnittstelle ibr0, die Sie in Schritt 3 aus den bisher nicht verwendeten Netzwerkschnittstellen ausgewählt haben. 7 Konfigurieren Sie die Einstellungen für die zentrale Verwaltung. 8 a Wählen Sie Central Management (Zentrale Verwaltung) aus. b Fügen Sie unter Central Management Settings (Einstellungen für zentrale Verwaltung) der bereitgestellten Liste die IP-Adresse hinzu, die Sie für die Netzwerkschnittstelle ibr0 festgelegt haben. Klicken Sie auf Save Changes (Änderungen speichern). Wenn mehrere Netzwerkschnittstellen für den transparenten Bridge-Modus verwendet werden sollen, konfigurieren Sie weitere nicht verwendete Netzwerkschnittstellen einer Appliance auf dieselbe Weise. Konfigurieren von Proxy-Einstellungen für einen Weiterleitungsknoten im transparenten Bridge-Modus Zum Konfigurieren von Proxy-Einstellungen für einen Weiterleitungsknoten im transparenten Bridge-Modus müssen Sie die Master-Rolle für den betreffenden Knoten sowie Port-Umleitungen und Proxy-Ports konfigurieren. Die Weiterleitungsrolle wird konfiguriert, indem dem Knoten ein Prioritätswert > 0 zugewiesen wird. Vorgehensweise 1 Wählen Sie Configuration | Appliances (Konfiguration | Appliances) aus. 2 Wählen Sie in der Appliances-Baumstruktur die Appliance aus, die Sie als Weiterleitungsknoten konfigurieren möchten, und klicken Sie anschließend auf Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys (HTTP(S), FTP, ICAP und IM)). 3 Wählen Sie unter Network Setup (Netzwerkeinrichtung) den Modus Transparent Bridge (Transparente Bridge) aus. Nun werden spezifische Einstellungen für Transparent Bridge (Transparente Bridge) unter den Einstellungen für Network Setup (Netzwerkeinrichtung) angezeigt. 138 McAfee Web Gateway 7.5.0 Produkthandbuch 6 Proxys Transparenter Bridge-Modus 4 Konfigurieren Sie eine oder mehrere Port-Umleitungen, mit denen von Web Gateway-Clients gesendete Anfragen an einen bestimmten Port umgeleitet werden. a Klicken Sie unter Port redirects (Port-Umleitungen) auf Add (Hinzufügen). b Konfigurieren Sie folgende Einstellungen für eine neue Port-Umleitung, die für HTTP- bzw. HTTPS-Verbindungen gilt: • Protocol name (Protokollname) – http http deckt sowohl HTTP-Verbindungen als auch HTTPS-Verbindungen ab. • Original destination ports (Ursprüngliche Ziel-Ports) – 80. 443 Dies sind die standardmäßigen Ziel-Ports. Sie decken sowohl HTTP-Verbindungen als auch HTTPS-Verbindungen ab. Wenn Sie außerdem HTTPS-Datenverkehr filtern möchten, müssen Sie den Regelsatz „SSL Scanner“ aktivieren, der in der Regelsatz-Baumstruktur zwar standardmäßig bereitgestellt wird, jedoch nicht aktiviert ist. • Destination proxy port (Ziel-Proxy-Port) – 9090 9090 ist der standardmäßige Proxy-Port auf einer Appliance. Wenn Sie aufgrund der spezifischen Anforderungen Ihres Netzwerks andere Ports verwenden müssen, ändern Sie ggf. diese Einstellungen. Wählen Sie zum Konfigurieren einer Port-Umleitung für FTP-Verbindungen das FTP-Protokoll aus. Standard-Ports sind dann vorkonfiguriert; Sie können diese jedoch bei Bedarf ändern. 5 Legen Sie Director priority (Weiterleitungspriorität) auf einen Wert > 0 fest. 6 Geben Sie im Feld Management IP (IP-Adresse für Verwaltung) die IP-Adresse ein, die Sie beim Konfigurieren der Netzwerkeinstellungen für ibr0 angegeben haben. 7 Konfigurieren Sie ggf. das IP-Spoofing. 8 Vergewissern Sie sich, dass unter HTTP proxy port (HTTP-Proxy-Port) die Option Enable HTTP proxy (HTTP-Proxy aktivieren) ausgewählt ist. Die Einstellung ist standardmäßig ausgewählt. Ein Eintrag für Port 9090 ist in der HTTP Port Definition List (Liste der HTTP-Port-Definitionen) ebenfalls standardmäßig konfiguriert. 9 • Sie können diesen Port ggf. ändern. Wenn Sie auf Add (Hinzufügen) klicken, wird das Fenster Add HTTP Proxy Port (HTTP-Proxy-Port hinzufügen) geöffnet, in dem Sie weitere Proxy-Ports hinzufügen können. • Wählen Sie zum Konfigurieren eines oder mehrerer FTP-Proxys unter FTP Proxy (FTP-Proxy) die Option Enable FTP Proxy (FTP-Proxy aktivieren) aus. Nun wird ein Eintrag für FTP-Kontrollport 2121 und FTP-Datenport 2020 in der FTP Port Definition List (Liste der FTP-Port-Definitionen) vorkonfiguriert. Klicken Sie auf Save Changes (Änderungen speichern). Konfigurieren eines Scan-Knotens im transparenten Bridge-Modus Zum Konfigurieren eines Scan-Knotens im transparenten Bridge-Modus müssen Sie dieselben Einstellungen wie für einen Master-Knoten in diesem Modus konfigurieren, mit Ausnahme der Scan-Rolle. Die Scan-Rolle wird konfiguriert, indem dem Knoten der Prioritätswert 0 (null) zugewiesen wird. McAfee Web Gateway 7.5.0 Produkthandbuch 139 6 Proxys Transparenter Bridge-Modus Vorgehensweise 1 Wählen Sie Configuration | Appliances (Konfiguration | Appliances) aus. 2 Wählen Sie in der Appliances-Struktur die Appliance aus, die Sie als Scan-Knoten konfigurieren möchten, und klicken Sie anschließend auf Proxies (HTTP(S), FTP, SOCKS, ICAP ...) (Proxys (HTTP(S), FTP, SOCKS, ICAP ...)). 3 Wählen Sie unter Network Setup (Netzwerkeinrichtung) den Modus Transparent Bridge (Transparente Bridge) aus. Nun werden spezifische Einstellungen für Transparent Bridge (Transparente Bridge) unter den Einstellungen für Network Setup (Netzwerkeinrichtung) angezeigt. 4 Konfigurieren Sie dieselben Port-Umleitungen wie für den Weiterleitungsknoten. 5 Legen Sie Director priority (Weiterleitungspriorität) auf den Wert 0 (null) fest. 6 Konfigurieren Sie das IP-Spoofing auf dieselbe Weise wie für den Weiterleitungsknoten. 7 Konfigurieren Sie dieselben HTTP- und FTP-Proxy-Ports wie für den Weiterleitungsknoten. 8 Klicken Sie auf Save Changes (Änderungen speichern). Wenn mehrere Scan-Knoten im Modus „Transparente Bridge“ ausgeführt werden sollen, konfigurieren Sie weitere Appliances auf die gleiche Weise. Einstellungen für die transparente Bridge Die Einstellungen für die transparente Bridge sind spezielle Einstellungen zur Konfiguration der Proxy-Funktionen einer Appliance im transparenten Bridge-Modus. Transparente Bridge Einstellungen zum Konfigurieren des transparenten Bridge-Modus Tabelle 6-12 Transparente Bridge Option Definition Port redirects (Port-Umleitungen) Bietet eine Liste zur Eingabe der Ports, an die von den Benutzern gesendete Web-Zugriffsanfragen umgeleitet werden. Director priority (Weiterleitungspriorität) Legt die Priorität (von 0 bis 99) fest, die eine Appliance beim Weiterleiten der in einer Anfrage gesendeten Datenpakete hat. Der größte Wert gibt die höchste Priorität an. 0 bedeutet, dass es sich bei einer Appliance um einen so genannten Scan-Knoten handelt, der Datenpakete nur filtert und nie weiterleitet. Sie können diese Option nur zum Konfigurieren eines Knotens als Scan-Knoten (Priorität = 0) oder als Master-Knoten (Priorität > 0) verwenden. Unterschiede in der Knotenprioritäten größer als 0 werden nicht ausgewertet. Nach dem Konfigurieren von Knotenprioritäten größer als 0 für mehrere Appliances im transparenten Bridge-Modus müssen Sie deren Verhalten beobachten, um herauszufinden, welche tatsächlich zum Master-Knoten wurde und die Datenpakete weiterleitet. 140 McAfee Web Gateway 7.5.0 Produkthandbuch 6 Proxys Transparenter Bridge-Modus Tabelle 6-12 Transparente Bridge (Fortsetzung) Option Definition Management IP (Verwaltungs-IP-Adresse) Gibt die IP-Quelladresse einer Appliance an, die Datenpakete beim Senden von Heartbeat-Meldungen an andere Appliances weiterleitet. IP spoofing (HTTP, HTTPS) (IP-Spoofing (HTTP, HTTPS)) Bei Auswahl dieser Option behält die Appliance die mit einer Anfrage gesendete Client-IP-Adresse als Quell-Adresse bei und verwendet diese zur Kommunikation mit dem angefragten Web-Server unter verschiedenen Protokollen. Die Appliance überprüft nicht, ob diese Adresse mit dem Host-Namen der Anfrage übereinstimmt. IP spoofing (FTP) (IP-Spoofing (FTP)) Bei Auswahl dieser Option kommuniziert die Appliance mit einem Datei-Server unter dem FTP-Protokoll auf die gleiche Art und Weise wie unter dem HTTP- oder HTTPS-Protokoll, um das IP-Spoofing durchzuführen Diese Option muss für ein aktives FTP aktiviert sein. In der folgenden Tabelle wird ein Eintrag in der Liste der Port-Umleitungen erläutert. Tabelle 6-13 Port-Umleitungen – Listeneintrag Option Definition Protocol name (Protokollname) Gibt den Namen des Protokolls an, das zum Senden und Empfangen von Anfragen verwendet wird. Original destination ports (Ursprüngliche Ziel-Ports) Gibt die Ports an, an die umgeleitete Anfragen ursprünglich gesendet werden müssen, wenn diese umzuleiten sind. Destination proxy port (Ziel-Proxy-Port) Gibt den Port an, an den Anfragen umgeleitet werden. Source IP based exceptions (Quell-IP-basierte Ausnahmen) Schließt Anfragen von der Umleitung aus, die von Clients mit den angegebenen IP-Adressen erhalten wurden. • Für jede IP-Adresse muss auch eine Netzmaske angegeben werden. • Wenn eine Anfrage von der Umleitung ausgeschlossen wird, wird diese von keiner der implementierten Filterregeln verarbeitet. • Sie können Umleitungsausnahmen auf diese Weise konfigurieren, um von vertrauenswürdigen Quellen eingegangene Anfragen die weitere Verarbeitung auf Web Gateway überspringen zu lassen, oder zur Fehlerbehebung bei Verbindungsproblemen. Destination IP based exceptions (Ziel-IP-basierte Ausnahmen) Schließt Anfragen von der Umleitung aus, die an ein Ziel mit der angegebenen IP-Adresse gesendet werden. • Für jede IP-Adresse muss auch eine Netzmaske angegeben werden. • Wenn eine Anfrage von der Umleitung ausgeschlossen wird, wird diese von keiner der implementierten Filterregeln verarbeitet. • Sie können Umleitungsausnahmen auf diese Weise konfigurieren, um an vertrauenswürdige Ziele gesendete Anfragen die weitere Verarbeitung überspringen zu lassen Optional 802.1Q VLANs (Optionale 802.1Q-VLANs) Listet die IDs der konfigurierten Netzwerkschnittstellen für VLAN-Datenverkehr auf. Comment (Kommentar) Enthält einen Kommentar im Nur-Text-Format zu einer Port-Umleitung. McAfee Web Gateway 7.5.0 Produkthandbuch 141 6 Proxys Secure ICAP Secure ICAP Wenn eine Appliance unter dem ICAP-Protokoll die Server- und Client-Rolle übernimmt, kann die Kommunikation im SSL-gesicherten Modus erfolgen. Um diesen Modus verwenden zu können, müssen Sie ein Server-Zertifikat für jeden ICAP-Port der Appliance importieren, bei der SSL-gesicherte Anfragen der Clients eingehen. Die Clients sind zum Übermitteln der Zertifikate nicht erforderlich. Anfragen, die von der Appliance in ihrer Rolle als ICAP-Client an den ICAP-Server weitergeleitet werden, müssen ICAPS als Spezifikation in der Server-Adresse enthalten, um die SSL-gesicherte Kommunikation mit dem Server zu ermöglichen. Die Appliance sendet kein Client-Zertifikat an den ICAP-Server. SOCKS-Proxy Sie können Web Gateway als Proxy konfigurieren, der den Web-Datenverkehr über das SOCKS-Protokoll (Sockets-Protokoll) weiterleitet. Web-Datenverkehr über das SOCKS-Protokoll folgt außerdem auch einem eingebetteten Protokoll, bei dem es sich z. B. um HTTP oder HTTPS handeln kann. Das eingebettete Protokoll kann in Web Gateway erkannt werden, und wenn die Filterung für den Web-Datenverkehr unter diesem Protokoll unterstützt wird, können die konfigurierten Filterregeln für diesen Datenverkehr verarbeitet werden. Wenn die Filterung nicht unterstützt wird, kann der Datenverkehr durch eine passende Regel blockiert werden. Bezüglich der Verwendung des SOCKS-Protokolls für die Proxy-Funktionen in Web Gateway gelten einige Einschränkungen: • Die SOCKS-Protokollversion muss 5, 4 oder 4a sein. Außerdem muss diese TCP-basiert sein. • Die BIND-Methode wird zum Einrichten von Verbindungen unter dem SOCKS-Protokoll nicht unterstützt. Web-Datenverkehr, der von einem Proxy am nächsten Hop unter dem SOCKS-Protokoll weitergeleitet wird, kann mit Stufe 1 oder 2 der Kerberos-Authentifizierungsmethode geschützt werden. In diesem Fall kann jedoch keine SSL-Verschlüsselung auf den Datenverkehr angewendet werden, sodass auch kein SSL-Scan erforderlich ist. Der Standardregelsatz „SSL Scanner“ enthält daher einen Kriterienabschnitt, der dafür sorgt, dass dieser Datenverkehr beim SSL-Scan übersprungen wird. Konfigurieren eines SOCKS-Proxys Zum Konfigurieren von Web Gateway als SOCKS-Proxy müssen Sie verschiedene Aktionen durchführen. • Den SOCKS-Proxy aktivieren. • Einen oder mehrere Proxy-Ports angeben, die auf SOCKS-Proxy-Clients überwachen, die Anfragen an Web Gateway senden. Diese Ports werden im Rahmen der allgemeinen Proxy-Einstellungen auf Web Gateway angegeben. • Regeln erstellen, die das Verhalten des SOCKS-Proxys steuern. Diese Einstellungen werden im Rahmen der allgemeinen Proxy-Einstellungen auf Web Gateway konfiguriert. 142 McAfee Web Gateway 7.5.0 Produkthandbuch 6 Proxys SOCKS-Proxy Verwenden von Eigenschaften und eines Ereignisses in Regeln für einen SOCKS-Proxy Es stehen zwei Eigenschaften und ein Ereignis zum Erstellen von Regeln zur Verfügung, mit denen das Verhalten von Web Gateway bei Ausführung als SOCKS-Proxy gesteuert werden kann. Im Standard-Regelsatzsystem bzw. der Regelsatz-Bibliothek ist kein vorkonfigurierter SOCKS-Proxy-Regelsatz verfügbar. Wenn Sie solche Regeln verwenden möchten, müssen Sie diese erstellen und in einen bestehenden Regelsatz einfügen oder einen Regelsatz für die Regeln erstellen. • ProtocolDetector.DetectedProtocol: Mit dieser Eigenschaft kann das eingebettete Protokoll erkannt werden, das bei Web-Datenverkehr unter dem SOCKS-Protokoll befolgt wird, z. B. HTTP oder HTTPS. Der Wert ist der Protokollname im Zeichenfolgeformat. Wenn das eingebettete Protokoll nicht erkannt werden kann, ist die Zeichenfolge leer. • ProtocolDetector.ProtocolFilterable: Mit dieser Eigenschaft kann ermittelt werden, ob die Filterung für Web-Datenverkehr, der das erkannte eingebettete Protokoll befolgt, unterstützt wird. Der Wert ist true, wenn dieser Datenverkehr gefiltert wird, andernfalls ist er false. Wenn diese Eigenschaft in einer Regel verarbeitet wird, wird der Eigenschaft ProtocolDetector.DetectedProtocol ebenfalls ein Wert zugewiesen. Wenn dieser Wert eine leere Zeichenfolge für letztere Eigenschaft ist, das eingebettete Protokoll also nicht erkannt wurde, wird der Wert der Eigenschaft ProtocolDetector.ProtocolFilterable entsprechend auf false gesetzt. • ProtocolDetector.ApplyFiltering: Mit diesem Ereignis kann die Verarbeitung weiterer Regeln aktiviert werden, die in Web Gateway zum Filtern von Web-Datenverkehr unter dem erkannten Protokoll konfiguriert wurden. Entsprechend aktiviert die folgende Regel die Verarbeitung anderer Regeln zum Filtern des Web-Datenverkehrs unter dem SOCKS-Protokoll, wenn ein eingebettetes Protokoll erkannt wurde, das sich filtern lässt. Name Enable filtering for SOCKS traffic following an embedded protocol that is filterable Criteria (Kriterium) ProtocolDetector.ProtocolFilterable is true Action (Aktion) –> StopCycle Event (Ereignis) ProtocolDetector.ApplyFiltering Die folgende Regel blockiert SOCKS-Datenverkehr, wenn kein eingebettetes Protokoll erkannt wird. Name Block SOCKS traffic if no embedded protocol can be detected Criteria (Kriterium) ProtocolDetector.DetectedProtocol equals " " Action (Aktion) –> Block Wenn keine Regel konfiguriert ist, die das Filtern des SOCKS-Datenverkehrs aktivieren oder diesen blockieren würde, wenn kein eingebettetes Protokoll erkannt wird, ist dieser Datenverkehr zulässig. Wenn also eine Web-Zugriffsanfrage von einem SOCKS-Client auf Web Gateway eingeht, wird diese ohne weitere Verarbeitung an den angefragten Web-Server weitergeleitet. McAfee Web Gateway 7.5.0 Produkthandbuch 143 6 Proxys SOCKS-Proxy Konfigurieren von SOCKS-Proxy-Einstellungen Sie können Einstellungen für einen SOCKS-Proxy im Rahmen der allgemeinen Proxy-Einstellungen in Web Gateway konfigurieren. Vorgehensweise 1 Wählen Sie Configuration | Appliances (Konfiguration | Appliances) aus. 2 Wählen Sie in der Appliances-Baumstruktur die Appliance aus, die Sie als SOCKS-Proxy konfigurieren möchten, und klicken Sie anschließend auf Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys (HTTP(S), FTP, ICAP und IM)). Nun werden die Einstellungen zum Konfigurieren von Proxy-Funktionen im Konfigurationsbereich angezeigt. 3 Führen Sie einen Bildlauf nach unten zu den Einstellungen für SOCKS Proxy (SOCKS-Proxy) aus. 4 Konfigurieren Sie diese Einstellungen nach Bedarf. 5 Klicken Sie auf Save Changes (Änderungen speichern). Siehe auch Proxy-Einstellungen auf Seite 149 SOCKS Proxy (Regelsatz) Der Regelsatz „SOCKS Proxy“ ist ein Bibliotheks-Regelsatz für die Filterung von Datenverkehr, der unter dem SOCKS-Protokoll ausgeführt wird. Bibliotheks-Regelsatz – SOCKS Proxy Criteria – Always Cycles – Requests (and IM) and responses Der Regelsatz enthält die folgenden Regeln. Filter traffic under the SOCKS protocol with filterable embedded protocol ProtocolDetector.ProtocolFilterable <Protocol Detector Settings> equals true –> Stop Cycle — ProtocolDetector.ApplyFiltering Die Regel überprüft mithilfe der Eigenschaft ProtocolDetector.ProtocolFilterable, ob das in den SOCKS-Datenverkehr eingebettete Protokoll in Web Gateway gefiltert werden kann. HTTP- und HTTPS-Protokolle können gefiltert werden. Wenn eines dieser beiden Protokolle erkannt wird, wird die Filterung durch das Regelereignis aktiviert. Wenn kein eingebettetes Protokoll erkannt wird, wird die Regel nicht angewendet, und die Verarbeitung wird mit der zweiten Regel fortgesetzt. Block traffic under the SOCKS protocol if no embedded protocol is detected ProtocolDetector.ProtocolFilterable <Protocol Detector Settings> equals " " –> Block <Default> Die Regel blockiert Anfragen, wenn kein eingebettetes Protokoll erkannt wird. Block traffic under the SOCKS protocol if detected protocol is not on whitelist ProtocolDetector.DetectedProtocol <Protocol Detector Settings> is not in list Protocol Whitelist –> Block <Default> Die Regel blockiert Anfragen, wenn ein eingebettetes Protokoll erkannt wird, das sich jedoch nicht in einer bestimmten Whitelist befindet. Die Regel ist standardmäßig nicht aktiviert. 144 McAfee Web Gateway 7.5.0 Produkthandbuch 6 Proxys Instant Messaging Instant Messaging Instant Messaging-Proxys können auf einer Appliance zum Filtern von Instant Messaging-Chats und -Dateiübertragungen eingesetzt werden. Wenn Benutzer Ihres Netzwerks an einer Instant Messaging-Kommunikation teilnehmen, senden diese beispielsweise Chat-Nachrichten an einen Instant Messaging-Server, erhalten Antworten auf ihre Nachrichten oder senden und empfangen Dateien. Ein Instant Messaging-Proxy auf einer Appliance kann diesen Datenverkehr entsprechend den implementierten Filterregeln abfangen und filtern. Zu diesem Zweck wird der Instant Messaging-Datenverkehr an die Appliance umgeleitet. Folgende Netzwerkkomponenten sind am Filterprozess beteiligt: • Instant Messaging-Proxys: Proxys können auf Appliances zum Filtern des Instant Messagings unter verschiedenen Protokollen eingesetzt werden, z. B. ein Yahoo-Proxy, ein Windows Live Messenger-Proxy usw. • Instant Messaging-Clients: Diese Clients werden auf den Systemen der Benutzer in Ihrem Netzwerk ausgeführt, um die Kommunikation mit Instant Messaging-Servern zu ermöglichen. • Instant Messaging-Server: Dies sind die Ziele, an die sich der Client aus dem Netzwerk heraus richtet. • Weitere Komponenten Ihres Netzwerks: Weitere am Filtern des Instant Messagings beteiligte Komponenten können beispielsweise eine Firewall oder ein lokaler DNS-Server sein, der den Instant Messaging-Datenverkehr an eine Appliance umleitet. Beim Konfigurieren der Instant Messaging-Filterung müssen Sie Konfigurationsaktivitäten für den Proxy oder die Proxys des Instant Messagings ausführen, um sicherzustellen, dass diese den Instant Messaging-Datenverkehr abfangen und filtern. Zudem müssen Sie sicherstellen, dass der Instant Messaging-Datenverkehr an die Instant Messaging-Proxys umgeleitet wird. Diese Konfigurationsaktivitäten erfolgen jedoch nicht auf den Clients, sondern auf anderen Komponenten Ihres Netzwerks. Beispielsweise werden DNS-Umleitungen oder Firewall-Regel auf entsprechende Weise konfiguriert. Ein Instant Messaging-Proxy auf einer Appliance ist hauptsächlich für den Einsatz zusammen mit der verfügbaren IM-Client-Software des Anbieter vorgesehen, z. B. Yahoo, Microsoft, ICQ oder Google. Diese Client-Software kann dennoch ihre Verhaltensweise ändern und beispielsweise einen neuen Anmelde-Server ohne Vorwarnung nach einer versteckten Aktualisierung verwenden. Bei der Verwendung von Client-Software eines Drittanbieters sollten Sie sich generell bewusst sein, dass Anmelde-Server, Protokollversionen oder Authentifizierungsmethoden im Vergleich zur ursprünglichen Client-Software möglicherweise verändert wurden, was einen Instant Messaging-Proxy auf einer Appliance daran hindern kann, den Instant-Messaging-Datenverkehr abzufangen und zu filtern. Konfigurieren eines Instant Messaging-Proxys Zum Konfigurieren eines Instant Messaging-Proxys auf einer Appliance müssen Sie die relevanten Teile der Einstellungen für Proxies (Proxys) im übergeordneten Menü Configuration (Konfiguration) konfigurieren. Diese Einstellungen gelten hauptsächlich für: • Aktivierung eines Instant Messaging-Proxys • IP-Adressen und Ports, die auf von Instant Messaging-Clients gesendete Anfragen reagieren • Einstellungen für Instant Messaging-Server • Zeitlimits für die Instant Messaging-Kommunikation McAfee Web Gateway 7.5.0 Produkthandbuch 145 6 Proxys Instant Messaging Die Standardwerte für alle diese Einstellungen werden nach der Ersteinrichtung einer Appliance vorkonfiguriert. Instant Messaging unter den folgenden Protokollen kann gefiltert werden: • Yahoo • ICQ • Windows Live Messenger • XMPP, ein Protokoll, das für Google Talk, Facebook Chat, Jabber und andere Instant Messaging-Dienste verwendet wird Die Regeln, die auf einer Appliance zum Filtern des Instant Messaging-Datenverkehrs verarbeitet werden, sind die, bei denen in den Einstellungen der Regelsätze Requests (and IM) als Verarbeitungszyklus definiert ist. Der Responses-Zyklus kann jedoch auch beteiligt sein, wenn Instant Messaging unter dem Yahoo-Protokoll gefiltert wird. Unter diesem Protokoll wird eine angefragte Datei in einer Antwort an einen Client übertragen, die der Antwort entspricht, die bei der Übertragung von Dateien in normalem Web-Datenverkehr verwendet wird. Die Datei wird auf einem Server gespeichert und vom Client unter HTTP abgerufen, z. B. anhand einer geeigneten URL. Wenn bei der Kommunikation zwischen dem Instant Messaging-Client und Proxy unter einem bestimmten Protokoll Probleme auftreten, kann der Client auch zu einem anderen Protokoll wechseln und somit den Proxy umgehen. Der Client kann sogar ein Protokoll für normalen Web-Datenverkehr verwenden. Im Dashboard einer Appliance würde dies bei der Anzeige zu einer Abnahme des IM-Datenverkehrs und einem Anstieg des Web-Datenverkehrs führen. Sitzungsinitialisierung Während der Initialisierung einer Instant Messaging-Sitzung zwischen Client und Server können Client-Anfragen auf einer Appliance nur empfangen werden. Das Senden einer Antwort ist nicht möglich. Solange dies der Fall ist, hat die IM.Message.CanSendBack-Eigenschaft den Wert false, wenn diese in einer Regel verwendet wird. Wir empfehlen, Blockierungsregeln hinsichtlich der Sitzungsinitialisierung nur dann zu implementieren, wenn Sie Instant Messaging-Datenverkehr vollständig blockieren möchten. Sie sollten auch benötigte Hilfsverbindungen zulassen. Dabei handelt es sich üblicherweise um DNS-Anfragen oder HTTP-Übertragungen. Von Ihnen implementierte Beschränkungen, die beispielsweise nur authentifizierte Benutzer zulassen, sollten eher für Datenverkehr gelten, der während der Sitzung selber auftritt, z. B. Chat-Nachrichten und Dateiübertragungen. Konfigurieren anderer Netzwerkkomponenten für die Instant Messaging-Filterung Der Zweck der Konfiguration weiterer Netzwerkkomponenten für die Instant Messaging-Filterung ist es, den zwischen Clients und Servern auftretenden Instant Messaging-Datenverkehr an eine Appliance umzuleiten, auf der ein oder mehrere Instant Messaging-Proxys ausgeführt werden. Beispielsweise senden Clients unter dem ICQ-Protokoll ihre Anfragen an einen Server mit dem Host-Namen api.icq.net. Für die Instant Messaging-Filterung müssen Sie eine DNS-Umleitungsregel erstellen, sodass dieser Host-Name nicht für die IP-Adresse des ICQ-Servers, sondern für die der Appliance aufgelöst wird. Auf ähnliche Weise können Firewall-Regeln erstellt werden, um Instant Messaging-Datenverkehr an eine Appliance und nicht an einen Instant Messaging-Server weiterzuleiten. 146 McAfee Web Gateway 7.5.0 Produkthandbuch 6 Proxys Instant Messaging Filtern des Instant Messaging-Datenverkehrs unter Windows Live Messenger Beim Konfigurieren der Filterung des unter dem Windows Live Messenger-Protokolls laufenden Instant Messaging-Datenverkehrs sollte Folgendes beachtet werden. Der Host-Name des Instant Messaging-Servers ist messenger.hotmail.com. Dies ist der Host-Name, der in einer Umleitungsregel von der IP-Adresse einer Appliance mit einem Instant Messaging-Proxy aufgelöst werden muss. Manchmal stellt ein Client eine Verbindung mit einem Server her, ohne den in einer DNS-Suche aufzulösenden Host-Namen anzufragen. In diesem Fall kann es helfen, in den Client-Einstellungen den folgenden Registrierungseintrag zu suchen und zu entfernen: geohostingserver_messenger.hotmail.com:1863, REG_SZ Für eine erfolgreiche Anmeldung an einem Server muss ein Client ohne Authentifizierung auf die folgende URL zugreifen können: http://login.live.com Aus diesem Grund müssen Sie diese URL in die Whitelists einfügen, die von den implementierten Web-Filterungsregeln auf einer Appliance verwendet werden. Filterung des Instant Messaging-Datenverkehrs unter ICQ Beim Konfigurieren der Filterung des unter dem ICQ-Protokoll laufenden Instant Messaging-Datenverkehrs sollte Folgendes beachtet werden. Die Host-Namen der Instant Messaging-Server lauten wie folgt: • api.icq.net (Service-Anfrage-Server: neu seit Trennung von AOL) • ars.icq.com (Dateiübertragungs-Proxy: neu seit Trennung von AOL) • api.oscar.aol.com (alter Service-Anfrage-Server) • ars.oscar.aol.com (alter Dateiübertragungs-Proxy) • login.icq.com (Für neues Anmeldeverfahren) • login.oscar.aol.com (für altes Anmeldeverfahren) Die Anmeldung der ICQ-Clients an einem Server erfolgt mit einem verschlüsselten Prozess, der vom Instant Messaging-Proxy auf einer Appliance nicht abgefangen werden kann. Anschließend fragt der ICQ-Client jedoch unter Verwendung des nach der Anmeldung erhaltenen Magic-Tokens beim Service-Anfrage-Server nach Informationen zum Sitzungs-Server. Hier fängt der Instant Messaging-Proxy den Datenverkehr ab. Der Filterungsprozess verwendet dann ein anderes Anmeldeverfahren, nachdem der Client-Name in der Kommunikation mit dem Sitzungs-Server bekannt gegeben wurde. Im Gegensatz zum Yahoo-Client ignoriert der ICQ-Client jegliche Verbindungseinstellungen von Internet Explorer. Filterung des Instant Messaging-Datenverkehrs unter Yahoo Beim Konfigurieren der Filterung des unter dem Yahoo-Protokoll laufenden Instant Messaging-Datenverkehrs sollte Folgendes beachtet werden. McAfee Web Gateway 7.5.0 Produkthandbuch 147 6 Proxys Instant Messaging Die Liste der Instant Messaging-Server, an die Anfragen gesendet werden, kann sehr lang sein. Die nachfolgende Liste zeigt die Host-Namen der Server, die verwendet werden oder wurden. Möglicherweise sind in der Zwischenzeit neue Server dazugekommen, die der Liste hinzugefügt werden müssen. • vcs.msg.yahoo.com • scs.msg.yahoo.com • vcs1.msg.yahoo.com • scs-fooa.msg.yahoo.com • vcs2.msg.yahoo.com • scs-foob.msg.yahoo.com • scs.yahoo.com • scs-fooc.msg.yahoo.com • cs.yahoo.com • scs-food.msg.yahoo.com • relay.msg.yahoo.com • scs-fooe.msg.yahoo.com • relay1.msg.dcn.yahoo.com • scs-foof.msg.yahoo.com • relay2.msg.dcn.yahoo.com • scsd.msg.yahoo.com • relay3.msg.dcn.yahoo.com • scse.msg.yahoo.com • mcs.msg.yahoo.com • scsf.msg.yahoo.com • scs.msg.yahoo.com • scsg.msg.yahoo.com • scsa.msg.yahoo.com • scsh.msg.yahoo.com • scsb.msg.yahoo.com Für eine erfolgreiche Anmeldung an einem Server muss ein Client ohne Authentifizierung auf die folgenden URLs zugreifen können: • http://vcs1.msg.yahoo.com/capacity • http://vcs2.msg.yahoo.com/capacity Aus diesem Grund müssen Sie diese URLs in die Whitelists einfügen, die von den implementierten Web-Filterungsregeln auf einer Appliance verwendet werden. Auch wenn die Option Connect directly to the Internet (Direktverbindung mit dem Internet) in den Einstellungen eines Yahoo-Clients aktiviert wurde, werden möglicherweise weiterhin die Verbindungseinstellungen des Internet Explorers verwendet. Dies kann dazu führen, dass die Anmeldung zu einem späteren Zeitpunkt des Prozesses fehlschlägt. Wir empfehlen daher, auch die URL *login.yahoo.com* in einer Whitelist einzufügen. Probleme bei der Instant Messaging-Filterung Probleme mit der Instant Messaging-Filterung können beispielsweise bei der Verbindung zwischen Client und Server oder bei der Anwendung der implementierten Filterregeln auftreten. Keep-Alive-Datenpakete werden in regelmäßigen Abständen als Bestandteil des Instant Messaging-Datenverkehrs gesendet, um anzuzeigen, dass die Kommunikationspartner weiterhin verbunden sind und antworten. Die Abstände variieren je nach IM-Protokoll und Client-Software zwischen 20 und 80 Sekunden. Diese Datenpakete werden von den auf einer Appliance implementierten Filterregeln nicht verarbeitet. Wenn Sie solche Datenpakete in einer Fehlerbehebungssituation erkennen, können Sie mithilfe der Regelmodulverfolgung die Regeln sehen, die weiterhin aktiv sind. 148 McAfee Web Gateway 7.5.0 Produkthandbuch 6 Proxys XMPP-Proxy Wenn ein Client eine Anfrage zur Anmeldung an den Server sendet, erfolgt eine Umleitung an die Appliance, sofern Sie die entsprechenden Einstellungen konfiguriert haben. Ein Client kann jedoch gleichzeitig versuchen, sich bei einem anderen Server anzumelden, der eine SSL-verschlüsselte Authentifizierung erfordert. Wenn dies fehl schlägt, kann auch die Verbindung dieses Clients mit der Appliance getrennt werden. Einige Clients bieten Optionen zur Durchführung grundlegender Fehlerbehebungstests nach einer fehlgeschlagenen Anmeldung am Server. XMPP-Proxy Beim Filtern der Instant Messaging-Kommunikation auf einer Appliance ist eine der möglichen Methoden das Einrichten eines Proxys unter XMPP (Extensible Messaging and Presence Protocol). Dieses Protokoll ist auch unter dem Namen Jabber bekannt. Es wird beispielsweise zur Teilnahme an Facebook-oder Google Talk-Chats zwischen einem XMPP-Client und dem Server verwendet. Sie können Einstellungen für den XMPP-Proxy auf der Benutzeroberfläche unter Configuration | Proxies (Konfiguration | Proxys) konfigurieren. Wenn der SSL-Scanner-Regelsatz auf einer Appliance nicht aktiviert ist, wird der Datenverkehr zwischen einem XMPP-Client und dieser Appliance nicht verschlüsselt, jedoch mit allen Regeln gefiltert, die auf der Appliance aktiviert sind. Wenn der Client unverschlüsselten Datenverkehr nicht annimmt, wird die Verbindung geschlossen. Wenn der SSL-Scanner-Regelsatz aktiviert ist, wird der Datenverkehr verschlüsselt und durch SSL-Scanning untersucht, um diesen zur Filterung durch andere Regeln auf der Appliance zur Verfügung zu stellen. Konfigurieren von allgemeinen Proxy-Einstellungen Sie können neben den speziellen Einstellungen für einen Netzwerkmodus allgemeine Proxy-Einstellungen konfigurieren. Zu den allgemeinen Proxy-Einstellungen zählen Einstellungen für die verschiedenen Typen von Proxys, die in Web Gateway konfiguriert werden können. Vorgehensweise 1 Wählen Sie Configuration | Appliances (Konfiguration | Appliances) aus. 2 Wählen Sie in der Appliances-Baumstruktur die Appliance aus, für die Sie allgemeine Proxy-Einstellungen konfigurieren möchten, und klicken Sie auf Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys (HTTP(S), FTP, ICAP und IM)). 3 Konfigurieren Sie diese Einstellungen nach Bedarf. 4 Klicken Sie auf Save Changes (Änderungen speichern). Proxy-Einstellungen Mit den Proxy-Einstellungen werden spezifische Parameter für die verschiedenen Netzwerkmodi konfiguriert, die in Web Gateway implementiert werden können, sowie die gemeinsamen Parameter, McAfee Web Gateway 7.5.0 Produkthandbuch 149 6 Proxys Proxy-Einstellungen die für jeden dieser Modi gelten. Die regelmäßige Auslösung des Regelmoduls kann ebenfalls konfiguriert werden. Network Setup (Netzwerkeinrichtung) Einstellungen für das Implementieren eines Netzwerkmodus Bei Auswahl eines Netzwerkmodus werden spezifische Einstellungen für den betreffenden Netzwerkmodus unter diesen Einstellungen angezeigt. Tabelle 6-14 Network Setup (Netzwerkeinrichtung) Option Definition Proxy (optional WCCP) (Proxy (optionale WCCP-Dienste)) Bei Auswahl dieser Option wird der explizite Proxy-Modus verwendet, und WCCP-Dienste können Web-Datenverkehr an eine Appliance umleiten. Proxy HA (Proxy – Hochverfügbarkeit) Bei Auswahl dieser Option wird der explizite Proxy-Modus mit Hochverfügbarkeitsfunktionen verwendet. Transparent router (Transparenter Router) Bei Auswahl dieser Option wird der transparente Router-Modus verwendet. Transparent bridge (Transparente Bridge) Bei Auswahl dieser Option wird der transparente Bridge-Modus verwendet. HTTP-Proxy Einstellungen für das Ausführen eines Proxys auf einer Appliance unter dem HTTP-Protokoll Dieses Protokoll wird zum Übertragen von Webseiten und anderen Daten verwendet und stellt zudem SSL-Verschlüsselung für verstärkte Sicherheit bereit. Tabelle 6-15 HTTP-Proxy Option Definition Enable HTTP proxy (HTTP-Proxy aktivieren) Bei Auswahl dieser Option wird ein Proxy auf der Appliance unter dem HTTP-Protokoll ausgeführt. HTTP Port Definition list (Liste von HTTP-Port-Definitionen) Diese Option stellt eine Liste für die Eingabe der Ports auf einer Appliance bereit, die Anfragen von Clients empfangen. Anonymous login for FTP over HTTP (Anonyme Anmeldung für FTP über HTTP) Diese Option gibt den Benutzernamen für die Anmeldung als anonymer Benutzer an, wenn Anfragen über einen HTTP-Proxy auf einer Appliance an einen FTP-Server übertragen werden. Password for anonymous login for FTP over HTTP (Kennwort für anonyme Anmeldung für FTP über HTTP) Diese Option legt ein Kennwort für einen Benutzernamen fest. FTP-Proxy Einstellungen für das Ausführen eines Proxys auf einer Appliance unter dem FTP-Protokoll 150 McAfee Web Gateway 7.5.0 Produkthandbuch 6 Proxys Proxy-Einstellungen Dieses Protokoll wird zum Übertragen von Dateien verwendet, wobei separate Verbindungen für Steuerungsfunktionen und Datenübertragung genutzt werden. Wenn eine Datei von einem FTP-Client in das Web hochgeladen und in Web Gateway verarbeitet wird, können Sie Fortschrittsanzeigen an den Client senden, indem Sie das Ereignis FTP Upload Progress Indication in eine geeignete Regel einfügen. Dadurch wird eine Zeitüberschreitung auf dem Client vermieden, wenn die Verarbeitung länger dauert, z. B. wegen des Scannens der Datei auf Infektion mit Viren oder sonstiger Malware. Tabelle 6-16 FTP-Proxy Option Definition Enable FTP proxy (FTP-Proxy aktivieren) Bei Auswahl dieser Option wird ein Proxy auf der Appliance unter dem FTP-Protokoll ausgeführt. FTP port definition list (Liste von FTP-Port-Definitionen) Diese Option stellt eine Liste für die Eingabe der Ports auf einer Appliance bereit, die Anfragen von Clients empfangen. Allow character @ in FTP server user name (Authentication using USER ftpserveruser@ftpserver) (Zeichen @ in FTP-Server-Benutzername zulassen (Authentifizierung mit USER ftpserveruser@ftpserver) Bei Auswahl dieser Option ist das genannte Zeichen in Benutzernamen zulässig. Enable authentication using USER proxyuser@ftpserveruser@ftpserver (Authentifizierung mit USER proxyuser@ftpserveruser@ftpserver aktivieren) Bei Auswahl dieser Option ist die genannte Syntax für einen Benutzernamen zulässig. Enable authentication using USER ftpserveruser@proxyuser@ftpserver (Authentifizierung mit USER ftpserveruser@proxyuser@ftpserver aktivieren) Bei Auswahl dieser Option ist die genannte Syntax für einen Benutzernamen zulässig. Enable customized Welcome Message (Benutzerdefinierte Begrüßungsnachricht aktivieren) Bei Auswahl dieser Option können Sie die Begrüßungsnachricht bearbeiten, die für einen Benutzer angezeigt wird, der eine Anfrage in Bezug auf den Web-Zugriff unter dem FTP-Protokoll sendet. Geben Sie die Begrüßungsnachricht im Textfeld Customized Welcome Message (Benutzerdefinierte Begrüßungsnachricht) ein, und verwenden Sie dabei die entsprechenden Werte für die in der Nachricht enthaltenen Variablen. Willkommen bei §MWG-ProductName$ $MWG-Version$ – Build $MWG.BuildNumber$ Ausgeführt auf $System.HostName$ – $System.UUID$ $Proxy.IP$:$Proxy.Port$ Select the command to be used for next-hop proxy login (Befehl für Anmeldung bei Proxy am nächsten Hop auswählen) Hier können Sie den Befehl auswählen, den Web Gateway zur Anmeldung sendet, wenn eine Verbindung mit einem Proxy am nächsten Hop über das FTP-Protokoll hergestellt wird. Die folgenden Befehle stehen zur Auswahl: • SITE • OPEN • USER@Host McAfee Web Gateway 7.5.0 Produkthandbuch 151 6 Proxys Proxy-Einstellungen In der folgenden Tabelle wird ein Eintrag in der Liste der FTP-Port-Definitionen beschrieben. Tabelle 6-17 FTP port definition list (Liste von FTP-Port-Definitionen) Option Definition Listener address (Listener-Adresse) Gibt die IP-Adresse und Port-Nummer für einen Port an, der auf FTP-Anfragen überwacht. Data port (Daten-Port) Gibt die Port-Nummer für einen Port an, der für das Verarbeiten der Datenübertragung unter dem FTP-Protokoll verwendet wird. Port range for client listener (Port-Bereich für Client-Listener) Konfiguriert einen Bereich von Nummern für Ports, die auf von Clients empfangene FTP-Anfragen überwachen. Der Bereich wird durch Angabe der ersten und der letzten Port-Nummer konfiguriert. Port range for server listener (Port-Bereich für Server-Listener) Konfiguriert einen Bereich von Nummern für Ports, die auf FTP-Antworten überwachen, die von Web-Servern empfangen werden, an die Anfragen weitergeleitet wurden. Allow clients to use passive FTP connections (Clients das Verwenden von passiven FTP-Verbindungen gestatten) Bei Auswahl dieser Option können Anfragen von Clients über passive Verbindungen unter dem FTP-Protokoll gesendet werden. McAfee Web Gateway uses same connections (active/passive) as clients does (McAfee Web Gateway verwendet die gleichen Verbindungen (aktiv/passiv) wie Clients) Bei Auswahl dieser Option verwendet Web Gateway zum Weiterleiten des Web-Datenverkehrs denselben Verbindungstyp wie ein Client, der eine Anfrage an Web Gateway gesendet hat. McAfee Web Gateway uses passive FTP connections (McAfee Web Gateway verwendet passive FTP-Verbindungen) Bei Auswahl dieser Option kann Web Gateway Web-Datenverkehr über passive Verbindungen unter dem FTP-Protokoll weiterleiten. Comment (Kommentar) Gibt einen Kommentar im Nur-Text-Format zu einem Port an, der auf FTP-Anfragen überwacht. ICAP Server (ICAP-Server) Einstellungen zum Ausführen eines ICAP-Servers auf einer Appliance, die Anfrage und Antworten bei der Kommunikation mit ICAP-Clients modifiziert Tabelle 6-18 ICAP Server (ICAP-Server) Option Definition Enable ICAP server (ICAP-Server aktivieren) Bei Auswahl dieser Option wird ein ICAP-Server auf einer Appliance ausgeführt. ICAP Port Definition list (Liste der ICAP-Port-Definitionen) Diese Option stellt eine Liste für die Eingabe der Ports auf einer Appliance bereit, die Anfragen von ICAP-Clients empfangen. Wenn mehrere ICAP-Server auf mehreren Appliances in Ihrem Netzwerk konfiguriert sind, werden Anfragen von ICAP-Clients im Round-Robin-Modus (Rundlaufmodus) an diese Server verteilt. IFP Proxy (IFP-Proxy) Einstellungen für das Ausführen eines Proxys auf einer Appliance unter dem IFP-Protokoll Dieses Protokoll wird zum Übertragen von Webseiten genutzt. 152 McAfee Web Gateway 7.5.0 Produkthandbuch 6 Proxys Proxy-Einstellungen Tabelle 6-19 IFP Proxy (IFP-Proxy) Option Definition Enable IFP proxy (IFP-Proxy aktivieren) Bei Auswahl dieser Option wird ein Proxy auf der Appliance unter dem IFP-Protokoll ausgeführt. IFP port definition list (Liste von IFP-Port-Definitionen) Diese Option stellt eine Liste für die Eingabe der Ports auf einer Appliance bereit, die Client-Anfragen für den IFP-Proxy empfangen. Maximum number of concurrent IFP requests allowed (Maximal zulässige Anzahl gleichzeitiger IFP-Anfragen) Beschränkt die Anzahl gleichzeitig verarbeiteter IFP-Anfragen auf den angegebenen Wert. Sie können mithilfe dieser Eigenschaft eine Überlastung des IFP-Proxys verhindern. In der folgenden Tabelle wird ein Eintrag in der Liste der IFP-Port-Definitionen beschrieben. Tabelle 6-20 IFP port definition list (Liste von IFP-Port-Definitionen) Option Definition Listener address (Listener-Adresse) Gibt die IP-Adresse und Port-Nummer für einen Port an, der auf IFP-Anfragen überwacht. Send error message as redirect (Bei Umleitung Fehlermeldung senden) Beim Wert „True“ wird ein Benutzer, der eine Anfrage gesendet hat, durch Umleiten der Anfrage auf eine Fehlermeldungsseite benachrichtigt, z. B. über eine Blockierung der Anfrage. Andernfalls werden die relevanten Informationen als normale Nachricht unter dem IFP-Protokoll gesendet. Comment (Kommentar) Gibt einen Kommentar im Nur-Text-Format zu einem Port an, der auf IFP-Anfragen überwacht. SOCKS Proxy (SOCKS-Proxy) Einstellungen für das Ausführen eines Proxys auf einer Appliance unter dem SOCKS-Protokoll (Sockets) Tabelle 6-21 SOCKS Proxy (SOCKS-Proxy) Option Definition Enable SOCKS proxy (SOCKS-Proxy aktivieren) Bei Auswahl dieser Option wird ein Proxy auf der Appliance unter dem SOCKS-Protokoll ausgeführt. SOCKS port definition list (Liste von SOCKS-Port-Definitionen) Diese Option stellt eine Liste für die Eingabe der Ports auf einer Appliance bereit, die auf Client-Anfragen für den SOCKS-Proxy überwachen. In der folgenden Tabelle wird ein Eintrag in der Liste der SOCKS-Port-Definitionen beschrieben. Tabelle 6-22 SOCKS port definition list (Liste von SOCKS-Port-Definitionen) Option Definition Listener address (Listener-Adresse) Gibt die IP-Adresse und Port-Nummer eines Ports an, der auf SOCKS-Anfragen überwacht. Comment (Kommentar) Gibt einen Kommentar im Nur-Text-Format zu einem Port an, der auf SOCKS-Anfragen überwacht. Web Cache (Web-Cache) Einstellung zum Aktivieren des Web-Cache auf einer Appliance Neben dem Aktivieren des Web-Cache müssen Sie einen Regelsatz für das Steuern von Lese- und Schreibvorgängen im Cache implementieren. McAfee Web Gateway 7.5.0 Produkthandbuch 153 6 Proxys Proxy-Einstellungen Tabelle 6-23 Web Cache (Web-Cache) Option Definition Enable cache (Cache aktivieren) Bei Auswahl dieser Option wird der Web-Cache auf einer Appliance aktiviert. Timeouts for HTTP(S), FTP, and ICAP (Zeitlimits für HTTP(S), FTP und ICAP) Einstellungen für Zeitlimits bei Kommunikationsverbindungen unter den Protokollen HTTP, HTTPS, FTP und ICAP Tabelle 6-24 Timeouts for HTTP(S), FTP, and ICAP (Zeitlimits für HTTP(S), FTP und ICAP) Option Definition Initial connection timeout (Anfängliches Verbindungszeitlimit) Beschränkt die Zeit (in Sekunden), die abläuft, bis eine neu geöffnete Verbindung geschlossen wird, wenn keine Anfrage empfangen wird, auf den angegebenen Wert. Connection timeout (Verbindungszeitlimit) Beschränkt die Zeit (in Sekunden), die abläuft, bis eine Verbindung geschlossen wird, wenn ein Client oder Server während einer nicht abgeschlossenen Kommunikation mit einer Anfrage inaktiv bleibt, auf den angegebenen Wert. Client connection timeout (Zeitlimit für Client-Verbindungen) Beschränkt die Zeit (in Sekunden), die abläuft, bis eine Verbindung vom Proxy auf einer Appliance mit einem Client zwischen einer und der nächsten Anfrage geschlossen wird, auf den angegebenen Wert. Maximum idle time for unused HTTP server connections (Maximale Leerlaufzeit für nicht verwendete HTTP-Server-Verbindungen) Beschränkt die Zeit (in Sekunden), die abläuft, bis eine Verbindung vom Proxy auf einer Appliance mit einem Server zwischen einer und der nächsten Anfrage geschlossen wird, auf den angegebenen Wert. DNS Settings (DNS-Einstellungen) Einstellungen für die Kommunikation mit einem DNS-Server (Domain Name System) 154 McAfee Web Gateway 7.5.0 Produkthandbuch 6 Proxys Proxy-Einstellungen Tabelle 6-25 DNS Settings (DNS-Einstellungen) Option Definition IP protocol version preference (Voreinstellung für IP-Protokollversion) Hiermit können Sie die Version des IP-Protokolls auswählen, das für die Kommunikation verwendet wird. • (Versionsoptionen) • Same as incoming connection (Gleiche Version wie eingehende Verbindung): Bei Auswahl dieser Option wird die Protokollversion verwendet, die bereits für die eingehende Verbindung verwendet wird. • IP4: Bei Auswahl dieser Version wird Version 4 des IP-Protokolls verwendet. • IP6: Bei Auswahl dieser Version wird Version 6 des IP-Protokolls verwendet. • Use other protocol version as fallback (Andere Protokollversion als Alternative verwenden): Bei Auswahl dieser Version wird die jeweils andere Protokollversion verwendet, wenn eine von zwei Versionen nicht verfügbar ist. Minimal TTL for DNS cache (Min. TTL für DNS-Cache) Legt eine Mindestzeit (in Sekunden) fest, die abgelaufen sein muss, ehe Daten im Cache gelöscht werden. Maximal TTL for DNS cache (Max. TTL für DNS-Cache) Beschränkt die Zeit (in Sekunden), die abläuft, ehe im Cache gespeicherte Daten gelöscht werden, auf den angegebenen Wert. Yahoo Einstellungen für das Ausführen eines Instant Messaging-Proxy unter dem Yahoo-Protokoll auf einer Appliance Tabelle 6-26 Yahoo Option Definition Enable Yahoo proxy (Yahoo-Proxy aktivieren) Bei Auswahl dieser Option wird auf einer Appliance ein Proxy für Instant Messaging unter dem Yahoo-Protokoll ausgeführt. Listener address (Listener-Adresse) Gibt die IP-Adresse eines Proxy und die Nummer des Ports an, der auf Client-Anfragen überwacht. Support file transfer over 0.0.0.0:80 (Dateiübertragung über 0.0.0.0:80 unterstützen) Bei Auswahl dieser Option können diese IP-Adresse und dieser Port für Dateiübertragungsanfragen verwendet werden. Login server (Anmelde-Server) Gibt den Host-Namen und die Port-Nummer des Servers an, bei dem sich Benutzer anmelden, bevor sie Anfragen senden. Relay server (Japan) (Relais-Server (Japan) Gibt den Host-Namen und die Port-Nummer des Servers an, der als Relais-Station für die Dateiübertragung verwendet wird. Yahoo client connection timeout (Zeitlimit für Beschränkt die Zeit (in Sekunden), die abläuft, bis eine inaktive Yahoo-Client-Verbindungen) Verbindung von einem Instant Messaging-Proxy mit einem Client geschlossen wird, auf den angegebenen Wert. Yahoo server connection timeout (Zeitlimit für Yahoo-Server-Verbindungen) Beschränkt die Zeit (in Sekunden), die abläuft, bis eine inaktive Verbindung von einem Instant Messaging-Proxy mit einem Server geschlossen wird, auf den angegebenen Wert. ICQ Einstellungen für das Ausführen eines Instant Messaging-Proxy unter dem OSCAR-Protokoll (Open System for Communication in Real Time) auf einer Appliance McAfee Web Gateway 7.5.0 Produkthandbuch 155 6 Proxys Proxy-Einstellungen Tabelle 6-27 ICQ Option Definition Enable ICQ proxy (ICQ-Proxy aktivieren) Bei Auswahl dieser Option wird auf einer Appliance ein Proxy für Instant Messaging unter dem OSCAR-Protokoll ausgeführt. Login and file transfer proxy port (Proxy-Port für Anmeldung und Dateiübertragung) Gibt die IP-Adresse einer Appliance an, auf der ein Instant Messaging-Proxy ausgeführt wird, sowie die Nummer des Ports für die Verarbeitung von Anmeldung und Dateiübertragung. • Enable additional file transfer proxy port (Zusätzlichen Proxy-Port für Dateiübertragung aktivieren): Bei Auswahl dieser Option kann für das Verarbeiten von Dateiübertragungen ein zusätzlicher Port verwendet werden. • Additional file transfer proxy port (Zusätzlicher Proxy-Port für Dateiübertragung): Gibt eine zusätzliche IP-Adresse und eine zusätzliche IP-Adresse für das Verarbeiten von Dateiübertragungen an. BOS listener port (BOS-Listener-Port) Gibt die IP-Adresse einer Appliance an, auf der ein Instant Messaging-Proxy ausgeführt wird, sowie die Nummer des Ports, der auf BOS-Anfragen (Basic OSCAR Service) überwacht. Bei diesen Anfragen handelt es sich um Anfragen zum Senden von Chat-Nachrichten und nicht beispielsweise um Anfragen für Dateiübertragungen. ICQ login server (ICQ-Anmeldeserver) Gibt den Host-Namen und die Port-Nummer des Servers an, bei dem sich Benutzer anmelden, bevor sie Anfragen senden. ICQ service request server (ICQ-Service-Anfrageserver) Gibt den Host-Namen und die Port-Nummer des Servers an, der Anfragen verarbeitet. ICQ file transfer proxy (ICQ-Proxy für Dateiübertragungen) Gibt den Host-Namen und die Port-Nummer des Servers an, der Dateiübertragungen verarbeitet. ICQ client connection timeout (Zeitlimit für Beschränkt die Zeit (in Sekunden), die abläuft, bis eine inaktive ICQ-Client-Verbindungen) Verbindung vom Instant Messaging-Proxy mit einem Client geschlossen wird, auf den angegebenen Wert. ICQ server connection timeout (Zeitlimit für ICQ-Server-Verbindungen) Beschränkt die Zeit (in Sekunden), die abläuft, bis eine inaktive Verbindung vom Instant Messaging-Proxy mit einem Server geschlossen wird, auf den angegebenen Wert. Windows Live Messenger Einstellungen für das Ausführen eines Instant Messaging-Proxy unter dem Windows Live Messenger-Protokoll auf einer Appliance Tabelle 6-28 Windows Live Messenger 156 Option Definition Enable Windows Live Messenger proxy (Windows Live Messenger-Proxy aktivieren) Bei Auswahl dieser Option wird auf einer Appliance ein Proxy für Instant Messaging unter dem Windows Live Messenger-Protokoll ausgeführt. Windows Live Messenger NS proxy listener 1 (Windows Live Messenger-NS-Proxy-Listener 1) Gibt die IP-Adresse einer Appliance an, auf der ein Instant Messaging-Proxy ausgeführt wird, sowie die Nummer des ersten Ports, der auf Client-Anfragen im NS-Modus (Notification Server) überwacht. Windows Live Messenger NS proxy listener 2 (Windows Live Messenger-NS-Proxy-Listener 2) Gibt die IP-Adresse einer Appliance an, auf der ein Instant Messaging-Proxy ausgeführt wird, sowie die Nummer des zweiten Ports, der auf Client-Anfragen im NS-Modus (Notification Server) überwacht. McAfee Web Gateway 7.5.0 Produkthandbuch 6 Proxys Proxy-Einstellungen Tabelle 6-28 Windows Live Messenger (Fortsetzung) Option Definition Windows Live Messenger SB proxy port (Windows Live Messenger-SB-Proxy-Port) Gibt die IP-Adresse einer Appliance an, auf der ein Instant Messaging-Proxy ausgeführt wird, sowie die Nummer des Ports, der auf im SB-Modus (Telefonzentrale) gesendete Client-Anfragen überwacht. Windows Live Messenger client connection timeout Beschränkt die Zeit (in Sekunden), die abläuft, bis (Zeitlimit für Windows Live Messenger-Client-Verbindungen) eine inaktive Verbindung vom Instant Messaging-Proxy mit einem Client geschlossen wird, auf den angegebenen Wert. Windows Live Messenger server connection timeout (Zeitlimit für Windows Live Messenger-Server-Verbindungen) Beschränkt die Zeit (in Sekunden), die abläuft, bis eine inaktive Verbindung vom Instant Messaging-Proxy mit einem Server geschlossen wird, auf den angegebenen Wert. XMPP Einstellungen für das Ausführen eines Instant Messaging-Proxy unter dem XMPP-Protokoll auf einer Appliance Dies ist das Protokoll, das für eine Reihe von Instant Messaging-Diensten verwendet wird, u. a. für Jabber, Google Talk und Facebook-Chat. Tabelle 6-29 XMPP Option Definition Enable XMPP proxy (XMPP-Proxy aktivieren) Bei Auswahl dieser Option wird auf einer Appliance ein Proxy für Instant Messaging unter dem XMPP-Protokoll ausgeführt. Proxy port (Proxy-Port) IP-Adresse einer Appliance, auf der ein Instant Messaging-Proxy ausgeführt wird, sowie die Nummer des Ports, der auf unter dem XMPP-Protokoll gesendete Anfragen überwacht. Client connection timeout (Zeitlimit für Client-Verbindungen) Beschränkt die Zeit (in Sekunden), die abläuft, bis eine inaktive Verbindung vom Instant Messaging-Proxy mit einem Client geschlossen wird, auf den angegebenen Wert. Server connection timeout (Zeitlimit für Server-Verbindungen) Beschränkt die Zeit (in Sekunden), die abläuft, bis eine inaktive Verbindung vom Instant Messaging-Proxy mit einem Server geschlossen wird, auf den angegebenen Wert. Advanced Settings (Erweiterte Einstellungen) Einstellungen für erweiterte Proxy-Funktionen Tabelle 6-30 Advanced Settings (Erweiterte Einstellungen) Option Definition Maximal number of client connections (Maximale Anzahl von Client-Verbindungen) Beschränkt die Anzahl der Verbindungen zwischen einem Proxy auf der Appliance und dessen Clients. Number of working threads (Anzahl der Arbeits-Threads) Gibt die Anzahl der Threads an, die bei Ausführung eines Proxys auf einer Appliance zum Filtern und Übertragen von Web-Objekten verwendet werden. Number of threads for AV scanning (Anzahl der Threads für das Antiviren-Scannen) Gibt die Anzahl der Threads an, die bei Ausführung eines Proxy auf einer Appliance zum Scannen von Web-Objekten auf Infektionen durch Viren und sonstige Malware verwendet werden. McAfee Web Gateway 7.5.0 Wenn der Wert 0 angegeben wird, ist keine Beschränkung festgelegt. Produkthandbuch 157 6 Proxys Proxy-Einstellungen Tabelle 6-30 Advanced Settings (Erweiterte Einstellungen) (Fortsetzung) Option Definition Use TCP no delay (TCP ohne Verzögerung) Bei Auswahl dieser Option werden Verzögerungen in einer Proxy-Verbindung vermieden, indem der Nagle-Algorithmus zum Zusammenstellen von Datenpaketen nicht verwendet wird. Dieser Algorithmus erzwingt, dass Pakete erst dann gesendet werden, wenn eine bestimmte Datenmenge gesammelt wurde. Maximal TTL for DNS cache in seconds (Maximale Beschränkt die Zeit (in Sekunden), für die TTL für DNS-Cache in Sekunden) Host-Nameninformationen im DNS-Cache gespeichert werden. Timeout for errors for long running connections (Zeitlimit für Fehler bei lange andauernden Verbindungen) Legt die Dauer (in Stunden) fest, für die eine lange andauernde Verbindung mit einer anderen Netzwerkkomponente inaktiv bleiben darf, bevor Web Gateway die Verbindung schließt. Die Standardeinstellung beträgt 24 Stunden. Diese Einstellung verhindert, dass die Leistung einer Web Gateway-Appliance durch extrem lange andauernde Verbindungen beeinträchtigt wird. Die Dauer wird für die verschiedenen Verbindungsprotokolle wie folgt gemessen, um zu ermitteln, wann die Zeitüberschreitung erreicht ist. • HTTP, HTTPS (mit Inhaltsprüfung), ICAP und ähnliche Protokolle: Die Dauer wird für jede Anfrage gemessen, die in einer Verbindung gesendet wird. • SOCKS (wenn das eingebettete Protokoll nicht beachtet wird), getunneltes HTTP, HTTPS (ohne Inhaltsprüfung) und ähnliche Protokolle: Die Dauer wird für die Verbindung als Ganzes gemessen. • FTP: Die Dauer wird für die Steuerungsverbindung gemessen. Wenn die Verbindung geschlossen wird, erzeugt das einen Fehler, der von den Regeln in einem Fehler-Handler-Regelsatz verarbeitet werden kann. Check interval for long running connections (Intervall für lange andauernde Verbindungen überprüfen) 158 McAfee Web Gateway 7.5.0 Legt die Zeit (in Minuten) fest, die zwischen Überprüfungsmeldungen abläuft, die über lange andauernde Verbindungen gesendet werden. Produkthandbuch 6 Proxys Proxy-Einstellungen Tabelle 6-30 Advanced Settings (Erweiterte Einstellungen) (Fortsetzung) Option Definition Maximal amount of data per connection or request (Maximale Datenmenge pro Verbindung oder Anfrage) Legt die Datenmenge (in MB) fest, die über eine lange andauernde Verbindung an eine andere Netzwerkkomponente gesendet werden kann, bevor Web Gateway die Verbindung schließt. Der Standardeinstellung beträgt 10240 MB. Diese Einstellung verhindert, dass die Leistung einer Web Gateway-Appliance durch lange andauernde Verbindungen mit sehr hoher Datenlast beeinträchtigt wird. Die Datenlast wird für die verschiedenen Verbindungsprotokolle wie folgt gemessen, um zu ermitteln, wann die Höchstmenge erreicht ist. • HTTP, HTTPS (mit Inhaltsprüfung), ICAP und ähnliche Protokolle: Die Datenlast wird für jede Anfrage gemessen, die in einer Verbindung gesendet wird. • SOCKS (wenn das zugrundeliegende Protokoll nicht beachtet wird), getunneltes HTTP, HTTPS (ohne Inhaltsprüfung) und ähnliche Protokolle: Die Datenlast wird für die Verbindung als Ganzes gemessen. • FTP: Die Datenlast wird für die Datenverbindung gemessen. Wenn die Verbindung geschlossen wird, erzeugt das einen Fehler, der von den Regeln in einem Fehler-Handler-Regelsatz verarbeitet werden kann. Die folgenden Eigenschaften werden dann für den Wert der gemessenen Daten festgelegt, um für die Fehlerbehandlungsregeln zur Verfügung zu stehen: Bytes.ToClient, Bytes.ToServer, Bytes.FromClient, Bytes.FromServer. Volume interval for connections (Volumenintervall für Verbindungen) Legt das Volumenintervall für lange andauernde Verbindungen fest. Internal path ID (Interne Pfad-ID) Gibt den Pfad an, dem eine Appliance beim Weiterleiten von internen Anfragen (Anfragen, die nicht von Clients empfangen wurden) folgt, z. B. Anfragen für Stylesheets zum Anzeigen von Fehlermeldungen. Bypass RESPmod for responses that must not contain a body (RESPmod bei Antworten umgehen, die keinen Textteil enthalten dürfen) Bei Auswahl dieser Option werden in einer Kommunikation unter dem ICAP-Protokoll gesendete Antworten nicht entsprechend dem RESPMOD-Mode geändert, wenn sie keinen Textteil enthalten. Call log handler for progress page updates and objects embedded in error templates (Protokoll-Handler für Aktualisierungen von Fortschrittsseiten und in Fehlermeldungsvorlagen eingebettete Objekte aufrufen) Bei Auswahl dieser Option werden die Regeln im auf der Appliance implementierten Protokoll-Handler-Regelsatz verarbeitet, um die angegebenen Aktualisierungen und Objekte zu behandeln. Allow connections to use local ports using proxy (Verbindungen das Verwenden lokaler Ports über Proxy gestatten) Bei Auswahl dieser Option können lokale Ports für Anfragen auf einer Appliance verwendet werden, auf der der Proxy ausgeführt wird. McAfee Web Gateway 7.5.0 Produkthandbuch 159 6 Proxys Proxy-Einstellungen Tabelle 6-30 Advanced Settings (Erweiterte Einstellungen) (Fortsetzung) Option Definition Use virtual IP as the Proxy.IP property value (Virtuelle IP-Adresse als Proxy.IP-Eigenschaftenwert verwenden) Bei Auswahl dieser Option ist der Wert für die Proxy.IP-Eigenschaft im Hochverfügbarkeitsmodus eine virtuelle IP-Adresse für alle Knoten in einer Konfiguration. Dabei handelt es sich um die virtuelle Adresse, mit der Clients Verbindungen mit dem Proxy herstellen. Wenn der Master-Knoten eine Anfrage eines Clients an einen Scan-Knoten umleitet, ist diese Adresse auch auf dem Scan-Knoten der Wert der Proxy.IP-Eigenschaft (und nicht die physische Adresse des Scan-Knotens). HTTP(S): Remove all hop-by-hop headers (HTTP(S): Alle Hop-by-Hop-Header entfernen) Bei Auswahl dieser Option werden Hop-by-Hop-Header aus Anfragen entfernt, die auf einer Appliance empfangen werden, auf der ein HTTP- bzw. HTTPS-Proxy ausgeführt wird. HTTP(S): Inspect via headers to detect proxy loops (HTTP(S): VIA-Header untersuchen, um Proxy-Schleifen zu erkennen) Bei Auswahl dieser Option werden VIA-Header in Anfragen, die auf einer Appliance, auf der ein HTTP- bzw. HTTPS-Proxy ausgeführt wird, auf Schleifen untersucht. HTTP(S): Host from absolute URL has priority over host header (Host von absoluter URL hat Priorität gegenüber Host-Header) Bei Auswahl dieser Option haben die Host-Namen, die absoluten URLs in Anfragen entsprechen, die auf einer Appliance empfangen werden, auf der ein HTTP- bzw. HTTPS-Proxy ausgeführt wird, Vorrang gegenüber den Host-Namen in den Anfrage-Headern. Encode own IP address in progress page ID to enable non-sticky load balancers (Eigene IP-Adresse zur Ermöglichung von temporärem Lastausgleich in Fortschrittsseiten-ID codieren) Bei Auswahl dieser Option wird die IP-Adresse in der Fortschrittsseiten-ID codiert. HTTP(S): Maximum size of a header (HTTP(S): Beschränkt die Header-Größe (in MB) für Anfragen oder Maximale Header-Größe) Antworten, die als HTTP(S)-Datenverkehr gesendet werden. Die Standardgröße beträgt 10 MB. Listen backlog (Überwachungs-Backlog) Gibt einen Wert für das Überwachungs-Backlog an, d. h. die Anzahl gleichzeitiger Verbindungen, die sich in der Warteschlange befinden dürfen. Der Standardwert beträgt 128. Limit for working threads doing IO in web cache (Limit für E/A-Arbeits-Threads im Web-Cache) Beschränkt die Anzahl von Arbeits-Threads für den Web-Cache. Progress page limit (Größenlimit für die Fortschrittsseite) Beschränkt die Größe (in KB) der Fortschrittsseite. Die Standardanzahl beträgt 25. Die Standardgröße beträgt 40.000 KB. Status code of healthy next hop proxy (CONNECT Listet die Statuscodes auf, die fehlerfreie CONNECT-Anfragen requests) (Statuscode von fehlerfreien an Proxys am nächsten Hop bezeichnen. Proxys am nächsten Hop Die folgenden Statuscodes bezeichnen standardmäßig (CONNECT-Anfragen)) fehlerfreie Anfragen: 200, 400, 403, 404, 502, 503, 504 160 McAfee Web Gateway 7.5.0 Produkthandbuch 6 Proxys Proxy-Einstellungen Tabelle 6-30 Advanced Settings (Erweiterte Einstellungen) (Fortsetzung) Option Definition Enable TCP window scaling (Skalierung des TCP-Fensters aktivieren) Bei Auswahl dieser Option wird das Fenster zum Empfangen von Datenpaketen auf TCP-Kommunikationsebene um den Skalierungsfaktor vergrößert, den Sie unter TCP window scale (Skalierung des TCP-Fensters) angeben. Diese Option ist standardmäßig aktiviert. Wenn Sie diese Option deaktivieren, kann das Fenster nicht skaliert werden. Sie sollten diese Option nur deaktivieren, wenn Sie das Empfangsfenster wirklich auf diese Weise konfigurieren möchten. TCP window scale (format: 0–14) (Skalierung des TCP-Fensters (Format: 0–14)) Legt die Größe des Fensters für den Empfang von Datenpaketen auf TCP-Kommunikationsebene fest. Die ursprüngliche Größe des Empfangsfensters kann mithilfe eines Skalierungsfaktors skaliert werden, der durch Potenzieren der Basis 2 mit der hier von Ihnen angegebenen Zahl berechnet wird. Wenn Sie beispielsweise 1 angeben, beträgt der Skalierungsfaktor 2^1 = 2. Dies bedeutet, dass die Fenstergröße verdoppelt wird. Sie können einen Wert im Bereich von 0–14 angeben. Wenn Sie 0 angeben, ergibt dies den Skalierungsfaktor 1. Dies bedeutet, dass Sie die ursprüngliche Größe des Empfangsfensters beibehalten möchten. Die Skalierungsfunktion kann jedoch trotzdem für das Empfangsfenster des Kommunikationspartners verwendet werden. Der Standardwert beträgt 2. Periodic Rule Engine Trigger List (Liste der regelmäßigen Regelmodul-Auslöser) Einstellungen für das Herstellen von Verbindungen mit Web-Servern, das Aufrufen des Regelmoduls und das Herunterladen von Daten McAfee Web Gateway 7.5.0 Produkthandbuch 161 6 Proxys Steuern ausgehender Quell-IP-Adressen Tabelle 6-31 Periodic Rule Engine Trigger List (Liste der regelmäßigen Regelmodul-Auslöser) Option Definition Enable Periodic Rule Engine Trigger List (Liste der regelmäßigen Regelmodul-Auslöser aktivieren) Bei Auswahl dieser Option werden Verbindungen mit den Web-Servern, die in der URL definition list (Liste der URL-Definitionen) angegeben sind, in regelmäßigen Intervallen eingerichtet. Außerdem werden in der Liste auch die Intervalle für die einzelnen Web-Serververbindungen angegeben. Nach Ablauf des Intervalls wird das Modul für die Regelverarbeitung (Regelmodul) auf einer Appliance aufgerufen, eine Verbindung mit dem Web-Server wird eingerichtet, und Daten werden vom Web-Server heruntergeladen und zur Verarbeitung an das Regelmodul übergeben. Daten werden nur unter dem HTTP-Protokoll und dem HTTPS-Protokoll heruntergeladen. Zu den Web-Servern, für die auf diese Weise Verbindungen eingerichtet werden, zählen Nächster-Hop-Proxy-Server und sonstige Server, über die im Web spezielle Dienste bereitgestellt werden. URL definition list (Liste der URL-Definitionen) Stellt eine Liste von Web-Servern bereit, mit denen eine Verbindung eingerichtet werden kann. In der folgenden Tabelle wird ein Eintrag in der Liste der URL-Definitionen beschrieben. Tabelle 6-32 URL definition list (Liste der URL-Definitionen) – Listeneintrag Option Definition Host Gibt die IP-Adresse und die Port-Nummer oder die URL eines Web-Servers an, mit dem eine Verbindung eingerichtet werden kann. Trigger interval (Auslöserintervall) Gibt das Intervall (in Sekunden) an, nach dessen Ablauf erneut versucht wird, eine Verbindung mit einem Web-Server einzurichten. Comment (Kommentar) Gibt einen Kommentar im Nur-Text-Format zu einer Verbindung mit einem Web-Server an. Steuern ausgehender Quell-IP-Adressen Die Verwendung verschiedener Quell-IP-Adressen für ausgehende Verbindungen von Web Gateway an Web-Server oder Proxys am nächsten Hop kann Verbindungsprobleme verursachen. Um diese Probleme zu vermeiden, können Sie diese Adressen durch eine einheitliche Adresse ersetzen. Die Verwendung verschiedener Quell-IP-Adressen ist beispielsweise bei der Konfiguration von Lastausgleich für mehrere Web Gateway-Appliances erforderlich. Lastausgleich kann zu Verbindungsproblemen auf der Seite der beteiligten Web-Server oder Proxys am nächsten Hop führen. Beispielsweise können Probleme entstehen, wenn sich Quell-IP-Adressen während eines Sitzungszeitraums ändern. Um diese Probleme zu vermeiden, können Sie eine Regel konfigurieren, die sich ändernde Quell-IP-Adressen durch eine einheitliche Adresse ersetzt. Dies muss keine feste Adresse sein. Sie können eine Liste von IP-Adressen anlegen und anhand einer Regel eine Adresse an einer bestimmten Position auf der Liste auswählen. Die Adresse, die die anderen Adressen ersetzt, entspricht dann dem jeweiligen Eintrag an dieser Position. 162 McAfee Web Gateway 7.5.0 Produkthandbuch 6 Proxys Steuern ausgehender Quell-IP-Adressen Netzwerkeinrichtung zur Steuerung der ausgehenden Quell-IP-Adressen Die Steuerung der ausgehenden Quell-IP-Adressen wird unterstützt für Netzwerkeinrichtungen mit: • IPv4 oder IPv6 • HTTP-, HTTPS-, FTP- oder SOCKS-Proxy Instant Messaging wird nicht unterstützt. • Proxy-Modus (mit optionalem WCCP) Der Modus „Transparenter Router“ wird unterstützt, wenn die Quell-IP-Adressen, die zum Ersetzen anderer Adressen verwendet werden, als Aliasse konfiguriert sind. Die Modi „Proxy-Hochverfügbarkeit“ und „Transparente Bridge“ werden nicht unterstützt. Die Steuerung der ausgehenden Quell-IP-Adressen kann auch über die regelmäßige Auslösung eines Regelmoduls erfolgen. Beispielregel zur Steuerung der ausgehenden Quell-IP-Adressen Eine Regel, die ausgehende Quell-IP-Adressen durch eine einheitliche Adresse ersetzt, wenn beispielsweise Verbindungen mit Proxys am nächsten Hop eingerichtet wurden, könnte wie folgt aussehen: Name Use proxy depending on the destination Criteria (Kriterium) Action (Aktion) Events (Ereignisse) URL.Destination.IP is in range list Next –> Continue Hop Proxy IP Range List ODER Enable Next Hop Proxy<Internal Proxy> Enable Outbound Source IP Override(Proxy.OutboundIP(2)) URL.Destination.IP is in list Next Hop Proxy IP List Das Regelkriterium gibt an, wann ein Proxy am nächsten Hop verwendet wird. Das erste der beiden Ereignisse stellt eine Verbindung mit einem Proxy am nächsten Hop her. Das zweite Ereignis, Enable Outbound Source IP Override, steuert die ausgehenden Quell-IP-Adressen. Es ersetzt („überschreibt“) alle durch eine Anfrage übermittelten Quell-IP-Adressen durch eine einheitliche IP-Adresse, die aus einer Liste übernommen wird. Diese Liste wird durch einen Ereignisparameter angegeben, der selbst eine Eigenschaft ist. Der Name der Eigenschaft lautet Proxy.OutboundIP. Der Wert ist eine Liste von IP-Adressen im Zeichenfolgenformat. Ein Parameter der Eigenschaft bestimmt die Position einer IP-Adresse in der Liste. Liste von IP-Adressen zur Steuerung der ausgehenden Quell-IP-Adressen Die Liste der IP-Adressen, die Sie zum Ersetzen der ausgehenden Quell-IP-Adressen verwenden können, gehört zu den Einstellungen für Proxies (Proxys). Sie finden sie dort unter Advanced Outgoing Connection Settings (Erweiterte Einstellungen für ausgehende Verbindung). McAfee Web Gateway 7.5.0 Produkthandbuch 163 6 Proxys Verwenden von WCCP zum Umleiten von FTP-Datenverkehr Bezüglich der Position einer IP-Adresse in der Liste gilt Folgendes: • Der Listenindex beginnt bei 0. Wenn Sie beispielsweise „2“ als Parameter für die Eigenschaft ProxyOutboundIP angeben, um eine Position zu bestimmen, wird die dritte IP-Adresse in der Liste ausgewählt. • Wenn Sie einen Parameterwert angeben, der die Anzahl der Listeneinträge übersteigt, wird die Position wie folgt berechnet: <Parameterwert> Modulo <Anzahl der Listeneinträge>. Wenn Sie zum Beispiel „5“ für eine Liste angeben, die nur drei Einträge besitzt, lautet das Ergebnis der Modulo-Berechnung „2“. Demzufolge wird die dritte IP-Adresse auf der Liste ausgewählt. Netzwerk-Routing und IP-Adress-Spoofing Die IP-Adressen, die vom Ereignis Enable Outbound Source IP Override in Datenpakete eingefügt werden, sind nicht lokale Quell-IP-Adressen. Daher müssen Sie das Netzwerk-Routing entsprechend konfigurieren. Datenpakete, die von einem Web-Server an einen Client zurückgesendet werden, müssen zum Proxy in Web Gateway weitergeleitet werden. Für das Weiterleiten der Datenpakete können Sie statische Routen verwenden. Wenn das Ereignis Enable Outbound Source IP Override ausgelöst wird und IP-Adress-Spoofing aktiviert ist, überschreibt das Ereignis auch diese Einstellung. Konfigurieren der Kontrolle ausgehender Quell-IP-Adressen Sie können verschiedene ausgehende Quell-IP-Adressen durch eine bestimmte Adresse ersetzen, um Verbindungsprobleme zu vermeiden. Vorgehensweise 1 Wählen Sie Configuration | Appliances (Konfiguration | Appliances) aus. 2 Wählen Sie eine Appliance zum Konfigurieren der IP-Adress-Ersetzung aus, wählen Sie Proxies (HTTP(S), FTP, SOCKS, ICAP ...) (Proxys (HTTP(S), FTP, SOCKS, ICAP ...)) aus, und scrollen Sie nach unten bis zu Advanced Outgoing Connection Settings (Erweiterte Einstellungen der ausgehenden Verbindung). 3 Fügen Sie unter Outbound source IP list (Liste ausgehender Quell-IP-Adressen) eine oder mehrere IP-Adressen zur Liste der Quell-IP-Adressen für ausgehende Anfragen hinzu. 4 Fügen Sie das folgende Ereignis zu einer bestehenden Regel für Verbindungen mit Web-Servern oder Proxys am nächsten Hop hinzu: Enable Outbound Source IP Override mit der Eigenschaft Proxy.OutboundIP als Parameter. Die Regel verwendet nun die Liste, die Sie zum Auswählen einer IP-Adresse, die verschiedene ausgehende Quell-IP-Adressen ersetzen soll, konfiguriert haben. Verwenden von WCCP zum Umleiten von FTP-Datenverkehr Anfragen, die von Web Gateway-Clients über das FTP-Protokoll an Server gesendet werden, können mithilfe der WCCP-Umleitungsmethode (Web Cache Control Protocol) an Web Gateway umgeleitet werden. Web Gateway-Clients öffnen zum Senden einer Anfrage an einen Server über das FTP-Protokoll zunächst die anfängliche FTP-Verbindung. Hierfür wird die IP-Adresse des Servers verwendet. Damit Web Gateway als Proxy fungieren kann, wird die Anfrage an die IP-Adresse der Appliance umgeleitet, auf der Web Gateway ausgeführt wird. 164 McAfee Web Gateway 7.5.0 Produkthandbuch 6 Proxys Verwenden von WCCP zum Umleiten von FTP-Datenverkehr Unter den Standardeinstellungen stuft der Client diese Umleitung als Sicherheitsrisiko ein und bricht das Öffnen der FTP-Datenverbindung daher ab. Bei der Umleitung über das WCCP-Protokoll können Sie dieses Problem jedoch umgehen, indem Sie an den Einstellungen folgende Änderungen vornehmen: • Verwenden des aktiven FTP-Modus für die Verbindung vom Client zum Proxy Clients sind standardmäßig zur Nutzung des passiven FTP-Modus berechtigt. Durch Deaktivieren einer Option der Proxy-Einstellungen auf der Web Gateway-Benutzeroberfläche können Sie jedoch den aktiven FTP-Modus erzwingen. • Konfigurieren eines Ports für die Umleitung zum Proxy Dieser Port muss in die Liste der Ports eingetragen werden, bei denen Umleitungen über WCCP erfolgen. • Einstellen der IP-Adresse des FTP-Servers für den Proxy (anstelle der eigenen IP-Adresse) Sie können durch Setzen eines bestimmten Parameters sicherstellen, dass der Proxy genau diese Adresse verwendet. Wenn die Einstellungen auf die genannte Weise geändert wurden, verwendet der entsprechende Client nun den aktiven FTP-Modus. Er sendet dem Proxy eine IP-Adresse sowie eine Port-Nummer zum Aufbau einer Verbindung. Daraufhin antwortet der Proxy mit einer Synchronisierungsnachricht. In dieser Nachricht wird die IP-Adresse des FTP-Servers als Quell-IP-Adresse des Proxys verwendet. Die Port-Nummer lautet 21 bzw. 2020. Die Antwort des Clients enthält die IP-Adresse des FTP-Servers als Ziel-IP-Adresse sowie die gleiche Port-Nummer. Anfragen vom Client an den FTP-Server werden dann über das WCCP-Protokoll an den Proxy umgeleitet. Im Modus „Transparente Bridge“ oder „Transparenter Router“ kann die WCCP-Umleitungsmethode für FTP-Datenverkehr allerdings nicht verwendet werden. Konfigurieren der Verwendung von WCCP zum Umleiten des FTP-Datenverkehrs Konfigurieren Sie die Proxy-Einstellungen wie folgt, um die WCCP-Umleitungsmethode für Anfragen zu aktivieren, die Clients über das FTP-Protokoll an Server senden. Vorgehensweise 1 Erzwingen Sie die Verwendung des aktiven FTP-Modus durch die Clients. a Wählen Sie Configuration | Appliances (Konfiguration | Appliances) aus. b Wählen Sie in der Appliances-Struktur die Appliance aus, für die Sie die Verwendung der WCCP-Umleitungsmethode aktivieren möchten, und klicken Sie auf Proxies (HTTP(S), FTP, SOCKS, ICAP ...) (Proxys (HTTP(S), FTP, SOCKS, ICAP ...)). c Scrollen Sie zu FTP Proxy (FTP-Proxy), und vergewissern Sie sich, dass Enable FTP proxy (FTP-Proxy aktivieren) ausgewählt ist. d Wählen Sie einen Eintrag in der FTP port definition list (Liste von FTP-Port-Definitionen) aus, klicken Sie auf Edit (Bearbeiten), und deaktivieren Sie unter FTP Proxy Port (FTP-Proxy-Port) die Option Allow clients to use passive connections (Clients das Verwenden von passiven Verbindungen gestatten). Wiederholen Sie diesen Teilschritt für alle Einträge in der Liste. McAfee Web Gateway 7.5.0 Produkthandbuch 165 6 Proxys Verwenden der Raptor-Syntax für die FTP-Anmeldung 2 Fügen Sie die Ports 21 und 2020 zur Liste der Ports hinzu, die für die Umleitung über WCCP verwendet werden. a Scrollen Sie in den Einstellungen für Proxies (Proxys) zu Transparent Proxy (Transparenter Proxy), und vergewissern Sie sich, dass unter Supported redirection methods (Unterstützte Umleitungsmethoden) die Option WCCP ausgewählt ist. b Wählen Sie einen Eintrag in der Liste WCCP services (WCCP-Dienste) aus, klicken Sie auf Edit (Bearbeiten), und geben Sie unter Ports to be redirected (Umzuleitende Ports) die Nummern 21,2020 ein. Wiederholen Sie diesen Teilschritt für alle Einträge in der Liste. 3 Klicken Sie auf Save Changes (Änderungen speichern). 4 Setzen Sie in den relevanten Einstellungen den Parameter ftp.match.client.data auf yes. Dadurch wird sichergestellt, dass Web Gateway bei Antworten an den Client die IP-Adresse verwendet, die vom Client als Quell-IP-Adresse empfangen wurde. Diese Adresse ist die IP-Adresse des fraglichen FTP-Servers, nicht die IP-Adresse der Web Gateway-Appliance. Der Client vermutet daher kein Sicherheitsrisiko. Anfragen, die von einem Client über das FTP-Protokoll an einen Server gesendet werden, werden nun mithilfe der WCCP-Umleitungsmethode an Web Gateway umgeleitet und problemlos verarbeitet. Verwenden der Raptor-Syntax für die FTP-Anmeldung Wenn Web Gateway so konfiguriert ist, dass es als FTP-Proxy ausgeführt wird, kann die Raptor-Syntax zur Anmeldung am FTP-Server mit Web Gateway als Proxy verwendet werden. Um diese Anmeldung durchzuführen, kann der Benutzer, der auf den FTP-Server zugreifen möchte, die Befehle USER, PASS und ACCEPT über einen passenden FTP-Client ausführen. Unter Verwendung dieser Befehle wird der FTP-Server zusammen mit Benutzernamen und Kennwörtern für den FTP-Server und den Web Gateway-Proxy angegeben. Die Befehlssyntax lautet wie folgt: USER <ftpuser>@<ftpserver> <proxyuser> PASS <ftpuserpass> ACCT <proxyuserpass> In der folgenden Tabelle werden die Bedeutungen der Befehlsparameter beschrieben. Tabelle 6-33 Befehlsparameter für die FTP-Anmeldung 166 Option Definition ftpserver FTP-Server, für den Zugriff angefragt wird ftpuser Benutzername für den FTP-Server ftpuserpass Kennwort für den FTP-Server proxyuser Benutzername für den Web Gateway-Proxy proxyuserpass Kennwort für den Web Gateway-Proxy McAfee Web Gateway 7.5.0 Produkthandbuch 6 Proxys Protokolle für die Kommunikation zwischen Knoten Protokolle für die Kommunikation zwischen Knoten Wenn Web Gateway-Appliances in einer Konfiguration mit zentraler Verwaltung als Master- und Scan-Knoten ausgeführt werden, erfolgt die Kommunikation zwischen den Knoten über das Virtual Router Redundancy Protocol (VRRP) und das MWG-Verwaltungsprotokoll. Die Verwendung der Protokolle hängt von den Proxy-Einstellungen ab, die Sie auf den als Knoten ausgeführten Appliances konfiguriert haben. Die Protokolle decken unterschiedliche Aktivitäten von Master- und Scan-Knoten ab. Virtual Router Redundancy Protocol Das Virtual Router Redundancy Protocol wird verwendet, wenn Sie Web Gateway als Proxy im Modus „Transparenter Router“ oder im Proxy-Modus „Hohe Verfügbarkeit“ konfiguriert haben. Unter diesem Protokoll werden aktiven Master-Knoten und Backup-Master-Knoten virtuelle IP-Adressen zugewiesen. Das Protokoll bestimmt auch, welcher Master-Knoten die aktive Master-Rolle übernimmt. MWG-Verwaltungsprotokoll Das MWG-Verwaltungsprotokoll wird im Proxy-Modus „Transparenter Router“, „Transparente Bridge“ und „Hohe Verfügbarkeit“ verwendet. Unter diesem Protokoll werden Scan-Knoten erkannt, die für die Verarbeitung des Web-Verkehrs zur Verfügung stehen. Der Knoten, der die aktive Master-Rolle übernimmt, sendet über die IP-Adressen, die Sie unter Management IP (Verwaltungs-IP) der jeweiligen Proxy-Einstellungen als IP-Quelladresse konfiguriert haben, Broadcast-Nachrichten an die Scan-Knoten. Das Protokoll sorgt dafür, dass die innerhalb eines Netzwerksegments verfügbaren Scan-Knoten in regelmäßigen Abständen auf die Erkennungsnachrichten des Master-Knotens antworten. Sicherheitsüberlegungen Die Sicherheitsmerkmale des Virtual Router Redundancy Protocol und des MWG-Verwaltungsprotokolls sind denen des Address Resolution Protocol (ARP) sehr ähnlich. Das Virtual Router Redundancy Protocol verwendet Multicast mit einer IP-Adresse, die nicht über die lokale Broadcast-Domäne hinaus geroutet wird. Das MWG-Verwaltungsprotokoll verwendet Broadcast-Nachrichten. Wenn ein bösartiger Knoten im gleichen Netzwerksegment VRRP-Nachrichten sendet, gibt er sich als aktiven Master-Knoten und Inhaber der jeweiligen virtuellen IP-Adresse zu erkennen. Wenn dieser Knoten plötzlich alle Datenpakete für die virtuelle IP-Adresse verweigert, wird die Netzwerkverbindung für die mit dem Web Gateway-Proxy verbundenen Clients beendet. Damit bösartige Knoten den Betrieb des Web Gateway-Proxys nicht stören, wird bei der Konfiguration der Proxy-Einstellungen gemäß Virtual Router Redundancy Protocol und MWG-Verwaltungsprotokoll die Verwendung von IP-Adressen aus einem geschützten Netzwerksegment empfohlen. Verwendung von DNS-Servern in Abhängigkeit von Domänen Die Verwendung von DNS-Servern (Domain Name Service) zur Auflösung von über URLs bereitgestellten Domäneninformationen in IP-Adressen, wenn Web-Zugriffsanfragen auf Web Gateway verarbeitet werden, kann gemäß den Domänen der angeforderten Ziele konfiguriert werden. Diese Verwendung von DNS-Servern wird auch als bedingte DNS-Weiterleitung bezeichnet. McAfee Web Gateway 7.5.0 Produkthandbuch 167 6 Proxys Verwendung von DNS-Servern in Abhängigkeit von Domänen Domänen, z. B. testnet.webwasher.com, werden in eine Liste eingegeben, zusammen mit der IP-Adresse des DNS-Servers, der zum Auflösen der URL-Informationen verwendet wird. Auf diese Weise kann für eine Domäne mehr als ein DNS-Server angegeben werden. Wenn eine Anfrage an ein bestimmtes Ziel im Web an Web Gateway gesendet wird, wird diese gemäß dieser Liste an einen DNS-Server weitergeleitet. Die Verwendung eines bestimmten DNS-Servers kann dynamisch über DHCP (Dynamic Host Configuration Protocol) konfiguriert werden. Dies ist auch die Standardeinstellung nach der Erstkonfiguration einer Web Gateway-Appliance. Wenn beide Konfigurationen mit DHCP sowie bedingter DNS-Weiterleitung konfiguriert sind, hat DHCP Vorrang, und die bedingte DNS-Weiterleitung wird umgangen. Wenn ein BIND-Server als DNS-Server konfiguriert ist, werden die in einer Konfigurationsdatei auf Web Gateway gespeicherten DNS-Server-Einstellungen überschrieben. Um die Einstellungen für die Auflösung des Domänennamens beizubehalten, müssen Sie diese manuell erneut eingeben. Konfigurieren Sie die Verwendung von DNS-Servern entsprechend Domänen Konfigurieren Sie die Domain Name Service-Einstellungen in geeigneter Weise, um die Verwendung von DNS-Servern entsprechend den Ziel-Domänen im Web zu ermöglichen. Vorgehensweise 1 Wählen Sie Configuration | Appliances (Konfiguration | Appliances) aus. 2 Wählen Sie in der Appliances-Baumstruktur die Appliance aus, für die Sie die Verwendung von DNS-Servern konfigurieren möchten, und klicken Sie auf Domain Name Service. 3 Konfigurieren Sie die Einstellungen im Abschnitt Conditional DNS Forwarder Configuration (Konfiguration von bedingten DNS-Weiterleitungen) nach Bedarf. 4 Klicken Sie auf Save Changes (Änderungen speichern). Einstellungen für den Domain Name Service Die Einstellungen für den Domain Name Service werden zum Konfigurieren der DNS-Server verwendet. Dies gilt auch für die Nutzung von DNS-Servern in Abhängigkeit von bestimmten Domänen, was auch als bedingte DNS-Weiterleitung bezeichnet wird. Domain Name Service Settings (Einstellungen des Domain Name Service) Einstellungen für DNS-Server Tabelle 6-34 Domain Name Service Settings (Einstellungen des Domain Name Service) Option Definition Primary domain name server (Primärer Domänennamen-Server) Gibt die IP-Adresse des ersten Servers an. Secondary domain name server (Sekundärer Domänennamen-Server) Gibt die IP-Adresse des zweiten Servers an. Tertiary domain name server (Tertiärer Domänennamen-Server) Gibt die IP-Adresse des dritten Servers an. Conditional DNS Forwarder Configuration (Konfiguration für bedingte DNS-Weiterleitung) Einstellungen für die Verwendung von DNS-Servern in Abhängigkeit von Domänen 168 McAfee Web Gateway 7.5.0 Produkthandbuch 6 Proxys Verwendung von DNS-Servern in Abhängigkeit von Domänen Tabelle 6-35 Conditional DNS Forwarder Configuration (Konfiguration für bedingte DNS-Weiterleitung) Option Definition Enable conditional forwarding (Bedingte Weiterleitung aktivieren) Bei Auswahl dieser Option löst ein DNS-Server aus der Liste Conditional Forwarder List (Liste für bedingte Weiterleitung) die in einer Anfrage an Web Gateway gesendete Domäneninformation in eine IP-Adresse auf. • In Abhängigkeit von der Domäne des angefragten Ziels wird ein DNS-Server aus der Liste ausgewählt. • Die DNS-Server sind in der Liste mit ihren IP-Adressen aufgeführt. • Für eine Domäne können bis zu fünf DNS-Server angegeben werden. Wenn diese Option ausgewählt ist, kann auch auf die folgenden fünf Optionen zugegriffen werden. Default resolver(s) (Standard-DNS-Server) Gibt die IP-Adressen des bzw. der Server an, die standardmäßig zur Auflösung der Domäneninformationen verwendet werden. Hier können IP-Adressen für bis zu fünf DNS-Server angegeben werden. TTL for positive answer (Speicherdauer für positive Antworten) Gibt den Zeitraum (in Sekunden) vor, für den positive Antworten bezüglich der bedingten DNS-Weiterleitung im Cache gespeichert werden. • Zulässige Zeiträume sind 1 bis 604800 Sekunden. • Die Standardeinstellung beträgt 604800 Sekunden. TTL for negative answer (Speicherdauer für negative Antworten) Gibt den Zeitraum (in Sekunden) vor, für den negative Antworten bezüglich der bedingten DNS-Weiterleitung im Cache gespeichert werden. • Zulässige Zeiträume sind 1 bis 604800 Sekunden. • Die Standardeinstellung beträgt 10800 Sekunden. Conditional Forwarder List (Liste für bedingte Weiterleitung) Enthält Einträge für Domänen und IP-Adressen von DNS-Servern, die für die bedingte Weiterleitung genutzt werden. Conditional Forwarder Reverse Lookup List (Liste für umgekehrte Suche in bedingter Weiterleitung) Enthält Einträge für Domänen und IP-Adressen von DNS-Servern, die verwendet werden, wenn bei der bedingten Weiterleitung eine umgekehrte Suche durchgeführt wird. In der folgenden Tabelle wird ein Eintrag in der Liste „Conditional Forwarder List“ (Liste für bedingte Weiterleitung) erläutert. Tabelle 6-36 Liste für bedingte Weiterleitung – Listeneintrag Option Definition Forward zone (Weiterleitungsbereich) Gibt einen Domänennamen an. Beim Senden einer Anfrage für ein Ziel auf einer bestimmten Domäne an Web Gateway wird für die Suche der DNS-Server (bzw. die DNS-Server) verwendet, der für diese Domäne angegeben ist. DNS server(s) (DNS-Server) Gibt einen DNS-Server bzw. mehrere DNS-Server anhand der IP-Adresse(n) an. Hier können IP-Adressen für bis zu fünf DNS-Server angegeben werden. Comment (Kommentar) McAfee Web Gateway 7.5.0 Gibt einen Kommentar (Nur-Text-Format) zu der bedingten DNS-Weiterleitung an, die in diesem Listeneintrag konfiguriert wird. Produkthandbuch 169 6 Proxys Reverse-HTTPS-Proxy In der folgenden Tabelle wird ein Eintrag in der Liste „Conditional Forwarder Reverse Lookup List“ (Liste für umgekehrte Suche in bedingter Weiterleitung) erläutert. Tabelle 6-37 Liste für umgekehrte Suche in bedingter Weiterleitung – Listeneintrag Option Definition Forward zone (Weiterleitungsbereich) Gibt die IP-Adresse einer Domäne an. • Die Angabe der IP-Adresse erfolgt in der CIDR-Notation. • Bei der Durchführung einer umgekehrten Suche nach einer IP-Adresse wird der DNS-Server (bzw. die DNS-Server) verwendet, der für diese Adresse angegeben ist. DNS server(s) (DNS-Server) Gibt einen DNS-Server bzw. mehrere DNS-Server anhand der IP-Adresse(n) an. Hier können IP-Adressen für bis zu fünf DNS-Server angegeben werden. Comment (Kommentar) Gibt einen Kommentar (Nur-Text-Format) zu der bedingten DNS-Weiterleitung an, die in diesem Listeneintrag konfiguriert wird. Reverse-HTTPS-Proxy Mit einer Reverse-HTTPS-Proxy-Konfiguration kann verhindert werden, dass Clients unerwünschte Daten wie Malware oder bestimmte Medientypen auf Web-Server unter dem HTTPS-Protokoll hochladen. In einer solchen Konfiguration wird HTTPS-Datenverkehr an eine Appliance umgeleitet, auf der ein Proxy ausgeführt wird. Er wird untersucht und schließlich je nach den auf der Appliance implementierten Regeln weitergeleitet oder blockiert. Es gibt die folgenden Konfigurationsmöglichkeiten: • Einrichten einer transparenten Bridge oder eines transparenten Routers • Einrichten einer DNS-Konfiguration, die direkt auf die Appliance zeigt, wenn der Zugriff auf einen bestimmten Web-Server angefordert wird Die Umleitung an eine Appliance kann auch erzielt werden, indem Verbindungen mit Proxy-Erkennung konfiguriert werden, die auf der Verwendung von CONNECT-Headern basieren. Diese Methode erfordert jedoch ein zusätzliches Netzwerkgerät, um diese Header für eingehende Anfragen zusammenzustellen. Daher wird sie nicht empfohlen. Neben dem Konfigurieren Ihres Netzwerks müssen Sie die Verarbeitung von SSL-Zertifikaten konfigurieren. Optional können Sie zusätzliche Einstellungen festlegen, die sich nicht auf SSL beziehen, um einen reibungslosen Betrieb des Reverse-HTTPS-Proxys sicherzustellen. Umleiten von HTTPS-Datenverkehr im Modus „Transparente Bridge“ oder „Transparenter Router“ Im Modus „Transparente Bridge“ oder „Transparenter Router“ können Sie eine Port-Umleitungsregel (die auch als Port-Weiterleitungsregel bezeichnet wird) verwenden, um HTTPS-Datenverkehr an den Proxy-Port einer Appliance weiterzuleiten. Sie müssen zudem sicherstellen, dass die umgeleiteten Anfragen als SSL-gesicherte Kommunikation behandelt werden. 170 McAfee Web Gateway 7.5.0 Produkthandbuch 6 Proxys Reverse-HTTPS-Proxy Vorgehensweise 1 Wählen Sie Configuration | Appliances (Konfiguration | Appliances) aus. 2 Wählen Sie in der Appliances-Baumstruktur die Appliance aus, an die Datenverkehr umgeleitet werden soll, und klicken Sie auf Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys (HTTP(S), FTP, ICAP und IM)). 3 Wählen Sie im Abschnitt Network Setup (Netzwerkeinrichtung) Transparent bridge (Transparente Bridge) oder Transparent router (Transparenter Router) aus. Der Abschnitt mit den spezifischen Einstellungen für die transparente Bridge bzw. den transparenten Router wird angezeigt. 4 Klicken Sie unter Port redirects (Port-Umleitungen) auf Add (Hinzufügen). Daraufhin öffnet sich das Fenster Add Port Redirects (Port-Umleitungen hinzufügen). 5 Konfigurieren Sie die folgenden Einstellungen für einen neue Port-Umleitungsregel: • Protocol name (Protokollname): HTTP Diese Einstellung deckt Verbindungen unter den Protokollen HTTP und HTTPS ab. • Original destination ports (Ursprüngliche Ziel-Ports): 443 Wenn die Web-Server, die die Anfrageziele darstellen, auch unter dem HTTP-Protokoll erreicht werden können, können Sie hier Port 80 hinzufügen (getrennt durch ein Komma). Dieser Typ von Datenverkehr wird dann ebenfalls an die Appliance weitergeleitet. • Destination proxy port (Ziel-Proxy-Port): 9090 Dies ist der standardmäßige Proxy-Port auf einer Appliance. 6 Klicken Sie auf OK. Das Fenster wird nun geschlossen, und die neue Regel wird in der Liste angezeigt. 7 Vergewissern Sie sich, dass unter HTTP proxy port (HTTP-Proxy-Port) die Option Enable HTTP proxy (HTTP-Proxy aktivieren) ausgewählt ist, und klicken Sie auf Add (Hinzufügen). Daraufhin öffnet sich das Fenster Add HTTP Proxy Port (HTTP-Proxy-Port hinzufügen). 8 9 Vergewissern Sie sich, dass Folgendes konfiguriert ist: • Serve transparent SSL connections (Verarbeitung für transparente SSL-Verbindungen): Ausgewählt • Ports treated as SSL (Als SSL behandelte Ports): 443 Behalten Sie für die übrigen Einstellungen die jeweiligen Standardwerte bei, und klicken Sie auf OK. Das Fenster wird nun geschlossen, und der neue HTTP-Proxy-Port wird in der Liste angezeigt. 10 Klicken Sie auf Save Changes (Änderungen speichern). Festlegen der Überwachung von über DNS-Einträge umgeleiteten Anfragen durch die Appliance Wenn unter dem HTTPS-Protokoll gesendete Anfragen entsprechend DNS-Einträgen an eine Appliance umgeleitet werden, können Sie den Proxy auf der Appliance so konfigurieren, dass er den McAfee Web Gateway 7.5.0 Produkthandbuch 171 6 Proxys Reverse-HTTPS-Proxy entsprechenden Port direkt überwacht. Sie müssen zudem sicherstellen, dass die Verarbeitung nur für SSL-gesicherte Verbindungen erfolgt. Bevor Sie beginnen Wenn Sie den Proxy auf diese Weise konfigurieren möchten, stellen Sie Folgendes sicher: • Es erfolgt keine Auflösung der Host-Namen der angeforderten Web-Server auf der Appliance, wenn von der Appliance eine DNS-Suche ausgeführt wird. Sie können dies erreichen, indem Sie die IP-Adressen der Web-Server in der Datei „/etc/ hosts“ auf der Appliance eingeben, oder indem Sie einen entsprechend konfigurierten internen DNS-Server verwenden. • Ein Regelsatz zur Verarbeitung der Inhaltsüberprüfung ist auf der Appliance implementiert und aktiviert. Ein geeigneter Regelsatz wird als untergeordneter Regelsatz des Regelsatzes „SSL Scanner“ im Standard-Regelsatzsystem bereitgestellt. Bei der Verwendung von DNS-Einträgen kann keine Port-Umleitungsregel angewendet werden, da der Zweck einer solchen Regel im Weiterleiten von Anfragen für andere Ziele an die Appliance besteht. Aufgrund der DNS-Einträge stellt die Appliance jedoch bereits das Ziel dar. Sie müssen zudem sicherstellen, dass die Verarbeitung nur für SSL-gesicherte Verbindungen erfolgt. Vorgehensweise 1 Wählen Sie Configuration | Appliances (Konfiguration | Appliances) aus. 2 Wählen Sie in der Appliances-Baumstruktur eine Appliance aus, die auf Anfragen überwachen soll, und klicken Sie auf Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys (HTTP(S), FTP, ICAP und IM)). 3 Vergewissern Sie sich, dass unter HTTP proxy port (HTTP-Proxy-Port) die Option Enable HTTP proxy (HTTP-Proxy aktivieren) ausgewählt ist, und klicken Sie auf Add (Hinzufügen). Daraufhin öffnet sich das Fenster Add HTTP Proxy Port (HTTP-Proxy-Port hinzufügen). 4 Konfigurieren Sie die folgenden Einstellungen für einen neuen HTTP-Proxy-Port: • Listener address (Listener-Adresse): 0.0.0.0:443 Mit dieser Einstellung überwacht die Appliance Anfragen für beliebige Web-Server, ungeachtet ihrer jeweiligen IP-Adresse. Sie können an dieser Stelle auch eine bestimmte IP-Adresse angeben und die Überwachung von Anfragen durch die Appliance auf den betreffenden Server beschränken. Wenn Sie über mehrere Netzwerkschnittstellenkarten auf der Appliance verfügen, können Sie IP-Adressen (durch Kommas getrennt) für eine Anzahl von Web-Servern angeben, die der Anzahl von Netzwerkschnittstellenkarten gleichkommt. 172 • Serve transparent SSL connections (Verarbeitung für transparente SSL-Verbindungen): Ausgewählt • Ports treated as SSL (Als SSL behandelte Ports): * McAfee Web Gateway 7.5.0 Produkthandbuch 6 Proxys Reverse-HTTPS-Proxy 5 Behalten Sie für die übrigen Einstellungen die jeweiligen Standardwerte bei, und klicken Sie auf OK. Das Fenster wird nun geschlossen, und der neue Proxy-Port wird in der Liste angezeigt. Wenn ein Web-Server auch unter dem HTTPS-Protokoll zugänglich sein soll, müssen Sie einen weiteren HTTP-Proxy mit der Listener-Adresse 0.0.0.0:80 oder der Adresse eines bestimmten Web-Servers hinzufügen. 6 Klicken Sie auf Save Changes (Änderungen speichern). SSL-Zertifikate in einer Reverse-HTTPS-Proxy-Konfiguration Eine Reverse-HTTPS-Proxy-Konfiguration wird üblicherweise eingerichtet, um eine begrenzte Anzahl an Web-Servern vor dem Hochladen unerwünschter Daten durch Clients zu schützen. Sie müssen für diese Server SSL-Zertifikate importieren und diese der Appliance-Konfiguration hinzufügen. In einer Reverse-HTTPS-Proxy-Konfiguration kommuniziert die Appliance im SSL-gesicherten Modus mit ihren Clients. Die SSL-Zertifikate, die die Appliance während des SSL-Handshakes an die Clients sendet, können jedoch nicht durch das Modul „SSL Scanner“ ausgestellt werden. Die Appliance verwendet daher die Originalzertifikate der Web-Server, für die die Clients Zugriff anfragen. Sie können diese Zertifikate beim Konfigurieren der Einstellungen für den SSL-Client-Kontext ohne CA-Modul konfigurieren. Die Appliance verwendet mehrere Methoden, um die passenden Zertifikate zum Senden an die Clients zu finden. Auswählen der an die Clients zu sendenden Zertifikate Um herauszufinden, welche Zertifikate in einer bestimmten Situation an einen Client zu senden sind, scannt die Appliance die Liste der importierten Zertifikate. In dieser Liste sind die Zertifikate den Host-Namen der Web-Server zugeordnet, zu denen sie gehören. Die Appliance sendet dann das Zertifikat, das dem Namen des Hosts zugeordnet ist, auf den ein Client Zugriff anfragt. In einer expliziten Proxy-Einrichtung würde der Host-Name übertragen und der Appliance im Header der CONNECT-Anfrage angegeben werden. In einer transparenten Einrichtung verwendet die Appliance die folgenden Methoden zur Erkennung des Host-Namens: • Wenn ein Client eine SNI-Erweiterung sendet, kann der Host-Name auf eine Weise ermittelt werden, die der Erkennung des Host-Namens in einer expliziten Proxy-Konfiguration ähnelt. • Wenn Client-Anfragen entsprechend den DNS-Einträgen an die Appliance umgeleitet werden, wird der Host-Name anhand der IP-Adresse erkannt, die Sie beim Konfigurieren der Umleitung angegeben haben. In diesem Fall müssen Sie auch einen Regelsatz mit Regeln erstellen, die die Eigenschaft „URL.Host“ auf den entsprechenden Wert für jede IP-Adresse setzen, auf die die Appliance reagieren soll. Damit wird der Appliance angegeben, wohin Anfragen weitergeleitet werden sollen, nachdem sie gefiltert und zugelassen wurden. • Wenn die transparente Einrichtung keine Umleitung durch DNS-Einträge verwendet, sendet die Appliance eine Handshake-Meldung an den von einem Client angefragten Web-Server, extrahiert den allgemeinen Namen aus dem vom Web-Server erhaltenen Zertifikat, und ermittelt anhand dieses allgemeinen Namens den Host-Namen. Bei dieser Methode müssen auch die Appliance und der Web-Server im SSL-gesicherten Modus kommunizieren. Sie können eine Einstellung auf der Appliance konfigurieren, um sicherzustellen, dass dieser Modus verwendet wird. McAfee Web Gateway 7.5.0 Produkthandbuch 173 6 Proxys Reverse-HTTPS-Proxy Erstellen von Eigenschaften für SSL-Zertifikate in einer Reverse-HTTPSProxy-Konfiguration Für die SSL-Zertifikate, die für Web-Server in einer Reverse-HTTPS-Proxy-Konfiguration verwendet werden, können Sie Einstellungen erstellen und die Zertifikate beim Konfigurieren dieser Einstellungen importieren. Vorgehensweise 1 Wählen Sie Policies | Settings (Richtlinien | Einstellungen) aus. 2 Wählen Sie in der Einstellungs-Baumstruktur Enable SSL Client Context without CA (SSL-Client-Kontext ohne CA aktivieren) aus. 3 Klicken Sie über der Einstellungs-Baumstruktur auf Add (Hinzufügen). Daraufhin öffnet sich das Fenster Add Settings (Einstellungen hinzufügen). 4 Geben Sie im Feld Name einen Namen für die hinzuzufügenden Einstellungen ein, z. B. Imported web server certificates. 5 [Optional] Geben Sie im Feld Comments (Kommentare) einen Kommentar (Nur-Text-Format) zu den Einstellungen ein. 6 [Optional] Wählen Sie die Registerkarte Permissions (Berechtigungen) aus, und geben Sie an, welchen Benutzern Sie die Berechtigung für den Zugriff auf die Einstellungen zuweisen möchten. 7 Konfigurieren Sie im Abschnitt Define SSL Client Context (Without Certificate Authority) (SSL-Client-Kontext definieren, ohne Zertifizierungsstelle) die dort befindlichen Einstellungsparameter. a Klicken Sie auf der Symbolleiste der Inline-Liste Select server certificate by host or IP (Server-Zertifikat nach Host oder IP auswählen) auf Add (Hinzufügen). Daraufhin öffnet sich das Fenster Add Host to Certificate Mapping (Host zu Zertifikatszuordnung hinzufügen). b Klicken Sie auf Import (Importieren), und importieren Sie mithilfe der Optionen des nun geöffneten Fensters Import Server Certificate (Server-Zertifikat importieren) ein SSL-Zertifikat für einen Web-Server. c Konfigurieren Sie die weiteren Parameter im Fenster Add Host to Certificate Mapping (Host zur Zertifikatzuordnung hinzufügen) nach Bedarf. d Klicken Sie auf OK. Das Fenster wird geschlossen, und in der Inline-Liste wird ein neuer Eintrag für die Zuordnung eines SSL-Zertifikats zum Host-Namen eines Web-Servers angezeigt. e Wenn Sie zur Inline-Liste weitere Zuordnungseinträge hinzufügen möchten, dann wiederholen Sie die untergeordneten Schritte a bis d. f Aktivieren bzw. deaktivieren Sie die Option SSL-Scanner functionality applies only to client connection (SSL-Scanner-Funktion nur auf Client-Verbindung anwenden), je nachdem, ob die Verbindung zum Web-Server SSL-gesichert sein soll oder nicht. Wenn Sie sich für eine ungesicherte Verbindung entscheiden, müssen Sie eine Regel zum Ändern des Netzwerkprotokolls von HTTPS in HTTP erstellen. 174 McAfee Web Gateway 7.5.0 Produkthandbuch Proxys Reverse-HTTPS-Proxy g Konfigurieren Sie die anderen Parameter der Einstellungen für den SSL-Client-Kontext nach Bedarf. h Klicken Sie auf OK. 6 Das Fenster Add Settings (Einstellungen hinzufügen) wird nun geschlossen, und die neuen Einstellungen werden in der Einstellungs-Baumstruktur angezeigt. 8 Klicken Sie auf OK. Das Fenster wird nun geschlossen, und die neuen Einstellungen werden in der Einstellungs-Baumstruktur angezeigt. 9 Klicken Sie auf Save Changes (Änderungen speichern). Sie können diese Einstellungen auch in der Regel zum Festlegen des Client-Kontexts verwenden. Diese Regel befindet sich im SSL-Scanner-Regelsatz des Standard-Regelsatzsystems. Festlegen der Eigenschaft „URL.Host“ in einer Reverse-HTTPS-ProxyKonfiguration Wenn Client-Anfragen durch DNS-Einträge in einer Reverse-HTTPS-Proxy-Konfiguration an die Appliance umgeleitet werden, müssen Sie die IP-Adresse eines Web-Servers als Werte der Eigenschaft „URL.Host“ festlegen, um der Appliance das Weiterleitungsziel für die Anfragen anzugeben. Nachdem das Filtern einer Anfrage ergeben hat, dass diese zulässig ist, verwendet die Appliance die mit der Anfrage übermittelte Eigenschaft „URL.Host“, um die Anfrage an den angefragten Web-Server weiterzuleiten. Bei der Umleitung von Anfragen entsprechend den DNS-Einträgen sind die Web-Server der Appliance durch ihre IP-Adressen bekannt. Wenn die Eigenschaft „URL.Host“ über die IP-Adresse eines Web-Servers als Wert verfügt, leitet die Appliance die Anfrage an das entsprechende Ziel weiter. Der Wert der Eigenschaft „URL.Host“ kann mithilfe einer Regel auf eine IP-Adresse gesetzt werden. Sie müssen eine solche Regel für jeden Web-Server erstellen, an den die Appliance Anfragen weiterleiten soll. Diese Regeln können in einem eigenen Regelsatz enthalten sein. Aufgaben • Erstellen eines Regelsatzes zum Festlegen der Eigenschaft „URL.Host“ auf Seite 175 Sie können einen Regelsatz mit Regeln erstellen, die der Eigenschaft „URL.Host“ die IP-Adresse eines Web-Servers als Wert zuweisen. • Erstellen von Regeln zum Festlegen der Eigenschaft „URL.Host“ auf Seite 176 Sie können Regeln erstellen, die der Eigenschaft „URL.Host“ die IP-Adresse eines Web-Servers als Wert zuweisen. Erstellen eines Regelsatzes zum Festlegen der Eigenschaft „URL.Host“ Sie können einen Regelsatz mit Regeln erstellen, die der Eigenschaft „URL.Host“ die IP-Adresse eines Web-Servers als Wert zuweisen. Vorgehensweise 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus. 2 Navigieren Sie in der Regelsatz-Baumstruktur zu der Position, an der der gewünschte Regelsatz eingefügt werden soll. McAfee Web Gateway 7.5.0 Produkthandbuch 175 6 Proxys Reverse-HTTPS-Proxy 3 Klicken Sie oberhalb der Baumstruktur auf Add (Hinzufügen), und wählen Sie Rule Set (Regelsatz) aus. Daraufhin öffnet sich das Fenster Add New Rule Set (Neuen Regelsatz hinzufügen). 4 Geben Sie unter Name einen geeigneten Namen für den neuen Regelsatz ein, z. B. Set value of URL.Host to IP address. 5 Achten Sie darauf, dass Enable (Aktivieren) ausgewählt ist. 6 Wählen Sie unter Applies to (wird angewendet auf) die Option Requests and IM (Anfragen und IM). 7 Wählen Sie unter Apply this rule set (Diesen Regelsatz anwenden) die Option If the Always (Immer) aus. 8 [Optional] Geben Sie unter Comment (Kommentar) einen Kommentar zum Regelsatz im Nur-Text-Format ein. 9 [Optional] Klicken Sie auf die Registerkarte Permissions (Berechtigungen), und konfigurieren Sie, wer zum Zugriff auf den Regelsatz berechtigt ist. 10 Klicken Sie auf OK. Das Fenster wird geschlossen, und der neue Regelsatz wird in der Regelsatz-Baumstruktur angezeigt. Erstellen von Regeln zum Festlegen der Eigenschaft „URL.Host“ Sie können Regeln erstellen, die der Eigenschaft „URL.Host“ die IP-Adresse eines Web-Servers als Wert zuweisen. Vorgehensweise 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus. 2 Erweitern Sie in der Regelsatz-Baumstruktur den Regelsatz, den Sie für die neuen Regeln erstellt haben, z. B. Set value of URL.Host to IP address. 3 Klicken Sie auf Add Rule (Regel hinzufügen). Daraufhin öffnet sich das Fenster Add Rule (Regel hinzufügen), in dem der Schritt Name ausgewählt ist. 4 Geben Sie im Feld Name einen Namen für die neue Regel ein, z. B. Set value of URL.Host to 10.141.101.51. 5 Wählen Sie erst Rule Criteria (Regelkriterien) aus, anschließend If the following criteria is matched (Wenn folgende Kriterien zutreffen), und klicken Sie dann auf Add (Hinzufügen). Daraufhin öffnet sich das Fenster Add Criteria (Kriterien hinzufügen). 6 176 Konfigurieren Sie die Regelkriterien folgendermaßen: a Wählen Sie aus der Liste der Eigenschaften in der linken Spalte die Eigenschaft URL.Destination.IP aus. b Wählen Sie aus der Liste der Operatoren in der mittleren Spalte den Operator equals (ist gleich) aus. c Geben Sie in der rechten Spalte in das Operandenfeld unter Compare with (Vergleichen mit) eine IP-Adresse ein. McAfee Web Gateway 7.5.0 Produkthandbuch 6 Proxys Reverse-HTTPS-Proxy 7 Klicken Sie auf OK. Das Fenster wird geschlossen, und die neuen Kriterien werden unter Rule Criteria (Regelkriterien) angezeigt. 8 Klicken Sie auf Action (Aktion), wählen Sie Continue (Weiter) aus, und übernehmen Sie die Standardeinstellungen dieser Aktion. 9 Klicken Sie auf Events (Ereignisse), anschließend auf Add (Hinzufügen), und wählen Sie im angezeigten Dropdown-Menü die Option Set Property Value (Eigenschaftenwert festlegen). Daraufhin öffnet sich das Fenster Add Set Property (Festgelegte Eigenschaft hinzufügen). 10 So legen Sie eine Eigenschaft fest: a Wählen Sie unter Set this property (Diese Eigenschaft festlegen) die Eigenschaft URL.Host aus. b Klicken Sie unter To concatenation of these strings (Für Verkettung dieser Zeichenfolgen) auf Add (Hinzufügen). Daraufhin öffnet sich das Fenster Please Enter a String (Zeichenfolge eingeben). c Geben Sie im Feld Parameter value (Parameterwert) den Host-Namen des Web-Servers ein, zu dem die in dieser Regel verwendete IP-Adresse gehört. d Klicken Sie auf OK. Das Fenster wird nun geschlossen, und der Host-Name wird im Fenster Add Set Property (Festgelegte Eigenschaft hinzufügen) angezeigt. 11 Klicken Sie auf OK. Das Fenster wird geschlossen, und das Ereignis zum Festlegen der EigenschaftURL.Host wird unter Events (Ereignisse) angezeigt. 12 Klicken Sie auf Finish (Fertig stellen). Das Fenster Add Rule (Regel hinzufügen) wird nun geschlossen, und die neue Regel wird in dem Regelsatz angezeigt, den Sie für die Regeln zur Festlegung von Werten erstellt haben. 13 Klicken Sie auf Save Changes (Änderungen speichern). Durchführen zusätzlicher Aktivitäten für eine Reverse-HTTPSProxy-Konfiguration Zusätzlich zur Konfiguration der Netzwerkeinrichtung und der SSL-Zertifikatsverarbeitung können Sie mehrere weitere optionale Aktivitäten ausführen, um einen reibungslosen Betrieb des Reverse-HTTPS-Proxys zu gewährleisten. • Erkennung von Proxy-Schleifen deaktivieren • Beschränken des Zugriffs auf die Appliance-Ports • Beschränken des Zugriffs auf Web-Server • Senden von Daten an mehrere Web-Server McAfee Web Gateway 7.5.0 Produkthandbuch 177 6 Proxys Reverse-HTTPS-Proxy Aufgaben • Erkennung von Proxy-Schleifen deaktivieren auf Seite 178 Eine Appliance kann mittels Auswertung des VIA-Headers einer Client-Anfrage Proxy-Schleifen erkennen. Bei einer Reverse-HTTPS-Proxy-Konfiguration wird empfohlen, diese Erkennung zu deaktivieren. • Beschränken des Zugriffs auf die Appliance-Ports auf Seite 178 In einer Reverse-HTTPS-Proxy-Konfiguration muss der Zugriff auf die Proxy-Ports einer Appliance beschränkt sein. Sie müssen die Einstellungen der Benutzeroberfläche sowie die Datei-Server-Einstellungen entsprechend konfigurieren. • Beschränken des Zugriffs auf Web-Server auf Seite 179 Eine Reverse-HTTPS-Proxy-Konfiguration wird i. d. R. implementiert, um eine begrenzte Anzahl von Web-Servern vor unerwünschten Daten-Uploads von Clients zu schützen. In dieser Konfiguration sollten Sie den Zugriff ausschließlich auf diese Server gestatten und den Zugriff auf andere blockieren. • Senden von Daten an mehrere Web-Server auf Seite 182 Sie können nacheinander auf einer Appliance eingehende Anfragen an unterschiedliche Web-Server weiterleiten und so für Lastausgleich und Redundanz sorgen. Erkennung von Proxy-Schleifen deaktivieren Eine Appliance kann mittels Auswertung des VIA-Headers einer Client-Anfrage Proxy-Schleifen erkennen. Bei einer Reverse-HTTPS-Proxy-Konfiguration wird empfohlen, diese Erkennung zu deaktivieren. Vorgehensweise 1 Wählen Sie Configuration | Appliances (Konfiguration | Appliances) aus. 2 Wählen Sie in der Appliances-Baumstruktur die Appliance aus, für die Sie die Erkennung von Proxy-Schleifen deaktivieren möchten, und klicken Sie auf Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys (HTTP(S), FTP, ICAP und IM)). 3 Deaktivieren Sie im Abschnitt Advanced Settings (Erweiterte Einstellungen) die Option HTTP(S): Inspect Via header to detect proxy loops (HTTP(S): VIA-Header untersuchen, um Proxy-Schleifen zu erkennen). 4 Klicken Sie auf Save Changes (Änderungen speichern). Beschränken des Zugriffs auf die Appliance-Ports In einer Reverse-HTTPS-Proxy-Konfiguration muss der Zugriff auf die Proxy-Ports einer Appliance beschränkt sein. Sie müssen die Einstellungen der Benutzeroberfläche sowie die Datei-Server-Einstellungen entsprechend konfigurieren. Vorgehensweise 178 1 Wählen Sie Configuration | Appliances (Konfiguration | Appliances) aus. 2 Wählen Sie in der Appliances-Baumstruktur die Appliance aus, für die der Port-Zugriff beschränkt werden soll, und klicken Sie auf User Interface (Benutzeroberfläche). 3 Geben Sie unter HTTP Connector Port (HTTP-Konnektor-Port) den Appliance-Proxy-Port ein (Standardwert: 9090). 4 Wählen Sie File Server (Datei-Server) aus. 5 Geben Sie unter HTTP Connector Port (HTTP-Konnektor-Port) den Appliance-Proxy-Port ein (Standardwert: 9090). 6 Klicken Sie auf Save Changes (Änderungen speichern). McAfee Web Gateway 7.5.0 Produkthandbuch Proxys Reverse-HTTPS-Proxy 6 Beschränken des Zugriffs auf Web-Server Eine Reverse-HTTPS-Proxy-Konfiguration wird i. d. R. implementiert, um eine begrenzte Anzahl von Web-Servern vor unerwünschten Daten-Uploads von Clients zu schützen. In dieser Konfiguration sollten Sie den Zugriff ausschließlich auf diese Server gestatten und den Zugriff auf andere blockieren. Wenn der Zugriff auf andere Server angefordert und blockiert wurde, empfiehlt es sich zudem, die Verbindungen durch die Appliance schließen zu lassen. So beschränken Sie den Zugriff: • Erstellen Sie eine Liste der Web-Server, die geschützt werden sollen. • Erstellen Sie einen Regelsatz für eine Blockierungsregel. • Erstellen Sie einen Regelsatz, der den Zugriff auf andere Web-Server blockiert und die Verbindungen mit Clients schließt, nachdem ihre Anfragen blockiert wurden. Aufgaben • Erstellen einer Liste mit geschützten Web-Servern auf Seite 179 Sie können eine Liste mit Web-Servern erstellen, die in einer Reverse-HTTPS-Proxy-Konfiguration geschützt werden sollen. • Erstellen eines Regelsatzes für eine Blockierungsregel auf Seite 180 Sie können einen Regelsatz für die Regel erstellen, die den Zugriff auf Web-Server in einer Reverse-HTTPS-Proxy-Konfiguration blockiert. • Erstellen einer Regel zum Blockieren des Zugriffs auf Web-Server auf Seite 181 Sie können eine Regel erstellen, die den Zugriff auf Web-Server blockiert, wenn diese nicht in der Liste geschützter Server in einer Reverse-HTTPS-Proxy-Konfiguration aufgeführt sind. Erstellen einer Liste mit geschützten Web-Servern Sie können eine Liste mit Web-Servern erstellen, die in einer Reverse-HTTPS-Proxy-Konfiguration geschützt werden sollen. Vorgehensweise 1 Wählen Sie Policy | Lists (Richtlinie | Listen) aus. 2 Klicken Sie über der Listen-Baumstruktur auf Add (Hinzufügen). Daraufhin öffnet sich das Fenster Add List (Liste hinzufügen). 3 Konfigurieren Sie für die Liste die folgenden Einstellungen: • Name: Name der Liste, beispielsweise Protected web servers • [Optional] Comment (Kommentar): Kommentar zur neuen Liste im Nur-Text-Format • Type (Typ): WildcardExpression 4 [Optional] Klicken Sie auf die Registerkarte Permissions (Berechtigungen), und legen Sie dort fest, wer zum Zugriff auf die Liste berechtigt ist. 5 Klicken Sie auf OK. Das Fenster wird geschlossen, und die neue Liste wird nun in der Listen-Baumstruktur unter Custom Lists | WildcardExpression (Benutzerdefinierte Listen | Platzhalterausdruck) angezeigt. 6 Klicken Sie zum Hinzufügen von Einträgen zur Liste über dem Einstellungsbereich auf Add (Hinzufügen). Daraufhin öffnet sich das Fenster Add Wildcard Expression (Platzhalterausdruck hinzufügen). Klicken Sie zum gleichzeitigen Hinzufügen mehrerer Einträge auf Add Multiple (Mehrere hinzufügen). McAfee Web Gateway 7.5.0 Produkthandbuch 179 6 Proxys Reverse-HTTPS-Proxy 7 Geben Sie einen oder mehrere Platzhalterausdrücke ein, die den URLs der zu schützenden Web-Server entsprechen. Verwenden Sie bei mehreren Einträgen Kommas als Trennzeichen. 8 Klicken Sie auf OK. Das Fenster wird nun geschlossen, und die neuen Einträge werden in der Liste angezeigt. 9 Klicken Sie auf Save Changes (Änderungen speichern). Erstellen eines Regelsatzes für eine Blockierungsregel Sie können einen Regelsatz für die Regel erstellen, die den Zugriff auf Web-Server in einer Reverse-HTTPS-Proxy-Konfiguration blockiert. Vorgehensweise 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus. 2 Navigieren Sie in der Regelsatz-Baumstruktur zu der Position, an der der gewünschte Regelsatz eingefügt werden soll. 3 Klicken Sie oberhalb der Baumstruktur auf Add (Hinzufügen), und wählen Sie Rule Set (Regelsatz) aus. Daraufhin öffnet sich das Fenster Add New Rule Set (Neuen Regelsatz hinzufügen). 4 Geben Sie unter Name einen geeigneten Namen für den neuen Regelsatz ein, z. B. Block web servers in a reverse HTTPS proxy configuration. 5 Achten Sie darauf, dass Enable (Aktivieren) ausgewählt ist. 6 Wählen Sie unter Applies to (Wird angewendet auf) die Option Requests and IM (Anfragen und IM). 7 Wählen Sie unter Apply this rule set (Diesen Regelsatz anwenden) die Option If the following criteria is matched (Wenn folgende Kriterien erfüllt sind) aus. Klicken Sie anschließend auf Add (Hinzufügen). Daraufhin öffnet sich das Fenster Add Criteria (Kriterien hinzufügen). 8 9 Konfigurieren Sie die Regelsatzkriterien folgendermaßen: a Wählen Sie in der Liste Property (Eigenschaft) die Eigenschaft URL.Protocol aus. b Wählen Sie in der Liste Operator den Operator equals (ist gleich) aus. c Geben Sie unter Operand die Zeichenfolge https ein. d [Optional] Geben Sie unter Comment (Kommentar) einen Kommentar zum neuen Regelsatz im Nur-Text-Format ein. [Optional] Klicken Sie auf die Registerkarte Permissions (Berechtigungen), und legen Sie dort fest, wer zum Zugriff auf den Regelsatz berechtigt ist. 10 Klicken Sie auf OK. Das Fenster wird geschlossen, und der neue Regelsatz wird in der Regelsatz-Baumstruktur angezeigt. 180 McAfee Web Gateway 7.5.0 Produkthandbuch 6 Proxys Reverse-HTTPS-Proxy Erstellen einer Regel zum Blockieren des Zugriffs auf Web-Server Sie können eine Regel erstellen, die den Zugriff auf Web-Server blockiert, wenn diese nicht in der Liste geschützter Server in einer Reverse-HTTPS-Proxy-Konfiguration aufgeführt sind. Vorgehensweise 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus. 2 Erweitern Sie in der Regelsatz-Baumstruktur den Regelsatz, den Sie für die Blockierungsregel erstellt haben, z. B. Block web servers in a reverse HTTPS proxy configuration. 3 Klicken Sie auf Add Rule (Regel hinzufügen). Daraufhin öffnet sich das Fenster Add Rule (Regel hinzufügen), in dem der Schritt Name ausgewählt ist. 4 Geben Sie im Feld Name einen geeigneten Namen für die Regel ein, z. B. Allow access only to protected web servers. 5 Wählen Sie erst Rule Criteria (Regelkriterien) aus, anschließend If the following criteria is matched (wenn folgende Kriterien zutreffen), und klicken Sie dann auf Add (Hinzufügen). Daraufhin öffnet sich das Fenster Add Criteria (Kriterien hinzufügen). 6 7 Konfigurieren Sie die Regelkriterien folgendermaßen: a Wählen Sie aus der Liste der Eigenschaften in der linken Spalte die Eigenschaft URL.Host aus. b Wählen Sie aus der Liste der Operatoren in der mittleren Spalte matches in list (entspricht in Liste) aus. c Wählen Sie aus der Liste der Operanden in der rechten Spalte die von Ihnen konfigurierte Web-Server-Liste, z. B. Protected web servers. Klicken Sie auf OK. Das Fenster wird nun geschlossen, und die neuen Kriterien werden unter Rule Criteria (Regelkriterien) angezeigt. 8 Klicken Sie auf Action (Aktion), wählen Sie Block (Blockieren) aus, und übernehmen Sie die Standardeinstellungen dieser Aktion. 9 Klicken Sie auf Events (Ereignisse), anschließend auf Add (Hinzufügen), und wählen Sie im angezeigten Dropdown-Menü die Option Event (Ereignis) aus. Daraufhin öffnet sich das Fenster Add Event (Ereignis hinzufügen). 10 Konfigurieren Sie das Ereignis folgendermaßen: a Wählen Sie in der Liste Event (Ereignis) das Ereignis Enable Proxy Control aus. b Wählen Sie in der Liste Settings (Einstellungen) die Option Do not keep connection to client persistent (Verbindung mit Client nicht dauerhaft aufrechterhalten) aus. 11 Klicken Sie auf OK. Das Fenster wird nun geschlossen, und das neue Ereignis wird unter Events (Ereignisse) angezeigt. McAfee Web Gateway 7.5.0 Produkthandbuch 181 6 Proxys Reverse-HTTPS-Proxy 12 Klicken Sie auf Finish (Fertig stellen). Das Fenster Add Rule (Regel hinzufügen) wird nun geschlossen, und die Regel wird in dem von Ihnen neu erstellten Regelsatz angezeigt. 13 Klicken Sie auf Save Changes (Änderungen speichern). Senden von Daten an mehrere Web-Server Sie können nacheinander auf einer Appliance eingehende Anfragen an unterschiedliche Web-Server weiterleiten und so für Lastausgleich und Redundanz sorgen. Hierfür müssen Sie folgende Schritte durchführen: • Importieren Sie den Regelsatz „Next Hop Proxy“ aus der Regelsatz-Bibliothek. • Erstellen Sie eine Liste mit Nächster-Hop-Proxys. • Erstellen Sie Einstellungen für die Nächster-Hop-Proxys. • Erstellen Sie eine Regel, die mithilfe der Liste und den Einstellungen das Ereignis „Enable Next Hop proxy“ auslöst, wenn ein Web-Server aus der Liste der geschützten Server angefragt wird. Die Liste arbeitet zudem mit einer Liste geschützter Server. Hierfür können Sie die Liste nutzen, die Sie beim Erstellen der Zugriffseinschränkung für diese Server angelegt haben. Aufgaben • Erstellen einer Liste mit Nächster-Hop-Proxys auf Seite 182 Sie können eine Liste mit Web-Servern erstellen, die als Nächster-Hop-Proxys angewählt werden sollen, sobald eine entsprechende Regel das Ereignis „Enable Next Hop Proxy“ auslöst. • Erstellen von Einstellungen für den Nächster-Hop-Proxy auf Seite 183 Für die Regel, die das Ereignis „Enable Next Hop Proxy“ auslöst, wenn ein Web-Server aus der Liste der geschützten Server angefragt wird, können Sie entsprechende Einstelllungen für den Nächster-Hop-Proxy erstellen. • Erstellen einer Regel für das Ereignis „Enable Next Hop Proxy“ auf Seite 184 Sie können eine Regel erstellen, die das Ereignis „Enable Next Hop Proxy“ auslöst, wenn ein Web-Server aus der Liste der geschützten Server angefragt wird. Erstellen einer Liste mit Nächster-Hop-Proxys Sie können eine Liste mit Web-Servern erstellen, die als Nächster-Hop-Proxys angewählt werden sollen, sobald eine entsprechende Regel das Ereignis „Enable Next Hop Proxy“ auslöst. Vorgehensweise 1 Wählen Sie Policy | Lists (Richtlinie | Listen) aus. 2 Klicken Sie über der Listen-Baumstruktur auf Add (Hinzufügen). Daraufhin öffnet sich das Fenster Add List (Liste hinzufügen). 3 4 182 Konfigurieren Sie für die Liste die folgenden Einstellungen: • Name: Name der Liste, beispielsweise Protected web servers as next-hop proxies • [Optional] Comment (Kommentar): Kommentar zur neuen Liste im Nur-Text-Format • Type (Typ): NextHopProxy [Optional] Klicken Sie auf die Registerkarte Permissions (Berechtigungen), und legen Sie dort fest, wer zum Zugriff auf die Liste berechtigt ist. McAfee Web Gateway 7.5.0 Produkthandbuch 6 Proxys Reverse-HTTPS-Proxy 5 Klicken Sie auf OK. Das Fenster wird geschlossen, und die neue Liste wird nun in der Listen-Baumstruktur unter Custom Lists | NextHopProxy (Benutzerdefinierte Listen | Nächster-Hop-Proxy) angezeigt. 6 Klicken Sie zum Hinzufügen von Einträgen zur Liste über dem Einstellungsbereich auf Add (Hinzufügen). Daraufhin öffnet sich das Fenster Add Wildcard Expression (Platzhalterausdruck hinzufügen). Klicken Sie zum gleichzeitigen Hinzufügen mehrerer Einträge auf Add Multiple (Mehrere hinzufügen). 7 Geben Sie einen oder mehrere Platzhalterausdrücke ein, die den URLs der Web-Server entsprechen, die angewählt werden sollen. Verwenden Sie bei mehreren Einträgen Kommas als Trennzeichen. 8 Klicken Sie auf OK. Das Fenster wird nun geschlossen, und die neuen Einträge werden in der Liste angezeigt. 9 Klicken Sie auf Save Changes (Änderungen speichern). Erstellen von Einstellungen für den Nächster-Hop-Proxy Für die Regel, die das Ereignis „Enable Next Hop Proxy“ auslöst, wenn ein Web-Server aus der Liste der geschützten Server angefragt wird, können Sie entsprechende Einstelllungen für den Nächster-Hop-Proxy erstellen. Vorgehensweise 1 Wählen Sie Policy | Settings (Richtlinie | Einstellungen) aus. 2 Wählen Sie in der Einstellungs-Baumstruktur Enable Next Hop Proxy (Nächster-Hop-Proxy aktivieren) aus, und klicken Sie dann auf Add (Hinzufügen). Daraufhin öffnet sich das Fenster Add Settings (Einstellungen hinzufügen). 3 4 5 Konfigurieren Sie die folgenden Einstellungsparameter: • Name: Name der Einstellung, z. B. Protected web servers • [Optional] Comment (Kommentar): Kommentar zur neuen Einstellung im Nur-Text-Format Konfigurieren Sie unter Next Hop Proxy Servers (Proxy-Server des nächsten Hops) die folgenden Optionen: a Wählen Sie aus der Liste List of next hop proxy servers (Liste der Proxy-Server des nächsten Hops) die von Ihnen erstellte Liste der Proxys des nächsten Hops, z. B. Protected web servers as next hop proxies. b Vergewissern Sie sich, dass die Option Round Robin (Round-Robin-Verfahren) ausgewählt ist. c Deaktivieren Sie die Option Proxy style requests (Proxy-ähnliche Anfragen). Klicken Sie auf OK. Das Fenster wird nun geschlossen, und die neuen Einstellungen werden in der Einstellungs-Baumstruktur angezeigt. 6 Klicken Sie auf Save Changes (Änderungen speichern). McAfee Web Gateway 7.5.0 Produkthandbuch 183 6 Proxys Reverse-HTTPS-Proxy Erstellen einer Regel für das Ereignis „Enable Next Hop Proxy“ Sie können eine Regel erstellen, die das Ereignis „Enable Next Hop Proxy“ auslöst, wenn ein Web-Server aus der Liste der geschützten Server angefragt wird. Vorgehensweise 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus. 2 Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz Next Hop Proxy aus. Die Regeln dieses Regelsatzes werden im Abschnitt für Einstellungen angezeigt. 3 Klicken Sie auf Add Rule (Regel hinzufügen). Daraufhin öffnet sich das Fenster Add Rule (Regel hinzufügen), in dem der Schritt Name ausgewählt ist. 4 Geben Sie im Feld Name einen geeigneten Namen für die Regel ein, z. B. Address protected web servers as next-hop proxies. 5 Wählen Sie erst Rule Criteria (Regelkriterien) aus, anschließend If the following criteria is matched (Wenn folgende Kriterien zutreffen), und klicken Sie dann auf Add (Hinzufügen). Daraufhin öffnet sich das Fenster Add Criteria (Kriterien hinzufügen). 6 7 Konfigurieren Sie die Regelkriterien folgendermaßen: a Wählen Sie aus der Liste der Eigenschaften in der linken Spalte URL.Host aus. b Wählen Sie aus der Liste der Operatoren in der mittleren Spalte does not match in list (entspricht nicht in Liste) aus. c Wählen Sie aus der Liste der Operanden in der rechten Spalte die Web-Server-Liste, die Sie zur Einschränkung des Zugriffs auf diese Server erstellt haben, also beispielsweise Protected web servers. Klicken Sie auf OK. Das Fenster wird nun geschlossen, und die neuen Kriterien werden unter Rule Criteria (Regelkriterien) angezeigt. 8 Klicken Sie auf Action (Aktion), und belassen Sie die Standardoption Continue (Fortfahren). 9 Klicken Sie auf Events (Ereignisse), anschließend auf Add (Hinzufügen), und wählen Sie im angezeigten Dropdown-Menü die Option Event (Ereignis) aus. Daraufhin öffnet sich das Fenster Add Event (Ereignis hinzufügen). 10 Konfigurieren Sie das Ereignis folgendermaßen: a Wählen Sie in der Liste Event (Ereignis) das Ereignis Enable Next Hop Proxy. b Wählen Sie in der Liste Settings (Einstellungen) die Einstellungen, die Sie für diese Regel konfiguriert haben, beispielsweise Protected web servers. 11 Klicken Sie auf OK. Das Fenster wird nun geschlossen, und das neue Ereignis wird unter Events (Ereignisse) angezeigt. 184 McAfee Web Gateway 7.5.0 Produkthandbuch 6 Proxys Automatische Proxy-Konfiguration (Proxy Auto-Configuration, PAC) 12 Klicken Sie auf Finish (Fertig stellen). Das Fenster Add Rule (Regel hinzufügen) wird geschlossen, und die neue Regel wird im Regelsatz „Next Hop Proxy“ angezeigt. 13 Klicken Sie auf Save Changes (Änderungen speichern). Automatische Proxy-Konfiguration (Proxy Auto-Configuration, PAC) Für Web-Browser auf Clients können eine oder mehrere PAC-Dateien (Proxy Auto-Configuration) verfügbar gemacht werden. Mithilfe dieser Dateien können Web-Browser Proxys für den Zugriff auf bestimmte Webseiten suchen. Eine Proxy Auto-Configuration-Datei weist i. d. R. die Dateinamenerweiterung .pac auf. Es können mehrere Dateien auf einer Appliance vorhanden sein, z B. die Dateien proxy.pac und webgateway.pac. Unter dem WPAD-Protokoll (Web Proxy Auto-Discovery) muss eine Proxy Auto-Configuration-Datei den Dateinamen wpad.dat aufweisen. Daher kann sie auf einer Appliance jeweils nur einmal vorhanden sein. Bereitstellen einer PAC-Datei Sie können eine PAC-Datei für einen Web-Browser auf einem Client zur automatischen Proxy-Konfiguration bereitstellen. Vorgehensweise 1 Speichern Sie die PAC-Datei im Ordner /opt/mwg/files auf der Appliance. 2 Öffnen Sie den Browser, und navigieren Sie zu den Einstellungen für die Netzwerkkonfiguration. 3 Klicken Sie im Abschnitt Connection (Verbindung) auf Settings (Einstellungen). 4 Wählen Sie Automatic proxy configuration URL (Automatische Proxy-Konfiguration URL), und geben Sie den Pfad und den Namen der PAC-Datei ein. Geben Sie beispielsweise Folgendes ein: http://mwgappl.webwasher.com:4711/files/proxy.pac Wenn die Clients einen dedizierten Port zum Herunterladen der Datei verwenden sollen, müssen Sie diesen Port zuerst konfigurieren. Wenn kein dedizierter Port verwendet wird, werden Clients an den HTTP-Port für die Benutzeroberfläche geleitet (die Port-Standardnummer ist 4711). 5 Klicken Sie auf OK. McAfee Web Gateway 7.5.0 Produkthandbuch 185 6 Proxys Verwenden des Helix-Proxys Erstellen einer Regel zum Herunterladen der Datei „wpad.dat“ Damit der Web-Browser eines Clients die Datei „wpad.dat“ herunterladen kann, müssen Sie eine Regel konfigurieren, die eine entsprechende Download-Anfrage an den passenden Port einer Appliance weiterleitet. Vorgehensweise 1 Wählen Sie auf der Benutzeroberfläche der Appliance Configuration | Appliances (Konfiguration | Appliances) aus. 2 Wählen Sie in der Appliances-Baumstruktur die Appliance aus, auf der Sie die Datei „wpad.dat“ verfügbar machen wollen, und klicken Sie auf Port Forwarding (Port-Weiterleitung). 3 Klicken Sie unter Port Forwarding Rules (Regeln für die Port-Weiterleitung) auf Add (Hinzufügen). Daraufhin öffnet sich das Fenster Add AppliancePortForwarding (Appliance-Port-Weiterleitung hinzufügen). 4 Konfigurieren Sie die Einstellungen für die Regel zur Port-Weiterleitung folgendermaßen: • Source Host (Ursprungs-Host): 0.0.0.0 • Target Port (Bestimmungs-Port): 80 • Destination Host (Ziel-Host): 127.0.0.1 • Destination Port (Ziel-Port): <Port für Datei-Download> Geben Sie als <Port für Datei-Download> den HTTP-Port für die Benutzeroberfläche der Appliance (standardmäßig: 4711) oder einen von Ihnen konfigurierten dedizierten Port ein. 5 Klicken Sie auf OK. Das Fenster wird geschlossen, und die Regel wird nun in der Liste angezeigt. Konfigurieren der automatischen Erkennung eines WPAD-Hosts Sie können für einen Web-Browser die automatische Erkennung einrichten, um die Appliance aufzufinden, die als Host zum Speichern einer Datei „wpad.dat“ fungiert. Vorgehensweise 1 Öffnen Sie den Browser, und navigieren Sie zu den Einstellungen für die Netzwerkkonfiguration. 2 Klicken Sie im Abschnitt Connection (Verbindung) auf Settings (Einstellungen). 3 Wählen Sie Auto-detect proxy settings for this network (Proxy-Einstellungen für dieses Netzwerk automatisch erkennen) aus. 4 Klicken Sie auf OK. Verwenden des Helix-Proxys Der Helix-Proxy ist ein Proxy eines Drittanbieters für die Verarbeitung von Echtzeit-Streaming-Daten. Auf diesen wird ursprünglich nicht über die Benutzeroberfläche der Appliance zugegriffen, sondern über eine Befehlszeilenoberfläche, die beispielsweise in Ihrem Verwaltungssystem bereitgestellt wird. Nach dem Zugriff auf den Helix-Proxy können Sie diesen auf seiner eigenen Benutzeroberfläche verwalten. 186 McAfee Web Gateway 7.5.0 Produkthandbuch 6 Proxys Verwenden des Helix-Proxys Konfigurieren der Verwendung des Helix-Proxys Sie können die Verwendung des Helix-Proxys von der Befehlszeilen-Schnittstelle aus konfigurieren. Vorgehensweise 1 Geben Sie an der Befehlszeilen-Schnittstelle einen Aktivierungsbefehl für den Helix-Proxy ein. Dieser Befehl kann beispielsweise wie folgt aussehen: service helix-proxy activate Sie werden aufgefordert, einen Benutzernamen und ein Kennwort für das ursprüngliche Administratorkonto einzugeben. 2 Geben Sie beides ein. Nun wird der Helix-Proxy gestartet. Nach dem Starten finden Sie die Konfigurationsdateien für den Proxy im Ordner /opt/helix-proxy auf der Appliance; Sie können diese ggf. manuell bearbeiten. 3 Stellen Sie mit dem folgenden Befehl eine Verbindung mit der Benutzeroberfläche des Helix-Proxys her: http://<IP-Adresse des Helix-Proxys>:21774/admin/index.html Nun öffnet sich die Benutzeroberfläche, und ein Anmeldefenster wird angezeigt. 4 Geben Sie den Benutzernamen und das Kennwort aus Schritt 2 ein. Nach der erfolgreichen Anmeldung wird die Benutzeroberfläche des Helix-Proxys zugänglich. 5 Nutzen Sie diese Benutzeroberfläche für die ggf. erforderliche weitere Konfiguration des Helix-Proxys nach Bedarf. 6 Konfigurieren Sie Ihre Real Player-Anwendung so, dass sie die Appliance als Proxy verwendet. Dabei können Sie z. B. wie folgt vorgehen: a Starten Sie den Real Player. b Navigieren Sie in seiner Benutzeroberfläche zu den Proxy-Einstellungen. c Geben Sie im entsprechenden Eingabefeld, z. B. im Feld RTSP (Real Time Streaming Protocol) die IP-Adresse der Appliance ein, und geben Sie dabei als Port-Nummer 554 an. McAfee Web Gateway 7.5.0 Produkthandbuch 187 6 Proxys Verwenden des Helix-Proxys 188 McAfee Web Gateway 7.5.0 Produkthandbuch 7 Authentifizierung Benutzer können auf einer Appliance „gefiltert“ werden, d. h., Sie können den Web-Zugriff nur für die Benutzer zulassen, die sich authentifizieren können. Die Authentifizierung wird nicht standardmäßig implementiert, es gibt jedoch vorkonfigurierte Authentifizierungsregelsätze, die Sie verwenden können. Die folgenden Authentifizierungstypen können implementiert werden: • Standardauthentifizierung: Sie können die Authentifizierung für Benutzer konfigurieren, die Anfragen auf Web-Zugriff unter einem Standardprotokoll, wie z. B. HTTP, HTTPS oder FTP, senden. Wenn der Authentifizierungsregelsatz des Standard-Regelsatzsystems aktiviert ist, werden die Benutzerinformationen standardmäßig aus einer internen Benutzerdatenbank abgerufen. Sie können diese Einstellung ändern und eine andere Methode konfigurieren, z. B. NTLM, LDAP oder Kerberos. • Instant Messaging-Authentifizierung: Sie können die Authentifizierung für Benutzer konfigurieren, die Anfragen auf Web-Zugriff unter einem Instant Messaging-Protokoll, wie z. B. Yahoo, Windows Live Messenger oder ICQ, senden. Außerdem können Sie Administratorkonten und -rollen einrichten und pflegen und so den Administratorzugriff auf eine Appliance steuern. Inhalt Authentifizieren von Benutzern LDAP-Digest-Authentifizierung Konfigurieren der Authentifizierung Konfigurieren des Moduls „Authentication“ Authentifizierungseinstellungen Implementieren einer anderen Authentifizierungsmethode Verwenden von Systemeinstellungen zum Konfigurieren der Authentifizierung Empfohlene Vorgehensweisen – Konfigurieren der Authentifizierung für Bereitstellungstypen Instant Messaging-Authentifizierung Einmalkennwörter Authentifizierung der Client-Zertifikate Administratorkonten McAfee Web Gateway 7.5.0 Produkthandbuch 189 7 Authentifizierung Authentifizieren von Benutzern Authentifizieren von Benutzern Das Authentifizieren der Benutzer des Netzwerks gewährleistet, dass diese nur dann auf das Internet zugreifen können, wenn sie sich ordnungsgemäß angemeldet haben. Beim Authentifizierungsvorgang werden Benutzerinformationen abgerufen, z. B. aus einer internen Datenbank oder von einem Web-Server, und der Zugriff dementsprechend zugelassen oder blockiert. Dieser Vorgang umfasst mehrere Elemente mit jeweils unterschiedlichen Funktionen. • Authentifizierungsregeln steuern den gesamten Vorgang. • Das Modul „Authentication“ wird von den Regeln aufgerufen und ruft aus einer Datenbank Informationen über Benutzer ab. Nach der standardmäßigen Ersteinrichtung ist in Web Gateway noch kein Authentifizierungsvorgang implementiert. Sie können einen Prozess durch Importieren geeigneter Regelsätze aus der Regelsatz-Bibliothek implementieren und diesen Prozess bearbeiten, um ihn an die jeweiligen Anforderungen Ihrer Web-Sicherheitsrichtlinie anzupassen. Für das Konfigurieren des Authentifizierungsvorgangs können Sie folgende Elemente verwenden: • Schlüsselelemente von Regeln: Nachdem Sie die Regelsätze für die Authentifizierung aus der Bibliothek importiert und in der Baumstruktur auf einen Regelsatz geklickt haben, können Sie die wichtigsten Elemente dieser Regeln für den Authentifizierungsvorgang konfigurieren. • Vollständige Regeln: Wenn Sie in der Schlüsselelementansicht auf Unlock View (Anzeige entsperren) klicken, werden die Regeln für den Authentifizierungsvorgang vollständig angezeigt, und Sie können alle Elemente, auch die Schlüsselelemente, konfigurieren sowie neue Regeln erstellen oder Regeln löschen. Um von dieser Ansicht wieder zur Schlüsselelementansicht zurückzukehren, müssen Sie alle Änderungen verwerfen oder den Regelsatz erneut importieren. Authentifizierungsregeln Für gewöhnlich enthalten Authentifizierungsregeln eine Regel, die nicht authentifizierte Benutzer zur Authentifizierung auffordert und die Anfragen aller Benutzer blockiert, deren Authentifizierung fehlschlägt. Außerdem sind auch Whitelist-Regeln möglich, die anfragenden Benutzern je nach Absender-IP-Adresse bzw. angefragter URL das Überspringen des Authentifizierungsvorgangs erlauben. In der Regelsatz-Bibliothek stehen Regelsätze für unterschiedliche Authentifizierungsarten bereit, beispielsweise für die IM- oder Cookie-Authentifizierung. Modul „Authentication“ Ein Modul wird auch als Engine bezeichnet. Das Modul „Authentication“ ruft aus einer Datenbank Informationen über die Benutzer ab. Das Modul wird durch Regeln aufgerufen, die die Information benötigen, ob ein Benutzer, der den Zugriff auf ein Web-Objekt anfragt, ordnungsgemäß authentifiziert ist. Diese Informationen kann mit unterschiedlichen Methoden abgerufen werden: 190 McAfee Web Gateway 7.5.0 Produkthandbuch 7 Authentifizierung LDAP-Digest-Authentifizierung • NTLM: Nutzt eine Datenbank auf dem Server einer Windows-Domäne. • NTLM Agent (NTLM-Agent): Nutzt zur Anwendung der NTLM-Authentifizierungsmethode einen externen Agenten auf einem Windows-System. • User Database (Benutzerdatenbank): Nutzt eine auf der Appliance vorhandene interne Datenbank. Wenn der Regelsatz des Standard-Regelsatzsystems aktiviert ist, wird diese Methode standardmäßig verwendet. • LDAP: Nutzt eine auf einem LDAP-Server befindliche Datenbank. • Novell eDirectory: Nutzt die Daten eines Verzeichnisses auf einem Server, der die Funktion eines LDAP-Servers übernimmt. • RADIUS: Nutzt eine auf einem RADIUS-Server befindliche Datenbank. • Kerberos: Nutzt eine auf einem Kerberos-Server befindliche Datenbank. • Authentication Server (Authentifizierungs-Server): Nutzt eine auf einem anderen externen Server befindliche Datenbank. Sie können die Einstellungen für das Modul „Authentication“ konfigurieren und somit die Authentifizierungsmethode und weitere Parameter des Authentifizierungsvorgangs festlegen. LDAP-Digest-Authentifizierung Bei der LDAP-Digest-Authentifizierungsmethode, die auf der LDAP-Authentifizierung basiert, wird ein gemeinsamer geheimer Schlüssel verwendet, der beiden Seiten des Authentifizierungsprozesses bekannt ist: einem Benutzer, der mit einem Browser auf einem Web Gateway-Client Web-Zugriff anfragt, und Web Gateway. Web Gateway nutzt seine Proxy-Funktionen zum Abfangen der Anfrage, um die Authentifizierung zu ermöglichen und weitere Filtervorgänge gemäß der konfigurierten Web-Sicherheitsrichtlinie auszuführen. Im Gegensatz zu einfacheren Authentifizierungsmethoden, z. B. zur Standardauthentifizierung, sendet der Browser kein Kennwort direkt an Web Gateway. Stattdessen ist das Kennwort Bestandteil des gemeinsamen geheimen Schlüssels, der beiden Seiten des Authentifizierungsprozesses bekannt ist. Für den gemeinsamen geheimen Schlüssel und eine Reihe zusätzlicher Parameter auf dem Client wird ein Hash-Wert berechnet und an Web Gateway übermittelt. Web Gateway berechnet den Hash-Wert dann anhand des dort vorhandenen gemeinsamen geheimen Schlüssels erneut, um zu überprüfen, ob die Ergebnisse identisch sind. Wenn dies der Fall ist, wird der Benutzer authentifiziert. Der vom Client an Web Gateway übermittelte Hash-Wert wird auch als Digest bezeichnet. Web Gateway ruft den gemeinsamen geheimen Schlüssel von einem LDAP-Server ab, der zum Neuberechnen des Hash-Werts benötigt wird. Berechnen eines Hash-Wertes für die LDAP-Digest-Authentifizierung Die MD5-Methode zum Berechnen eines Hash-Werts wird verwendet, wenn die LDAP-Digest-Authentifizierung in einem Authentifizierungsprozess mit Web Gateway durchgeführt wird. McAfee Web Gateway 7.5.0 Produkthandbuch 191 7 Authentifizierung LDAP-Digest-Authentifizierung Bevor der Client den Hash-Wert sendet, sendet Web Gateway eine Authentifizierungsanfrage an den Client, die eine so genannte Nonce (Number only once, Einmalnummer) enthält. Dabei handelt es sich um eine Zahl, die von Web Gateway nach dem Zufallsprinzip erzeugt wird und einen der Parameter darstellt, der zusätzlich zum gemeinsamen geheimen Schlüssel verwendet werden muss, um den Hash-Wert zu berechnen. Im Folgenden finden Sie die vollständige Liste der Parameter zum Berechnen des Hash-Wertes: • Benutzername (Teil des gemeinsamen geheimen Schlüssels) • Bereichsname (Teil des gemeinsamen geheimen Schlüssels) • Kennwort (Teil des gemeinsamen geheimen Schlüssels) • Nonce (Einmalnummer) • Vom Client gesendete HTTP-Anfrage • URL des angefragten Ziels im Web Konfigurieren der LDAP-Digest-Authentifizierung in Web Gateway Für die LDAP-Digest-Authentifizierung in Web Gateway ist Folgendes erforderlich: • Die LDAP-Authentifizierung muss als allgemeine Authentifizierungsmethode in Web Gateway konfiguriert sein. • Der Bereichsname muss als Teil der allgemeinen Authentifizierungseinstellungen in Web Gateway konfiguriert sein. Dieser Name muss auch für den gemeinsamen geheimen Schlüssel verwendet werden. • Sie müssen die folgenden Parameter für die LDAP-Digest-Authentifizierung konfigurieren: • Aktivierung der LDAP-Digest-Authentifizierung • Name des Attributs auf dem LDAP-Server, das den Authentifizierungs-Hash speichert • Maximale Verwendungshäufigkeit der Nonce (Einmalnummer) • Maximaler Zeitraum für die Verwendung einer Nonce (Einmalnummer) Optional sind folgende Aktionen möglich. • Nur die LDAP-Digest-Authentifizierung als Authentifizierungsmethode unter den aktuellen Einstellungen zulassen Beim Konfigurieren weiterer Authentifizierungseinstellungen könnten Sie jedoch weiterhin andere Authentifizierungsmethoden zulassen, z. B. die Benutzerdatenbank-Methode mit Standardauthentifizierung. • Eine Überprüfung der URL durchführen lassen, die ein Client als Parameter zur Berechnung des Hash-Werts sendet Diese URL sollte der URL entsprechen, die dieser Client in seiner Zugriffsanfrage für ein bestimmtes Ziel im Web sendet. Andernfalls kann ein erfolgreiches Bestehen der Digest-Authentifizierung, basierend auf identischen Hash-Werten, dazu führen, dass ein Benutzer auf ein nicht angefragtes Ziel zugreifen darf. Wenn die Überprüfung ergibt, dass beide URLs nicht identisch sind, wird die Anfrage blockiert. Da die Browser, die auf Clients zum Senden dieser Informationen verwendet werden, verschiedene URL-Formate verwenden, kann diese Überprüfung jedoch aufgrund des Formatierungsproblems möglicherweise fehlschlagen, auch wenn zwei URLs tatsächlich übereinstimmen. Aus diesem Grund ist die URL-Überprüfung optional. 192 McAfee Web Gateway 7.5.0 Produkthandbuch Authentifizierung Konfigurieren der Authentifizierung 7 Der für den gemeinsamen geheimen Schlüssel verwendete Bereichsname wird im Abschnitt Common Authentication Parameters (Allgemeine Authentifizierungsparameter) festgelegt. Dies ist der Abschnitt, der unter jeder Authentifizierungsmethode am Anfang der Authentifizierungseinstellungen verfügbar ist. Die Parameter für die LDAP-Digest-Authentifizierung werden in Web Gateway im Rahmen der Einstellungen für das Modul (oder auch Engine) „Authentication“ (Authentifizierung) konfiguriert. Wenn am Anfang dieser Einstellungen LDAP als allgemeine Authentifizierungsmethode ausgewählt ist, wird nach dem Abschnitt für andere LDAP-spezifische Parameter der Abschnitt Digest Authentication (Digest-Authentifizierung) verfügbar. Siehe auch Authentifizierungseinstellungen auf Seite 194 Konfigurieren der Authentifizierung Sie können die Authentifizierung implementieren und an die Anforderungen Ihres Netzwerks anpassen. Führen Sie die folgenden allgemeinen Schritte aus. Vorgehensweise 1 Aktivieren Sie den Regelsatz „Authenticate and Authorize“ im Standard-Regelsatzsystem. 2 Überprüfen Sie den untergeordneten Regelsatz „Authenticate with User Database“. Dieser Regelsatz enthält eine einzige Regel, durch die nicht authentifizierte Benutzer zum Authentifizieren aufgefordert werden. Das Regelkriterium enthält Einstellungen für das Authentifizierungsmodul, die die Verwendung der Authentifizierungsmethode mittels Benutzerdatenbank angeben. Das heißt, Informationen zum Authentifizieren von Benutzern werden aus einer internen Datenbank auf der Appliance abgerufen. 3 Ändern Sie den Standardregelsatz nach Bedarf. Sie können beispielsweise Folgendes ausführen: • Ändern der allgemeinen Parameter des Authentifizierungsmoduls • Ändern der spezifischen Parameter für die Benutzerdatenbank-Methode • Implementieren einer anderen Authentifizierungsmethode, z. B. NTLM oder LDAP • Ändern der spezifischen Parameter für die neue Authentifizierungsmethode 4 Sie können auch einen Regelsatz aus der Bibliothek importieren, um die Authentifizierung für eine andere Art von Kommunikation zu implementieren, z. B. die Instant Messaging-Authentifizierung. 5 Speichern Sie die Änderungen. McAfee Web Gateway 7.5.0 Produkthandbuch 193 7 Authentifizierung Konfigurieren des Moduls „Authentication“ Konfigurieren des Moduls „Authentication“ Sie können das Modul „Authentication“ konfigurieren, um zu ändern, auf welche Weise Benutzerinformationen für das Authentifizieren von Benutzern abgerufen werden. Vorgehensweise 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus. 2 Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz für die Authentifizierung aus. Im Standard-Regelsatzsystem ist dies der Regelsatz Authenticate and Authorize. 3 Wählen Sie eine Regel zum Steuern der Benutzerauthentifizierung aus, und klicken Sie auf die Einstellungen, die in den Regelkriterien angegeben sind. Im Regelsatz des Regelsatz-Systems ist dies z. B. die Regel Authenticate with User Database im untergeordneten Regelsatz Authenticate with User Database, und der Einstellungsname lautet User Database (Benutzerdatenbank). Daraufhin öffnet sich das Fenster Edit Settings (Einstellungen bearbeiten). Es enthält die Einstellungen für das Modul „Authentication“. 4 Konfigurieren Sie diese Einstellungen nach Bedarf. 5 Klicken Sie auf OK, um das Fenster zu schließen. 6 Klicken Sie auf Save Changes (Änderungen speichern). Siehe auch Authentifizierungseinstellungen auf Seite 194 Authentifizierungseinstellungen Die Authentifizierungseinstellungen werden für das Konfigurieren der Methode genutzt, die vom Authentifizierungsmodul während des Authentifizierungsvorgangs für den Abgleich von Informationen über Benutzer angewendet wird. Authentication Method (Authentifizierungsmethode) Einstellungen für die Auswahl einer Authentifizierungsmethode 194 McAfee Web Gateway 7.5.0 Produkthandbuch 7 Authentifizierung Authentifizierungseinstellungen Tabelle 7-1 Authentication Method (Authentifizierungsmethode) Option Definition Authentication method (Authentifizierungsmethode) Zeigt eine Auswahlliste für die Authentifizierungsmethode an. Sie können eine der folgenden Optionen auswählen: • NTLM • NTLM-Agent • User Database (Benutzerdatenbank) • LDAP Wenn Sie sicheres LDAP (auch LDAPS genannt) konfigurieren möchten, müssen Sie die LDAP-Version 3 verwenden. Diese Version können Sie unter LDAP Specific Parameters (LDAP-spezifische Parameter) auswählen. Diese Version ist standardmäßig ausgewählt. • RADIUS • Kerberos • SSL Client Certificate (SSL-Client-Zertifikat) • Authentication Server (Authentifizierungs-Server) • One-Time Password (Einmalkennwort) • SWPS (McAfee Client Proxy) ® Nach der Auswahl einer Methode werden unter den allgemeinen Einstellungen die speziellen Einstellungen für diese Methode angezeigt. Authentication Test (Authentifizierungsprüfung) Einstellungen für die Überprüfung, ob ein Benutzer sich mit seinen Anmeldeinformationen tatsächlich authentifizieren könnte. Tabelle 7-2 Authentication Test (Authentifizierungsprüfung) Option Definition User (Benutzer) Gibt den zu überprüfenden Benutzernamen an. Password (Kennwort) Gibt das zu überprüfende Kennwort an. Authenticate User (Benutzer authentifizieren) Mit dieser Option wird die Prüfung durchgeführt. Test result (Prüfergebnis) Zeigt das Ergebnis der Prüfung an. Common Authentication Parameters (Allgemeine Authentifizierungsparameter) Einstellungen, die für alle Authentifizierungsmethoden gelten Außerdem sind erweiterte Einstellungen vorhanden, die für alle Authentifizierungsmethoden identisch sind. Diese Einstellungen sind am Ende dieses Hauptabschnitts im Anschluss an die Unterabschnitte zu den spezifischen Parametern aufgeführt. McAfee Web Gateway 7.5.0 Produkthandbuch 195 7 Authentifizierung Authentifizierungseinstellungen Tabelle 7-3 Common Authentication Parameters (Allgemeine Authentifizierungsparameter) Option Definition Proxy Realm (Proxy-Bereich) Gibt den Standort des Proxys an, der Anfragen von Benutzern erhält, die zur Authentifizierung aufgefordert werden. Authentication attempt timeout (Zeitlimit für Authentifizierungsversuch) Gibt den Zeitraum (in Sekunden) vor, nach dessen Ablauf der Authentifizierungsvorgang abbricht, wenn er bis dahin nicht erfolgreich abgeschlossen wurde. Use authentication cache (Authentifizierungs-Cache verwenden) Bei Auswahl dieser Option werden die Authentifizierungsinformationen in einem Cache gespeichert. Die Authentifizierung erfolgt dann auf Grundlage dieser gespeicherten Informationen und nicht auf Daten, die von einem anderen Authentifizierungs-Server oder aus der internen Benutzerdatenbank abgerufen werden. Authentication cache TTL (Speicherdauer Gibt den Zeitraum (in Minuten) vor, für den Authentifizierungs-Cache) Authentifizierungsinformationen im Cache gespeichert werden. NTLM Specific Parameters (NTLM-spezifische Parameter) Einstellungen für die NTLM-Authentifizierungsmethode Tabelle 7-4 NTLM Specific Parameters (NTLM-spezifische Parameter) Option Definition Default NTLM domain (Standardmäßige Gibt den Namen der standardmäßigen Windows-Domäne an, der für NTLM-Domäne) die Suche nach Authentifizierungsinformationen verwendet wird. Es handelt sich hierbei um eine der Domänen, die Sie auf der Registerkarte Appliances im übergeordneten Menü Configuration (Konfiguration) konfiguriert haben. Get global groups (Globale Gruppen abrufen) Bei Auswahl dieser Option wird auf dem Server der Windows-Domäne nach Informationen über globale Benutzergruppen gesucht. Get local groups (Lokale Gruppen abrufen) Bei Auswahl dieser Option wird auf dem Server der Windows-Domäne nach Informationen über lokale Benutzergruppen gesucht. Prefix group name with domain name Beim Senden von Authentifizierungsinformationen über eine Gruppe (domain\group) (Domänennamen dem vom Server der Domäne wird bei Auswahl dieser Option dem Namen Gruppennamen voranstellen, "Domäne der Benutzergruppe der Name der Windows-Domäne vorangestellt. \Gruppe") Enable basic authentication (Standardauthentifizierung aktivieren) Bei Auswahl dieser Option wird bei der Authentifizierung von Benutzern die standardmäßige NTLM-Authentifizierungsmethode angewendet. Die vom Benutzer eingegebenen Authentifizierungsinformationen werden dann im Nur-Text-Format (unsicherer) an den Server der Windows-Domäne gesendet. Enable integrated authentication (Integrierte Authentifizierung aktivieren) Bei Auswahl dieser Option wird bei der Authentifizierung von Benutzern die integrierte NTLM-Authentifizierungsmethode angewendet. Die vom Benutzer eingegebenen Authentifizierungsinformationen werden vor dem Senden an den Server der Windows-Domäne verschlüsselt. 196 McAfee Web Gateway 7.5.0 Produkthandbuch 7 Authentifizierung Authentifizierungseinstellungen Tabelle 7-4 NTLM Specific Parameters (NTLM-spezifische Parameter) (Fortsetzung) Option Definition Enable NTLM cache (NTLM-Cache aktivieren) Bei Auswahl dieser Option werden in diesem Cache die NTLM-Authentifizierungsinformationen gespeichert. Die Authentifizierung erfolgt dann auf Grundlage dieser gespeicherten Informationen und nicht auf Daten, die vom Server der Windows-Domäne abgerufen werden. NTLM cache TTL (Speicherdauer NTLM-Cache) Gibt den Zeitraum (in Sekunden) vor, für den Authentifizierungsinformationen in diesem Cache gespeichert werden. International text support (Unterstützung internationaler Textformate) Gibt an, welcher Zeichensatz standardmäßig für von einem Client aus gesendete Anfragen verwendet werden soll, z. B. ISO-8859-1. NTLM Agent Specific Parameters (Spezifische Parameter des NTLM-Agenten) Einstellungen für die Authentifizierungsmethode mit NTLM-Agent Tabelle 7-5 NTLM Agent Specific Parameters (Spezifische Parameter des NTLM-Agenten) Option Definition Use secure agent connection (Sichere Agentenverbindung verwenden) Bei Auswahl dieser Option wird die für die Kommunikation mit dem NTLM-Agenten genutzte Verbindung SSL-verschlüsselt. Authentication connection timeout in seconds (Zeitlimit für Authentifizierungsverbindung in Sekunden) Gibt den Zeitraum (in Sekunden) vor, nach dessen Ablauf die Verbindung mit dem NTLM-Agenten abgebrochen wird, wenn in dieser Zeit keinerlei Aktivitäten verzeichnet werden. Agent Definition (Agenten-Definition) Enthält eine Liste, in die an der Durchführung der NTLM-Authentifizierung beteiligte Agenten eingegeben werden. Default NTLM domain (Standardmäßige NTLM-Domäne) Gibt den Namen der standardmäßigen Windows-Domäne an, der für die Suche nach Authentifizierungsinformationen verwendet wird. Es handelt sich hierbei um eine der Domänen, die Sie auf der Registerkarte Appliances im übergeordneten Menü Configuration (Konfiguration) konfiguriert haben. Get global groups (Globale Gruppen abrufen) Bei Auswahl dieser Option wird auf dem Server der Windows-Domäne nach Informationen über globale Benutzergruppen gesucht. Get local groups (Lokale Gruppen abrufen) Bei Auswahl dieser Option wird auf dem Server der Windows-Domäne nach Informationen über lokale Benutzergruppen gesucht. Prefix group name with domain name (domain\group) (Domänennamen dem Gruppennamen voranstellen, "Domäne \Gruppe") Beim Senden von Authentifizierungsinformationen über eine Gruppe vom Server der Domäne wird bei Auswahl dieser Option dem Namen der Benutzergruppe der Name der Windows-Domäne vorangestellt. Enable basic authentication (Standardauthentifizierung aktivieren) Bei Auswahl dieser Option wird bei der Authentifizierung von Benutzern die standardmäßige NTLM-Authentifizierungsmethode angewendet. Die vom Benutzer eingegebenen Authentifizierungsinformationen werden dann im Nur-Text-Format (unsicherer) an den Server der Windows-Domäne gesendet. McAfee Web Gateway 7.5.0 Produkthandbuch 197 7 Authentifizierung Authentifizierungseinstellungen Tabelle 7-5 NTLM Agent Specific Parameters (Spezifische Parameter des NTLM-Agenten) (Fortsetzung) Option Definition Enable integrated authentication (Integrierte Authentifizierung aktivieren) Bei Auswahl dieser Option wird bei der Authentifizierung von Benutzern die integrierte NTLM-Authentifizierungsmethode angewendet. Die vom Benutzer eingegebenen Authentifizierungsinformationen werden vor dem Senden an den Server der Windows-Domäne verschlüsselt. Enable NTLM cache (NTLM-Cache aktivieren) Bei Auswahl dieser Option werden in diesem Cache die NTLM-Authentifizierungsinformationen gespeichert. Die Authentifizierung erfolgt dann auf Grundlage dieser gespeicherten Informationen und nicht auf Daten, die vom Server der Windows-Domäne abgerufen werden. NTLM cache TTL (Speicherdauer NTLM-Cache) Gibt den Zeitraum (in Sekunden) vor, für den Authentifizierungsinformationen in diesem Cache gespeichert werden. International text support (Unterstützung internationaler Textformate) Gibt an, welcher Zeichensatz standardmäßig für von einem Client aus gesendete Anfragen verwendet werden soll, z. B. ISO-8859-1. User Database Specific Parameters (Spezifische Parameter der Benutzerdatenbank) Einstellungen für die Authentifizierungsmethode mittels Benutzerdatenbank Tabelle 7-6 User Database Specific Parameters (Spezifische Parameter der Benutzerdatenbank) Option Definition Send domain and machine name to the client (Domänen- und Computernamen an den Client senden) Bei Auswahl dieser Option werden der Name der Appliance sowie der Domäne, der die Appliance zugeordnet ist, an den Client gesendet, von dem aus der zu authentifizierende Benutzer eine Anfrage stellt. Enable basic authentication (Standardauthentifizierung aktivieren) Bei Auswahl dieser Option wird bei der Authentifizierung von Benutzern die standardmäßige NTLM-Authentifizierungsmethode angewendet. Die vom Benutzer eingegebenen Authentifizierungsinformationen werden dann im Nur-Text-Format (unsicherer) an den Server der Windows-Domäne gesendet. Enable integrated authentication Bei Auswahl dieser Option wird bei der Authentifizierung von (Integrierte Authentifizierung aktivieren) Benutzern die integrierte NTLM-Authentifizierungsmethode angewendet. Die vom Benutzer eingegebenen Authentifizierungsinformationen werden vor dem Senden an den Server der Windows-Domäne verschlüsselt. Enable NTLM cache (NTLM-Cache aktivieren) Bei Auswahl dieser Option werden in diesem Cache die NTLM-Authentifizierungsinformationen gespeichert. Die Authentifizierung erfolgt dann auf Grundlage dieser gespeicherten Informationen und nicht auf Daten, die vom Server der Windows-Domäne abgerufen werden. 198 McAfee Web Gateway 7.5.0 Produkthandbuch 7 Authentifizierung Authentifizierungseinstellungen Tabelle 7-6 User Database Specific Parameters (Spezifische Parameter der Benutzerdatenbank) (Fortsetzung) Option Definition NTLM cache TTL (Speicherdauer NTLM-Cache) Gibt den Zeitraum (in Sekunden) vor, für den Authentifizierungsinformationen in diesem Cache gespeichert werden. International text support (Unterstützung internationaler Textformate) Gibt an, welcher Zeichensatz standardmäßig für von einem Client aus gesendete Anfragen verwendet werden soll, z. B. ISO-8859-1. LDAP Specific Parameters (LDAP-spezifische Parameter) Einstellungen für die LDAP-Authentifizierungsmethode Tabelle 7-7 LDAP Specific Parameters (LDAP-spezifische Parameter) Option Definition LDAP server(s) to connect to (Zu kontaktierende(r) LDAP-Server) Enthält eine Liste, in die LDAP-Server eingegeben werden, von denen Authentifizierungsinformationen abgerufen werden sollen. List of certificate authorities (Liste der Zertifizierungsstellen) Enthält eine Liste zur Eingabe der Zertifizierungsstellen, die Zertifikate ausstellen, wenn für die Kommunikation mit einem LDAP-Server eine sichere LDAP-Verbindung (S-LDAP) verwendet wird. Credentials (Anmeldeinformationen) Gibt den Benutzernamen einer Appliance für die Anmeldung bei einem LDAP-Server an. Password (Kennwort) Legt das Kennwort für einen Benutzernamen fest. Mit der Schaltfläche Set (Festlegen) wird ein Fenster zum Konfigurieren eines neuen Kennworts geöffnet. International text support (Unterstützung internationaler Textformate) Gibt an, welcher Zeichensatz standardmäßig für von einem Client aus gesendete Anfragen verwendet werden soll, z. B. ISO-8859-1. Enable LDAP version 3 (LDAP-Version 3 aktivieren) Bei Auswahl dieser Option wird Version 3 des LDAP-Protokolls verwendet. Wenn Sie die sichere LDAP-Authentifizierung (auch LDAPS genannt) konfigurieren möchten, müssen Sie diese LDAP-Version verwenden. Diese Version ist standardmäßig ausgewählt. Allow LDAP library to follow referrals (Verfolgen von Weiterleitungen für LDAP-Bibliothek zulassen) Bei Auswahl dieser Option kann die Suche nach Benutzerinformationen vom LDAP-Server auf andere Server umgeleitet werden. Connection live check (Aktivitätsprüfung der Verbindung) Gibt den Zeitraum (in Minuten) vor, nach dessen Ablauf überprüft wird, ob die Verbindung zum LDAP-Server noch aktiv ist. LDAP operation timeout (Zeitlimit für LDAP-Verbindung) Gibt den Zeitraum (in Sekunden) vor, nach dessen Ablauf die Verbindung mit dem LDAP-Server abgebrochen wird, wenn in dieser Zeit keinerlei Kommunikation verzeichnet wird. Base distinguished name to user objects (Eindeutiger Basisname für Benutzerobjekte) Gibt den eindeutigen Namen (DN) im Verzeichnis eines LDAP-Servers an, in dem mit der Suche nach Benutzerattributen begonnen werden soll. Map user name to DN (Benutzername Bei Auswahl dieser Option muss der Name des Benutzers, der die zu DN zuordnen) Authentifizierung anfragt, einem DN (eindeutigen Namen) zugeordnet werden können. Dieser Name dient zur Identifizierung des Benutzers im Verzeichnis auf dem LDAP-Server. McAfee Web Gateway 7.5.0 Produkthandbuch 199 7 Authentifizierung Authentifizierungseinstellungen Tabelle 7-7 LDAP Specific Parameters (LDAP-spezifische Parameter) (Fortsetzung) Option Definition Filter expression to locate a user object (Filterausdruck zur Suche nach Benutzerobjekten) Gibt eine Filterphrase zur Einschränkung der Suche nach Benutzerattributen an. Get user attributes (Benutzerattribute abrufen) Bei Auswahl dieser Option wird auf dem LDAP-Server nach Benutzerattributen zur Authentifizierung eines Benutzers gesucht. User attributes to retrieve (Abzurufende Benutzerattribute) Enthält eine Liste zur Eingabe der Benutzerattribute, die vom LDAP-Server abgerufen werden sollen. Attributes concatenation string (Listentrennzeichen für Attribute) Gibt das Zeichen an, mit dem die einzelnen bei einer Suche ermittelten Benutzerattribute voneinander getrennt werden, z. B. „/“ (Schrägstrich). Get groups attributes (Gruppenattribute abrufen) Bei Auswahl dieser Option wird auf dem LDAP-Server zur Authentifizierung eines Benutzers auch nach Benutzergruppenattributen gesucht. In der Filterphrase kann „u%“ als Ersatz für den Benutzernamen verwendet werden. Base distinguished name to group objects Gibt den eindeutigen Namen (DN) im Verzeichnis eines (Eindeutiger Basisname für LDAP-Servers an, in dem mit der Suche nach Gruppenattributen Gruppenobjekte) begonnen werden soll. Filter expression to locate a group object (Filterausdruck zur Suche nach Gruppenobjekten) Gibt eine Filterphrase zur Einschränkung der Suche nach Gruppenattributen an. Group attributes to retrieve (Abzurufende Gruppenattribute) Enthält eine Liste zur Eingabe der Gruppenattribute, die vom LDAP-Server abgerufen werden sollen. In der Filterphrase kann u% als Ersatz für den Benutzernamen verwendet werden. Digest Authentication (Digest-Authentifizierung) Einstellungen für die LDAP-Digest-Authentifizierung Tabelle 7-8 Digest Authentication (Digest-Authentifizierung) Option Definition Enable digest authentication (Digest-Authentifizierung aktivieren) Bei Auswahl dieser Option erfolgt die Authentifizierung von Benutzern im Rahmen der LDAP-Authentifizierungsmethode mittels Digest-Authentifizierung. User attribute with password hash (Benutzerattribut mit Kennwort-Hash) Gibt das Attribut eines Benutzereintrags auf dem LDAP-Server an, das den Wert für den Authentifizierungs-Hash speichert. Nonce maximal use count (Maximale Verwendungshäufigkeit der Nonce) Begrenzt die mehrmalige Verwendung der Nonce (Number only once, Einmalnummer), die beim Authentifizierungsvorgang übertragen wird und als Parameter bei der Berechnung des Authentifizierungs-Hashes erforderlich ist. Die maximale Anzahl an Verwendungen einer Nonce ist standardmäßig auf 100 gesetzt. Nonce maximal TTL (Maximale Gültigkeitsdauer der Nonce) Gibt einen maximalen Zeitraum (in Minuten) vor, für den eine Nonce gültig bleibt. Die maximale Gültigkeitsdauer einer Nonce ist standardmäßig auf 30 Minuten gesetzt. 200 McAfee Web Gateway 7.5.0 Produkthandbuch 7 Authentifizierung Authentifizierungseinstellungen Tabelle 7-8 Digest Authentication (Digest-Authentifizierung) (Fortsetzung) Option Definition Enable digest URI check (Digest-URI-Prüfung aktivieren) Bei Auswahl dieser Option wird geprüft, ob die URL, die von einem Client als Parameter zur Berechnung des Authentifizierungs-Hashs gesendet wird, mit der URL übereinstimmt, die derselbe Client in seiner Zugriffsanfrage für ein bestimmtes Web-Ziel sendet. Wenn dies nicht der Fall ist, wird die Anfrage blockiert. Da der Erfolg der Prüfung auch davon abhängt, ob Probleme aufgrund unterschiedlicher Sendeformate auftreten, die von den Client-Browsern für URLs genutzt werden, ist diese Prüfung optional. Standardmäßig ist die Prüfung jedoch aktiviert. Allow digest authentication only (Nur Digest-Authentifizierung zulassen) Bei Auswahl dieser Option muss bei der Benutzerauthentifizierung anhand der LDAP-Authentifizierungsmethode immer eine Digest-Authentifizierung erfolgen. Novell eDirectory Specific Parameters (Spezifische Parameter für Novell eDirectory) Einstellungen für die Authentifizierungsmethode mittels Novell eDirectory Tabelle 7-9 Novell eDirectory Specific Parameters (Spezifische Parameter für Novell eDirectory) Option Definition LDAP server(s) to connect to (Zu kontaktierende(r) LDAP-Server) Enthält eine Liste zum Eintragen der eDirectory-Server, die beim Bereitstellen der Authentifizierungsinformationen die Rolle von LDAP-Servern übernehmen. List of certificate authorities (Liste der Zertifizierungsstellen) Enthält eine Liste zur Eingabe der Zertifizierungsstellen, die Zertifikate ausstellen, wenn für die Kommunikation mit einem LDAP-Server eine sichere LDAP-Verbindung (S-LDAP) verwendet wird. Credentials (Anmeldeinformationen) Gibt den Benutzernamen einer Appliance für die Anmeldung bei einem LDAP-Server an. Password (Kennwort) Legt ein Kennwort für einen Benutzernamen fest. Mit der Schaltfläche Set (Festlegen) wird ein Fenster zum Konfigurieren eines neuen Kennworts geöffnet. International text support (Unterstützung internationaler Textformate) Gibt an, welcher Zeichensatz standardmäßig für von einem Client aus gesendete Anfragen verwendet werden soll, z. B. ISO-8859-1. Enable LDAP version 3 (LDAP-Version 3 aktivieren) Bei Auswahl dieser Option wird Version 3 des LDAP-Protokolls verwendet. Allow LDAP library to follow referrals (Verfolgen Bei Auswahl dieser Option kann die Suche nach von Weiterleitungen für LDAP-Bibliothek Benutzerinformationen von einem LDAP-Server auf andere zulassen) Server umgeleitet werden. Connection live check (Aktivitätsprüfung der Verbindung) Gibt den Zeitraum (in Minuten) vor, nach dessen Ablauf überprüft wird, ob die Verbindung zu einem LDAP-Server noch aktiv ist. LDAP operation timeout (Zeitlimit für LDAP-Verbindung) Gibt den Zeitraum (in Sekunden) vor, nach dessen Ablauf die Verbindung mit einem LDAP-Server abgebrochen wird, wenn in dieser Zeit keinerlei Kommunikation verzeichnet wird. eDirectory network address attribute (Attribut für eDirectory-Netzwerkadressen) Gibt den Namen des Attributs an, das die für einen eDirectory-Server verwendeten Netzwerkadressen enthält. McAfee Web Gateway 7.5.0 Produkthandbuch 201 7 Authentifizierung Authentifizierungseinstellungen Tabelle 7-9 Novell eDirectory Specific Parameters (Spezifische Parameter für Novell eDirectory) (Fortsetzung) Option Definition eDirectory network login time attribute (Attribut Gibt den Namen des Attributs an, das die für einen für Anmeldezeit bei eDirectory-Netzwerk) eDirectory-Server verwendete Anmeldezeit enthält. eDirectory network minimal update interval (Aktualisierungsintervall für eDirectory-Netzwerk) Gibt das Intervall (in Sekunden) an, in dem von einem eDirectory-Server stammenden Informationen aktualisiert werden. Base distinguished name to user objects (Eindeutiger Basisname für Benutzerobjekte) Gibt den eindeutigen Namen (DN) im Verzeichnis eines LDAP-Servers an, in dem mit der Suche nach Benutzerattributen begonnen werden soll. Map user name to DN (Benutzername zu DN zuordnen) Bei Auswahl dieser Option muss der Name des Benutzers, der die Authentifizierung anfragt, einem DN (eindeutigen Namen) zugeordnet werden können. Dieser Name dient zur Identifizierung des Benutzers im Verzeichnis auf dem LDAP-Server. Filter expression to locate a user object Gibt eine Filterphrase zur Einschränkung der Suche nach (Filterphrase zur Suche nach Benutzerobjekten) Benutzerattributen an. In der Filterphrase kann „u%“ als Ersatz für den Benutzernamen verwendet werden. Get user attributes (Benutzerattribute abrufen) Bei Auswahl dieser Option wird auf dem LDAP-Server nach Benutzerattributen zur Authentifizierung eines Benutzers gesucht. User attributes to retrieve (Abzurufende Benutzerattribute) Enthält eine Liste zur Eingabe der Benutzerattribute, die vom LDAP-Server abgerufen werden sollen. Attributes concatenation string (Listentrennzeichen für Attribute) Gibt das Zeichen an, mit dem die einzelnen bei einer Suche ermittelten Benutzerattribute voneinander getrennt werden, z. B. „/“ (Schrägstrich). Get groups attributes (Gruppenattribute abrufen) Bei Auswahl dieser Option wird auf dem LDAP-Server zur Authentifizierung eines Benutzers auch nach Benutzergruppenattributen gesucht. Base distinguished name to group objects (Eindeutiger Basisname für Gruppenobjekte) Gibt den eindeutigen Namen (DN) im Verzeichnis eines LDAP-Servers an, in dem mit der Suche nach Gruppenattributen begonnen werden soll. Filter expression to locate a group object Gibt eine Filterphrase zur Einschränkung der Suche nach (Filterphrase zur Suche nach Gruppenobjekten) Gruppenattributen an. In der Filterphrase kann u% als Ersatz für den Benutzernamen verwendet werden. Group attributes to retrieve (Abzurufende Gruppenattribute) Enthält eine Liste der Gruppenattribute, die von einem LDAP-Server abgerufen werden sollen. RADIUS Specific Parameters (RADIUS-spezifische Parameter) Einstellungen für die RADIUS-Authentifizierungsmethode Tabelle 7-10 RADIUS Specific Parameters (RADIUS-spezifische Parameter) 202 Option Definition RADIUS server definition (RADIUS-Server-Definition) Enthält eine Liste, in die RADIUS-Server eingegeben werden, von denen Authentifizierungsinformationen abgerufen werden sollen. Default domain name (Name der Standarddomäne) Gibt den Namen der Domäne an, von der Informationen abgerufen werden sollen, wenn keine andere Domäne angegeben wurde. McAfee Web Gateway 7.5.0 Produkthandbuch 7 Authentifizierung Authentifizierungseinstellungen Tabelle 7-10 RADIUS Specific Parameters (RADIUS-spezifische Parameter) (Fortsetzung) Option Definition Shared secret (Gemeinsamer geheimer Schlüssel) Legt das von einer Appliance für den Zugriff auf einen RADIUS-Server verwendete Kennwort fest. Radius connection timeout in seconds (Zeitlimit für RADIUS-Verbindung in Sekunden) Gibt den Zeitraum (in Sekunden) vor, nach dessen Ablauf die Verbindung mit dem RADIUS-Server abgebrochen wird, wenn in dieser Zeit keinerlei Datenverkehr verzeichnet wird. International text support (Unterstützung internationaler Textformate) Gibt an, welcher Zeichensatz standardmäßig für von einem Client aus gesendete Anfragen verwendet werden soll, z. B. ISO-8859-1. Value of attribute with code (Attributwert mit Code) Legt den Codewert nach RFC 2865 für das im Rahmen der Benutzergruppeninformationen abgerufene Attribut fest. Beispielsweise ist „25“ der Code für das Attribut „Klasse“. Vendor specific attribute with vendor ID (Anbieterspezifisches Attribut mit Anbieter-ID) Legt die Anbieter-ID fest, die bei der Suche nach Benutzergruppeninformationen für das Abrufen von anbieterbezogenen Daten erforderlich ist. Gemäß RFC 2865 ist die Anbieter-ID Teil des Anbieterattributs, gefolgt von mehreren untergeordneten Attributen. Der entsprechende Codewert lautet 26. Vendor subattribute type (Typ der untergeordneten Anbieterattribute) Legt den Codewert nach RFC 2865 für den Typ der in einem Anbieterattribut enthaltenen untergeordneten Attribute fest. Da diese Strukturvorgabe nicht von allen Anbietern berücksichtigt wird, ist es empfehlenswert, hier den Wert „0“ festzulegen. Dies ermöglicht es dem Authentifizierungsmodul, alle verfügbaren Anbieterinformationen abzurufen. Kerberos Specific Parameters (Kerberos-spezifische Parameter) Einstellungen für die Kerberos-Authentifizierungsmethode In den Systemeinstellungen unter Kerberos Administration (Kerberos-Verwaltung) können für diese Authentifizierungsmethode weitere Einstellungen konfiguriert werden. Dieses Einstellmenü ist im übergeordneten Menü Configuration (Konfiguration) zu finden. Tabelle 7-11 Kerberos Specific Parameters (Kerberos-spezifische Parameter) Option Definition Extract group membership IDs from the ticket (Gruppenmitgliedschafts-ID aus Ticket abrufen) Bei Auswahl dieser Option werden Informationen zur Identifizierung der Gruppen abgerufen, in denen ein Benutzer Mitglied ist. Abgerufen werden diese Informationen aus dem Ticket, das bei der Kerberos-Authentifizierungsmethode während der Authentifizierung von Benutzern verwendet wird. Wenn diese Option ausgewählt ist, kann auch auf die nächste Option zugegriffen werden. Look up group names via NTLM (Gruppennamen über NTLM suchen) Bei Auswahl dieser Option werden mithilfe der NTLM-Authentifizierungsmethode die Namen der Gruppen abgerufen, in denen der Benutzer Mitglied ist. Authentication Server Specific Parameters (Authentifizierungs-Server-spezifische Parameter) Einstellungen für die Authentifizierungs-Server-Methode McAfee Web Gateway 7.5.0 Produkthandbuch 203 7 Authentifizierung Authentifizierungseinstellungen Tabelle 7-12 Authentication Server Specific Parameters (Authentifizierungs-Server-spezifische Parameter) Option Definition Authentication server URL (URL des Authentifizierungs-Servers) Gibt die URL des Servers an, der bei dieser Methode für die Suche nach Authentifizierungsinformationen verwendet wird. Require client ID (Client-ID erforderlich) Bei Auswahl dieser Option fordert der Authentifizierungs-Server die ID des Clients von dem aus der Benutzer eine Anfrage sendet. Store authentication result in a cookie (Ergebnis der Authentifizierung in Cookie speichern) Bei Auswahl dieser Option werden die vom Authentifizierungs-Server abgerufenen Informationen in einem Cookie gespeichert. Wenn die Möglichkeit zur Authentifizierung per Cookie gegeben ist, wird der Cookie bei der nächsten Anfrage des entsprechenden Benutzers mitgesendet, sodass dieser sich nicht erneut authentifizieren muss. Allow persistent cookie for the server (Dauerhaften Cookie für Server zulassen) Bei Auswahl dieser Option kann ein Cookie dauerhaft für das Senden von Anfragen an den Authentifizierungs-Server verwendet werden. Cookie TTL for the authentication server in seconds (Speicherdauer des Cookies für Authentifizierungs-Server in Sekunden) Gibt den Zeitraum (in Sekunden) vor, für den ein mit einer Anfrage an den Server gesendeter Cookie gespeichert wird. Cookie prefix (Cookie-Präfix) Gibt einen Präfix an, der einem Cookie auf der Appliance vorangestellt wird, beispielsweise MWG_Auth. One-Time Password Specific Parameters (Spezifische Parameter für Einmalkennwort) Einstellungen für die Authentifizierungsmethode mittels Einmalkennwort 204 McAfee Web Gateway 7.5.0 Produkthandbuch 7 Authentifizierung Authentifizierungseinstellungen Tabelle 7-13 One-Time Password Specific Parameters (Spezifische Parameter für Einmalkennwort) Option Definition OTP server (OTP-Server) Gibt die IP-Adresse und Port-Nummer des OTP-Servers an, mit dem sich Web Gateway bei der Authentifizierung eines Benutzers im Rahmen der Einmalkennwort-Authentifizierungsmethode verbindet. Communicate with SSL and trust certificate below (Kommunikation per SSL und mit untenstehendem vertrauenswürdigen Zertifikat) Bei Auswahl dieser Option erfolgt die Kommunikation mit dem OTP-Server über eine SSL-verschlüsselte Verbindung. Wenn die Option ausgewählt wurde, sind die vier folgenden (ansonsten abgeblendeten) Felder und auch die darunter befindliche Schaltfläche Import (Importieren) verfügbar. Die Felder enthalten detaillierte Informationen zum derzeit bei der SSL-verschlüsselten Kommunikation mit dem OTP-Server verwendeten Zertifikat. • Subject (Inhaber): Enthält allgemeine Informationen über das Zertifikat. • Common Name (CN) (Allgemeiner Name, CN): Gibt den allgemeinen Namen des Zertifikats an. Standardmäßig ist dies localhost. • Organization (O) (Organisation, O): Gibt die Organisation an, um deren Zertifikat es sich handelt. Standardmäßig ist dies OTP Server. • Organizational Unit (OU) (Organisationseinheit, OU): Gibt die Organisationseinheit an, der das Zertifikat zugeordnet ist. Standardmäßig ist keine Organisationseinheit angegeben. • Issuer (Aussteller): Enthält Informationen über den Aussteller des Zertifikats. • Common Name (CN) (Allgemeiner Name, CN): Gibt den allgemeinen Namen des Ausstellers an. Standardmäßig ist dies localhost. • Organization (O) (Organisation, O): Gibt die Organisation des Ausstellers an. Standardmäßig ist dies OTP Server. • Organizational Unit (OU) (Organisationseinheit, OU): Gibt die Organisationseinheit an, der das Server-Zertifikat zugeordnet ist. Standardmäßig ist keine Organisationseinheit angegeben. • Validity (Gültigkeit): Gibt an, wie lange das Zertifikat gültig ist. • Not before (Gültig ab): Zeigt Datum und Uhrzeit des Zeitpunkts an, an dem die Gültigkeit des Zertifikats beginnt. • Not after (Gültig bis): Zeigt Datum und Uhrzeit des Zeitpunkts an, an dem die Gültigkeit des Server-Zertifikats endet. • Extensions (Weitere Informationen) Enthält weitere Informationen über das Zertifikat. • Comment (Kommentar): Enthält Kommentare zum Zertifikat im Nur-Text-Format. Standardmäßig ist kein Kommentar angegeben. • Import (Importieren): Öffnet ein Fenster zum Importieren eines Zertifikats. WS client name (Name des WS-Clients) McAfee Web Gateway 7.5.0 Legt den Benutzernamen für Web Gateway bei der Kommunikation mit dem OTP-Server fest. Produkthandbuch 205 7 Authentifizierung Authentifizierungseinstellungen Tabelle 7-13 One-Time Password Specific Parameters (Spezifische Parameter für Einmalkennwort) (Fortsetzung) Option Definition WS client password (Kennwort des WS-Clients) Legt das Kennwort für Web Gateway bei der Kommunikation mit dem OTP-Server fest. OTP message (OTP-Nachricht) Legt das Präfix für Nachrichten fest, die vom OTP-Server an Web Gateway gesendet werden, sowie die Trennzeichen, die eine Nachricht einschließen. Standardmäßig haben Nachrichten das folgende Format: OTP for MWG: $$<OTP-Nachricht>$$ McAfee Client Proxy Einstellungen für die SWPS-Authentifizierungsmethode (McAfee Client Proxy) Tabelle 7-14 McAfee Client Proxy Option Definition Customer ID (Kunden-ID) Gibt die ID eines Kunden an. Shared password (Freigegebenes Kennwort) Legt ein Kennwort für einen Kunden fest. Keep domain in group name (Domäne aus Gruppenname beibehalten) Bei Auswahl dieser Option werden im Namen einer Benutzergruppe vorhandene Informationen zur Domäne beibehalten. Nach dem Klicken auf Set (Festlegen) öffnet sich ein Fenster zum Festlegen des Kennworts. Diese Option ist standardmäßig ausgewählt. Remove custom headers used for authentication (Benutzerdefinierte Header für Authentifizierung entfernen) Bei Auswahl dieser Option werden alle in den zur Authentifizierung gesendeten Informationen befindlichen Header entfernt. Diese Option ist standardmäßig ausgewählt. Export MCP credentials to XML file (MCP-Anmeldeinformationen in XML-Datei exportieren) Mit dieser Option können Sie die bei Durchführung der SWPS-Authentifizierungsmethode (McAfee Client Proxy) gesendeten Anmeldeinformationen exportieren. Standardmäßig haben Nachrichten das folgende Format: OTP for MWG: $$<OTP-Nachricht>$$ Advanced Parameters (Erweiterte Parameter) Einstellungen für die Konfiguration der erweiterten Authentifizierungsfunktionen Da diese Einstellung für alle Authentifizierungsmethoden gleich ist, wird die entsprechende Beschreibung auch zu Beginn der Erläuterung der Authentifizierungseinstellungen (im Anschluss an die Beschreibung der allgemeinen Einstellungen) aufgeführt. 206 McAfee Web Gateway 7.5.0 Produkthandbuch 7 Authentifizierung Implementieren einer anderen Authentifizierungsmethode Tabelle 7-15 Advanced Parameters (Erweiterte Parameter) Option Definition Always evaluate property value (Eigenschaftswert immer bewerten) Bei Auswahl dieser Option wird bei jeder Verarbeitung einer Regel, die diese Eigenschaft enthält, eine neue Bewertung durchgeführt, mit der dieser Eigenschaft ein Wert zugeordnet wird. Auch wenn für diese Eigenschaft ein im Cache gespeicherter Wert vorhanden ist, wird dieser nicht genutzt. Es ist zwar normalerweise zum Erreichen einer besseren Leistung empfehlenswert, Werte aus dem Cache zu verwenden, jedoch ist es in manchen Situationen erforderlich, eine Neubewertung von Eigenschaften vorzunehmen. Dies sind Situationen, in denen dieselbe Eigenschaft innerhalb der Authentifizierungsregeln mehrmals und mit denselben Einstellungen des Authentifizierungsmoduls verwendet wird. Durch eine Neubewertung wird gewährleistet, dass der Eigenschaft bei jedem einzelnen Durchlauf der jeweils aktuelle Wert zugeordnet wird. Implementieren einer anderen Authentifizierungsmethode Wenn Sie nicht die Benutzerdatenbank-Authentifizierungsmethode des Standard-Regelsatzes verwenden möchten, können Sie stattdessen eine Methode wie NTLM, LDAP oder andere implementieren. Vorgehensweise 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus. 2 Navigieren Sie in der Regelsatz-Baumstruktur zu dem Regelsatz mit den Regeln für die Benutzerauthentifizierung, z. B. zum Standard-Regelsatz Authentication and Authorize, und wählen Sie den untergeordneten Regelsatz Authenticate with User Database aus. Die Regeln des untergeordneten Regelsatzes werden im Abschnitt für Einstellungen angezeigt. 3 Wählen Sie die Regel Authenticate with User Database aus, und klicken Sie in den Regelkriterien auf User Database. Daraufhin öffnet sich das Fenster Edit Settings (Einstellungen bearbeiten). 4 Wählen Sie in der Liste unter Authentication Method (Authentifizierungsmethode) eine Authentifizierungsmethode aus, z. B. NTLM. 5 Konfigurieren Sie für die ausgewählte Methode allgemeine und spezifische Parameter nach Bedarf. 6 Klicken Sie auf OK, um das Fenster zu schließen. 7 Klicken Sie auf Save Changes (Änderungen speichern). Es wird empfohlen, nach dem Ändern der Authentifizierungsmethode die Einstellungen des Authentifizierungsmoduls sowie die Authentifizierungsregel und den untergeordneten Regelsatz entsprechend umzubenennen. Nach der Auswahl von NTLM können Sie beispielsweise die Einstellungen in NTLM und sowohl die Regel als auch den untergeordneten Regelsatz in Authenticate with NTLM umbenennen. Anstatt die Standardeinstellungen umzubenennen, können Sie auch verschiedene Einstellungen mit unterschiedlichen Namen und Parameterwerten für das Authentifizierungsmodul verwalten. McAfee Web Gateway 7.5.0 Produkthandbuch 207 7 Authentifizierung Verwenden von Systemeinstellungen zum Konfigurieren der Authentifizierung Verwenden von Systemeinstellungen zum Konfigurieren der Authentifizierung Für einige Authentifizierungsmethoden müssen Sie Einstellungen konfigurieren, die Einstellungen des Appliance-Systems und nicht des Authentifizierungsmoduls sind. Dies gilt, wenn Sie NTLM als Authentifizierungsmethode implementieren. In diesem Fall müssen Sie die Appliance einer Windows-Domäne hinzufügen und die Systemeinstellungen für Windows Domain Membership (Mitgliedschaft in Windows-Domäne) konfigurieren. Dies gilt auch für die Kerberos-Authentifizierungsmethode, die über die Systemeinstellungen für Kerberos Administration (Kerberos-Verwaltung) implementiert wird. Einstellungen für „Kerberos Administration“ Die Einstellungen für „Kerberos Administration“ sind spezifische Einstellungen für die Kerberos-Authentifizierungsmethode. Kerberos Administration Einstellungen für die Kerberos-Authentifizierungsmethode Tabelle 7-16 Kerberos Administration Option Definition Key tab file (Keytab-Datei) Gibt die Datei an, die den erforderlichen Master-Schlüssel für den Zugriff auf den Kerberos-Server enthält. Sie können einen Dateinamen eingeben oder auf die Schaltfläche Browse (Durchsuchen) klicken, um nach der Datei zu suchen und ihren Namen im Feld zu übernehmen. Wenn für die Authentifizierung gemäß der Kerberos-Methode ein Ticket ausgestellt wird, wird der Master-Schlüssel auf der Appliance gelesen, und mithilfe des Schlüssels wird das Ticket überprüft. Wenn Sie einen Load-Balancer einsetzen, der Web-Anfragen an die Appliance weiterleitet, werden für den Load-Balancer Tickets ausgestellt und auf der Appliance überprüft. In diesem Fall wird nicht überprüft, ob eine Anfrage an die Appliance weitergeleitet wurde. Kerberos realm (Kerberos-Bereich) Gibt eine für Authentifizierungszwecke konfigurierte Verwaltungsdomäne an. Innerhalb der Grenzen dieser Domäne hat der Kerberos-Server die Befugnis, einen Benutzer zu authentifizieren, der eine Anfrage von einem Host sendet oder einen Dienst nutzt. Beim Bereichsnamen wird die Groß-/Kleinschreibung berücksichtigt. Im Allgemeinen werden jedoch nur Großbuchstaben verwendet, und es empfiehlt sich, den Bereichsnamen auf den Namen der relevanten DNS-Domäne festzulegen. 208 McAfee Web Gateway 7.5.0 Produkthandbuch 7 Authentifizierung Verwenden von Systemeinstellungen zum Konfigurieren der Authentifizierung Tabelle 7-16 Kerberos Administration (Fortsetzung) Option Definition Maximal time difference between appliance and client (Maximale Zeitdifferenz zwischen Appliance und Client) Beschränkt die zeitliche Differenz (in Sekunden) zwischen den Systemuhren der Appliance und ihrer Clients auf den angegebenen Wert. Wenn Sie Kerberos als Authentifizierungsmethode konfigurieren, kann dies Probleme nach sich ziehen, wenn Anfragen mit bestimmten Browsern gesendet werden: • Wenn eine frühere Version von Microsoft Internet Explorer als 7.0 verwendet wird, ist die Kerberos-Authentifizierung u. U. nicht möglich. • Wenn dieser Explorer unter Windows XP ausgeführt wird, funktioniert die Kerberos-Authentifizierung möglicherweise nicht wie erwartet. • Bei Verwendung von Mozilla Firefox muss die Kerberos-Authentifizierung in den Browser-Einstellungen als Authentifizierungsmethode aktiviert werden. Enable replay cache Bei Auswahl dieser Option kann ein für die Authentifizierung ausgestelltes (Replay-Cache aktivieren) Ticket nicht mehrmals verwendet werden. Durch Auswahl dieser Option wird die Authentifizierungsleistung vermindert. Beitreten einer Appliance zu einer Windows-Domäne Beim Verwenden der NTLM-Authentifizierung müssen Sie eine Appliance als Mitglied einer Windows-Domäne festlegen, damit das Authentifizierungsmodul auf dem Domänenserver gespeicherte Benutzerinformationen abrufen kann. Eine Appliance kann gleichzeitig mehreren Domänen angehören. Vorgehensweise 1 Wählen Sie Configuration | Appliances (Konfiguration | Appliances) aus. 2 Wählen Sie in der Appliances-Baumstruktur die Appliance aus, die der Domäne betreten soll, und klicken Sie auf Windows Domain Membership (Mitgliedschaft in Windows-Domäne). Im Einstellungsbereich wird eine Liste von Domänen angezeigt. Diese ist anfänglich leer. 3 Klicken Sie auf Join (Beitreten), um eine Domäne in die Liste einzugeben. Daraufhin öffnet sich das Fenster Join Domain (Domäne beitreten). 4 Konfigurieren Sie in diesem Fenster einen Domänennamen, einen Domänen-Controller und weitere Einstellungen. 5 Klicken Sie auf OK. Das Fenster wird geschlossen, und die neue Domäne wird nun in der Liste angezeigt. Die Appliance ist jetzt ein Mitglied der betreffenden Domäne. Wiederholen Sie die Schritte 3 bis 5, um weitere Domänen hinzuzufügen. Verwenden Sie die übrigen Symbole auf der Symbolleiste, um die Liste zu bearbeiten, z. B. um einen Listeneintrag zu ändern oder um die Mitgliedschaft einer Appliance in einer Domäne aufzuheben. Siehe auch Einstellungen für die Windows-Domänenmitgliedschaft auf Seite 210 McAfee Web Gateway 7.5.0 Produkthandbuch 209 7 Authentifizierung Empfohlene Vorgehensweisen – Konfigurieren der Authentifizierung für Bereitstellungstypen Einstellungen für die Windows-Domänenmitgliedschaft Mit den Einstellungen für die Windows-Domänenmitgliedschaft wird eine Appliance einer Windows-Domäne hinzugefügt. Join Domain (Beitreten zur Domäne) Einstellungen zum Beitreten einer Appliance zu einer Windows-Domäne Tabelle 7-17 Join Domain (Beitreten zur Domäne) Option Definition Windows domain name (Name der Windows-Domäne) Gibt den Namen der Domäne an. McAfee Web Gateway account name (Name des McAfee Web Gateway-Kontos) Gibt den Namen eines Kontos für eine Appliance an. Overwrite existing account (Bestehendes Konto überschreiben) Bei Auswahl dieser Option wird ein bestehendes Konto überschrieben. Use NTLM version 2 (NTLM-Version 2 verwenden) Bei Auswahl dieser Option wird NTLM-Version 2 verwendet. Timeout for requests to this NTLM domain (Zeitlimit für Anfragen an diese NTLM-Domäne) Gibt die Zeit (in Sekunden) an, nach deren Ablauf die Verarbeitung für eine von einer Appliance an einen Domänen-Controller gesendete Anfrage angehalten wird, wenn keine Antwort eingeht. Wait time for reconnect to domain controller (Wartezeit für erneute Verbindung mit dem Domänen-Controller) Gibt die Zeit (in Sekunden) an, nach deren Ablauf erneut versucht wird, eine Verbindung mit dem Domänen-Controller herzustellen, nachdem ein vorheriger Versuch fehlgeschlagen ist. Der zulässige Bereich ist 5 bis 300 Sekunden. Configured domain controllers (Konfigurierte Domänen-Controller) Bietet eine Liste zur Eingabe der Domänen-Controller, mit denen eine Appliance eine Verbindung zum Abrufen von Authentifizierungsinformationen herstellen kann. Einträge müssen durch Kommas getrennt werden. Number of active domain controllers (Anzahl aktiver Domänen-Controller) Die Höchstanzahl konfigurierter Domänen-Controller, die gleichzeitig aktiv sein können Zulässige Werte sind 1 bis 10. Administrator name (Name des Administrators) Gibt den Benutzernamen für das Konto an, das beim Beitreten einer Appliance zu einer Domäne erstellt wird. Benutzername und Kennwort werden nur zu diesem Zweck verwendet und nicht gespeichert. Password (Kennwort) Legt ein Kennwort für den Administratornamen fest. Empfohlene Vorgehensweisen – Konfigurieren der Authentifizierung für Bereitstellungstypen Beim Konfigurieren der Authentifizierung müssen Sie die Art der Bereitstellung berücksichtigen, die zur Verarbeitung des Datenverkehrs zwischen Web Gateway und dessen Clients konfiguriert wurde, z. B. 210 McAfee Web Gateway 7.5.0 Produkthandbuch 7 Authentifizierung Empfohlene Vorgehensweisen – Konfigurieren der Authentifizierung für Bereitstellungstypen der Modus „Expliziter Proxy“ oder ein transparenter Modus. Für jeden Typ gibt es einen Regelsatz in der Regelsatz-Bibliothek, der am besten für die Handhabung der Authentifizierung geeignet ist. Die folgenden beiden Fragen sind hinsichtlich des Authentifizierungsprozesses von Bedeutung: • Wie werden die während des Prozesses ausgewerteten Anmeldeinformationen des Benutzers durch Web Gateway abgerufen? Dieser Teil der Authentifizierung wird manchmal auch als Authentifizierungs-Front-End bezeichnet. Die Methode zum Abrufen der Anmeldeinformationen des Benutzers hängt davon ab, ob der Modus „Expliziter Proxy“ (auch als direkter Proxy-Modus bezeichnet) oder ein transparenter Modus (transparenter Router oder Bridge-Modus) für die Verarbeitung des Datenverkehrs zwischen Web Gateway und dessen Clients konfiguriert wurde. Für den Modus „Expliziter Proxy“ können Sie konfigurieren, dass Clients einen Dienst unter dem WCCP-Protokoll als zusätzliche Option zum Senden von Anfragen verwenden. Die Regelsatz-Bibliothek bietet für jeden dieser Modi passende Regelsätze. • Wie sollten Anmeldeinformationen nach dem Abrufen ausgewertet werden? Dies wird manchmal auch als Authentifizierungs-Back-End bezeichnet. Die Auswertung der Anmeldeinformationen hängt von der konfigurierten Authentifizierungsmethode ab, z. B. LDAP oder NTLM. Bibliotheks-Regelsätze für die Authentifizierung Die Regelsätze zur Konfiguration der Authentifizierung befinden sich in der Regelsatzgruppe Authentication der Regelsatz-Bibliothek. Die nachfolgende Tabelle zeigt, welche dieser Regelsätze für bestimmte Bereitstellungstypen empfohlen werden. Tabelle 7-18 Bibliotheks-Regelsätze für die Authentifizierung Bereitstellungstyp Empfohlener Bibliotheks-Regelsatz Modus „Expliziter Proxy“ Direct Proxy Authentication and Authorization Modus „Transparenter Router“ oder „Transparente Bridge“ Authentication Server (Time/IP Based Session) Modus „Expliziter Proxy“ mit WCCP Bei Verarbeitung des Datenverkehrs in: • Modus „Expliziter Proxy“: Direct Proxy Authentication and Authorization • WCCP-Modus: Authentication Server (Time/IP Based Session) Nach dem Import eines Regelsatzes aus der Bibliothek können Sie dessen Regeln modifizieren und weiter an die Gegebenheiten Ihres Netzwerks anpassen. Position in der Regelsatz-Baumstruktur Ein Authentifizierungs-Regelsatz sollte sich hinter dem Regelsatz „Globale Whitelist“ befinden, jedoch vor dem Regelsatz „Common Rules“ (wenn Sie diese Elemente aus der Regelsatz-Standardbaumstruktur behalten). McAfee Web Gateway 7.5.0 Produkthandbuch 211 7 Authentifizierung Empfohlene Vorgehensweisen – Konfigurieren der Authentifizierung für Bereitstellungstypen Durch diese Platzierung eines Authentifizierungs-Regelsatzes wird sichergestellt, dass ein Benutzer nicht authentifiziert werden muss, wenn er eine Anfrage für den Zugriff auf ein Web-Objekt sendet, das sich in der globalen Whitelist befindet. Authentifizierung für den Modus „Expliziter Proxy“ Beim Konfigurieren der Authentifizierung für den Modus „Expliziter Proxy“ muss in Web Gateway ein geeigneter Regelsatz implementiert werden. Bibliotheks-Regelsatz für den expliziten Proxy-Modus Der empfohlene Bibliotheks-Regelsatz für den expliziten Proxy-Modus ist „Direct Proxy Authentication and Authorization“. Dieser Regelsatz enthält zwei untergeordnete Regelsätze: • Authenticate with User Database • Authorize User Groups Wenn dieser Regelsatz implementiert ist, wird der Authentifizierungsprozess für jede Anfrage durchgeführt, die von einem Client aus Web Gateway empfangen wurde, sofern keine Ausnahmeregel gilt. Die Verwendung dieses Regelsatzes ist zudem das bevorzugte Verfahren zur Handhabung der Authentifizierung, wenn Citrix installiert ist oder Workstations in einer Konfiguration gemeinsam genutzt werden. Regelsatz „Direct Proxy Authentication and Authorization“ Dieser Regelsatz enthält Regeln zur Erstellung von Ausnahmen. Diese ermöglichen es, eine Anfrage auf Web Gateway zu verarbeiten, ohne den Benutzer zu authentifizieren, der die Anfrage gesendet hat. Ausnahmen können auf Folgendem basieren: • Auf der IP-Adresse des Clients, von dem die Anfrage gesendet wurde • Auf der URL des Web-Objekts, das das Ziel der Anfrage ist Anhand dieser Regeln sorgen Sie dafür, dass für Anfragen, die von vertrauenswürdigen Clients eingehen oder an vertrauenswürdige Ziele gesendet werden, keine Authentifizierung durchgeführt werden muss, was zu einer Steigerung der Leistung führt. Sie können auch eigene Listen erstellen und diesem Regelsatz hinzufügen, um weitere Ausnahmen zu ermöglichen. Untergeordneter Regelsatz „Authenticate with User Database“ Dieser Regelsatz enthält eine Regel, mit der die Authentifizierung für einen Benutzer durchgeführt werden kann, der eine Web-Zugriffsanfrage über einen Client von Web Gateway sendet. Der Benutzer wird zur Eingabe der Anmeldeinformationen aufgefordert, die anhand der in der internen Benutzerdatenbank gespeicherten Daten ausgewertet werden. Der Regelsatz gilt, wenn der betreffende Benutzer noch nicht authentifiziert wurde und noch keinen fehlgeschlagenen Authentifizierungsversuch unternommen hat. Dies wird mithilfe der Eigenschaften Authentication.Is.Authenticated und Authentication.Failed überprüft. Anstatt die Anmeldeinformationen anhand der Daten aus der internen Benutzerdatenbank überprüfen, können Sie auch eine andere Authentifizierungsmethode konfigurieren, z. B. LDAP oder NTLM. 212 McAfee Web Gateway 7.5.0 Produkthandbuch 7 Authentifizierung Empfohlene Vorgehensweisen – Konfigurieren der Authentifizierung für Bereitstellungstypen Untergeordneter Regelsatz „Authorize User Groups“ Dieser Regelsatz enthält eine Regel, die nur Anfragen autorisierter Benutzer zulässt. Eine Anfrage wird also blockiert, wenn der Benutzer, der diese gesendet hat, kein Mitglied einer der Benutzergruppen in einer bestimmten Liste ist. Die Anfrage wird auch dann blockiert, wenn der Benutzer die zuvor durchgeführte Auswertung erfolgreich bestanden hat. Diese Regel ermöglicht die Implementierung einer zusätzlichen Sicherheitsprüfung. Wenn Sie diese verwenden möchten, müssen Sie in die in diesem Regelsatz verwendete Liste Benutzergruppen eintragen. Andernfalls können Sie den Regelsatz deaktivieren oder löschen. Bearbeiten des Regelsatzes für den expliziten Proxy-Modus Beim Konfigurieren der Authentifizierung für den expliziten Proxy-Modus können Sie den Bibliotheks-Regelsatz so bearbeiten, dass er den Erfordernissen des Netzwerks entspricht. Dazu gehört: • Ändern der Authentifizierungsmethode • Bearbeiten, Deaktivieren oder Löschen der Benutzerautorisierung • Konfigurieren weiterer Ausnahmeregeln Ändern der Authentifizierungsmethode Die Standardmethode für die Auswertung von Anmeldeinformationen ist der Vergleich dieser Informationen mit denen, die in der internen Benutzerdatenbank gespeichert sind. Zum Ändern dieser Authentifizierungsmethode (Authentifizierungs-Back-End) müssen Sie die Einstellungen neben der Eigenschaft Authentication.Authenticate konfigurieren, die sich in der einzigen Regel des Regelsatzes „Authenticate user against User Database“ befindet. Unter Authentication method (Authentifizierungsmethode) wird eine Liste mit Authentifizierungsmethoden angezeigt, aus der Sie eine für die Anforderungen des Netzwerk geeignetere Methode auswählen können, beispielsweise LDAP oder NTLM. Bearbeiten, Deaktivieren oder Löschen der Benutzerautorisierung Der untergeordnete Regelsatz „Authorized User Groups“ lässt nur Anfragen von autorisierten Benutzern zu. Sie können die Liste, die in der einzigen Regel dieses Regelsatzes bereitgestellt wird, nach Bedarf mit Benutzergruppen füllen. Wenn Sie diese Prüfung nicht als zusätzliche Sicherheitsprüfung verwenden möchten, können Sie den Regelsatz deaktivieren oder löschen. Konfigurieren weiterer Ausnahmeregeln Sie können dem Regelsatz „Direct Proxy Authentication and Authorization“ Regeln hinzufügen, um mehr Ausnahmen des Authentifizierungsprozesses abzudecken. Wenn eine dieser Regeln angewendet wird, wird die Verarbeitung des Regelsatzes angehalten, d. h., der Regelsatz wird nicht für die untergeordneten Regelsätze ausgeführt, die für die Authentifizierung zuständig sind. Beispielsweise können Sie eine Regel hinzufügen, um Anfragen zuzulassen, wenn der Browser des Clients, von dem diese gesendet wurden, mit einem bestimmten Benutzer-Agenten ausgeführt wird. Die Informationen zum Benutzer-Agenten werden aus dem Anfrage-Header abgerufen. McAfee Web Gateway 7.5.0 Produkthandbuch 213 7 Authentifizierung Empfohlene Vorgehensweisen – Konfigurieren der Authentifizierung für Bereitstellungstypen Die Regel könnte folgendermaßen aussehen: Skip authorization for user agents that are in list Allowed User Agents Header.Request.Get ("User-Agent") matches in list Allowed User Agents –> Stop Rule Set Eine weitere Regel könnte Anfragen für den Zugriff auf Objekte auf Web-Servern mit IP-Adressen aus einer bestimmten Liste zulassen. Die IP-Adresse wird der URL entnommen, die mit einer Anfrage übermittelt wurde. Diese Regel könnte folgendermaßen aussehen: Skip authorization for destination IPs that are in list Allowed Destination IPs URL.Destination.IP is in range list Allowed Destination IPs –> Stop Rule Set Authentifizierung für transparente Modi Beim Konfigurieren der Authentifizierung für die transparenten Modi müssen die Einstellungen für die Browser geändert werden, mit denen Anfragen an Web Gateway gesendet werden. Außerdem muss in Web Gateway eine geeignete Regel implementiert werden. Bearbeiten der Browser-Einstellungen Um die Authentifizierung für den Modus „Transparenter Router“ oder „Transparente Bridge“ zu aktivieren, müssen die Einstellungen der einzelnen zum Senden von Anfragen verwendeten Web-Browser konfiguriert werden, damit Web Gateway als vertrauenswürdig eingestuft werden kann. Wenn auch NTLM oder Kerberos als Authentifizierungsmethode auf Web Gateway konfiguriert ist, erfolgt der Authentifizierungsprozess intern, ohne dass sich der Benutzer authentifizieren muss. • Wenn Sie Microsoft Internet Explorer verwenden, müssen Sie die Sicherheitseinstellungen wie folgt ändern: • Konfigurieren Ihres lokalen Intranets als Sicherheitszone • Hinzufügen von Web Gateway als Website zu dieser Zone Hierfür geben Sie eine URL mit einer IP-Adresse oder einen vollqualifizierten Domänennamen an, z. B. http://10.10.69.73 oder http://*.mcafee.local. • Konfigurieren der automatischen Anmeldung für alle Websites in dieser Zone als Sicherheitseinstellung für die Benutzerauthentifizierung Sie können dies unter Internetoptionen in den Fenstern Lokales Intranet und Sicherheitseinstellungen – Lokale Intranetzone konfigurieren. Wenn für einen Browser Gruppenrichtlinien konfiguriert werden können, können Sie auch den Gruppenrichtlinienverwaltungs-Editor zusammen mit der Liste der Site zu Zonenzuweisungen und dem Fenster Anmeldungsoptionen verwenden. • Wenn Sie Mozilla Firefox verwenden, müssen Sie eine IP-Adresse oder einen vollqualifizierten Domänennamen für Web Gateway unter about:config als Wert für den Parameter network.automatic-ntlm-auth.trusted-uris angeben, z. B. 10.10.69.73 oder mwgappl.yourdomain.local. Weitere Informationen hierzu finden Sie in der Dokumentation des jeweiligen Web-Browsers. 214 McAfee Web Gateway 7.5.0 Produkthandbuch 7 Authentifizierung Empfohlene Vorgehensweisen – Konfigurieren der Authentifizierung für Bereitstellungstypen Bibliotheks-Regelsatz für transparente Modi Der empfohlene Bibliotheks-Regelsatz für den Modus „Transparenter Router“ oder „Transparente Bridge“ ist „Authentifizierungs-Server (Zeit/IP-basierte Sitzung)“. Dieser Regelsatz enthält zwei untergeordnete Regelsätze: • Check for Valid Authentication Session • Authentication Server Im Unterschied zum Authentifizierungsprozess, der für den expliziten Proxy-Modus durchgeführt wird, verarbeitet dieser Regelsatz die Authentifizierung durch das Erstellen einer Authentifizierungssitzung, wenn ein Benutzer, der eine Anfrage für Web-Zugriff gesendet hat, erfolgreich authentifiziert wurde. Solange diese Sitzung weiterhin gültig ist, werden von diesem Benutzer gesendete nachfolgende Anfragen verarbeitet, ohne dass eine erneute Authentifizierung erforderlich ist. Die standardmäßige Sitzungslänge beträgt 600 Sekunden. Die Verwendung dieses Regelsatzes in einer Konfiguration, in der Citrix installiert ist oder Workstations gemeinsam genutzt werden, kann zu folgender Situation führen: Benutzer A sendet eine Anfrage, wird authentifiziert, und eine Authentifizierungssitzung wird erstellt. Später sendet Benutzer B eine Anfrage über dieselbe Workstation und darf die Sitzung von Benutzer A fortsetzen. Regelsatz „Authentication Server (Time/IP Based Session)“ Dieser Regelsatz dient als Container für die beiden untergeordneten Regelsätze und enthält keine eigenen Regelsätze. Untergeordneter Regelsatz „Check for Valid Authentication Session“ Dieser Regelsatz enthält eine Regel, die überprüft, ob für einen Benutzer, der eine Anfrage über einen Client sendet, eine gültige Sitzung vorhanden ist. Sitzungsinformationen werden in einer internen Sitzungsdatenbank gespeichert. Die Informationen enthalten den Benutzernamen, die IP-Adresse des Clients und die Sitzungslänge. Wenn eine gültige Sitzung vorhanden ist, wird die Verarbeitung der Anfrage für die verbleibenden konfigurierten Regeln und Regelsätze fortgesetzt. Wenn keine gültige Sitzung vorhanden ist, wird die Anfrage an den Authentifizierungs-Server umgeleitet. Untergeordneter Regelsatz „Authentication Server“ Dieser Regelsatz enthält eine Regel, mit der die Authentifizierung für einen Benutzer durchgeführt werden kann, dessen Anfrage an den Authentifizierungs-Server umgeleitet wurde. Bei erfolgreicher Authentifizierung wird für diesen Benutzer in der Sitzungsdatenbank eine Sitzung erstellt. Die Standardmethode für die Auswertung von Anmeldeinformationen des Benutzers ist der Vergleich dieser Informationen mit denen, die in der internen Benutzerdatenbank gespeichert sind. Sie können diese Methode durch eine andere Methode ersetzen, z. B. LDAP oder NTLM. Bearbeiten des Regelsatzes für transparente Modi Beim Konfigurieren der Authentifizierung für transparente Modi können Sie den Bibliotheks-Regelsatz so bearbeiten, dass er den Erfordernissen des Netzwerks entspricht. Es sind folgende Bearbeitungsaktionen möglich: • Bearbeiten der URL des Authentifizierungs-Servers • Ändern der Authentifizierungsmethode McAfee Web Gateway 7.5.0 Produkthandbuch 215 7 Authentifizierung Empfohlene Vorgehensweisen – Konfigurieren der Authentifizierung für Bereitstellungstypen • Aktivieren der Regel für ideale Bedingungen • Verlängern der Gültigkeitsdauer der Sitzung Bearbeiten der URL des Authentifizierungs-Servers Wenn Sie die Sicherheitseinstellungen der für das Senden von Anfragen an Web Gateway verwendeten Browser durch Konfigurieren der lokalen Domäne als Sicherheitszone bearbeitet haben, können Sie Web Gateway als Website in diese Zone einbinden, indem Sie eine URL entweder mittels IP-Adresse oder vollqualifiziertem Domänennamen angeben. In diesem Fall müssen Sie auch die URL des Authentifizierungs-Servers durch Einfügen des Namens der lokalen Domäne bearbeiten, da die URL standardmäßig eine IP-Adresse für Web Gateway enthält. Die Authentifizierungs-Server-URL wird für Appliances, auf denen Web Gateway ausgeführt wird, dynamisch erzeugt. Da in einer Konfiguration mehrere Web Gateway-Appliances vorhanden sein können, darf die IP-Adresse nicht statisch sondern muss dynamisch konfiguriert sein. Diese Konfiguration erfolgt über interne Konfigurationseigenschaften. Diese URL kann unter der Option IP Authentication Server (IP-Authentifizierungs-Server) bearbeitet werden, die in der Regel Redirect clients that do not have a valid session to the authentication server des Regelsatzes „Check for Valid Authentication Session“ neben der Eigenschaft Authentication.Authenticate zu finden ist. Standardmäßig hat diese URL das folgende Format: http://$<propertyInstance useMostRecentConfiguration="false" propertyId="com.scur.engine.system.proxy.ip"/>$:$<propertyInstance useMostRecentConfiguration="false" propertyId="com.scur.engine.system.proxy.port"/>$ In allgemein lesbarem Format könnte die URL eines konkreten Authentifizierungs-Servers folgendermaßen lauten: http://10.10.69.71:9090 Nach der Anpassung der URL an die Browser-Einstellungen, durch die die lokale Domäne als Sicherheitszone definiert ist, sieht die URL folgendermaßen aus: http://$<propertyInstance useMostRecentConfiguration="false" propertyId="com.scur.engine.system"/>$.yourdomain.local:$<propertyInstance useMostRecentConfiguration="false" propertyId="com.scur.engine.system.proxy.port"/>$ Hierbei wurde "com.scur.engine.system.proxy.ip"/>$ durch "com.scur.engine.system"/> $.yourdomain.local ersetzt. In allgemein lesbarem Format könnte dies z. B. folgendermaßen aussehen: http://mwgappl.yourdomain.local:9090 Hierbei ist mwgappl der Host-Name einer Appliance, auf der Web Gateway ausgeführt wird. Ändern der Authentifizierungsmethode Die standardmäßig für die Bewertung von Anmeldeinformationen genutzte Methode bei transparenten Modi ist das Vergleichen dieser Informationen mit denen, die in der internen Benutzerdatenbank gespeichert sind. Zum Ändern dieser Authentifizierungsmethode (Authentifizierungs-Back-End) müssen Sie die Einstellungen neben der Eigenschaft Authentication.Authenticate konfigurieren, die sich im Regelsatz „Authentication Server“ in der Regel Authenticate user against user database rule befindet. 216 McAfee Web Gateway 7.5.0 Produkthandbuch 7 Authentifizierung Empfohlene Vorgehensweisen – Konfigurieren der Authentifizierung für Bereitstellungstypen Unter Authentication method (Authentifizierungsmethode) wird eine Liste mit Authentifizierungsmethoden angezeigt, aus der Sie eine für die Anforderungen des Netzwerk geeignetere Methode auswählen können, beispielsweise LDAP oder NTLM. Aktivieren der Regel für ideale Bedingungen Mit der Regel Revalidate session under ideal conditions aus dem Regelsatz „Check for Valid Authentication Session“ kann sich der Benutzer unter „idealen“ Bedingungen erneut authentifizieren. Dies bedeutet, dass bei bereits abgelaufener Sitzung keine Aufforderung zur Authentifizierung mehr erfolgt. Hier eine detaillierte Liste der standardmäßig festgelegten Bedingungen: • Die verbleibende Sitzungszeit beträgt weniger als 400 Sekunden. • Es wird das Netzwerkprotokoll HTTP verwendet. • Bei der vom Benutzer gesendeten Anfrage handelt es sich um eine GET-Anfrage. Durch Aktivieren dieser Regel können Situationen wie z. B. die folgende vermieden werden: 1 Ein Benutzer sendet von einem Web Gateway-Client eine Anfrage und authentifiziert sich (es werden 600 Sekunden Sitzungszeit zugeteilt). 2 Der Benutzer möchte ein Ticket an den Helpdesk senden und beginnt mit dem Ausfüllen des Datenformulars (300 Sekunden Sitzungszeit verbraucht). 3 Beim Ausfüllen fehlen dem Benutzer bestimmte Informationen, nach denen er im Internet suchen muss. Hierdurch werden auf Web Gateway mehrere GET-Anfragen empfangen (es vergehen weitere 200 Sekunden). 4 Der Benutzer füllt das Formular vollständig aus und sendet es ab, wodurch bei Web Gateway eine POST-Anfrage eingeht (es vergehen weitere 200 Sekunden, wobei die Sitzung bereits nach den ersten 100 Sekunden abgelaufen ist). 5 Da die Sitzungszeit abgelaufen ist, wird der Benutzer vor dem Verarbeiten der POST-Anfrage zum erneuten Authentifizieren aufgefordert. Da die Sitzung jedoch nicht mehr gültig ist, gehen alle in das Formular eingegebenen Daten verloren. Wenn die Regel für ideale Bedingungen aktiviert ist, wird der Benutzer bereits während der Informationssuche in Schritt 3 erneut zur Authentifizierung aufgefordert, sodass genügend Zeit für das Ausfüllen und Absenden des Formulars zur Verfügung steht. Verlängern der Gültigkeitsdauer der Sitzung Die Zeitdauer einer Authentifizierungs-Sitzung kann z. B. auch von den standardmäßig eingestellten 600 Sekunden (10 Minuten) auf eine Stunde erhöht werden. Außerdem ist es auch möglich, die Zeitbedingung in den Kriterien der Regel Revalidate session under ideal conditions beispielsweise von 400 auf 600 Sekunden zu erhöhen. Hierdurch fordert die Regel den Benutzer bereits beim Erhalt einer GET-Anfrage zur Authentifizierung auf. Zu diesem Zeitpunkt ist die Sitzung noch 10 Minuten lang gültig. McAfee Web Gateway 7.5.0 Produkthandbuch 217 7 Authentifizierung Empfohlene Vorgehensweisen – Konfigurieren der Authentifizierung für Bereitstellungstypen Authentifizierung für den Modus „Expliziter Proxy“ mit WCCP Das Konfigurieren der Authentifizierung für den Modus „Expliziter Proxy“ mit WCCP umfasst das Importieren und Bearbeiten von zwei Regelsätzen sowie die Angabe der Ports für den eingehenden Datenverkehr, damit die Anwendung des passenden Regelsatzes ausgelöst wird. Wenn der Modus „Expliziter Proxy“ mit WCCP konfiguriert ist, senden Clients ihre Anfragen an Web Gateway entweder in diesem Modus oder unter Verwendung eines Dienstes im WCCP-Protokoll. Zur Durchführung der Authentifizierung im Modus „Expliziter Proxy“ wird der Regelsatz „Direct Proxy Authentication and Authorization“ empfohlen, für den WCCP-Modus, der ein transparenter Modus ist, hingegen der Regelsatz „Authentication Server (Time/IP Based Session)“. Aus diesem Grund sollten Sie beide Regelsätze importieren und auch alle weiteren für beide Modi erforderlichen Schritte durchführen, einschließlich der Bearbeitung der Browser-Einstellungen für den WCCP-Modus. Damit der Datenverkehr für den jeweiligen Modus vom richtigen Authentifizierungs-Regelsatz verwaltet wird, können Sie für die beiden Datenverkehrsarten unterschiedliche Ports konfigurieren und den zu verwendenden Port jeweils in den Kriterien des entsprechenden Regelsatzes festlegen. Konfigurieren unterschiedlicher Ports für den Modus „Expliziter Proxy“ und den WCCP-Modus. Für den Modus „Expliziter Proxy“ und den WCCP-Modus könnten beispielsweise die Ports 9090 und 9091 konfiguriert werden. Beim Konfigurieren eines WCCP-Dienstes müssen Sie angeben, welcher Port für den WCCP-Modus verwendet wird. In die Liste der HTTP-Ports müssen hingegen beide Ports eingetragen werden. Ein WCCP-Dienst wird durch Eintragung in die Liste WCCP Services (WCCP-Dienste) konfiguriert. Diese Liste wird unter der Option WCCP im Bereich Transparent Proxy (Transparenter Proxy) angezeigt, zu dem Sie über die Systemeinstellung Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys, HTTP(S), FTP, ICAP, und IM) gelangen. Der Abschnitt wird erst angezeigt, wenn Sie durch Auswählen von Proxy (optional WCCP) (Proxy, WCCP optional) unter Network Setup (Netzwerkeinrichtung) mit dem Konfigurieren des Modus „Expliziter Proxy“ mit WCCP beginnen. Der Eintrag für einen WCCP-Dienst, der für den auf Port 9091 eingehenden Datenverkehr verwendet wird, könnte beispielsweise folgendermaßen aussehen: No Service WCCP ID router ... 1 91 Ports ... Ports ... Proxy listener ... 10.10.69.7 80, 443 false Proxy MD5 ... Assignment Comment listener port 10.10.69.73 9091 oooooo 1000 Die Liste HTTP Port Definition List (HTTP-Port-Definitionsliste) kann im Bereich HTTP Proxy (HTTP-Proxy) konfiguriert werden, der nach dem Bereich Transparent Proxy (Transparenter Proxy) folgt. Die Einträge für den Modus „Expliziter Proxy“ und den WCCP-Modus könnten beispielsweise folgendermaßen aussehen: No Listener address Serve ... Ports ... Transparent ... McAfee ... Comment 218 1 0.0.0.0:9090 true 443 false true Explicit proxy traffic 2 0.0.0.0:9091 true 443 false true WCCP traffic McAfee Web Gateway 7.5.0 Produkthandbuch 7 Authentifizierung Instant Messaging-Authentifizierung Anpassen der Kriterien der Authentifizierungs-Regelsätze Nach dem Konfigurieren unterschiedlicher Ports für eingehenden Datenverkehr im Modus „Expliziter Proxy“ bzw. bei Nutzung eines WCCP-Dienstes, beispielsweise Ports 9090 und 9091, müssen Sie auch die Kriterien der Regelsätze anpassen, die für diese beiden Datenverkehrsarten zuständig sind. Die angepassten Regelkriterien des Regelsatzes „Direct Proxy Authentication and Authorization“ sähen dann folgendermaßen aus: Proxy.Port equals 9090 AND (Connection.Protocol equals "HTTP" OR Connection.Protocol equals "HTTPS") Beim Regelsatz „Authentication Server (Time/IP Based Session)“ wären die angepassten Kriterien: Proxy.Port equals 9091 Instant Messaging-Authentifizierung Die Instant Messaging-Authentifizierung stellt sicher, dass Benutzer Ihres Netzwerks nicht über einen Instant Messaging-Dienst auf das Web zugreifen können, wenn sie nicht authentifiziert sind. Im Authentifizierungsprozess wird nach Benutzerinformationen gesucht, und nicht authentifizierte Benutzer werden aufgefordert, sich zu authentifizieren. An diesem Vorgang sind folgende Elemente beteiligt: • Authentifizierungsregeln, die den Prozess steuern • Das Modul „Authentication“, das aus verschiedenen Datenbanken Informationen über Benutzer abruft Eine Authentifizierungsregel kann mithilfe eines Ereignisses Informationen zur Authentifizierung von Benutzern protokollieren, die Web-Zugriff angefordert haben. In diesem Fall ist auch ein Protokollierungsmodul in den Prozess eingebunden. Authentifizierungsregeln Die Instant Messaging-Authentifizierung ist nicht standardmäßig auf der Appliance implementiert, Sie können jedoch den Regelsatz IM Authentication aus der Bibliothek importieren. Dieser Regelsatz enthält eine Regel, die anhand von Benutzerinformationen überprüft, ob der Web-Zugriff anfordernde Benutzer bereits authentifiziert ist. Die Informationen werden mithilfe der Methode „User Database“ gesucht. Nicht authentifizierte Benutzer, für die in der Benutzerdatenbank keine Informationen gefunden werden können, werden aufgefordert, ihre Anmeldeinformationen für die Authentifizierung zu senden. Eine andere Regel sucht mithilfe der Methode „Authentication Server“ nach Informationen, um den Authentifizierungsstatus von Benutzern zu ermitteln, und fordert nicht authentifizierte Benutzer auf, ihre Anmeldeinformationen zu senden. Das Modul „Authentication“ wird von diesen Regeln aufgerufen, um die Benutzerinformationen aus den entsprechenden Datenbanken abzurufen. Sie können die Regeln im Bibliotheks-Regelsatz überprüfen, ändern oder löschen sowie eigene Regeln erstellen. McAfee Web Gateway 7.5.0 Produkthandbuch 219 7 Authentifizierung Instant Messaging-Authentifizierung Modul „Authentication“ Das Modul (auch als Engine bezeichnet) „Authentication“ ruft aus internen und externen Datenbanken Informationen ab, die zum Authentifizieren von Benutzern benötigt werden. Das Modul wird von den Authentifizierungsregeln aufgerufen. Die verschiedenen Methoden zum Abrufen von Benutzerinformationen werden in den Moduleinstellungen angegeben. Demzufolge werden in den Regeln des Bibliotheks-Regelsatzes für die Instant Messaging-Kommunikation zwei verschiedene Einstellungen aufgeführt: • User Database at IM Authentication Server (Benutzerdatenbank auf IM-Authentifizierungs-Server) • Authentication Server IM (Authentifizierungs-Server für IM) Diese Einstellungen werden mit dem Regelsatz implementiert, wenn dieser aus der Bibliothek importiert wird. Sie können diese Einstellungen konfigurieren und z. B. den Server angeben, von dem mit der Authentifizierungs-Server-Methode Benutzerinformationen abgerufen werden. Protokollierungsmodul Der Bibliotheks-Regelsatz für die Instant Messaging-Authentifizierung enthält eine Regel, die authentifizierungsbezogene Daten protokolliert, z. B. den Benutzernamen des Benutzers, der den Web-Zugriff angefordert hat oder die URL des angeforderten Web-Objekts. Die Protokollierung wird vom Modul „FileSystemLogging“ verarbeitet, dessen Einstellungen Sie ebenfalls konfigurieren können. Konfigurieren der Instant Messaging-Authentifizierung Sie können die Instant Messaging-Authentifizierung implementieren und an die Anforderungen Ihres Netzwerks anpassen. Führen Sie die folgenden allgemeinen Schritte aus. Vorgehensweise 1 Importieren Sie den Regelsatz „IM Authentication“ aus der Bibliothek. 2 Prüfen Sie die Regeln im Regelsatz, und ändern Sie sie gegebenenfalls. Sie können beispielsweise Folgendes ausführen: 3 220 • Ändern Sie die Einstellungen des Authentifizierungsmoduls für die Benutzerdatenbank oder die Authentifizierungs-Server-Methode. • Ändern Sie die Einstellungen des Protokollierungsmoduls, das die Protokollierung von Informationen über die Instant Messaging-Authentifizierung verarbeitet. Speichern Sie die Änderungen. McAfee Web Gateway 7.5.0 Produkthandbuch 7 Authentifizierung Instant Messaging-Authentifizierung Konfigurieren des Authentifizierungsmoduls für die Instant Messaging-Authentifizierung Sie können das Authentifizierungsmodul konfigurieren und angeben, auf welche Weise die erforderlichen Informationen zum Authentifizieren von Benutzern eines Instant Messaging-Dienstes abgerufen werden. Vorgehensweise 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus. 2 Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz für die Instant Messaging-Authentifizierung aus. Wenn Sie den Regelsatz aus der Bibliothek importiert haben, ist dies der Regelsatz IM Authentication. Die Regeln des Regelsatzes werden nun im Einstellungsbereich angezeigt. 3 Achten Sie darauf, dass Show details (Details anzeigen) ausgewählt ist. 4 Suchen Sie nach den Regeln, von denen das Authentifizierungsmodul aufgerufen wird. Im Bibliotheks-Regelsatz sind dies die Regeln Authenticate Clients against the User Database und Redirect Not Authenticated Clients to the Authentication Server. 5 Klicken Sie in den Regelkriterien auf den Einstellungsnamen der Einstellungen, die konfiguriert werden sollen. Dieser Name wird neben der Eigenschaft Authentication. Authenticate angezeigt. Im Bibliotheks-Regelsatz sind dies die Einstellungen für User Database at IM Authentication Server bzw. Authentication Server IM. Daraufhin öffnet sich das Fenster Edit Settings (Einstellungen bearbeiten). Es enthält die Einstellungen für das Modul „Authentication“. 6 Konfigurieren Sie diese Einstellungen nach Bedarf. 7 Klicken Sie auf OK, um das Fenster zu schließen. 8 Klicken Sie auf Save Changes (Änderungen speichern). Siehe auch Authentifizierungseinstellungen auf Seite 194 Konfigurieren des Dateisystem-Protokollierungsmoduls für die Instant Messaging-Authentifizierung Sie können das Dateisystem-Protokollierungsmodul konfigurieren und angeben, wie dieses Informationen protokolliert, die sich auf die Instant Messaging-Authentifizierung beziehen. Vorgehensweise 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus. 2 Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz für die Instant Messaging-Authentifizierung aus. Wenn Sie den Regelsatz aus der Bibliothek importiert haben, ist dies der Regelsatz IM Authentication. Nun werden die Regeln des Regelsatzes im Einstellungsbereich angezeigt. McAfee Web Gateway 7.5.0 Produkthandbuch 221 7 Authentifizierung Instant Messaging-Authentifizierung 3 Achten Sie darauf, dass Show details (Details anzeigen) ausgewählt ist. 4 Suchen Sie nach der Regel, von der das Dateisystem-Protokollierungsmodul aufgerufen wird. Im Bibliotheks-Regelsatz ist dies die Regel Show Authenticated page. 5 Klicken Sie im Regelereignis auf den Namen der Einstellungen für das Modul. Im Bibliotheks-Regelsatz lautet dieser Name IM Logging. Daraufhin öffnet sich das Fenster Edit Settings (Einstellungen bearbeiten). Es enthält die Einstellungen für das Dateisystem-Protokollierungsmodul. 6 Konfigurieren Sie diese Einstellungen nach Bedarf. 7 Klicken Sie auf OK, um das Fenster zu schließen. 8 Klicken Sie auf Save Changes (Änderungen speichern). Siehe auch File System Logging Settings (Dateisystem-Protokollierungseinstellungen) auf Seite 584 IM Authentication (Regelsatz) Der Bibliotheks-Regelsatz „IM Authentication“ wird für die Instant Messaging-Authentifizierung verwendet. Bibliotheks-Regelsatz – IM Authentication Criteria – Always Cycles – Requests (and IM), Responses, Embedded Objects Dieser Regelsatz enthält die folgenden untergeordneten Regelsätze: • IM Authentication Server • IM Proxy IM Authentication Server Dieser untergeordnete Regelsatz behandelt die Authentifizierung für Instant Messaging-Benutzer. Er wendet die Methode „User Database“ zum Abrufen von Benutzerinformationen an. Untergeordneter Bibliotheks-Regelsatz – IM Authentication Server Criteria – Authentication.IsServerRequest equals true Cycles – Requests (and IM), Responses, Embedded Objects Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn die Authentifizierung für einen Benutzer eines Instant Messaging-Dienstes angefordert wurde. Der Regelsatz enthält die folgenden Regeln. Authenticate clients against user database Authentication.Authenticate<User Database at IM Authentication server> equals false–> Authenticate<IM Authentication> Die Regel überprüft mithilfe der Eigenschaft Authentication.Authenticate, ob ein Benutzer, der eine Chat-Nachricht oder Datei unter einem Instant Messaging-Protokoll sendet, authentifiziert wurde. Die Einstellungen, die auf die Eigenschaft in den Regelkriterien folgen, geben die Methode „User Database“ für diese Authentifizierung an. 222 McAfee Web Gateway 7.5.0 Produkthandbuch Authentifizierung Instant Messaging-Authentifizierung 7 Wenn ein Benutzer nicht mithilfe dieser Methode authentifiziert wurde, wird die Verarbeitung beendet; zudem wird eine Meldung wird angezeigt, in der der Benutzer zur Authentifizierung aufgefordert wird. Die Aktionseinstellungen geben an, dass die Vorlage „IM Authentication“ zum Anzeigen der Authentifizierungsmeldung für den Benutzer verwendet wird. Die Verarbeitung wird fortgesetzt, wenn die nächste Benutzeranfrage empfangen wird. Show Authenticated page Always–> Redirect<Show IM Authenticated> — Set User-Defined.logEntry = “[” + DateTime.ToISOString + “]”” + URL.GetParameter (“prot”) + ““auth”” + Authentication.Username + ““ ”” + URL.GetParameter (“scrn”) + “““ FileSystemLogging.WriteLogEntry (User-Defined.logEntry)<IM Logging> Die Regel leitet eine durch einen Instant Messaging-Benutzer von einem Client gesendete Anfrage an einen Authentifizierungs-Server weiter und zeigt eine Meldung an, in der der Benutzer über die Umleitung informiert wird. Die Aktionseinstellungen geben an, dass die Vorlage „Show IM Authenticated“ für die Meldung verwendet wird. Außerdem legt die Regel mithilfe eines Ereignisses Werte für einen Protokolleintrag zur Authentifizierungsanfrage fest. Dieser Eintrag wird dann anhand eines zweiten Ereignisses in eine Protokolldatei geschrieben. Ein Parameter dieses Ereignisses gibt den Protokolleintrag an. In den Ereigniseinstellungen werden die Protokolldatei und deren Verwaltung angegeben. IM Proxy Dieser untergeordnete Regelsatz behandelt die Authentifizierung von Instant Messaging-Benutzern. Er ruft mithilfe der Methode „Authentication Server“ Benutzerinformationen ab. Untergeordneter Bibliotheks-Regelsatz – IM Proxy Criteria – Connection.Protocol.IsIM equals true AND IM.MessageCanSendBack is true Cycles – Requests (and IM), Responses, Embedded Objects Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn ein Benutzer eine Chat-Nachricht oder eine Datei über eine Verbindung unter einem Instant Messaging-Protokoll sendet und von der Appliance bereits eine Nachricht zurück an den Benutzer gesendet werden kann. Der Regelsatz enthält die folgende Regel. Redirect not authenticated users to the authentication server Authentication.Authenticate<Authentication Server IM> equals false–> Authenticate<IM Authentication> McAfee Web Gateway 7.5.0 Produkthandbuch 223 7 Authentifizierung Einmalkennwörter Die Regel überprüft mithilfe der Eigenschaft Authentication.Authenticate, ob ein Benutzer, der eine Chat-Nachricht oder Datei unter einem Instant Messaging-Protokoll sendet, authentifiziert wurde. Die Einstellungen, die auf die Eigenschaft in den Regelkriterien folgen, geben die Authentifizierungs-Server-Methode für diese Authentifizierung an. Wenn ein Benutzer nicht mit dieser Methode authentifiziert wurde, wird die Verarbeitung beendet; zudem wird eine Meldung wird angezeigt, in der der Benutzer aufgefordert wird, sich zu authentifizieren. Die Aktionseinstellungen geben an, dass die Vorlage „IM Authentication“ zum Anzeigen der Authentifizierungsmeldung für den Benutzer verwendet wird. Die Verarbeitung wird fortgesetzt, wenn die nächste Benutzeranfrage empfangen wird. Einmalkennwörter Einmalkennwörter können in Web Gateway verarbeitet werden, um Benutzer zu authentifizieren. Dies beinhaltet die Verwendung von Kennwörtern für autorisiertes Außerkraftsetzen, nachdem eine Web-Sitzung aufgrund eines abgelaufenen Kontingents beendet wurde. Wenn ein Benutzer eine Web-Zugriffsanfrage sendet, wird die Authentifizierung zuerst über eine andere in Web Gateway verfügbare Authentifizierungsmethode durchgeführt, beispielsweise die Authentifizierung anhand von Informationen, die in der internen Benutzerdatenbank gespeichert sind. Wenn die Verwendung von Einmalkennwörtern konfiguriert ist, wird diese Authentifizierungsmethode als zweiter Schritt durchgeführt. Web Gateway meldet dem Benutzer, dass für den Web-Zugriff auch ein Einmalkennwort erforderlich ist, und nach der Anfrage des Benutzers auf solch ein Kennwort wird der Benutzername an einen McAfee OTP-Server weitergeleitet, auf dem das Kennwort angefordert wird. ® Wenn die Anfrage genehmigt wird, gibt der McAfee OTP-Server ein Einmalkennwort zurück, das jedoch nicht an Web Gateway weitergegeben wird. Die Antwort des McAfee OTP-Servers enthält in einem Header-Feld auch sogenannte „Kontextinformationen“. Mit diesen Kontextinformationen werden das Kennwortfeld und die Sendeschaltfläche auf der Seite aktiviert, die dem Benutzer angezeigt wird, sodass der Benutzer auf die Schaltfläche klicken kann, woraufhin das Einmalkennwort übermittelt wird und der Benutzer Zugriff auf das gewünschte Web-Objekt erhält. Um die Verwendung von Einmalkennwörtern in Web Gateway zu implementieren, können Sie einen Regelsatz aus der Regelsatz-Bibliothek importieren. Nach dem Importieren des Regelsatzes werden Standardeinstellungen bereitgestellt, die Sie entsprechend den Anforderungen Ihres Netzwerks konfigurieren können. Zu den zu konfigurierenden Einstellungen gehören die IP-Adresse oder der Host-Name des McAfee OTP-Servers und der Port auf diesem Server, der auf Anfragen von Web Gateway überwacht. Außerdem sind ein Benutzername und ein Kennwort für die Authentifizierung von Web Gateway beim McAfee OTP-Server erforderlich. Wenn die Kommunikation zwischen Web Gateway und dem McAfee OTP-Server SSL-verschlüsselt sein soll, müssen Sie ein entsprechendes Zertifikat importieren. Der McAfee OTP-Server muss für die Verarbeitung des Authentifizierungsprozesses für Web Gateway konfiguriert werden. 224 McAfee Web Gateway 7.5.0 Produkthandbuch 7 Authentifizierung Einmalkennwörter Einmalkennwörter für autorisiertes Außerkraftsetzen Wenn innerhalb Ihres Netzwerks Kontingentbeschränkungen für die Internet-Nutzung gelten, kann ein Einmalkennwort als Kennwort für das Außerkraftsetzen der Beendigung einer Web-Sitzung aufgrund abgelaufener Kontingente genutzt werden. Um die Verwendung von Einmalkennwörtern für das autorisierte Außerkraftsetzen zu implementieren, können Sie einen weiteren Regelsatz aus der Bibliothek importieren, mit dem Sie auch die Einstellungen für den Authentifizierungsprozess konfigurieren können. Verwenden von Einmalkennwörtern von einem McAfee Pledge-Gerät Einmalkennwörter für die Authentifizierung von Benutzern oder für ein autorisiertes Außerkraftsetzen können von einem McAfee Pledge-Gerät bereitgestellt werden. ® Um die Verwendung von Einmalkennwörtern für den Authentifizierungsprozess zu aktivieren, müssen Sie geeignete Regelsätze implementieren, die Sie aus der Regelsatz-Bibliothek importieren können. Die Einstellungen für den Authentifizierungsprozess werden mit dem Importvorgang implementiert. Weitere Informationen zum Arbeiten mit einem McAfee Pledge-Gerät finden Sie in der Dokumentation für dieses Produkt. Konfigurieren von Einmalkennwörtern für das Authentifizieren von Benutzern Führen Sie die folgenden allgemeinen Schritte aus, um die Verwendung von Einmalkennwörtern für das Authentifizieren von Benutzern zu konfigurieren. Vorgehensweise 1 Importieren Sie den Regelsatz Authentication Server (Time/IP Based Session with OTP) aus der Regelsatz-Bibliothek. Wenn Sie Einmalkennwörter von einem McAfee Pledge-Gerät verwenden, importieren Sie den Regelsatz Authentication Server (Time/IP Based Session with OTP and Pledge). Die Regelsätze befinden sich in der Regelsatzgruppe Authentication. 2 Konfigurieren Sie die Einstellungen für Einmalkennwörter. 3 Speichern Sie die Änderungen. Weitere Informationen zum Konfigurieren des McAfee OTP-Servers für die Arbeit mit Web Gateway finden Sie in der Dokumentation für McAfee OTP-Server. Konfigurieren von Einmalkennwörtern für das autorisierte Außerkraftsetzen Führen Sie die folgenden allgemeinen Schritte aus, um die Verwendung von Einmalkennwörtern für das autorisierte Außerkraftsetzen zu konfigurieren. Vorgehensweise 1 Importieren Sie den Regelsatz Authorized Override with OTP aus der Regelsatz-Bibliothek. Wenn Sie Einmalkennwörter von einem McAfee Pledge-Gerät verwenden, importieren Sie Authorized Override with OTP and Pledge. Die Regelsätze befinden sich in der Regelsatzgruppe Coaching/Quota. 2 Konfigurieren Sie die Einstellungen für Einmalkennwörter. 3 Speichern Sie die Änderungen. McAfee Web Gateway 7.5.0 Produkthandbuch 225 7 Authentifizierung Einmalkennwörter Weitere Informationen zum Konfigurieren des McAfee OTP-Servers für die Arbeit mit Web Gateway finden Sie in der Dokumentation für McAfee OTP-Server. Konfigurieren von Einstellungen für Einmalkennwörter Nach dem Importieren der Regelsätze zum Verarbeiten von Einmalkennwörtern werden Einstellungen für derartige Kennwörter mit Standardwerten implementiert. Konfigurieren Sie diese Einstellungen, um sie an die Anforderungen Ihres Netzwerks anzupassen. Sie müssen unterschiedliche Einstellungen für die Authentifizierung und das autorisierte Außerkraftsetzen mit Einmalkennwörtern konfigurieren. Vorgehensweise 1 Wählen Sie Policy | Settings (Richtlinie | Einstellungen) aus. 2 Erweitern Sie im Zweig Engines (Module) der Einstellungs-Baumstruktur Authentication (Authentifizierung). 3 Führen Sie die folgenden Unterschritte aus, um die Einstellungen für das Verwenden von Einmalkennwörtern beim Authentifizieren von Benutzern zu konfigurieren. Fahren Sie andernfalls mit Schritt 4 fort. a Klicken Sie auf OTP. Die OTP-Einstellungen werden im Abschnitt für Einstellungen angezeigt. b Konfigurieren Sie die Einstellungen im Abschnitt One-Time Password Specific Parameters (Spezifische Parameter für Einmalkennwörter) und die Einstellungen in anderen Abschnitten (bei denen es sich um allgemeine Authentifizierungseinstellungen handelt) nach Bedarf. c Klicken Sie auf IP Authentication Server (IP-Authentifizierungs-Server). Die Einstellungen für den IP-Authentifizierungs-Server werden im Abschnitt für Einstellungen angezeigt. d Konfigurieren Sie die Einstellungen im Abschnitt IP Authentication Server Specific Parameters (Spezifische Parameter für IP-Authentifizierungs-Server) und die Einstellungen in anderen Abschnitten (bei denen es sich um allgemeine Authentifizierungseinstellungen handelt) nach Bedarf. e Klicken Sie auf User Database at Authentication Server (Benutzerdatenbank auf Authentifizierungs-Server). Die Einstellungen für die Benutzerdatenbank auf dem Authentifizierungs-Server werden im Abschnitt für Einstellungen angezeigt. f Konfigurieren Sie die Einstellungen im Abschnitt User Database Specific Parameters (Spezifische Parameter für Benutzerdatenbank) und die Einstellungen in anderen Abschnitten (bei denen es sich um allgemeine Authentifizierungseinstellungen handelt) nach Bedarf. Fahren Sie anschließend mit Schritt 5 fort. 4 Führen Sie die folgenden Unterschritte aus, um die Einstellungen für das Verwenden von Einmalkennwörtern beim autorisierten Außerkraftsetzen zu konfigurieren. a Klicken Sie auf OTP. Die OTP-Einstellungen werden im Abschnitt für Einstellungen angezeigt. b 5 226 Konfigurieren Sie die Einstellungen im Abschnitt One-Time Password Specific Parameters (Spezifische Parameter für Einmalkennwörter) und die Einstellungen in anderen Abschnitten (bei denen es sich um allgemeine Authentifizierungseinstellungen handelt) nach Bedarf. Klicken Sie auf Save Changes (Änderungen speichern). McAfee Web Gateway 7.5.0 Produkthandbuch 7 Authentifizierung Einmalkennwörter Authentication Server (Time/IP Based Session with OTP) (Regelsatz) Der Bibliotheks-Regelsatz „Authentication Server (Time/IP Based Session with OTP)“ ermöglicht die Verwendung von Einmalkennwörtern für die Authentifizierung von Benutzern. Bibliotheks-Regelsatz – Authentication Server (Time/IP Based Session with OTP) Criteria – Always Cycles – Requests (and IM) Dieser Regelsatz enthält die folgenden untergeordneten Regelsätze: • Check for Valid Authentication Session • Authentication Server Check for Valid Authentication Session Diese untergeordnete Regel leitet die von einem Client gesendete Anfrage eines Benutzers an den Authentifizierungs-Server um, wenn sich der Benutzer noch nicht auf diesem Server authentifiziert hat. Untergeordneter Bibliotheks-Regelsatz – Check for Valid Authentication Session Criteria – Authentication.IsServerRequest equals false AND (Connection.Protocol equals "HTTP" OR Connection.Protocol equals "SSL" OR Connection.Protocol equals "HTTPS" OR Connection.Protocol equals "IFP") Cycles – Requests (and IM) Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn die derzeit verarbeitete Anfrage keine Verbindung mit dem Authentifizierungs-Server anfordert und es sich beim verwendeten Protokoll um eines der vier festgelegten Protokolle handelt. Der Regelsatz enthält die folgenden Regeln: Fix hostname Command.Name equals "CERTVERIFY" AND SSL.Server.Certificate.CN.HasWildcards equals false –> Continue – Set URL.Host = SSL.Server.Certificate.CN Die Regel setzt den Host-Namen, der mit der URL einer Anfrage übermittelt wird, anhand eines Ereignisses auf einen bestimmten Wert, der bei Kommunikation über das SSL-Protokoll benötigt wird. Dieser Wert ist der allgemeine Name (CN) des Zertifikats, das in dieser Kommunikation angegeben wird. Die Regel wird angewendet, wenn die verarbeitete Anfrage den CERTVERIFY-Befehl enthält und keine Platzhalter für den allgemeinen Namen (CN) zulässig sind. Redirect clients that do not have a valid session to the authentication server Authentication.Authenticate<IP Authentication Server> equals false AND Command.Name does not equal "CONNECT" –> Authenticate<Default> Die Regel überprüft mithilfe der Eigenschaft Authentication.Authenticate, ob der die Anfrage sendende Benutzer erfolgreich in der Benutzerdatenbank des Authentifizierungs-Servers authentifiziert wurde. Hierfür wird die IP-Adresse des Clients ausgewertet, von dem aus die Anfrage gesendet wurde. McAfee Web Gateway 7.5.0 Produkthandbuch 227 7 Authentifizierung Einmalkennwörter Mit der Eigenschaft Command.Name wird überprüft, ob es sich bei der Anfrage um eine Verbindungsanfrage für SSL-verschlüsselte Kommunikation handelt. Wenn keine der beiden Möglichkeiten zutrifft, wird der Benutzer zur Angabe seiner Anmeldeinformationen aufgefordert, um sich zu authentifizieren. Diese Aktion wird mit den angegebenen Einstellungen ausgeführt. Revalidate session under ideal conditions Authentication.CacheRemainingTime less than 400 AND Connection.Protocol equals "HTTP" AND Command.Name equals "GET" –> Authenticate<Default> Unter bestimmten („idealen“) Bedingungen wird ein Benutzer erneut zum Authentifizieren aufgefordert, wenn er eine Anfrage zur Verlängerung der derzeitigen Web-Sitzung sendet, um zu gewährleisten, dass dies vor der vollständigen Ausschöpfung des Zeitkontingents erfolgt. Dies wird durchgeführt, wenn die Kommunikation über das HTTP-Protokoll läuft und die Anfrage den GET-Befehl enthält. Die Regel ist standardmäßig nicht aktiviert. Authentication Server Dieser untergeordnete Regelsatz leitet eine Anfrage für den Web-Zugriff weiter, sofern der Benutzer ein gültiges Einmalkennwort eingegeben hat. Wenn dem Benutzer diese Eingabe nicht möglich ist, wird er aufgefordert, sich zu authentifizieren. Die Authentifizierung wird zuerst unter Nutzung der Informationen in der Benutzerdatenbank auf einem Authentifizierungs-Server durchgeführt. Nach erfolgreicher Authentifizierung wird dieser Benutzer darauf hingewiesen, dass für den Web-Zugriff auch ein Einmalkennwort erforderlich ist, das von Web Gateway auf Anfrage des Benutzers versendet wird. Untergeordneter Bibliotheks-Regelsatz – Authentication Server Criteria – Authentication.IsServerRequest equals true Cycle – Requests (and IM) Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn ein Benutzer, der eine Anfrage gesendet hat, mittels der Informationen eines Authentifizierungs-Servers authentifiziert werden muss. Der Regelsatz enthält die folgenden Regeln: Redirect if we have a valid OTP Authentication.Authenticate<OTP> equals true –> Redirect <Redirect Back from Authentication Server> Die Regel überprüft mithilfe der Eigenschaft Authentication.Authenticate, ob ein Benutzer, der mit seiner Anfrage für den Web-Zugriff ein Einmalkennwort übermittelt hat, erfolgreich authentifiziert werden konnte. Wenn dies der Fall ist, wird der Web-Zugriff zugelassen, und der Benutzer wird vom Authentifizierungs-Server zum angeforderten Web-Objekt umgeleitet. Stop after providing an invalid OTP Authentication.Failed equals true –> Block<Authorized Only> 228 McAfee Web Gateway 7.5.0 Produkthandbuch Authentifizierung Einmalkennwörter 7 Die Regel überprüft mithilfe der Eigenschaft Authentication.Failed, ob ein Benutzer, der mit seiner Anfrage für den Web-Zugriff ein Einmalkennwort übermittelt hat, nicht authentifiziert werden konnte. Wenn dies der Fall ist, wird die Anfrage blockiert, und der Benutzer wird in einer Meldung über die Blockierung und deren Grund informiert. Authenticate user against user database Authentication.Authenticate<User Database at Authentication Server> equals false –> Authenticate<Default> Die Regel überprüft mithilfe der Eigenschaft Authentication.Authenticate, ob ein Benutzer, der eine Anfrage gesendet und ein nicht gültiges Einmalkennwort übermittelt hat, erfolgreich in der Benutzerdatenbank des Authentifizierungs-Servers authentifiziert wurde. Wenn dies nicht der Fall ist, wird der Benutzer aufgefordert, sich zu authentifizieren. Send OTP if requested Header.Exists(Request.OTP) equals true –> Continue – Authentication.SendOTP<OTP> Wenn keine der vorhergehenden Regeln dieses Regelsatzes angewendet wurden, bedeutet dies, dass ein Benutzer, der eine Anfrage für den Web-Zugriff gesendet hat, kein gültiges Einmalkennwort übermitteln konnte, die Authentifizierung in der Benutzerdatenbank auf dem Authentifizierungs-Server jedoch erfolgreich war. Daraufhin wird diese Regel verarbeitet, die mittels der Eigenschaft Header.Exists überprüft, ob die Anfrage über einen Header verfügt, aus dem hervorgeht, dass das Versenden eines Einmalkennworts angefordert wird. Wenn dies der Fall ist, sendet die Regel mithilfe eines Ereignisses ein entsprechendes Einmalkennwort an den Benutzer. Return authentication data to client Header.Exists("Request.OTP") equals true –> Block<Authentication Server OTP> – Header.Block.Add("OTP Context", Authentication.OTP.Context<OTP>) Die Regel überprüft mithilfe der Eigenschaft Header.Exists, ob eine Anfrage über einen Header verfügt, aus dem hervorgeht, dass das Versenden eines Einmalkennworts angefordert wird. Wenn dies der Fall ist, wird die Anfrage blockiert, und der die Anfrage sendende Benutzer wird mit einer Meldung darüber informiert, dass für den Zugriff ein Einmalkennwort erforderlich ist. Außerdem wird ein Ereignis ausgelöst, das in die Blockierungsmeldung einen Header mit Kontextinformationen zum Authentifizierungsvorgang mit Einmalkennwort einfügt. Der erste der beiden Parameter des Ereignisses gibt an, welche Header-Informationen hinzugefügt werden. Der zweite Parameter ist eine Eigenschaft, die als Wert Informationen über den Authentifizierungsvorgang mit Einmalkennwort enthält und somit den Ursprung der hinzugefügten Informationen darstellt. Block request and offer sending OTP Always –> Block<Authentication Server OTP> Falls keine der vorhergehenden Regeln dieses Regelsatzes angewendet wurden, wird immer die Blockierungsaktion dieser Regel ausgeführt. Die Aktion beendet die Regelverarbeitung, und die Anfrage wird nicht weitergeleitet. Die Einstellungen der Aktion geben das Senden einer Meldung vor, die den Benutzer darüber informiert, dass für den Web-Zugriff ein Einmalkennwort erforderlich ist, das von Web Gateway angefordert werden kann. McAfee Web Gateway 7.5.0 Produkthandbuch 229 7 Authentifizierung Einmalkennwörter Authorized Override with OTP (Regelsatz) Der Bibliotheks-Regelsatz „Authorized Override with OTP“ ermöglicht die Verwendung von Einmalkennwörtern für das autorisierte Außerkraftsetzen. Bibliotheks-Regelsatz – Authorized Override with OTP and Pledge Criteria – SSL.ClientContext.IsApplied equals true OR Command.Name does not equal "CONNECT" Cycles – Requests (and IM) Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn SSL-gesicherte Kommunikation konfiguriert ist oder die gerade verarbeitete Anfrage keine CONNECT-Anfrage darstellt, die normalerweise am Anfang dieser Kommunikation gesendet wird. Dieser Regelsatz enthält die folgenden untergeordneten Regelsätze: • Verify OTP • OTP Needed? Verify OTP Diese untergeordnete Regel überprüft, ob ein Benutzer, der mit einer Anfrage für autorisiertes Außerkraftsetzen ein Einmalkennwort sendet, erfolgreich authentifiziert wird; wenn dies der Fall ist, wird eine Umleitung an das angeforderte Web-Objekt durchgeführt. Untergeordneter Bibliotheks-Regelsatz – Verify OTP Criteria – Quota.AuthorizedOverride.IsActivationRequest.Strict<Default> equals true Cycles – Requests (and IM) Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn ein Benutzer eine Anfrage sendet, um die Beendigung einer Web-Sitzung aufgrund eines ausgeschöpften Kontingents außer Kraft zu setzen und die Sitzung fortzusetzen. Der Regelsatz enthält die folgenden Regeln: Verify OTP Authentication.Authenticate<OTP> equals false –> Block<Authorized Only> Die Regel überprüft mithilfe der Eigenschaft Authentication.Authenticated, ob der Benutzer, der beim Senden einer Anfrage für autorisiertes Außerkraftsetzen ein Einmalkennwort übermittelt hat, erfolgreich authentifiziert wurde. Wenn dies nicht der Fall ist, wird die Anfrage blockiert und der Benutzer mittels einer Meldung über die Blockierung und den jeweiligen Grund dafür informiert. Die Blockierungsaktion wird mit den angegebenen Einstellungen ausgeführt. The session is validated. Redirect to the original page Always –> Redirect<Default> Wenn die Authentifizierung eines Benutzers, der mit einer Anfrage zum autorisierten Außerkraftsetzen ein Einmalkennwort übermittelt hat, nicht fehlgeschlagen ist, wird die vorhergehende Regel dieses Regelsatzes nicht angewendet, und die Verarbeitung wird mit dieser Regel fortgesetzt. Die Regel gestattet es dem Benutzer immer, die laufende Sitzung fortzusetzen, und führt eine Umleitung zum angefragten Web-Objekt durch. Die Umleitungsaktion wird mit den angegebenen Einstellungen ausgeführt. 230 McAfee Web Gateway 7.5.0 Produkthandbuch 7 Authentifizierung Einmalkennwörter OTP Needed? Wenn ein Benutzer eine Anfrage zum autorisierten Außerkraftsetzen sendet, erstellt dieser untergeordnete Regelsatz ein Einmalkennwort, sofern sich das angefragte Web-Objekt auf einem Host der unternehmenseigenen Domäne von McAfee befindet. Untergeordneter Bibliotheks-Regelsatz – OTP Needed? Criteria – URL.Host matches *mcafee.com* Cycles – Requests (and IM) Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn sich der Host der in einer Anfrage gesendeten URL auf der unternehmenseigenen Domäne von McAfee befindet. Der Regelsatz enthält die folgenden Regeln: Send OTP if requested Header.Exists(Request.OTP) equals true –> Continue – Authentication.SendOTP<OTP> Wenn bei der Verarbeitung einer Anfrage keine der vorhergehenden Regeln dieses Regelsatzes angewendet wurde, bedeutet dies, dass der Benutzer, der die Anfrage gesendet hat, kein gültiges Einmalkennwort übermitteln konnte, die Authentifizierung in der Benutzerdatenbank auf dem Authentifizierungs-Server jedoch erfolgreich war. Daraufhin wird diese Regel verarbeitet. Sie überprüft mittels der Eigenschaft Header.Exists, ob die Anfrage über einen Header verfügt, aus dem hervorgeht, dass das Versenden eines Einmalkennworts angefordert wird. Wenn dies der Fall ist, wird ein Ereignis ausgelöst, das ein entsprechendes Einmalkennwort an den Benutzer versendet. Return authentication data to client Header.Exists(Request.OTP) equals true –> Block<Authentication Server OTP> – Header.Block.Add("OTP Context", Authentication.OTP.Context<OTP>) Die Regel überprüft mittels der Eigenschaft Header.Exists, ob die Anfrage über einen Header verfügt, aus dem hervorgeht, dass das Versenden eines Einmalkennworts angefordert wird. Wenn bei der Verarbeitung einer Anfrage keine der vorhergehenden Regeln dieses Regelsatzes angewendet wurde, bedeutet dies, dass der Benutzer, der die Anfrage gesendet hat, kein gültiges Einmalkennwort übermitteln konnte, die Authentifizierung in der Benutzerdatenbank auf dem Authentifizierungs-Server jedoch erfolgreich war. Wenn dies der Fall ist, wird die Anfrage nicht weitergeleitet, und es wird ein Ereignis ausgelöst, mit dem eine bestimmte Eigenschaft einen Wert erhält, der Aufschluss über die Authentifizierung des Benutzers gibt. Die Blockierungsaktion wird mit den festgelegten Einstellungen durchgeführt, die besagen, dass der Benutzer mittels einer Meldung über den Grund der Blockierung informiert werden muss. Die vom Ereignis versendeten Informationen werden durch den Ereignisparameter OTP.Context festgelegt. Die Eigenschaft, deren Wert dann diese Informationen enthält, wird von einem zweiten Parameter angegeben. Block request and offer sending OTP Always –> Block<Authentication Server OTP> Falls bei der Verarbeitung einer Anfrage keine der vorhergehenden Regeln dieses Regelsatzes angewendet wurde, wird immer die Aktion dieser Regel ausgeführt. Mit ihr wird die Regelverarbeitung beendet, und die Anfrage wird nicht weitergeleitet. Die Einstellungen der Aktion geben das Senden einer Meldung vor, die den Benutzer darüber informiert, dass von Web Gateway ein Einmalkennwort angefordert werden kann. McAfee Web Gateway 7.5.0 Produkthandbuch 231 7 Authentifizierung Einmalkennwörter Authentication Server (Time/IP Based Session with OTP and Pledge) (Regelsatz) Der Regelsatz „Authentication Server (Time/IP Based Session with OTP and Pledge)“ ist ein Bibliotheks-Regelsatz zum Authentifizieren von Benutzern mit Einmalkennwörtern, die von einem McAfee Pledge-Gerät bereitgestellt werden. Bibliotheks-Regelsatz – Authentication Server (Time/IP Based Session with OTP and Pledge) Criteria – Always Cycle – Requests (and IM) Dieser Regelsatz enthält die folgenden untergeordneten Regelsätze: • Check for Valid Authentication Session • Authentication Server Check for Valid Authentication Session Diese untergeordnete Regel leitet die von einem Client gesendete Anfrage eines Benutzers an den Authentifizierungs-Server um, wenn sich der Benutzer noch nicht auf diesem Server authentifiziert hat. Untergeordneter Bibliotheks-Regelsatz – Check for Valid Authentication Session Criteria – Authentication.IsServerRequest equals false AND (Connection.Protocol equals "HTTP" OR Connection.Protocol equals "SSL" OR Connection.Protocol equals "HTTPS" OR Connection.Protocol equals "IFP") Cycle – Requests (and IM) Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn die derzeit verarbeitete Anfrage keine Verbindung mit dem Authentifizierungs-Server anfordert und es sich beim verwendeten Protokoll um eines der vier festgelegten Protokolle handelt. Der Regelsatz enthält die folgenden Regeln: Fix hostname Command.Name equals "CERTVERIFY" AND SSL.Server.Certificate.CN.HasWildcards equals false –> Continue – Set URL.Host = SSL.Server.Certificate.CN Die Regel setzt den Host-Namen, der mit der URL einer Anfrage übermittelt wird, anhand eines Ereignisses auf einen bestimmten Wert, der bei Kommunikation über das SSL-Protokoll benötigt wird. Dieser Wert ist der allgemeine Name (CN) des Zertifikats, das in dieser Kommunikation angegeben wird. Die Regel wird angewendet, wenn die verarbeitete Anfrage den CERTVERIFY-Befehl enthält und keine Platzhalter für den allgemeinen Namen (CN) zulässig sind. Redirect clients that do not have a valid session to the authentication server Authentication.Authenticate<IP Authentication Server> equals false AND Command.Name does not equal "CONNECT" –> Authenticate<Default> Die Regel überprüft mithilfe der Eigenschaft Authentication.Authenticate, ob der die Anfrage sendende Benutzer erfolgreich in der Benutzerdatenbank des Authentifizierungs-Servers authentifiziert wurde. Hierfür wird die IP-Adresse des Clients ausgewertet, von dem aus die Anfrage gesendet wurde. 232 McAfee Web Gateway 7.5.0 Produkthandbuch Authentifizierung Einmalkennwörter 7 Mit der Eigenschaft Command.Name wird überprüft, ob es sich bei der Anfrage um eine Verbindungsanfrage für SSL-verschlüsselte Kommunikation handelt. Wenn keine der beiden Möglichkeiten zutrifft, wird der Benutzer zur Angabe seiner Anmeldeinformationen aufgefordert, um sich zu authentifizieren. Diese Aktion wird mit den angegebenen Einstellungen ausgeführt. Revalidate session under ideal conditions Authentication.CacheRemainingTime less than 400 AND Connection.Protocol equals "HTTP" AND Command.Name equals "GET" –> Authenticate<Default> Unter bestimmten („idealen“) Bedingungen wird ein Benutzer erneut zum Authentifizieren aufgefordert, wenn er eine Anfrage zur Verlängerung der derzeitigen Web-Sitzung sendet, um zu gewährleisten, dass dies vor der vollständigen Ausschöpfung des Zeitkontingents erfolgt. Dies wird durchgeführt, wenn die Kommunikation über das HTTP-Protokoll läuft und die Anfrage den GET-Befehl enthält. Die Regel ist standardmäßig nicht aktiviert. Authentication Server Dieser untergeordnete Regelsatz leitet eine Anfrage für Web-Zugriff weiter, nachdem der Benutzer ein gültiges Einmalkennwort eingegeben hat, das von einem McAfee Pledge-Gerät abgerufen wurde. Wenn der Benutzer ein gültiges Einmalkennwort eingegeben hat, wird er aufgefordert, sich zu authentifizieren. Die Authentifizierung wird zunächst anhand der Informationen aus der Benutzerdatenbank des Authentifizierungs-Servers ausgeführt. Nach erfolgreicher Authentifizierung wird dieser Benutzer darauf hingewiesen, dass für den Web-Zugriff auch ein Einmalkennwort von einem McAfee Pledge-Gerät erforderlich ist. Untergeordneter Bibliotheks-Regelsatz – Authentication Server Criteria – Authentication.IsServerRequest equals true Cycle – Requests (and IM) Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn ein Benutzer, der eine Anfrage gesendet hat, mittels der Informationen eines Authentifizierungs-Servers authentifiziert werden muss. Der Regelsatz enthält die folgenden Regeln: Authenticate user against user database Authentication.Authenticate<User Database at Authentication Server> equals false –> Authenticate<Default> Die Regel überprüft mithilfe der Eigenschaft Authentication.Authenticate, ob ein Benutzer, der eine Anfrage gesendet und ein nicht gültiges Einmalkennwort übermittelt hat, erfolgreich in der Benutzerdatenbank des Authentifizierungs-Servers authentifiziert wurde. Wenn dies nicht der Fall ist, wird der Benutzer aufgefordert, sich zu authentifizieren. Show block template URL.GetParameter(pledgeOTP) equals " " –> Block<Authentication.Server OTP with PledgeOTP> McAfee Web Gateway 7.5.0 Produkthandbuch 233 7 Authentifizierung Einmalkennwörter Die Regel überprüft mithilfe der URL.GetParameter-Eigenschaft, ob ein Einmalkennwort von einem McAfee Pledge-Gerät als Parameter der URL in einer Anfrage gesendet wurde. Wenn der Parameter leer ist, wird die Anfrage blockiert, und der Benutzer wird benachrichtigt, dass auch bei einem McAfee Pledge-Gerät die Authentifizierung mit einem Einmalkennwort für den Web-Zugriff erforderlich ist. Retrieve OTP context Always –> Continue – Authentication.SendOTP<OTP> Die Regel sendet mit einem Ereignis Kontextinformationen im Einmalkennwort-Authentifizierungsprozess an einen authentifizierten Benutzer. Auf diese Weise werden die Informationen abgerufen, die zum Validieren eines Einmalkennworts auf einem McAfee OTP-Server erforderlich sind. Redirect back if we have a valid OTP Authentication.Authenticate<OTP> equals true –> Redirect<Redirect Back from Authentication Server> Die Regel überprüft mithilfe der Eigenschaft Authentication.Authenticate, ob ein Benutzer, der mit seiner Anfrage für den Web-Zugriff ein Einmalkennwort übermittelt hat, erfolgreich authentifiziert werden konnte. Wenn dies der Fall ist, wird der Web-Zugriff zugelassen, und der Benutzer wird vom Authentifizierungs-Server zum angeforderten Web-Objekt umgeleitet. Stop after providing an invalid OTP Authentication.Failed equals true –> Block<Authorized Only> Die Regel überprüft mithilfe der Eigenschaft Authentication.Failed, ob ein Benutzer, der mit seiner Anfrage für den Web-Zugriff ein Einmalkennwort übermittelt hat, nicht authentifiziert werden konnte. Wenn dies der Fall ist, wird die Anfrage blockiert, und der Benutzer wird in einer Meldung über die Blockierung und deren Grund informiert. Authorized Override with OTP and Pledge (Regelsatz) Der Bibliotheks-Regelsatz „Authorized Override with OTP and Pledge“ dient dem autorisierten Außerkraftsetzen mithilfe von Einmalkennwörtern, die von einem McAfee Pledge-Gerät bereitgestellt werden. Bibliotheks-Regelsatz – Authorized Override with OTP and Pledge Criteria – SSL.ClientContext.IsApplied equals true OR Command.Name does not equal "CONNECT" Cycles – Requests (and IM) Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn SSL-gesicherte Kommunikation konfiguriert ist oder die gerade verarbeitete Anfrage keine CONNECT-Anfrage darstellt, die normalerweise am Anfang dieser Kommunikation gesendet wird. Dieser Regelsatz enthält die folgenden untergeordneten Regelsätze: • Verify OTP • OTP Needed? Verify OTP Diese untergeordnete Regel überprüft, ob ein Benutzer, der mit einer Anfrage für autorisiertes Außerkraftsetzen ein Einmalkennwort sendet, erfolgreich authentifiziert wird; wenn dies der Fall ist, wird eine Umleitung an das angeforderte Web-Objekt durchgeführt. 234 McAfee Web Gateway 7.5.0 Produkthandbuch 7 Authentifizierung Einmalkennwörter Untergeordneter Bibliotheks-Regelsatz – Verify OTP Criteria – Quota.AuthorizedOverride.IsActivationRequest.Strict<Default> equals true Cycles – Requests (and IM) Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn ein Benutzer eine Anfrage sendet, um die Beendigung einer Web-Sitzung aufgrund eines ausgeschöpften Kontingents außer Kraft zu setzen und die Sitzung fortzusetzen. Der Regelsatz enthält die folgenden Regeln: Verify OTP Authentication.Authenticate<OTP> equals false –> Block<Authorized Only> Die Regel überprüft mithilfe der Eigenschaft Authentication.Authenticated, ob der Benutzer, der beim Senden einer Anfrage für autorisiertes Außerkraftsetzen ein Einmalkennwort übermittelt hat, erfolgreich authentifiziert wurde. Wenn dies nicht der Fall ist, wird die Anfrage blockiert und der Benutzer mittels einer Meldung über die Blockierung und den jeweiligen Grund dafür informiert. Die Blockierungsaktion wird mit den angegebenen Einstellungen ausgeführt. The session is validated. Redirect to the original page Always –> Redirect<Default> Wenn die Authentifizierung eines Benutzers, der mit einer Anfrage zum autorisierten Außerkraftsetzen ein Einmalkennwort übermittelt hat, nicht fehlgeschlagen ist, wird die vorhergehende Regel dieses Regelsatzes nicht angewendet, und die Verarbeitung wird mit dieser Regel fortgesetzt. Die Regel gestattet es dem Benutzer immer, die laufende Sitzung fortzusetzen, und führt eine Umleitung zum angefragten Web-Objekt durch. Die Umleitungsaktion wird mit den angegebenen Einstellungen ausgeführt. OTP Needed? Wenn ein Benutzer eine Anfrage zum autorisierten Außerkraftsetzen sendet, erstellt dieser untergeordnete Regelsatz ein Einmalkennwort, sofern sich das angefragte Web-Objekt auf einem Host der unternehmenseigenen Domäne von McAfee befindet. Untergeordneter Bibliotheks-Regelsatz – OTP Needed? Criteria – URL.Host matches *mcafee.com* AND Quota.AuthorizedOverride.SessionExceeded<Default> equals true Cycles – Requests (and IM) Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn sich der Host der in einer Anfrage gesendeten URL in der Unternehmensdomäne von McAfee befindet und das Zeitkontingent für eine Sitzung überschritten wurde, die nach einem autorisierten Außerkraftsetzen fortgesetzt werden kann. Der Regelsatz enthält die folgenden Regeln: Retrieve OTP context Always –> Continue – Authentication.SendOTP<OTP> Die Regel sendet mithilfe eines Ereignisses ein Einmalkennwort an einen authentifizierten Benutzer. Auf diese Weise werden die Kontextinformationen abgerufen, die zum Authentifizieren eines Benutzers über ein Einmalkennwort erforderlich sind, das auf einem McAfee OTP-Server validiert wird. McAfee Web Gateway 7.5.0 Produkthandbuch 235 7 Authentifizierung Authentifizierung der Client-Zertifikate Block request and offer sending OTP Always –> Block<OTP Required with Pledge> Die Regel blockiert eine Anfrage für Web-Zugriff. Die Einstellungen der Aktion geben an, dass eine Meldung gesendet wird. Diese informiert den Benutzer, dass der Web-Zugriff nach Übermittlung eines Einmalkennworts, das von einem McAfee Pledge-Gerät abgerufen wird, gestattet werden kann. Authentifizierung der Client-Zertifikate Das Senden eines Client-Zertifikats kann als Methode für den Zugriff auf die Benutzerschnittstelle der Appliance konfiguriert werden. Diese Methode wird als Client-Zertifikatauthentifizierung oder X. 509-Authentifizierung bezeichnet. Die Client-Zertifikatauthentifizierung ist eine der Methoden, die Sie beim Konfigurieren der Proxy-Funktionen der Appliance für die Authentifizierung auswählen können. Folgendes gilt, wenn die Methode in einer Proxy-Konfiguration verwendet wird. • Zur Authentifizierung eines Benutzers, der eine Anfrage sendet, ist kein Benutzername und kein Kennwort erforderlich, so wie bei anderen Methoden wie NTLM oder LDAP auch. • Die Methode kann für Anfragen implementiert werden, die per SSL-verschlüsselter Kommunikation von einem Web-Browser auf einem Client an eine Appliance gesendet werden, die im expliziten Proxy-Modus konfiguriert ist. • Für diese Kommunikation wird das HTTPS-Protokoll verwendet. Ein Client-Zertifikat wird gesendet, wenn der SSL-Handshake als einer der ersten Schritte in der Kommunikation zwischen der Appliance und einem Client ausgeführt wird. Die Anfrage wird dann an einen Authentifizierungs-Server zur Validierung des Zertifikats weitergeleitet. Wenn das Zertifikat gültig ist, wird die Authentifizierung erfolgreich für den Client abgeschlossen, und die Anfrage wird schließlich an den entsprechenden Web-Server weitergeleitet. Beim Ausführen mehrerer Appliances als Knoten in einer Konfiguration muss sich der Authentifizierungs-Server auf dem Knoten befinden, an den eine Anfrage ursprünglich geleitet wurde. Zudem muss die Weiterleitung an das Internet nach erfolgreicher Authentifizierung über denselben Knoten erfolgen. Die Verwendung eines Authentifizierungs-Servers zur Client-Zertifikatauthentifizierung wird durch Regeln gesteuert. Sie können einen Authentifizierungs-Server-Regelsatz importieren und die Regeln in den untergeordneten Regelsätzen modifizieren, um die Verwendung geeigneter Zertifikate zu aktivieren. Sie müssen auch ein Verfahren implementieren, das die Anwendung der Client-Zertifikatauthentifizierung ermöglicht. Es wird empfohlen, dafür die Cookie-Authentifizierung zu verwenden. Wenn diese Methode implementiert wurde, ist die Authentifizierung für einen Client erforderlich, von dem eine Anfrage gesendet wurde, es wird jedoch einmal ein Cookie für diesen Client gesetzt, nachdem ein Zertifikat gesendet und als gültig erkannt wurde. Für nachfolgende Anfragen von diesem Client müssen dann keine Zertifikate gesendet werden. Sie können einen Regelsatz importieren und modifizieren, damit die Client-Zertifikatauthentifizierung auf diese Weise verarbeitet wird. 236 McAfee Web Gateway 7.5.0 Produkthandbuch 7 Authentifizierung Authentifizierung der Client-Zertifikate Verwenden von Zertifikaten für die Client-ZertifikatAuthentifizierung Unter der Client-Zertifikat-Authentifizierungsmethode, die zur SSL-gesicherten Kommunikation implementiert werden kann, sind für die Durchführung der Authentifizierung verschiedene Zertifikatstypen erforderlich. Client-Zertifikate Ein Client-Zertifikat wird zur Identifizierung der Identität eines Clients benötigt, der eine Anfrage an die Appliance sendet. Nur wenn der Client vertrauenswürdig ist, wird eine von ihm gesendete Anfrage akzeptiert. Ein Client gilt als vertrauenswürdig, wenn das mit der Anfrage eingereichte Zertifikat durch eine vertrauenswürdige Stamm-Zertifizierungsstelle signiert wurde. Unter der Client-Zertifikat-Authentifizierungsmethode wird das Client-Zertifikat auch zur Authentifizierung verwendet. Die Authentifizierung ist erfolgreich abgeschlossen, wenn das mit der Anfrage eingereichte Zertifikat durch eine vertrauenswürdige Zertifizierungsstelle signiert wurde. Server-Zertifikat Ein Server-Zertifikat wird zur Identifizierung der Identität eines Servers benötigt, der an der SSL-gesicherten Kommunikation beteiligt ist. Ein Server gilt für einen Client als vertrauenswürdig, wenn das vom Server während der ersten Kommunikationsschritte gesendete Zertifikat durch eine Stamm-Zertifizierungsstelle signiert wurde, die ebenfalls für den Client als vertrauenswürdig gilt. Unter der Client-Zertifikat-Authentifizierungsmethode wird ein Server-Zertifikat für den Authentifizierungs-Server benötigt. Stamm-Zertifizierungsstelle Eine Stamm-Zertifizierungsstelle ist eine Instanz, die andere Zertifikate signiert. In einer SSL-gesicherten Kommunikation ist die Stamm-Zertifizierungsstelle selbst ein Zertifikat, das im Kommunikationsprozess angezeigt werden kann. Wenn eine Stamm-Zertifizierungsstelle für einen Client oder Server als vertrauenswürdig gilt, gelten die von ihr signierten Zertifikate ebenfalls als vertrauenswürdig. Wenn also ein Client oder Server solch ein signiertes Zertifikat einreicht, gilt dies als vertrauenswürdig. McAfee Web Gateway 7.5.0 Produkthandbuch 237 7 Authentifizierung Authentifizierung der Client-Zertifikate Regelsätze für die Client-Zertifikat-Authentifizierung Regelsätze für das Implementieren der Authentifizierungsmethode „Client Certificate“ sind in der Regelsatz-Bibliothek verfügbar. Regelsatz „Authentication Server (for X509 Authentication)“ Der Regelsatz „Authentication Server (for X509 Authentication)“ verwendet eine Reihe von untergeordneten Regelsätzen, um die Verwendung des Authentifizierungs-Servers mit der Authentifizierungsmethode „Client Certificate“ zu ermöglichen. • • SSL Endpoint Termination: Bereitet die Verarbeitung von Anfragen in der SSL-gesicherten Kommunikation vor • Accept Incoming HTTPS Connections: Stellt die Zertifikate bereit, die für den Authentifizierungs-Server gesendet werden können • Content Inspection: Aktiviert die Überprüfung des Inhalts, der mit einer Anfrage übertragen wird Authentication Server Requests: Leitet Anfragen zurück zum Proxy auf der Appliance um, wo sie nach erfolgreicher Authentifizierung auf dem Authentifizierungs-Server weiterverarbeitet werden Anfragen werden auch umgeleitet, wenn ein Cookie für einen Client gesetzt wurde, von dem eine Anfrage gesendet wurde. Wenn die Authentifizierung auf dem Authentifizierungs-Server nicht erfolgreich abgeschlossen wurde, wird der Benutzer aufgefordert, seine Anmeldeinformationen zum Authentifizieren für die Benutzerdatenbank anzugeben. • Block All Others: Blockiert Anfragen, für die die Authentifizierung nicht erfolgreich abgeschlossen wurde Regelsatz „Cookie Authentication (for X509 Authentication)“ Der Regelsatz „Cookie Authentication (for X509 Authentication)“ verwendet eine Reihe von untergeordneten Regelsätzen, um die Verwendung der Client-Zertifikat-Authentifizierungsmethode zu initiieren und um Cookies zu setzen. • Cookie Authentication at HTTP(S) Proxy: Enthält untergeordnete Regelsätze, die die Client-Zertifikat-Authentifizierung mit Cookies verarbeiten • Set Cookie for Authenticated Clients: Setzt nach dem erfolgreichen Abschluss der Authentifizierung für einen Client ein Cookie und leitet die vom Client gesendete Anfrage zurück an den Proxy auf der Appliance, wo sie weiter verarbeitet wird • Authenticate Clients with Authentication Server: Leitet von Clients gesendete Anfragen, für die kein Cookie gesetzt wurde, an den Authentifizierungs-Server um Umleiten von Anfragen an einen Authentifizierungs-Server Gemäß der Client-Zertifikat-Authentifizierungsmethode wird eine Anfrage an einen Authentifizierungs-Server umgeleitet, wo das mit der Anfrage gesendete Client-Zertifikat überprüft 238 McAfee Web Gateway 7.5.0 Produkthandbuch 7 Authentifizierung Authentifizierung der Client-Zertifikate wird. Die Umleitung kann mit einem speziellen Listener-Port auf der Appliance oder mit einem eindeutigen Host-Namen erfolgen. Verwenden eines speziellen Listener-Ports Anfragen können mit einem speziellen Listener-Port, z. B. Port 444, an einen Authentifizierungs-Server umgeleitet werden. Angenommen, die IP-Adresse einer Appliance ist 192.168.122.119. Eine Anfrage wird dann wie folgt an den Authentifizierungs-Server umgeleitet: https://192.168.122.119:444/ Dabei muss jedoch unbedingt berücksichtigt werden, ob für den Web-Browser auf dem Client, der die Anfrage sendet, Ausnahmen für die Verwendung eines Proxys konfiguriert wurden. • Keine Proxy-Ausnahmen konfiguriert: Wenn keine Proxy-Ausnahmen konfiguriert wurden, werden alle Anfragen an den Proxy-Port gesendet, der auf der Appliance Anfragen empfängt; standardmäßig ist dies Port 9090. Auch eine Anfrage für https://192.168.122.119:444/ geht an Port 9090 ein, sofern dieser als Proxy-Port konfiguriert ist. Wenn Ihre Netzwerkkonfiguration eine Firewall enthält, sind keine Ausnahmen von den Firewall-Regeln erforderlich, da keine Verbindung vom Client mit Port 444 vorhanden ist. Um die Umleitung von Anfragen an den Authentifizierungs-Server sicherzustellen, müssen Sie in den Kriterien des Regelsatzes „Authentication Server (for X509 Authentication)“ für die Eigenschaft URL.Port 444 oder einen anderen gewünschten Wert festlegen. Der Wert der Eigenschaft „URL.Port“ ist der Port, der in der URL enthalten ist, die in einer Anfrage angegeben wird. Dabei kann es sich beispielsweise um 444 handeln, auch wenn die Anfrage tatsächlich an Port 9090 empfangen wird. • Proxy-Ausnahmen konfiguriert: Proxy-Ausnahmen können aus verschiedenen Gründen konfiguriert werden. So kann z. B. ein Web-Browser so konfiguriert werden, dass für den Zugriff auf lokale Hosts keine Proxys verwendet werden. Eine Anfrage für https://192.168.122.119:444/ wird dann nicht an Port 9090 empfangen. Da der Browser für den direkten Zugriff auf sein Ziel konfiguriert ist, versucht er an Port 444 eine Verbindung mit der Appliance herzustellen. Das heißt, Sie müssen einen Listener-Port mit der Port-Nummer 444 einrichten. Bei festgelegten Firewall-Regeln ist zudem eine Ausnahme nötig, mit der zugelassen wird, dass Anfragen an Port 444 empfangen werden. Um sicherzustellen, dass Anfragen von den entsprechenden Regeln verarbeitet werden, müssen Sie in den Kriterien des Regelsatzes „Authentication Server (for X509 Authentication)“ für die Eigenschaft Proxy.Port 444 oder einen anderen gewünschten Wert festlegen. Der Wert der Eigenschaft „Proxy.Port“ ist der Port, an dem die Anfrage tatsächlich empfangen wird. Dies ist z. B. 444, wenn Sie einen Port mit dieser Nummer für den Empfang von Anfragen eingerichtet haben, die an einen Authentifizierungs-Server umgeleitet werden sollen. Verwenden eines eindeutigen Host-Namens Anfragen können mit einem eindeutigen Host-Namen an einen Authentifizierungs-Server umgeleitet werden, z. B. mit „authserver.local.mcafee“. Mit diesem Namen werden Anfragen wie folgt an den Authentifizierungs-Server umgeleitet: https://authserver.mcafee.local McAfee Web Gateway 7.5.0 Produkthandbuch 239 7 Authentifizierung Authentifizierung der Client-Zertifikate Der Client, von dem die Anfrage gesendet wurde, darf den Host-Namen nicht mithilfe von DNS suchen, da die URL mit hoher Wahrscheinlichkeit nicht aufgelöst wird und der Client keine Verbindung herstellen kann. Um sicherzustellen, dass Anfragen von den entsprechenden Regeln verarbeitet werden, muss dieser Host-Name in den Kriterien des Regelsatzes „Authentication Server (for X509 Authentication)“ als Wert für die Eigenschaft URL.Host festgelegt werden. Implementieren der Authentifizierung von Client-Zertifikaten Bei der Authentifizierung von Client-Zertifikaten werden Client-Zertifikate verwendet, die mit Authentifizierungsanfragen gesendet werden. Führen Sie die folgenden allgemeinen Schritte aus, um diese Methode auf einer Appliance zu implementieren. Vorgehensweise 1 Importieren Sie den Regelsatz „Authentication Server (for X509 Authentication)“. 2 Ändern Sie die untergeordneten Regelsätze, um die Verwendung der entsprechenden Zertifikate zu konfigurieren. 3 Konfigurieren Sie einen Listener-Port für Anfragen, die von Web-Browsern gesendet wurden, die nicht den Proxy-Port der Appliance verwenden. 4 Konfigurieren Sie eine Möglichkeit, die Authentifizierung von Client-Zertifikaten anzuwenden. Sie können den Regelsatz „Cookie Authentication (for X509 Authentication)“ importieren und so ändern, dass ein Cookie für die Authentifizierung verwendet wird, nachdem die Authentifizierung von Client-Zertifikaten angewendet und erfolgreich abgeschlossen wurde. 5 Vergewissern Sie sich, dass in einem Web-Browser ein geeignetes Client-Zertifikat zum Senden von Anfragen an die Appliance verfügbar ist. Importieren des Regelsatzes „Authentication Server (for X509 Authentication)“ Zum Implementieren der Client-Zertifikat-Authentifizierungsmethode auf der Appliance muss ein Regelsatz vorhanden sein, der eine derartige Authentifizierung verarbeitet. Sie können zu diesem Zweck den Regelsatz „Authentication Server (for X509 Authentication)“ importieren. Es wird empfohlen, den Regelsatz in der Regelsatz-Baumstruktur an oberster Stelle einzufügen. Vorgehensweise 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus. 2 Navigieren Sie in der Regelsatz-Baumstruktur zu der Position, an welcher der Regelsatz eingefügt werden soll, und klicken Sie auf Add (Hinzufügen). 3 Klicken Sie auf Top Level Rule Set (Regelsatz der obersten Ebene) und anschließend auf Import Rule Set from Library (Regelsatz aus Bibliothek importieren). Daraufhin öffnet sich das Fenster Add from Rule Set Library (Aus Regelsatz-Bibliothek hinzufügen). 240 McAfee Web Gateway 7.5.0 Produkthandbuch 7 Authentifizierung Authentifizierung der Client-Zertifikate 4 Wählen Sie den Regelsatz Authentication Server (for X509 Authentication) aus, und klicken Sie auf OK. Sollten durch den Import Konflikte verursacht werden, werden diese neben der Liste der Regelsätze angezeigt. Befolgen Sie eine der empfohlenen Vorgehensweisen, ehe Sie auf „OK“ klicken. Der Regelsatz wird zusammen mit seinen untergeordneten Regelsätzen in der Regelsatz-Baumstruktur eingefügt. 5 Überprüfen Sie die Regelsatzkriterien, und ändern Sie sie gegebenenfalls. Nach abgeschlossenem Import lauten die Kriterien wie folgt: URL.Port equals 444 or Proxy.Port equals 444. Dadurch wird sichergestellt, dass der Regelsatz auf alle Anfragen angewendet wird, die an dem betreffenden Port empfangen werden. Wenn Sie einen anderen Port verwenden möchten, geben Sie hier die entsprechende Port-Nummer ein. Bearbeiten eines Regelsatzes zur Konfiguration der Verwendung von Server-Zertifikaten Der Authentifizierungs-Server-Regelsatz (für X509-Authentifizierung) muss bearbeitet werden, damit die Übermittlung der passenden Server-Zertifikate für den Authentifizierungs-Server sichergestellt ist. Die Bearbeitung erfolgt in einem untergeordneten Regelsatz. Da der Authentifizierungs-Server unter verschiedenen Host-Namen und IP-Adressen erreicht werden kann, können Sie die Appliance jedes Mal ein anderes Server-Zertifikat übermitteln lassen, sodass der Host-Name oder die IP-Adresse dem allgemeinen Namen im Zertifikat entspricht. Hierfür müssen Sie für jeden Host-Namen bzw. jede IP-Adresse ein Server-Zertifikat importieren und der Liste der Server-Zertifikate hinzufügen. Vorgehensweise 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus, und erweitern Sie den Regelsatz Authentication Server (for X509 Authentication). 2 Erweitern Sie den untergeordneten Regelsatz SSL Endpoint Termination, und wählen Sie im Regelsatz den untergeordneten Regelsatz Accept Incoming HTTPS Connections aus. 3 Klicken Sie in der Regel Set client context auf die Ereigniseinstellungen Proxy Certificate (Proxy-Zertifikat). Daraufhin öffnet sich das Fenster Edit Settings (Einstellungen bearbeiten). 4 Überprüfen Sie im Abschnitt Define SSL Context (SSL-Kontext definieren) die Liste der Server-Zertifikate. 5 So fügen Sie der Liste ein Server-Zertifikat hinzu: a Klicken Sie über der Liste auf das Symbol Add (Hinzufügen). Daraufhin öffnet sich das Fenster Add Host to Certificate Mapping (Host zu Zertifikatszuordnung hinzufügen). b Geben Sie im Feld Host den Host-Namen oder die IP-Adresse an, für den bzw. die das Zertifikat übermittelt werden soll. c Klicken Sie auf Import (Importieren). Daraufhin öffnet sich das Fenster Import Server Certificate (Server-Zertifikat importieren). d Klicken Sie auf Browse (Durchsuchen), und navigieren Sie zum Zertifikat, das Sie importieren möchten. McAfee Web Gateway 7.5.0 Produkthandbuch 241 7 Authentifizierung Authentifizierung der Client-Zertifikate e Wiederholen Sie diese Aktivität, um einen Schlüssel und eine Zertifikatskette mit dem Zertifikat zu importieren. f Klicken Sie auf OK. Das Fenster wird nun geschlossen, und der Import wird durchgeführt. Das Zertifikat wird im Fenster Add Host to Certificate Mapping (Host zu Zertifikatszuordnung hinzufügen) angezeigt. 6 [Optional] Geben Sie im Feld Comment (Kommentar) einen Kommentar (Nur-Text-Format) zum Server-Zertifikat ein. 7 Klicken Sie auf OK. Das Fenster wird nun geschlossen, und das Server-Zertifikat wird in der Liste angezeigt. 8 Achten Sie darauf, dass das Kontrollkästchen SSL-Scanner functionality applies only to client connection (SSL-Scanner-Funktion gilt nur für Client-Verbindung) aktiviert ist. Auf diese Weise kann die Appliance Anfragen ihrer Clients annehmen, ohne andere Server des Netzwerks zu kontaktieren, was bei dieser Kommunikation nicht erforderlich ist. 9 Klicken Sie auf OK, um das Fenster Edit Settings (Einstellungen bearbeiten) zu schließen. 10 Klicken Sie auf Save Changes (Änderungen speichern). Bearbeiten eines Regelsatzes zur Konfiguration der Verwendung von Zertifizierungsstellen Der Authentifizierungs-Server-Regelsatz (für X509-Authentifizierung) muss bearbeitet werden, um geeignete Root-Zertifizierungsstellen zu konfigurieren. Die Bearbeitung erfolgt in einem untergeordneten Regelsatz. Ein Client-Zertifikat wird als vertrauenswürdig eingestuft, wenn es von einer Zertifizierungsstelle in der Liste signiert wurde, die auf der Appliance verwaltet wird. Sie müssen alle Zertifizierungsstellen in die Liste importieren, die Instanzen für als vertrauenswürdig eingestufte Client-Zertifikate signieren sollen. Vorgehensweise 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus, und erweitern Sie den Regelsatz Authentication Server (for X509 Authentication). 2 Erweitern Sie den untergeordneten Regelsatz SSL Authentication Server Request. 3 Klicken Sie in der Regel Ask user for client certificate auf die Moduleinstellungen X509 Auth (X509-Authentifizierung). Daraufhin öffnet sich das Fenster Edit Settings (Einstellungen bearbeiten). 4 Überprüfen Sie im Abschnitt Client Certificate Specific Parameters (Client-Zertifikat-spezifische Parameter) die Liste der Zertifizierungsstellen. 5 So fügen Sie der Liste eine Zertifizierungsstelle hinzu: a Klicken Sie über der Liste auf das Symbol Add (Hinzufügen). Daraufhin öffnet sich das Fenster Add Certificate Authority (Zertifizierungsstelle hinzufügen). b 242 Geben Sie im Feld Host den Host-Namen oder die IP-Adresse an, für den bzw. die das Zertifikat übermittelt werden soll. McAfee Web Gateway 7.5.0 Produkthandbuch Authentifizierung Authentifizierung der Client-Zertifikate c 7 Klicken Sie auf Import (Importieren). Daraufhin öffnet sich ein Fenster, das Zugriff auf Ihr lokales Dateisystem bietet. d Navigieren Sie zur Zertifizierungsstellendatei, die Sie importieren möchten. e Klicken Sie auf OK. Das Fenster wird nun geschlossen, und der Import wird durchgeführt. Das Zertifikat wird im Fenster Add Certificate Authority (Zertifizierungsstelle hinzufügen) angezeigt. 6 Achten Sie darauf, dass das Kontrollkästchen Trusted (Vertrauenswürdig) aktiviert ist. 7 [Optional] Geben Sie im Feld Comment (Kommentar) einen Kommentar (Nur-Text-Format) zur Zertifizierungsstelle ein. 8 Klicken Sie auf OK. Das Fenster wird nun geschlossen, und die Zertifizierungsstelle wird in der Liste angezeigt. 9 Klicken Sie auf OK, um das Fenster Edit Settings (Einstellungen bearbeiten) zu schließen. 10 Klicken Sie auf Save Changes (Änderungen speichern). Konfigurieren eines Listener-Ports für eingehende Anfragen auf der Appliance An die Appliance gesendete Anfragen können am Proxy-Port oder an einem speziellen Listener-Port empfangen werden. Als Proxy-Port wird standardmäßig Port 9090 verwendet. Sie müssen einen Listener-Port konfigurieren, wenn Proxy-Ausnahmen erstellt wurden, die verhindern, dass Anfragen am Proxy-Port eingehen. Vorgehensweise 1 Wählen Sie Configuration | Appliances (Konfiguration | Appliances) aus. 2 Wählen Sie in der Appliances-Baumstruktur die Appliance aus, auf der Sie einen Listener-Port konfigurieren möchten, und klicken Sie dann auf Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys, HTTP(S), FTP, ICAP, und IM). Die Proxy-Einstellungen werden im Einstellungsbereich angezeigt. 3 Scrollen Sie nach unten zum Bereich HTTP Proxy (HTTP-Proxy). 4 Achten Sie darauf, dass Enable HTTP proxy (HTTP-Proxy aktivieren) ausgewählt ist. 5 Klicken Sie auf der Symbolleiste der HTTP port definition list (HTTP-Port-Definitionsliste) auf das Symbol Hinzufügen. Daraufhin öffnet sich das Fenster Add HTTP Proxy Port (HTTP-Proxy-Port hinzufügen). 6 Konfigurieren Sie wie folgt einen Listener-Port: a Geben Sie im Feld Listener address (Listener-Adresse) 0.0.0.0:444 ein. Wenn Sie zum Empfangen eingehender Anfragen einen anderen Port verwenden möchten, geben Sie diesen hier ein. 7 b Geben Sie im Feld Ports treated as SSL (Als SSL behandelte Ports) * ein. c Alle anderen Kontrollkästchen müssen aktiviert sein. Klicken Sie auf OK, um das Fenster Edit Settings (Einstellungen bearbeiten) zu schließen. McAfee Web Gateway 7.5.0 Produkthandbuch 243 7 Authentifizierung Authentifizierung der Client-Zertifikate 8 Klicken Sie auf Save Changes (Änderungen speichern). 9 Starten Sie die Appliance neu, damit die Konfiguration des Listener-Ports wirksam wird. Importieren des Regelsatzes „Cookie Authentication (for X509 Authentication)“ Wenn auf der Appliance die Client-Zertifikat-Authentifizierungsmethode verwendet werden soll, kann deren Verwendung mit dem Regelsatz „Cookie Authentication (for X509 Authentication)“ initiiert werden. Es wird empfohlen, diesen Regelsatz hinter den Regelsätzen für Funktionen einzufügen, die keine Authentifizierung erfordern, jedoch vor den Regelsätzen, die die Filterfunktionen verarbeiten. Auf diese Weise wird sichergestellt, dass bei der Blockierung einer Anfrage wegen eines Authentifizierungsfehlers die Filterfunktionen nicht ausgeführt werden, wodurch Ressourcen gespart werden und die Leistung verbessert wird. Wenn Ihr Regelsatzsystem dem Standardsystem ähnelt, können Sie den Regelsatz hinter den Regelsätzen „SSL Scanner“ und „Global Whitelist“ einfügen, jedoch vor den Regelsätzen „Content Filtering“ und „Gateway Antimalware“. Vorgehensweise 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus. 2 Navigieren Sie in der Regelsatz-Baumstruktur zu der Position, an welcher der Regelsatz eingefügt werden soll, und klicken Sie auf Add (Hinzufügen). 3 Klicken Sie auf Top Level Rule Set (Regelsatz der obersten Ebene) und anschließend auf Import Rule Set from Library (Regelsatz aus Bibliothek importieren). Daraufhin öffnet sich das Fenster Add from Rule Set Library (Aus Regelsatz-Bibliothek hinzufügen). 4 Wählen Sie den Regelsatz Cookie Authentication (for X509 Authentication) aus, und klicken Sie auf OK. Sollten durch den Import Konflikte verursacht werden, werden diese neben der Liste der Regelsätze angezeigt. Befolgen Sie eine der empfohlenen Vorgehensweisen, ehe Sie auf „OK“ klicken. Der Regelsatz wird zusammen mit seinen untergeordneten Regelsätzen in der Regelsatz-Baumstruktur eingefügt. Bearbeiten eines Regelsatzes zum Ändern des Listener-Ports für eingehende Anfragen Sie können den Cookie-Authentifizierungsregelsatz (für X509-Authentifizierung) bearbeiten, um einen Listener-Port für eingehende Anfragen zu konfigurieren, den Sie anstelle von Port 444 (Standard-Port) verwenden möchten. Die Bearbeitung erfolgt in einem untergeordneten Regelsatz. Ein spezieller Listener-Port muss zum Empfangen eingehender Anfragen verwendet werden, wenn Proxy-Ausnahmen vorhanden sind, die verhindern, dass Anfragen am Proxy-Port der Appliance eingehen. Anfragen, die an Port 444 oder einem anderen Port, den Sie zu diesem Zweck konfiguriert haben, eingehen, werden an den Authentifizierungs-Server weitergeleitet. Vorgehensweise 244 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus, und erweitern Sie den Regelsatz Cookie Authentication (for X509 Authentication). 2 Erweitern Sie den untergeordneten Regelsatz Cookie Authentication at HTTP(S) Proxy, und wählen Sie im Regelsatz den untergeordneten Regelsatz Authenticate Clients with Authentication Server aus. McAfee Web Gateway 7.5.0 Produkthandbuch 7 Authentifizierung Authentifizierung der Client-Zertifikate 3 Klicken Sie in der Regel Set client context auf die Ereigniseinstellungen Proxy Certificate (Proxy-Zertifikat). Daraufhin öffnet sich das Fenster Edit Settings (Einstellungen bearbeiten). 4 Überprüfen Sie im Abschnitt Authentication Server Specific Parameters (Authentifizierungs-Server-spezifische Parameter) die URL im Feld Authentication server URL (URL des Authentifizierungs-Servers). Standardmäßig lautet die URL wie folgt: https://$<propertyInstance useMostRecentConfiguration="false" propertyId= "com.scur.engine.system.proxy.ip"/>$:444 Bei der Verarbeitung der Regel wird der Ausdruck $...$ durch die IP-Adresse der Appliance ersetzt. 5 Geben Sie zum Konfigurieren eines anderen Listener-Ports die Nummer dieses Ports hier ein. 6 Klicken Sie auf OK, um das Fenster Edit Settings (Einstellungen bearbeiten) zu schließen. 7 Klicken Sie auf Save Changes (Änderungen speichern). Importieren eines Client-Zertifikats in einen Browser Ein geeignetes Client-Zertifikat muss in einem Web-Browser verfügbar sein, um es im Rahmen der SSL-gesicherten Kommunikation zusammen mit einer Anfrage an eine Appliance zu senden. Die Vorgehensweisen beim Importieren von Zertifikaten hängen vom Browser ab und können Änderungen unterliegen. Je nach Betriebssystem können auch die Menüs der verschiedenen Browser voneinander abweichen. Im Folgenden werden zwei mögliche Vorgehensweisen beim Importieren eines Client-Zertifikats in Microsoft Internet Explorer und Mozilla Firefox erläutert. Aufgaben • Importieren eines Client-Zertifikats in Microsoft Internet Explorer auf Seite 245 Sie können ein Client-Zertifikat in Microsoft Internet Explorer importieren und dort verfügbar machen, sodass es in der SSL-gesicherten Kommunikation gesendet werden kann. • Importieren eines Client-Zertifikats in Mozilla Firefox auf Seite 246 Sie können ein Client-Zertifikat in Mozilla Firefox importieren und dort verfügbar machen, sodass es in der SSL-gesicherten Kommunikation gesendet werden kann. Importieren eines Client-Zertifikats in Microsoft Internet Explorer Sie können ein Client-Zertifikat in Microsoft Internet Explorer importieren und dort verfügbar machen, sodass es in der SSL-gesicherten Kommunikation gesendet werden kann. Bevor Sie beginnen Die Zertifikatdatei muss im lokalen Dateisystem gespeichert sein, damit sie importiert werden kann. Vorgehensweise 1 Öffnen Sie den Browser, und klicken Sie auf der Menüleiste auf Extras und dann auf Internetoptionen. Daraufhin öffnet sich das Fenster Internetoptionen. 2 Klicken Sie auf die Registerkarte Inhalte. McAfee Web Gateway 7.5.0 Produkthandbuch 245 7 Authentifizierung Authentifizierung der Client-Zertifikate 3 Klicken Sie im Abschnitt Zertifikate auf Zertifikate. Daraufhin öffnet sich das Fenster Zertifikate. 4 Klicken Sie auf Importieren. Daraufhin öffnet sich der Zertifikatimport-Assistent. 5 Führen Sie auf den Seiten des Assistenten Folgendes aus: a Klicken Sie im Bildschirm Willkommen auf Weiter. b Klicken Sie auf der Seite Zu importierende Datei auf Durchsuchen, und navigieren Sie zum Speicherort der Zertifikatdatei. c Geben Sie im Feld Dateiname den Text *.pfx ein, und drücken Sie anschließend die EINGABETASTE. d Wählen Sie die Zertifikatdatei aus, und klicken Sie auf Öffnen. Klicken Sie anschließend auf Weiter. e Geben Sie auf der Seite Kennwort im Feld Kennwort ein Kennwort ein. Klicken Sie anschließend auf Weiter. f Klicken Sie auf der Seite Zertifikatspeicher auf Alle Zertifikate in folgendem Speicher speichern. g Wählen Sie im Abschnitt Zertifikatspeicher auf derselben Seite Persönlich aus, und klicken Sie auf Weiter. h Klicken Sie auf der Seite Fertigstellen des Zertifikatimport-Assistenten auf Fertig stellen. 6 Bestätigen Sie die angezeigte Meldung, indem Sie auf OK klicken. 7 Klicken Sie auf Schließen und dann auf OK, um die Fenster Zertifikate und Internetoptionen zu schließen. Importieren eines Client-Zertifikats in Mozilla Firefox Sie können ein Client-Zertifikat in Mozilla Firefox importieren und dort verfügbar machen, sodass es in der SSL-gesicherten Kommunikation gesendet werden kann. Bevor Sie beginnen Die Zertifikatdatei muss im lokalen Dateisystem gespeichert sein, damit sie importiert werden kann. Vorgehensweise 1 Öffnen Sie den Browser, und klicken Sie auf der Menüleiste auf Einstellungen und dann auf Optionen. Daraufhin öffnet sich das Fenster Einstellungen. 2 Klicken Sie auf Erweitert und anschließend auf Verschlüsselung. 3 Klicken Sie auf der Registerkarte Verschlüsselung im Abschnitt Zertifikate auf Zertifikate anzeigen. Daraufhin öffnet sich das Fenster Zertifikat-Manager. 4 Klicken Sie auf Importieren. Daraufhin öffnet sich der lokale Datei-Manager. 246 5 Navigieren Sie zur gespeicherten Zertifikatdatei, und klicken Sie auf Öffnen. 6 Geben Sie bei einer entsprechenden Aufforderung ein Kennwort an, und klicken Sie dann auf OK. McAfee Web Gateway 7.5.0 Produkthandbuch 7 Authentifizierung Administratorkonten Administratorkonten Administratorkonten können sowohl auf der Appliance als auch auf einem externen Server eingerichtet und verwaltet werden. Mithilfe der Erstellung entsprechender Rollen können für Administratoren unterschiedliche Zugriffsberechtigungen festgelegt werden. Hinzufügen eines Administratorkontos Sie können dem Konto, das vom Appliance-System bei der Erstkonfiguration eingerichtet wurde, Administratorkonten hinzufügen. Vorgehensweise 1 Wählen Sie Accounts | Administrator Accounts (Konten | Administratorkonten) aus. 2 Klicken Sie unter Internal Administrator Accounts (Interne Administratorkonten) auf Add (Hinzufügen). Daraufhin öffnet sich das Fenster Add Administrator (Administrator hinzufügen). 3 Fügen Sie hier den Benutzernamen und ein Kennwort hinzu, und nehmen Sie weitere erforderliche Einstellungen für das Konto vor. Klicken Sie anschließend auf OK. Das Fenster wird geschlossen, und das neue Konto wird nun in der Kontoliste angezeigt. 4 Klicken Sie auf Save Changes (Änderungen speichern). Siehe auch Einstellungen für Administratorkonten auf Seite 248 Bearbeiten eines Administratorkontos Sie können alle Administratorkonten bearbeiten, einschließlich des Kontos, das vom Appliance-System bei der Ersteinrichtung angelegt wurde. Vorgehensweise 1 Wählen Sie Accounts | Administrator Accounts (Konten | Administratorkonten) aus. 2 Wählen Sie unter Internal Administrator Accounts (Interne Administratorkonten) das entsprechende Konto aus, und klicken Sie dann auf Edit (Bearbeiten). Sie können auch vor dem Auswählen eines Kontos im Feld Filter (Filtern) einen Filterbegriff eingeben, damit nur Konten mit übereinstimmendem Namen angezeigt werden. Daraufhin öffnet sich das Fenster Edit Administrator (Administratorkonto bearbeiten). 3 Bearbeiten Sie die Einstellungen des Kontos nach Bedarf. Klicken Sie anschließend auf OK. Das Fenster wird geschlossen, und das Konto wird nun mit den vorgenommenen Änderungen auf der Kontoliste angezeigt. 4 Klicken Sie auf Save Changes (Änderungen speichern). Siehe auch Einstellungen für Administratorkonten auf Seite 248 McAfee Web Gateway 7.5.0 Produkthandbuch 247 7 Authentifizierung Administratorkonten Löschen eines Administratorkontos Sie können beliebig viele Administratorkonten löschen, sofern danach noch mindestens ein weiteres Administratorkonto vorhanden ist. Vorgehensweise 1 Wählen Sie Accounts | Administrator Accounts (Konten | Administratorkonten) aus. 2 Wählen Sie unter Internal Administrator Accounts (Interne Administratorkonten) das entsprechende Konto aus, und klicken Sie auf Delete (Löschen). Sie können auch vor dem Auswählen eines Kontos im Feld Filter (Filtern) einen Filterbegriff eingeben, damit nur Konten mit übereinstimmendem Namen angezeigt werden. Hierbei wird ein Fenster angezeigt, in dem Sie den Löschvorgang bestätigen müssen. 3 Klicken Sie auf Save Changes (Änderungen speichern). Einstellungen für Administratorkonten Mithilfe der Administratorkontoeinstellungen können die Anmeldeinformationen und Rollen der Administratoren konfiguriert werden. Einstellungen für Administratorkonten Dies sind Einstellungen für Administratorkonten. Tabelle 7-19 Einstellungen für Administratorkonten Option Definition User name (Benutzername) Gibt den Benutzernamen eines Administrators an. Password (Kennwort) Legt ein Administratorkennwort fest. Password repeated (Kennwort wiederholen) Fordert zur erneuten Eingabe und Bestätigung des Kennworts auf. Role (Rolle) Sie müssen erst im Fenster Edit Administrator (Administrator bearbeiten) die Option Set a new password (Neues Kennwort festlegen) auswählen, damit diese beiden Kennwortfelder aktiviert werden. Zeigt eine Auswahlliste der verfügbaren Administratorrollen an. Mithilfe der Optionen Add (Hinzufügen) und Edit (Bearbeiten) können Sie Rollen hinzufügen und auch bearbeiten. Die hinzugefügten und bearbeiteten Rollen werden anschließend ebenfalls in der Liste der Administratorrollen angezeigt. Name Gibt den tatsächlichen Namen der Person an, für die das entsprechende Konto eingerichtet ist. Die Angabe des Namens ist jedoch optional. Test with current settings (Test mit aktuellen Einstellungen) Einstellungen für die Überprüfung, ob ein Administrator sich mit seinen Anmeldeinformationen tatsächlich bei der Appliance anmelden könnte. 248 McAfee Web Gateway 7.5.0 Produkthandbuch 7 Authentifizierung Administratorkonten Tabelle 7-20 Test with current settings (Test mit aktuellen Einstellungen) Option Definition User (Benutzer) Gibt den zu überprüfenden Benutzernamen an. Password (Kennwort) Gibt das zu überprüfende Kennwort an. Test (Testen) Mit dieser Option wird die Prüfung durchgeführt. Anschließend wird das Fenster Authentication Test Results (Ergebnis des Authentifizierungstests) mit dem Ergebnis des Tests angezeigt. Verwalten der Administratorrollen Sie können Rollen erstellen und mit diesen Administratorkonten konfigurieren. Eine Administratorrolle wird bereits bei der Erstkonfiguration vom Appliance-System erstellt. Vorgehensweise 1 Wählen Sie Accounts | Administrator Accounts (Konten | Administratorkonten) aus. 2 So fügen Sie eine Administratorrolle hinzu: a Klicken Sie unter Roles (Rollen) auf Add (Hinzufügen). Daraufhin öffnet sich das Fenster Add Role (Rolle hinzufügen). b Geben Sie im Feld Name einen Rollennamen ein. c Konfigurieren Sie Zugriffsrechte für das Dashboard, Regeln, Listen und andere Elemente. d Klicken Sie auf OK. Daraufhin wird das Fenster geschlossen, und die neue Rolle wird in der Liste der Administratorrollen angezeigt. 3 Sie können auch die Optionen Edit (Bearbeiten) und Delete (Löschen) verwenden, um Rollen zu bearbeiten bzw. zu löschen. 4 Klicken Sie auf Save Changes (Änderungen speichern). Die neu hinzugefügte bzw. bearbeitete Regel ist jetzt verfügbar und kann einem Administratorkonto hinzugefügt werden. Siehe auch Einstellungen für Administratorrollen auf Seite 249 Einstellungen für Administratorrollen Mithilfe der Einstellungen für Administratorrollen können Rollen konfiguriert und anschließend bestimmten Administratoren zugeordnet werden. Einstellungen für Administratorrollen Einstellungen zum Konfigurieren von Administratorrollen Tabelle 7-21 Einstellungen für Administratorrollen Option Definition User name (Benutzername) Gibt den Benutzernamen eines Administrators an. Password (Kennwort) Legt ein Administratorkennwort fest. McAfee Web Gateway 7.5.0 Produkthandbuch 249 7 Authentifizierung Administratorkonten Tabelle 7-21 Einstellungen für Administratorrollen (Fortsetzung) Option Definition Password repeated (Kennwort wiederholen) Fordert zur erneuten Eingabe und Bestätigung des Kennworts auf. Role (Rolle) Sie müssen erst im Fenster Edit Administrator (Administrator bearbeiten) die Option Set a new password (Neues Kennwort festlegen) auswählen, damit diese beiden Kennwortfelder aktiviert werden. Zeigt eine Auswahlliste der verfügbaren Administratorrollen an. Mithilfe der Optionen Add (Hinzufügen) und Edit (Bearbeiten) können Sie Rollen hinzufügen und auch bearbeiten. Die hinzugefügten und bearbeiteten Rollen werden anschließend ebenfalls in der Liste der Administratorrollen angezeigt. Name Gibt den tatsächlichen Namen der Person an, für die das entsprechende Konto eingerichtet ist. Die Angabe des Namens ist jedoch optional. Konfigurieren der externen Kontoverwaltung Sie können Administratorkonten auf externen Authentifizierungs-Servern verwalten lassen und extern gespeicherte Benutzergruppen und einzelne Benutzer Rollen auf der Appliance zuordnen. Vorgehensweise 1 Wählen Sie Accounts | Administrator Accounts (Konten | Administratorkonten) aus. 2 Klicken Sie auf Administrator accounts are managed in an external directory server (Administratorkonten werden auf einem externen Verzeichnis-Server verwaltet). Nun werden zusätzliche Einstellungen angezeigt. 3 Konfigurieren Sie unter Authentication Server Details (Details des Authentifizierungs-Servers) Einstellungen für den externen Server. Diese Einstellungen bestimmen, auf welche Weise das Modul „Authentication“ auf der Appliance Informationen von diesem Server abruft. 4 Verwenden Sie die Einstellungen unter Authentication group = role mapping (Authentifizierungsgruppe = Rollenzuordnung), um auf dem externen Server gespeicherte Benutzergruppen und einzelne Benutzer Rollen auf der Appliance zuzuordnen: a Klicken Sie auf Add (Hinzufügen). Daraufhin öffnet sich das Fenster Add Group/User Role Name Mapping (Gruppen/ Benutzerrollen-Namenszuordnung hinzufügen). 250 b Aktivieren Sie die Kontrollkästchen neben dem Feld für gewünschte Gruppen- oder Benutzerübereinstimmungen, und geben Sie im jeweiligen Feld den Namen einer Gruppe oder eines Benutzers ein. c Klicken Sie auf OK. d Wählen Sie unter Role to map to (Zuzuordnende Rolle) eine Rolle aus. McAfee Web Gateway 7.5.0 Produkthandbuch 7 Authentifizierung Administratorkonten e Klicken Sie auf OK. Das Fenster wird nun geschlossen, und die neue Zuordnung wird in der Zuordnungsliste angezeigt. f Klicken Sie auf Save Changes (Änderungen speichern). Sie können auch die Optionen Edit (Bearbeiten) und Delete (Löschen) nutzen, um Zuordnungen zu bearbeiten bzw. zu löschen. McAfee Web Gateway 7.5.0 Produkthandbuch 251 7 Authentifizierung Administratorkonten 252 McAfee Web Gateway 7.5.0 Produkthandbuch 8 Kontingentverwaltung Mit der Kontingentverwaltung können Sie Einfluss auf die Internet-Nutzung der Benutzer Ihres Netzwerks nehmen. So können Sie dafür sorgen, dass die Ressourcen und die Leistung Ihres Netzwerks nicht übermäßig beeinträchtigt werden. Kontingente und andere Beschränkungen können auf verschiedene Art und Weise durchgesetzt werden: • Zeitkontingente: Beschränken die Zeit, die Benutzern für die Internet-Nutzung zur Verfügung steht • Volumenkontingente: Beschränken das Volumen, das Benutzern für die Internet-Nutzung zur Verfügung steht • Coaching: Beschränkt die Zeit, die Benutzern für die Internet-Nutzung zur Verfügung steht, lässt jedoch bei Bedarf eine Überschreitung der konfigurierten Zeit zu • Autorisiertes Außerkraftsetzen: Beschränkt die Zeit, die Benutzern für die Internet-Nutzung zur Verfügung steht, auf die gleiche Art wie beim Coaching Das Zeitlimit kann jedoch nur durch eine Aktion eines autorisierten Benutzers überschritten werden, beispielsweise durch einen Lehrer bei einer Weiterbildung. • Blockaden: Blockieren den Zugriff auf das Internet für eine konfigurierte Zeitspanne, nachdem ein Benutzer versucht hat, auf ein gesperrtes Web-Objekt zuzugreifen Kontingente und andere Beschränkungen können separat oder in Kombination miteinander durchgesetzt werden. Inhalt Festlegen von Kontingenten und anderen Einschränkungen für die Web-Nutzung Zeitkontingent Volumenkontingent Coaching Autorisiertes Außerkraftsetzen Blockierungssitzungen Kontingent-Systemeinstellungen McAfee Web Gateway 7.5.0 Produkthandbuch 253 8 Kontingentverwaltung Festlegen von Kontingenten und anderen Einschränkungen für die Web-Nutzung Festlegen von Kontingenten und anderen Einschränkungen für die Web-Nutzung Durch das Festlegen von Kontingenten und anderen Einschränkungen in einem Kontingentverwaltungsprozess für die Benutzer Ihres Netzwerks können Sie deren Web-Nutzung steuern und die Auslastung der Netzwerkressourcen beschränken. Die Kontingentverwaltung umfasst eine Reihe von Elementen mit jeweils unterschiedlichen Funktionen. • Kontingentverwaltungsregeln steuern den Prozess. • Kontingentverwaltungslisten werden von den Regeln zum Festlegen von Einschränkungen für Benutzer und bestimmte Web-Objekte genutzt, z. B. URLs, IP-Adressen usw. • Kontingentverwaltungsmodule, die von den Regeln aufgerufen werden, verarbeiten Zeit- und Volumenkontingente sowie sonstige Einschränkungen innerhalb des Prozesses. Ein Kontingentverwaltungsprozess wird nach der Erstkonfiguration in Web Gateway nicht standardmäßig implementiert. Sie können einen Prozess durch Importieren geeigneter Regelsätze aus der Regelsatz-Bibliothek implementieren und diesen Prozess bearbeiten, um ihn an die jeweiligen Anforderungen Ihrer Web-Sicherheitsrichtlinie anzupassen. Beim Konfigurieren der Kontingentverwaltung können Sie mit Folgendem arbeiten: • Schlüsselelemente von Regeln: Nach dem Importieren der Bibliotheks-Regelsätze für die Kontingentverwaltung und deren Auswahl in der Struktur der Regelsätze können Sie die Schlüsselelemente der Regeln für den Kontingentverwaltungsprozess anzeigen und konfigurieren. • Vollständige Regeln: Nachdem Sie in der Ansicht der Schlüsselelemente auf Unlock View (Ansicht entsperren) geklickt haben, können Sie die Regeln für den Kontingentverwaltungsprozess vollständig überprüfen, sämtliche Elemente der Regeln, einschließlich der Schlüsselelemente, konfigurieren und zudem neue Regeln erstellen oder Regeln löschen. Um von dieser Ansicht wieder zur Schlüsselelementansicht zurückzukehren, müssen Sie alle Änderungen verwerfen oder den Regelsatz erneut importieren. Kontingentverwaltungsregeln Die Regeln, von denen die Verwaltung von Kontingenten und sonstige Einschränkungen gesteuert wird, sind je nach Typ der Einschränkung in verschiedenen Regelsätzen enthalten, z. B. in einem Zeitkontingent-Regelsatz oder einem Coaching-Regelsatz. Mit den Regeln in diesen Regelsätzen wird überprüft, ob die Beschränkungen für Zeit und/oder Volumen überschritten wurden, und ggf. werden Anfragen in Bezug auf weiteren Web-Zugriff blockiert. Zudem leiten sie Anfragen um, wenn ein Benutzer sich zum Fortfahren mit einer neuen Sitzung entscheidet. Regelsätze für die Kontingentverwaltung sind im Standard-Regelsatz nicht implementiert, sie können jedoch aus der Regelsatz-Bibliothek importiert werden. Die Namen der Bibliotheks-Regelsätze lauten Time Quota, Volume Quota, Coaching, Authorized Override und Blocking Sessions. Sie können die mit den Bibliotheks-Regelsätzen implementierten Regeln überprüfen, ändern oder löschen. Außerdem können Sie auch eigene Regeln erstellen. 254 McAfee Web Gateway 7.5.0 Produkthandbuch 8 Kontingentverwaltung Festlegen von Kontingenten und anderen Einschränkungen für die Web-Nutzung Kontingentverwaltungslisten Die Regelsätze für das Verwalten von Kontingenten und anderen Einschränkungen verwenden Listen von Web-Objekten und Benutzern, um dementsprechend Einschränkungen festzulegen. Die Listen sind in den Kriterien eines Regelsatzes enthalten. Eine Liste enthält z. B. eine Anzahl von URLs, und diese Liste befindet sich in den Kriterien des Regelsatzes „Time Quota“. Dieser Regelsatz und die darin enthaltenen Regeln werden nur angewendet, wenn ein Benutzer eine der URLs in der Liste aufruft. Listen von IP-Adressen oder Medientypen können auf dieselbe Weise verwendet werden. Sie können diesen Listen Einträge hinzufügen oder Einträge daraus entfernen. Sie können auch eigene Listen erstellen und festlegen, dass diese von den Regelsätzen für die Kontingentverwaltung verwendet werden sollen. Kontingentverwaltungsmodule Die Kontingentverwaltungsmodule (auch als Engines bezeichnet) verarbeiten die Zeit- und Volumenparameter des Kontingentverwaltungsprozesses; sie werden von den Regelsätzen des Prozesses überprüft, um die verbrauchten sowie verbleibenden Zeiten bzw. Volumen, Sitzungszeiten und sonstigen Werte zu bestimmen. Es ist für jeden Typ von Einschränkung ein Modul vorhanden, z. B. das Modul Time Quota oder das Modul Coaching. Durch das Konfigurieren der Einstellungen für diese Module geben Sie die Zeiten und Volumen an, die im Kontingentverwaltungsprozess gelten. Wenn Sie beispielsweise das Modul für Zeitkontingente konfigurieren, geben Sie an, wie lange Benutzer pro Tag (in Stunden und Minuten) auf Web-Objekte mit bestimmten URLs oder IP-Adressen zugreifen dürfen. Sitzungsdauer Zu den Einstellungen, die Sie für das Kontingentverwaltungsmodul konfigurieren können, zählt auch die Sitzungsdauer. Dies ist die für eine Einzelsitzung zulässige Zeit, die von einem Benutzer für die Web-Nutzung in Anspruch genommen wird. McAfee Web Gateway 7.5.0 Produkthandbuch 255 8 Kontingentverwaltung Festlegen von Kontingenten und anderen Einschränkungen für die Web-Nutzung Die Sitzungsdauer wird für Zeitkontingente, Volumenkontingente und sonstige Parameter des Kontingentverwaltungsprozesses gesondert konfiguriert und unterschiedlich behandelt. • Sitzungsdauer für Zeitkontingente: Beim Konfigurieren von Zeitkontingenten müssen Sie auch eine Sitzungsdauer konfigurieren. Bei jedem Ablauf einer Sitzungsdauer für einen Benutzer wird die als Sitzungsdauer konfigurierte Zeit vom Zeitkontingent des betreffenden Benutzers abgezogen. Solange das Zeitkontingent nicht aufgebraucht ist, kann der Benutzer eine neue Sitzung starten. Nach Ablauf des Zeitkontingents wird eine vom Benutzer gesendete Anfrage blockiert, und eine Blockierungsmeldung wird angezeigt. • Sitzungsdauer für Volumenkontingente: Beim Konfigurieren von Volumenkontingenten hat die Sitzungsdauer keinerlei Auswirkungen auf das Volumenkontingent für einen Benutzer. Sie können dennoch eine Sitzungsdauer konfigurieren, um den Benutzer über die beim Web-Zugriff abgelaufene Zeit zu informieren. Wenn die Zeit für eine Sitzung abgelaufen ist, kann der Benutzer eine neue Sitzung starten, sofern das konfigurierte Volumen nicht aufgebraucht ist. Wenn Sie die Sitzungsdauer auf null setzen, wird keine Sitzungsdauer konfiguriert, und der Benutzer erhält keine entsprechende Benachrichtigung. • Sitzungsdauer für andere Funktionen der Kontingentverwaltung: Die Sitzungsdauer kann auch für andere Coaching-, autorisierte Außerkraftsetzungs- und Blockierungssitzungen konfiguriert werden. Daher kann eine Coaching-, autorisierte Außerkraftsetzungs- und Blockierungssitzung stattfinden. Nach Ablaufen der Sitzungsdauer für das Coaching und autorisierte Außerkraftsetzen wird eine vom Benutzer gesendete Anfrage blockiert. Für den Benutzer wird eine Meldung angezeigt, in der der Grund für das Blockieren der Anfrage angegeben wird. Der Benutzer kann eine neue Sitzung starten, sofern kein Zeitlimit konfiguriert ist, das aufgebraucht wurde. Die für eine Blockierungssitzung konfigurierte Sitzungsdauer ist der Zeitraum, für den von einem bestimmten Benutzer gesendete Anfragen blockiert werden. Nach Ablauf dieses Zeitraums werden Anfragen des betreffenden Benutzers wieder akzeptiert, sofern kein Zeitlimit konfiguriert ist, das aufgebraucht wurde. Kombinieren von Funktionen für die Kontingentverwaltung Die Verwendung einer bestimmten Funktion für die Kontingentverwaltung zum Einschränken der Web-Nutzung hat keinerlei Einfluss auf die jeweils anderen Funktionen für die Kontingentverwaltung. Zeitkontingente und Volumenkontingente werden auf der Appliance beispielsweise separat konfiguriert und implementiert. Sie können diese Funktionen jedoch auf sinnvolle Weise miteinander kombinieren. Sie können beispielsweise Coaching für den Zugriff der Benutzer auf einige URL-Kategorien festlegen und die Eingabe von Anmeldeinformationen für autorisiertes Außerkraftsetzen für andere fordern. Für eine weitere Gruppe von Kategorien können Sie Benutzer blockieren, die versuchen, ihren Zugriff über einen konfigurierten Zeitraum hinaus auszudehnen. 256 McAfee Web Gateway 7.5.0 Produkthandbuch 8 Kontingentverwaltung Zeitkontingent Zeitkontingent Durch die Konfiguration von Zeitkontingenten können Sie die Zeit einschränken, die Benutzer Ihres Netzwerks das Internet benutzen dürfen. Zeitkontingente können sich auf verschiedene Parameter beziehen: • URL-Kategorien: Wenn sich Zeitkontingente auf URL-Kategorien beziehen, dürfen Benutzer nur eine begrenzte Zeit auf URLs zugreifen, die in eine bestimmte Kategorie fallen, z. B. Online-Shopping. • IP-Adressen: Wenn sich Zeitkontingente auf IP-Adressen beziehen, dürfen Benutzer, die Anfragen über bestimmte IP-Adressen gesendet haben, das Internet nur eine begrenzte Zeit benutzen. • Benutzernamen: Wenn sich Zeitkontingente auf Benutzernamen beziehen, dürfen Benutzer das Internet nur eine begrenzte Zeit benutzen. Benutzer werden anhand der Benutzernamen identifiziert, die sie zur Authentifizierung an der Appliance angegeben haben. Diese Parameter werden von den Regeln im Bibliotheks-Regelsatz für Zeitkontingente verwendet. Sie können eigene Regeln konfigurieren, die hinsichtlich der Zeitkontingente andere Parameter verwenden. Die Zeit, die Benutzer mit der Nutzung des Internets verbringen, wird auf der Appliance gespeichert. Wenn das konfigurierte Zeitkontingent für einen Benutzer überschritten wurde, wird eine von diesem Benutzer gesendete Anfrage blockiert. Für den Benutzer wird eine Meldung angezeigt, in der der Grund für das Blockieren der Anfrage angegeben wird. Benutzer werden anhand der Benutzernamen identifiziert, die sie zur Authentifizierung angegeben haben. Wenn mit einer Anfrage kein Benutzername gesendet wird, wird die Internet-Nutzung für die IP-Adresse des Client-System, über das die Anfrage gesendet wurde, erfasst und blockiert oder zugelassen. Die Internet-Nutzung kann auf pro Tag, Woche oder Monat verbrachte Zeit beschränkt werden. Konfigurieren von Zeitkontingenten Sie können Zeitkontingente konfigurieren, um die Zeit der Web-Nutzung der Benutzer Ihres Netzwerks zu beschränken. Vorgehensweise 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus. 2 Erweitern Sie in der Regelsatz-Baumstruktur den Regelsatz, der Regeln für Zeitkontingente enthält, z. B. den Bibliotheks-Regelsatz Time Quota. Daraufhin werden die untergeordneten Regelsätze angezeigt. 3 Wählen Sie den entsprechenden untergeordneten Regelsatz aus. Wenn Sie beispielsweise Zeitkontingente in Bezug auf URL-Kategorien konfigurieren möchten, wählen Sie den untergeordneten Regelsatz Time Quota With URL Configuration aus. Die allgemeinen Einstellungen und Regeln des Regelsatzes werden im Abschnitt für Einstellungen angezeigt. 4 Klicken Sie in den Regelsatzkriterien auf den Listennamen URL Category Block List for Time Quota Ein gelbes Dreieck neben dem Namen einer Liste zeigt an, dass die Liste anfänglich leer ist und Sie Einträge hinzufügen müssen. Daraufhin öffnet sich das Fenster Edit List (Category) (Liste bearbeiten, Kategorie). McAfee Web Gateway 7.5.0 Produkthandbuch 257 8 Kontingentverwaltung Zeitkontingent 5 Fügen Sie der Blockierungsliste URL-Kategorien hinzu. Klicken Sie anschließend auf OK, um das Fenster zu schließen. 6 Klicken Sie in den Kriterien für eine der Regeln auf den Namen der Einstellungen URL Category Configuration (Konfiguration der URL-Kategorie). Daraufhin öffnet sich das Fenster Edit Settings (Einstellungen bearbeiten). 7 Konfigurieren Sie die Sitzungsdauer und das Zeitkontingent pro Tag, Woche und Monat. Klicken Sie anschließend auf OK, um das Fenster zu schließen. 8 Klicken Sie auf Save Changes (Änderungen speichern). Einstellungen für das Zeitkontingent Mit den Einstellungen für das Zeitkontingent wird das Modul konfiguriert, das die Verwaltung des Zeitkontingents verarbeitet. Zeitkontingent pro Tag, Woche, Monat und Sitzungsdauer Einstellungen für Zeitkontingente Wenn eine Zeiteinheit oder die Sitzungsdauer ausgewählt wird, lautet die Überschrift des nächsten Abschnitts entsprechend. Tabelle 8-1 Zeitkontingent pro Tag, Woche, Monat und Sitzungsdauer Option Definition Time quota per day (week, month) (Zeitkontingent pro Tag (Woche, Monat)) Bei Auswahl dieser Option gilt das im nächsten Abschnitt konfigurierte Kontingent für die ausgewählte Zeiteinheit. Session time (Sitzungsdauer) Bei Auswahl dieser Option gilt das im nächsten Abschnitt konfigurierte Kontingent für die Sitzungsdauer. Stunden und Minuten für . . . Einstellungen für Zeitkontingente, die für die ausgewählte Zeiteinheit oder die Sitzungsdauer gelten Die Überschrift dieses Abschnitts hängt von Ihrer Auswahl im vorangegangenen Abschnitt ab. Wenn Sie beispielsweise Time quota per week (Zeitkontingent pro Woche) auswählen, lautet die Überschrift Hours and Minutes for Time Quota per Week (Stunden und Minuten für Zeitkontingent pro Woche). Tabelle 8-2 Stunden und Minuten für . . . Option Definition Hours (Stunden) Legt die zulässigen Stunden pro Tag, Woche, Monat oder für die Sitzungsdauer fest. Minutes (Minuten) Legt die zulässigen Minuten pro Tag, Woche, Monat oder für die Sitzungsdauer fest. Tatsächlich konfiguriertes Zeitkontingent Zeigt die konfigurierten Zeitkontingente an. Tabelle 8-3 Tatsächlich konfiguriertes Zeitkontingent 258 Option Definition Time quota per day (week, month) (Zeitkontingent pro Tag (Woche, Monat)) Zeigt die zulässige Zeit pro Tag, Woche oder Monat an. Session time (Sitzungsdauer) Zeigt die zulässige Sitzungsdauer an. McAfee Web Gateway 7.5.0 Produkthandbuch 8 Kontingentverwaltung Zeitkontingent Time Quota (Regelsatz) Mit dem Bibliotheks-Regelsatz „Time Quota“ können Zeitkontingente für die Web-Nutzung festgelegt werden. Bibliotheks-Regelsatz – Time Quota Criteria – SSL.Client.Context.IsApplied equals true OR Command.Name does not equal “CONNECT” Cycle – Requests (and IM) Die Regelsatzkriterien geben an, dass der Regelsatz auf SSL-gesicherte Kommunikation und jegliche sonstige Kommunikation angewendet wird, bei der nicht am Anfang der CONNECT-Befehl verwendet wird. Dieser Regelsatz enthält die folgenden untergeordneten Regelsätze: • Time Quota With URL Configuration • Time Quota With IP Configuration Dieser Regelsatz ist anfänglich nicht aktiviert. • Time Quota With Authenticated User Configuration Dieser Regelsatz ist anfänglich nicht aktiviert. Time Quota With URL Configuration Dieser untergeordnete Regelsatz behandelt Zeitkontingente in Bezug auf URL-Kategorien. Untergeordneter Bibliotheks-Regelsatz – Time Quota With URL Configuration Criteria – URL.Categories<Default> at least one in list URL Categories Blocklist for Time Quota Cycle – Requests (and IM) Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn ein Benutzer eine Anfrage für eine URL sendet, die in eine Kategorie der Blockierungsliste für Zeitkontingente in Bezug auf URL-Kategorien fällt. Der Regelsatz enthält die folgenden Regeln: Redirecting after starting new time session Quota.Time.lsActivationRequest equals true –> Redirect<Redirection After Time Session Activation> Die Regel leitet eine Anfrage um, sodass ein Benutzer nach Überschreiten der Sitzungsdauer erneut Zugriff auf ein Web-Objekt erhält, wenn der Benutzer mit einer neuen Sitzung fortfährt. Die Einstellungen für die Aktion geben an, dass eine Nachricht an den anfragenden Benutzer gesendet wird. Check if time session has been exceeded Quota.Time.Session.Exceeded<URL Category Configuration> equals true –> Block<ActionTimeSessionBlocked> Die Regel überprüft mithilfe der Eigenschaft Quota.Time.SessionExceeded, ob für einen Benutzer die konfigurierte Sitzungsdauer überschritten wurde. Wenn dies der Fall ist, wird die Web-Zugriffsanfrage des Benutzers blockiert. Die Einstellungen für URL Category Configuration, die zusammen mit der Eigenschaft angegeben werden, sind die Eigenschaften des Moduls, das Zeitkontingente verwaltet. Die Einstellungen für die Aktion geben an, dass eine Nachricht an den anfragenden Benutzer gesendet wird. McAfee Web Gateway 7.5.0 Produkthandbuch 259 8 Kontingentverwaltung Zeitkontingent Check if time quota has been exceeded Quota.Time.Exceeded<URL Category Configuration> equals true –> Block<ActionTimeQuotaBlocked> Die Regel überprüft mithilfe der Eigenschaft Quota.Time.Exceeded, ob für einen Benutzer das konfigurierte Zeitkontingent überschritten wurde. Wenn dies der Fall ist, wird die Web-Zugriffsanfrage des Benutzers blockiert. Die Einstellungen für URL Category Configuration, die zusammen mit der Eigenschaft angegeben werden, sind die Eigenschaften des Moduls, das Zeitkontingente verwaltet. Die Einstellungen für die Aktion geben an, dass eine Nachricht an den anfragenden Benutzer gesendet wird. Time Quota With IP Configuration Dieser untergeordnete Regelsatz behandelt Zeitkontingente in Bezug auf IP-Adressen. Untergeordneter Bibliotheks-Regelsatz – Time Quota With IP Configuration Criteria – Client.IP is in list IP Blocklist for Time Quota Cycle – Requests (and IM) Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn ein Benutzer eine Anfrage von einem Client mit einer IP-Adresse sendet, die in der Blockierungsliste für Zeitkontingente in Bezug auf IP-Adressen enthalten ist. Die Regeln in diesem Regelsatz entsprechen denen im Regelsatz „Time Quota with URL Configuration“, mit Ausnahme der Moduleinstellungen, die in den Regelkriterien angezeigt werde. Diese lauten IP Configuration. Time Quota With Authenticated User Configuration Dieser untergeordnete Regelsatz behandelt Zeitkontingente in Bezug auf Benutzernamen. Untergeordneter Bibliotheks-Regelsatz – Time Quota With Authenticated User Configuration Criteria – Authenticated.RawUserName is in list User Blocklist for Time Quota Cycle – Requests (and IM) Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn eine Anfrage von einem Benutzer gesendet wird, dessen Name auf der Blockierungsliste für Zeitkontingente in Bezug auf Benutzernamen aufgeführt wird. Die Regeln in diesem Regelsatz entsprechen denen im Regelsatz „Time Quota with URL Configuration“, mit Ausnahme der Moduleinstellungen, die in den Regelkriterien angezeigt werden; diese lauten Authenticated User Configuration. 260 McAfee Web Gateway 7.5.0 Produkthandbuch 8 Kontingentverwaltung Volumenkontingent Volumenkontingent Durch die Konfiguration von Volumenkontingenten können Sie das Volumen an Web-Objekten einschränken, gemessen in GB und MB, das die Benutzer Ihres Netzwerks aus dem Internet herunterladen dürfen. Volumenkontingente können sich auf mehrere Parameter beziehen: • URL-Kategorien: Benutzer dürfen nur ein begrenztes Volumen an Web-Objekten über URLs herunterladen, die in eine bestimmte Kategorie fallen, z. B. Streaming-Medien. • IP-Adressen: Benutzer, die Anfragen über bestimmte IP-Adressen senden, dürfen nur ein begrenztes Volumen herunterladen. • Benutzernamen: Benutzer dürfen Web-Objekte nur bis zu einem begrenzten Volumen herunterladen. Benutzer werden anhand der Benutzernamen identifiziert, die sie zur Authentifizierung an der Appliance angegeben haben. • Medientypen: Benutzer dürfen Web-Objekte, die zu bestimmten Medientypen gehören, nur bis zu einem begrenzten Volumen herunterladen. Diese Parameter werden von den Regeln im Bibliotheks-Regelsatz für Volumenkontingente verwendet. Sie können eigene Regeln konfigurieren, die hinsichtlich der Volumenkontingente andere Parameter verwenden. Informationen zum Volumen, das Benutzer aus dem Internet herunterladen, werden auf der Appliance gespeichert. Wenn das konfigurierte Volumenkontingent für einen Benutzer überschritten wurde, wird eine von diesem Benutzer gesendete Anfrage blockiert. Für den Benutzer wird eine Meldung angezeigt, in der der Grund für das Blockieren der Anfrage angegeben wird. Benutzer werden anhand der Benutzernamen identifiziert, die sie zur Authentifizierung angegeben haben. Wenn mit einer Anfrage kein Benutzername gesendet wird, wird die Internet-Nutzung für die IP-Adresse des Client-Systems, über das die Anfrage gesendet wurde, erfasst und blockiert oder zugelassen. Web-Downloads können auf ein pro Tag, Woche oder Monat Download-Volumen beschränkt werden. Konfigurieren von Volumenkontingenten Sie können Volumenkontingente konfigurieren, um das Volumen zu beschränken, das von Benutzern Ihres Netzwerks während ihrer Web-Nutzung verbraucht wird. Vorgehensweise 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus. 2 Erweitern Sie in der Regelsatz-Baumstruktur den Regelsatz, der Regeln für Volumenkontingente enthält, z. B. den Bibliotheks-Regelsatz Volume Quota. Daraufhin werden die untergeordneten Regelsätze angezeigt. 3 Wählen Sie den entsprechenden untergeordneten Regelsatz aus, z. B. Volume Quota With IP Configuration. Die allgemeinen Einstellungen und Regeln des Regelsatzes werden im Abschnitt für Einstellungen angezeigt. McAfee Web Gateway 7.5.0 Produkthandbuch 261 8 Kontingentverwaltung Volumenkontingent 4 Klicken Sie in den Regelsatzkriterien auf den Namen der entsprechenden Blockierungsliste, z. B. IP Block List for Volume Quota. Ein gelbes Dreieck neben dem Listennamen zeigt an, dass die Liste anfänglich leer ist und Sie Einträge hinzufügen müssen. Daraufhin öffnet sich das Fenster Edit List (Category) (Liste bearbeiten, Kategorie). 5 Fügen Sie der Blockierungsliste die entsprechenden Einträge hinzu, z. B. IP-Adressen. Klicken Sie anschließend auf OK, um das Fenster zu schließen. 6 Klicken Sie in den Kriterien für eine der Regeln auf den Namen der entsprechenden Einstellungen, z. B. IP Configuration (IP-Konfiguration). Daraufhin öffnet sich das Fenster Edit Settings (Einstellungen bearbeiten). 7 Konfigurieren Sie die gewünschten Parameter, z. B. Sitzungsdauer und Volumenkontingent pro Tag, Woche und Monat. Klicken Sie anschließend auf OK, um das Fenster zu schließen. 8 Klicken Sie auf Save Changes (Änderungen speichern). Einstellungen für das Volumenkontingent Mit den Einstellungen für das Volumenkontingent wird das Modul konfiguriert, das die Verwaltung des Volumenkontingents verarbeitet. Volumenkontingent pro Tag, Woche und Monat Einstellungen für Volumenkontingente Wenn eine Zeiteinheit oder die Sitzungsdauer ausgewählt wird, lautet die Überschrift des nächsten Abschnitts entsprechend. Tabelle 8-4 Volumenkontingent pro Tag, Woche und Monat Option Definition Volume quota per day (week, month) (Volumenkontingent pro Tag (Woche, Monat)) Bei Auswahl dieser Option gilt das im nächsten Abschnitt konfigurierte Kontingent für die ausgewählte Zeiteinheit Session time (Sitzungsdauer) Bei Auswahl dieser Option gilt das im nächsten Abschnitt konfigurierte Kontingent für die Sitzungsdauer Volumen für . . . Einstellungen für Volumenkontingente, die für die ausgewählte Zeiteinheit oder die Sitzungsdauer gelten Die Überschrift dieses Abschnitts hängt von Ihrer Auswahl im vorangegangenen Abschnitt ab. Wenn Sie beispielsweise Volume quota per week (Volumenkontingent pro Woche) auswählen, lautet die Überschrift Volume for Volume Quota per Week (Volumen für Volumenkontingent pro Woche). Wenn Sie jedoch Session Time (Sitzungsdauer) ausgewählt haben, lautet die Überschrift Hours and Minutes (Stunden und Minuten). Tabelle 8-5 Volumen für . . . 262 Option Definition GiB (GB) Gibt das zulässige Volumen in GB an. MiB (MB) Gibt das zulässige Volumen in MB an. McAfee Web Gateway 7.5.0 Produkthandbuch 8 Kontingentverwaltung Volumenkontingent Tatsächlich konfiguriertes Volumenkontingent Zeigt die konfigurierten Volumenkontingente an. Tabelle 8-6 Tatsächlich konfiguriertes Volumenkontingent Option Definition Volume quota per day (week, month) (Volumenkontingent pro Tag (Woche, Monat)) Zeigt das zulässige Volumen pro Tag, Woche oder Monat an. Session time (Sitzungsdauer) Zeigt die zulässige Sitzungsdauer an. Volume Quota (Regelsatz) Mit dem Regelsatz „Volume Quota“ werden Volumenkontingente für die Internet-Nutzung festgelegt. Bibliotheks-Regelsatz – Volume Quota Criteria – SSL.Client.Context.IsApplied equals true OR Command.Name does not equal “CONNECT” Cycle – Requests (and IM) Die Regelsatzkriterien geben an, dass der Regelsatz auf SSL-gesicherte Kommunikation und sonstige Kommunikation angewendet wird, bei der nicht am Anfang der CONNECT-Befehl verwendet wird. Dieser Regelsatz enthält die folgenden untergeordneten Regelsätze: • Time Quota With URL Configuration • Time Quota With IP Configuration Dieser untergeordnete Regelsatz ist anfänglich nicht aktiviert. • Time Quota With Authenticated User Configuration Dieser untergeordnete Regelsatz ist anfänglich nicht aktiviert. Bibliotheks-Regelsatz – Volume Quota Criteria – SSL.Client.Context.IsApplied equals true OR Command.Name does not equal “CONNECT” Cycle – Requests (and IM) Die Regelsatzkriterien geben an, dass der Regelsatz auf SSL-gesicherte Kommunikation und jegliche sonstige Kommunikation angewendet wird, bei der nicht am Anfang der CONNECT-Befehl verwendet wird. Dieser Regelsatz enthält die folgenden untergeordneten Regelsätze: • Volume Quota With URL Configuration • Volume Quota With IP Configuration Dieser Regelsatz ist anfänglich nicht aktiviert. • Volume Quota With Authenticated User Configuration Dieser Regelsatz ist anfänglich nicht aktiviert. • Volume Quota With Media Type Configuration Dieser Regelsatz ist anfänglich nicht aktiviert. Volume Quota With URL Configuration Dieser untergeordnete Regelsatz behandelt Volumenkontingente in Bezug auf URL-Kategorien. McAfee Web Gateway 7.5.0 Produkthandbuch 263 8 Kontingentverwaltung Volumenkontingent Untergeordneter Bibliotheks-Regelsatz – Volume Quota With URL Configuration Criteria – URL.Categories<Default> at least one in list URL Categories Blocklist for Volume Quota Cycle – Requests (and IM) Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn ein Benutzer eine Anfrage für eine URL sendet, die in eine Kategorie der Blockierungsliste für Volumenkontingente in Bezug auf URL-Kategorien fällt. Der Regelsatz enthält die folgenden Regeln: Redirecting after starting new time session Quota.Volume.lsActivationRequest<URL Category Configuration> equals true –> Redirect<Redirection After Volume Session Activation> Die Regel leitet eine Anfrage um, sodass ein Benutzer nach Überschreiten der Sitzungsdauer erneut Zugriff auf ein Web-Objekt erhält, wenn der Benutzer mit einer neuen Sitzung fortfährt. Die Einstellungen für URL Category Configuration, die zusammen mit der Eigenschaft angegeben werden, sind die Eigenschaften des Moduls, das Volumenkontingente verwaltet. Die Aktionseinstellungen geben an, dass eine Nachricht an den anfragenden Benutzer gesendet wird. Check if volume session has been exceeded Quota.Volume.Session.Exceeded<URL Category Configuration> equals true –> Block<ActionVolumeSessionBlocked> Die Regel überprüft mit der Quota.Volume.SessionExceeded-Eigenschaft, ob für einen Benutzer die konfigurierte Sitzungsdauer überschritten wurde. Wenn dies der Fall ist, wird die Web-Zugriffsanfrage des Benutzers blockiert. Die Einstellungen für URL Category Configuration, die zusammen mit der Eigenschaft angegeben werden, sind die Eigenschaften des Moduls, das Volumenkontingente verwaltet. Die Aktionseinstellungen geben an, dass eine Nachricht an den anfragenden Benutzer gesendet wird. Check if volume quota has been exceeded Quota.Time.Exceeded<URL Category Configuration> equals true –> Block<ActionVolumeSessionBlocked> Die Regel überprüft mit der Quota.Volume.Exceeded-Eigenschaft, ob für einen Benutzer das konfigurierte Volumenkontingent überschritten wurde. Wenn dies der Fall ist, wird die Web-Zugriffsanfrage des Benutzers blockiert. Die Einstellungen für URL Category Configuration, die zusammen mit der Eigenschaft angegeben werden, sind die Eigenschaften des Moduls, das Volumenkontingente verwaltet. Die Aktionseinstellungen geben an, dass eine Nachricht an den anfragenden Benutzer gesendet wird. Volume Quota With IP Configuration Dieser untergeordnete Regelsatz behandelt Volumenkontingente in Bezug auf IP-Adressen. Untergeordneter Bibliotheks-Regelsatz – Volume Quota With IP Configuration Criteria – Client.IP is in list IP Blocklist for Volume Quota Cycle – Requests (and IM) Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn ein Benutzer eine Anfrage von einem Client mit einer IP-Adresse sendet, die in der Blockierungsliste für Volumenkontingente in Bezug auf IP-Adressen enthalten ist. 264 McAfee Web Gateway 7.5.0 Produkthandbuch 8 Kontingentverwaltung Coaching Die Regeln in diesem Regelsatz entsprechen denen im Regelsatz „Volume Quota with URL Configuration“, mit Ausnahme der Moduleinstellungen, die in den Regelkriterien angezeigt werden; diese lauten IP Configuration. Volume Quota With Authenticated User Configuration Dieser untergeordnete Regelsatz behandelt Volumenkontingente in Bezug auf Benutzernamen. Untergeordneter Bibliotheks-Regelsatz – Volume Quota With Authenticated User Configuration Criteria – Authenticated.RawUserName is in list User Blocklist for Volume Quota Cycle – Requests (and IM) Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn eine Anfrage von einem Benutzer gesendet wird, dessen Name auf der Blockierungsliste für Volumenkontingente in Bezug auf Benutzernamen aufgeführt wird. Die Regeln in diesem Regelsatz entsprechen denen im Regelsatz „Volume Quota with URL Configuration“, mit Ausnahme der Moduleinstellungen, die in den Regelkriterien angezeigt werden; diese lauten Authenticated User Configuration. Volume Quota With Media Type Configuration Dieser untergeordnete Regelsatz behandelt Volumenkontingente in Bezug auf Medientypen. Untergeordneter Bibliotheks-Regelsatz – Volume Quota With Media Type Configuration Criteria – MediaType.FromFileExtension at least one n list Media Type Blocklist for Volume Quota Cycle – Requests (and IM) Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn eine Anfrage für den Zugriff auf ein Web-Objekt eines Medientyps gesendet wird, der in der Blockierungsliste für Volumenkontingente in Bezug auf Medientypen aufgeführt wird. Die Regeln in diesem Regelsatz entsprechen denen im Regelsatz „Volume Quota with URL Configuration“, mit Ausnahme der Moduleinstellungen, die in den Regelkriterien angezeigt werden; diese lauten Media Type Configuration. Coaching Durch die Konfiguration von Coaching-Kontingenten können Sie die Zeit einschränken, die Benutzer Ihres Netzwerks das Internet nutzen dürfen. Sie können jedoch zulassen, dass diese die Internet-Nutzung auf Wunsch fortsetzen dürfen. Zum Coachen der Internet-Nutzung Ihrer Benutzer konfigurieren Sie eine Coaching-Sitzung mit einer bestimmten Dauer. Nach Ablauf dieser Sitzungsdauer für einen Benutzer wird eine Blockierungsmeldung angezeigt. Die Benutzer kann dann bei Bedarf eine neue Sitzung starten. Sie können das Coaching in Bezug auf die im Coaching-Bibliotheks-Regelsatz verwendeten Parameter konfigurieren, z. B. URL-Kategorien, IP-Adressen und Benutzernamen. Darüber hinaus können Sie eigene Regeln konfigurieren, in denen andere Parameter verwendet werden. McAfee Web Gateway 7.5.0 Produkthandbuch 265 8 Kontingentverwaltung Coaching Konfigurieren des Coachings Durch die Konfiguration von Coaching können Sie die Web-Nutzung der Benutzer Ihres Netzwerks beschränken, ihnen jedoch ermöglichen, ihre Sitzung nach Ablauf des konfigurierten Zeitlimits bei Bedarf fortzusetzen. Vorgehensweise 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus. 2 Erweitern Sie in der Regelsatz-Baumstruktur den Regelsatz mit den Regeln für das Coaching, z. B. den Bibliotheks-Regelsatz Coaching. Daraufhin werden die untergeordneten Regelsätze angezeigt. 3 Wählen Sie den entsprechenden untergeordneten Regelsatz aus, z. B. Coaching With IP Configuration. Nun werden die allgemeinen Einstellungen und Regeln des Regelsatzes im Einstellungsabschnitt angezeigt. 4 Klicken Sie in den Regelsatzkriterien auf den Namen der entsprechenden Blockierungsliste, z. B. IP Block List for Coaching. Ein gelbes Dreieck neben dem Listennamen zeigt an, dass die Liste anfänglich leer ist und Sie Einträge hinzufügen müssen. Daraufhin öffnet sich das Fenster Edit List (Category) (Liste bearbeiten, Kategorie). 5 Fügen Sie der Blockierungsliste die entsprechenden Einträge hinzu, z. B. IP-Adressen. Klicken Sie anschließend auf OK, um das Fenster zu schließen. 6 Klicken Sie in den Kriterien für eine der Regeln auf den Namen der entsprechenden Einstellungen, z. B. auf IP Configuration (IP-Konfiguration). Daraufhin öffnet sich das Fenster Edit Settings (Einstellungen bearbeiten). 7 Konfigurieren Sie die entsprechenden Parameter, z. B. die Sitzungsdauer. Klicken Sie anschließend auf OK, um das Fenster zu schließen. 8 Klicken Sie auf Save Changes (Änderungen speichern). Coaching-Einstellungen Mit den Coaching-Einstellungen wird das Modul konfiguriert, das das Coaching verarbeitet. Stunden und Minuten der Sitzungsdauer Einstellungen zum Konfigurieren der Dauer einer Coaching-Sitzung Tabelle 8-7 Stunden und Minuten der Sitzungsdauer 266 Option Definition Days (Tage) Legt die Tage für eine Coaching-Sitzung fest. Hours (Stunden) Legt die Stunden für eine Coaching-Sitzung fest. Minutes (Minuten) Legt die Minuten für eine Coaching-Sitzung fest. McAfee Web Gateway 7.5.0 Produkthandbuch 8 Kontingentverwaltung Coaching Coaching (Regelsatz) Mit dem Bibliotheks-Regelsatz „Coaching“ können für Benutzer Einschränkungen zur Internet-Nutzung festgelegt werden, die die Benutzer bei Bedarf umgehen können. Bibliotheks-Regelsatz – Coaching Criteria – SSL.Client.Context.IsApplied equals true OR Command.Name does not equal “CONNECT” Cycle – Requests (and IM) Die Regelsatzkriterien geben an, dass der Regelsatz auf SSL-gesicherte Kommunikation und jegliche sonstige Kommunikation angewendet wird, bei der nicht am Anfang der CONNECT-Befehl verwendet wird. Dieser Regelsatz enthält die folgenden untergeordneten Regelsätze: • Coaching With URL Configuration • Coaching With IP Configuration Dieser Regelsatz ist anfänglich nicht aktiviert. • Coaching With Authenticated User Configuration Dieser Regelsatz ist anfänglich nicht aktiviert. Coaching With URL Configuration Dieser untergeordnete Regelsatz behandelt das Coaching in Bezug auf URL-Kategorien. Untergeordneter Bibliotheks-Regelsatz – Coaching With URL Configuration Criteria – URL.Categories<Default> at least one in list URL Categories Blocklist for Coaching Cycle – Requests (and IM) Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn ein Benutzer eine Anfrage für eine URL sendet, die in eine Kategorie der Blockierungsliste für das Coaching in Bezug auf URL-Kategorien fällt. Der Regelsatz enthält die folgenden Regeln: Redirecting after starting new coaching session Quota.Coaching.lsActivationRequest equals true –> Redirect<Redirection After Coaching Session Activation> Die Regel leitet eine Anfrage um, sodass ein Benutzer nach Überschreiten der Sitzungsdauer erneut Zugriff auf ein Web-Objekt erhält, wenn der Benutzer mit einer neuen Sitzung fortfährt. Die Aktionseinstellungen geben an, dass eine Nachricht an den anfragenden Benutzer gesendet wird. Check if coaching session has been exceeded Quota.Coaching.Session.Exceeded<URL Category Configuration> equals true –> Block<ActionCoachingSessionBlocked> Die Regel überprüft mithilfe der Quota.Coaching.SessionExceeded-Eigenschaft, ob für einen Benutzer die konfigurierte Sitzungsdauer überschritten wurde. Wenn dies der Fall ist, wird die Web-Zugriffsanfrage des Benutzers blockiert. Die Einstellungen für URL Category Configuration, die zusammen mit der Eigenschaft angegeben werden, sind die Eigenschaften des Moduls, das das Coaching verarbeitet. Die Aktionseinstellungen geben an, dass eine Nachricht an den anfragenden Benutzer gesendet wird. McAfee Web Gateway 7.5.0 Produkthandbuch 267 8 Kontingentverwaltung Autorisiertes Außerkraftsetzen Coaching Quota With IP Configuration Dieser untergeordnete Regelsatz behandelt das Coaching in Bezug auf IP-Adressen. Untergeordneter Bibliotheks-Regelsatz – Coaching With IP Configuration Criteria – Client.IP is in list IP Blocklist for Coaching Cycle – Requests (and IM) Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn ein Benutzer eine Anfrage von einem Client mit einer IP-Adresse sendet, die in der Blockierungsliste für das Coaching in Bezug auf IP-Adressen enthalten ist. Die Regeln in diesem Regelsatz entsprechen denen im Regelsatz „Coaching with URL Configuration“, mit Ausnahme der Moduleinstellungen, die in den Regelkriterien angezeigt werden; diese lauten IP Configuration. Coaching With Authenticated User Configuration Dieser untergeordnete Regelsatz behandelt das Coaching in Bezug auf Benutzernamen. Untergeordneter Bibliotheks-Regelsatz – Coaching With Authenticated User Configuration Criteria – Authenticated.RawUserName is in list User Blocklist for Coaching Cycle – Requests (and IM) Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn eine Anfrage von einem Benutzer gesendet wird, dessen Name auf der Blockierungsliste für das Coaching in Bezug auf Benutzernamen aufgeführt wird. Die Regeln in diesem Regelsatz entsprechen denen im Regelsatz „Coaching with URL Configuration“, mit Ausnahme der Moduleinstellungen, die in den Regelkriterien angezeigt werden; diese lauten Authenticated User Configuration. Autorisiertes Außerkraftsetzen Sie können die Sitzungsdauer für eine Sitzung konfigurieren, die autorisiertes Außerkraftsetzen zulässt. Nach Ablauf dieser Sitzungsdauer wird eine Benutzeranfrage blockiert, und es wird eine Blockierungsmeldung angezeigt. In der Meldung ist auch eine Aufforderung enthalten, einen Benutzernamen und ein Kennwort zu übermitteln, um eine neue Sitzung zu starten. Diese Anmeldeinformationen müssen zu einem autorisierten Benutzer gehören. Beispiel: In einem Schulungsszenario könnte ein Benutzer, der nach Beendigung einer Sitzung mit autorisiertem Außerkraftsetzen blockiert wird, ein Kursteilnehmer sein, während es sich beim Schulungsleiter um den autorisierten Benutzer handelt. Die Authentifizierung dieses Benutzers erfolgt gemäß der konfigurierten Authentifizierungsmethode. Beim Konfigurieren dieser Methode müssen Sie darauf achten, dass diese keinen integrierten Authentifizierungsmodus enthält. Die Blockierungsmeldung bietet außerdem eine Option, die Dauer der Sitzung mit autorisiertem Außerkraftsetzen für den blockierten Benutzer anzugeben. Die für diesen Benutzer festgelegte Dauer sollte nicht die Dauer überschreiten, die im Rahmen der Moduleinstellungen für das autorisierte Außerkraftsetzen für alle übrigen Benutzer konfiguriert ist. 268 McAfee Web Gateway 7.5.0 Produkthandbuch 8 Kontingentverwaltung Autorisiertes Außerkraftsetzen Sie können das autorisierte Außerkraftsetzen in Bezug auf die im Bibliotheks-Regelsatz verwendeten Parameter konfigurieren, z. B. URL-Kategorien, IP-Adressen und Benutzernamen. Darüber hinaus können Sie eigene Regeln konfigurieren, in denen andere Parameter verwendet werden. Konfigurieren des autorisierten Außerkraftsetzens Durch die Konfiguration von autorisiertem Außerkraftsetzen können Sie die Web-Nutzung Ihrer Benutzer beschränken, dabei jedoch zulassen wird, dass ein autorisierter Benutzer das konfigurierte Zeitlimit durch eine Aktion überschreiten darf. Vorgehensweise 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus. 2 Erweitern Sie in der Regelsatz-Baumstruktur den Regelsatz mit den Regeln für das autorisierte Außerkraftsetzen, z. B. den Bibliotheks-Regelsatz Authorized Override. Daraufhin werden die untergeordneten Regelsätze angezeigt. 3 Wählen Sie den entsprechenden untergeordneten Regelsatz aus, z. B. Authorized Override With IP Configuration. Die allgemeinen Einstellungen und Regeln des Regelsatzes werden im Abschnitt für Einstellungen angezeigt. 4 Klicken Sie in den Regelsatzkriterien auf den Namen der entsprechenden Blockierungsliste, z. B. IP Block List for Authorized Override. Ein gelbes Dreieck neben dem Listennamen zeigt an, dass die Liste anfänglich leer ist und Sie Einträge hinzufügen müssen. Daraufhin öffnet sich das Fenster Edit List (Category) (Liste bearbeiten, Kategorie). 5 Fügen Sie der Blockierungsliste die entsprechenden Einträge hinzu, z. B. IP-Adressen. Klicken Sie anschließend auf OK, um das Fenster zu schließen. 6 Klicken Sie in den Kriterien für eine der Regeln auf den Namen der entsprechenden Einstellungen, z. B. IP Configuration (IP-Konfiguration). Daraufhin öffnet sich das Fenster Edit Settings (Einstellungen bearbeiten). 7 Konfigurieren Sie die entsprechenden Parameter, z. B. die Sitzungsdauer. Klicken Sie anschließend auf OK, um das Fenster zu schließen. 8 Klicken Sie auf Save Changes (Änderungen speichern). Einstellungen für „Authorized Override“ (Autorisiertes Außerkraftsetzen) Mit den Einstellungen für „Authorized Override“ (Autorisiertes Außerkraftsetzen) wird das Modul konfiguriert, das das autorisierte Außerkraftsetzen verarbeitet. Hours and Minutes of Maximum Session Time (Maximale Sitzungsdauer in Stunden und Minuten) Einstellungen zum Konfigurieren der maximalen Dauer einer Sitzung mit autorisiertem Außerkraftsetzen. McAfee Web Gateway 7.5.0 Produkthandbuch 269 8 Kontingentverwaltung Autorisiertes Außerkraftsetzen Tabelle 8-8 Hours and Minutes of Maximum Session Time (Maximale Sitzungsdauer in Stunden und Minuten) Option Definition Days (Tage) Legt die Tage für eine „Authorized Override“-Sitzung (Autorisiertes Außerkraftsetzen) fest. Hours (Stunden) Legt die Stunden für eine „Authorized Override“-Sitzung (Autorisiertes Außerkraftsetzen) fest. Minutes (Minuten) Legt die Minuten für eine „Authorized Override“-Sitzung (Autorisiertes Außerkraftsetzen) fest. Authorized Override (Regelsatz) Mit dem Bibliotheks-Regelsatz „Authorized Override“ kann ein Zeitlimit für die Web-Nutzung festgelegt werden, das durch einen autorisierten Benutzer umgangen werden kann. Bibliotheks-Regelsatz – Authorized Override Criteria – SSL.Client.Context.IsApplied equals true OR Command.Name does not equal “CONNECT” Cycle – Requests (and IM) Die Regelsatzkriterien geben an, dass der Regelsatz auf SSL-gesicherte Kommunikation und jegliche sonstige Kommunikation angewendet wird, bei der nicht am Anfang der CONNECT-Befehl verwendet wird. Dieser Regelsatz enthält die folgenden untergeordneten Regelsätze: • Authorized Override With URL Configuration • Authorized Override With IP Configuration Dieser Regelsatz ist anfänglich nicht aktiviert. • Authorized Override With Authenticated User Configuration Dieser Regelsatz ist anfänglich nicht aktiviert. Authorized Override With URL Configuration Dieser untergeordnete Regelsatz behandelt das autorisierte Außerkraftsetzen in Bezug auf URL-Kategorien. Untergeordneter Bibliotheks-Regelsatz– Authorized Override With URL Configuration Criteria – URL.Categories<Default> at least one in list URL Categories Blocklist for Authorized Override Cycle – Requests (and IM) Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn ein Benutzer eine Anfrage für eine URL sendet, die in eine Kategorie der Blockierungsliste für autorisiertes Außerkraftsetzen in Bezug auf URL-Kategorien fällt. Der Regelsatz enthält die folgenden Regeln: Redirect after authenticating for authorized override Quota.AuthorizedOverride.lsActivationRequest<URL Category Configuration> equals true AND Authentication.Authenticate<User Database> equals true –> Redirect<Redirection After Authorized Session Activation> 270 McAfee Web Gateway 7.5.0 Produkthandbuch 8 Kontingentverwaltung Autorisiertes Außerkraftsetzen Die Regel leitet eine Anfrage um, sodass ein Benutzer nach Überschreiten der Sitzungsdauer erneut Zugriff auf ein Web-Objekt erhält, wenn die vom Benutzer übermittelten Anmeldeinformationen zum Fortfahren mit einer neuen Sitzung validiert wurden. Die Aktionseinstellungen geben an, dass eine Nachricht an den anfragenden Benutzer gesendet wird. Check if authorized override session has been exceeded Quota.AuthorizedOverride.SessionExceeded<URL Category Configuration> equals true –> Block<Action Authorized Override Blocked> Die Regel überprüft mithilfe der Quota.AuthorizedOverride.SessionExceeded-Eigenschaft, ob für einen Benutzer die konfigurierte Sitzungsdauer überschritten wurde. Wenn dies der Fall ist, wird die Web-Zugriffsanfrage des Benutzers blockiert. Die Einstellungen für URL Category Configuration, die zusammen mit der Eigenschaft angegeben werden, sind die Einstellungen des Moduls, das das autorisierte Außerkraftsetzen verwaltet. Die Aktionseinstellungen geben an, dass eine Nachricht an den anfragenden Benutzer gesendet wird. Authorized Override With IP Configuration Dieser untergeordnete Regelsatz behandelt das autorisierte Außerkraftsetzen in Bezug auf IP-Adressen. Untergeordneter Bibliotheks-Regelsatz– Authorized Override With IP Configuration Criteria – Client.IP is in list IP Blocklist for Authorized Override Cycle – Requests (and IM) Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn ein Benutzer eine Anfrage von einem Client mit einer IP-Adresse sendet, die in der Blockierungsliste für das autorisierte Außerkraftsetzen in Bezug auf IP-Adressen enthalten ist. Die Regeln in diesem Regelsatz entsprechen denen im Regelsatz „Authorized Override with URL Configuration“, mit Ausnahme der Moduleinstellungen in den Regelkriterien; diese lauten IP Configuration. Authorized Override With Authenticated User Configuration Dieser untergeordnete Regelsatz behandelt das autorisierte Außerkraftsetzen in Bezug auf Benutzernamen. Untergeordneter Bibliotheks-Regelsatz – Authorized Override With Authenticated User Configuration Criteria – Authenticated.RawUserName is in list User Blocklist for Authorized Override Cycle – Requests (and IM) Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn eine Anfrage von einem Benutzer gesendet wird, dessen Name auf der Blockierungsliste für autorisiertes Außerkraftsetzen in Bezug auf Benutzernamen aufgeführt wird. Die Regeln in diesem Regelsatz entsprechen denen im Regelsatz „Authorized Override with URL Configuration“, mit Ausnahme der Moduleinstellungen in den Regelkriterien; diese lauten Authenticated User Configuration. McAfee Web Gateway 7.5.0 Produkthandbuch 271 8 Kontingentverwaltung Blockierungssitzungen Blockierungssitzungen Durch die Konfiguration von Blockierungssitzungen können Sie von einem Benutzer gesendete Anfragen über einen konfigurierten Zeitraum blockieren. Eine Blockierungssitzung wird festgelegt, nachdem ein Benutzer eine Anfrage gesendet hat, die entsprechend einer konfigurierten Regel blockiert wurde, z. B. eine Anfrage nach einer URL, die in eine nicht zulässige Kategorie fällt. Dies ist ein Mittel zum Erzwingen einer Web-Sicherheitsrichtlinie für eine striktere Handhabung von unerwünschtem Zugriff auf Web-Objekte. Sie können Blockierungssitzungen hinsichtlich der im Bibliotheks-Regelsatz verwendeten Parameter konfigurieren. Darüber hinaus können Sie eigene Regeln konfigurieren, in denen andere Parameter verwendet werden. Konfigurieren von Blockierungssitzungen Sie können Blockierungssitzungen zum Blockieren einer Sitzung über einen konfigurierten Zeitraum nach dem versuchten Zugriff auf ein unzulässiges Web-Objekt konfigurieren. Vorgehensweise 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus. 2 Erweitern Sie in der Regelsatz-Baumstruktur den Regelsatz, der Regeln für die Blockierungssitzung enthält, z. B. den Bibliotheks-Regelsatz Blocking Sessions. Daraufhin werden die untergeordneten Regelsätze angezeigt. 3 Wählen Sie den entsprechenden untergeordneten Regelsatz aus, z. B. Blocking Sessions With IP Configuration. Nun werden die allgemeinen Einstellungen und Regeln des Regelsatzes im Einstellungsabschnitt angezeigt. 4 Klicken Sie in den Regelsatzkriterien auf den Namen der entsprechenden Blockierungsliste, z. B. IP Block List for Blocking Sessions. Ein gelbes Dreieck neben dem Listennamen zeigt an, dass die Liste anfänglich leer ist und Sie Einträge hinzufügen müssen. Daraufhin öffnet sich das Fenster Edit List (Category) (Liste bearbeiten, Kategorie). 5 Fügen Sie der Blockierungsliste die entsprechenden Einträge hinzu, z. B. IP-Adressen. Klicken Sie anschließend auf OK, um das Fenster zu schließen. 6 Klicken Sie in den Kriterien für eine der Regeln auf den Namen der entsprechenden Einstellungen, z. B. IP Configuration (IP-Konfiguration). Daraufhin öffnet sich das Fenster Edit Settings (Einstellungen bearbeiten). 272 7 Konfigurieren Sie die entsprechenden Parameter, z. B. den Zeitraum, für den Sitzungen blockiert werden. Klicken Sie anschließend auf OK, um das Fenster zu schließen. 8 Klicken Sie auf Save Changes (Änderungen speichern). McAfee Web Gateway 7.5.0 Produkthandbuch 8 Kontingentverwaltung Blockierungssitzungen Einstellungen für die Blockierungssitzung Mit den Einstellungen für die Blockierungssitzung wird das Modul konfiguriert, das die Blockierungssitzungen verarbeitet. Stunden und Minuten der Sitzungsdauer Einstellungen zum Konfigurieren der Dauer einer Blockierungssitzung Tabelle 8-9 Stunden und Minuten der Sitzungsdauer Option Definition Days (Tage) Legt die Tage für eine Blockierungssitzung fest. Hours (Stunden) Legt die Stunden für eine Blockierungssitzung fest. Minutes (Minuten) Legt die Minuten für eine Blockierungssitzung fest. Blocking Sessions (Regelsatz) Mit dem Bibliotheks-Regelsatz „Blocking Sessions“ können Web-Sitzungen nach dem versuchten Zugriff auf ein nicht zulässiges Web-Objekt blockiert werden. Bibliotheks-Regelsatz – Blocking Sessions Criteria – SSL.Client.Context.IsApplied equals true OR Command.Name does not equal “CONNECT” Cycle – Requests (and IM) Die Regelsatzkriterien geben an, dass der Regelsatz auf SSL-gesicherte Kommunikation und jegliche sonstige Kommunikation angewendet wird, bei der nicht am Anfang der CONNECT-Befehl verwendet wird. Dieser Regelsatz enthält den folgenden untergeordneten Regelsatz: Blocking Sessions With URL Configuration Blocking Sessions With URL Configuration Dieser untergeordnete Regelsatz behandelt Blockierungssitzungen in Bezug auf URL-Kategorien. Untergeordneter Bibliotheks-Regelsatz – Blocking Sessions With URL Configuration Criteria – URL.Categories<Default> at least one in list URL Categories Blocklist for Blocking Sessions Cycle – Requests (and IM) Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn ein Benutzer eine Anfrage für eine URL sendet, die in eine Kategorie der Blockierungsliste für das Blockieren von Sitzungen in Bezug auf URL-Kategorien fällt. Der Regelsatz enthält die folgenden Regeln: Block user if blocking session is active BlockingSession.IsBlocked<Blocking Session Configuration> equals true –> Block<Blocking Session Template> Die Regel überprüft mithilfe der BlockingSession.IsBlocked-Eigenschaft, ob für einen Benutzer, der eine Anfrage sendet, eine Blockierungssitzung aktiviert wurde. Wenn dies der Fall ist, wird die Anfrage blockiert. Die Einstellungen für die Aktion geben an, dass eine Nachricht an den anfordernden Benutzer gesendet wird. McAfee Web Gateway 7.5.0 Produkthandbuch 273 8 Kontingentverwaltung Kontingent-Systemeinstellungen Activate blocking session if category is in list Category List for Blocking Sessions URL.Categories<Default> at least one in list Category List for Blocking Session –> Continue — BlockingSession.Activate<Blocking Session Configuration> Die Regel überprüft mithilfe der URL.Categories-Eigenschaft, ob eine URL, auf die eine Benutzeranfrage zugreift, in eine Kategorie auf der Blockierungsliste fällt, die speziell für Blockierungssitzungen geführt wird. Wenn die URL in eine der Kategorien in der Liste fällt, wird eine Blockierungssitzung für den Benutzer aktiviert. Das BlockingSession.Activate-Ereignis wird zum Aktivieren der Blockierungssitzung verwendet. Die Ereigniseinstellungen werden zusammen mit dem Ereignis festgelegt. Kontingent-Systemeinstellungen Kontingent-Systemeinstellungen sind allgemeine Einstellungen für bei der Kontingentverwaltung genutzte Zeitintervalle. Wenn eine Appliance als Knoten in einer Konfiguration mit zentraler Verwaltung verwendet wird, können Sie Zeitintervalle für die Synchronisierung von Daten mit anderen Knoten konfigurieren. Die entsprechenden Einstellungen werden auf der Registerkarte Appliances des übergeordneten Menüs Configuration (Konfiguration) vorgenommen. Die Einstellungen werden möglicherweise unter dem Namen Coaching (statt Quota) angezeigt, gelten aber in beiden Fällen für alle Optionen, die für die Kontingentverwaltung zur Verfügung stehen: autorisiertes Außerkraftsetzen, Blockieren von Sitzungen, Coaching, Zeitkontingente und Volumenkontingente. Quota Intervals for Synchronisation and Saving in Minutes (Kontingentintervalle für Synchronisierung und Speicherung in Minuten) Einstellungen für bei der Kontingentverwaltung genutzte Zeitintervalle. Tabelle 8-10 Quota Intervals for Synchronisation and Saving in Minutes (Kontingentintervalle für Synchronisierung und Speicherung in Minuten) Option Definition Save interval (Speicherintervall) Gibt den Zeitraum (in Minuten) vor, nach dessen Ablauf die aktuellen Kontingentwerte auf einer Appliance gespeichert werden. Zu speichernde Kontingentwerte sind beispielsweise die von Benutzern verbrauchten Byte-Volumenmengen. Interval for sending updated quota data (Sendeintervall für aktualisierte Kontingentdaten) 274 McAfee Web Gateway 7.5.0 Gibt den Zeitraum (in Minuten) vor, nach dessen Ablauf die aktuellen Kontingentwerte von einer Appliance aus auf alle Knoten innerhalb der Konfiguration mit zentraler Verwaltung verteilt werden. Die verteilten Daten beinhalten alle Änderungen an Kontingentwerten, die seit der letzten Verteilung von Daten durch die Appliance erfolgt sind. Produkthandbuch 8 Kontingentverwaltung Kontingent-Systemeinstellungen Tabelle 8-10 Quota Intervals for Synchronisation and Saving in Minutes (Kontingentintervalle für Synchronisierung und Speicherung in Minuten) (Fortsetzung) Option Definition Interval for base synchronisation (Intervall für grundlegende Synchronisierung) Gibt den Zeitraum (in Minuten) vor, nach dessen Ablauf die Kontingentwerte aller Knoten innerhalb einer Konfiguration mit zentraler Verwaltung synchronisiert werden. Der Synchronisierungsvorgang fertigt einen Snapshot der aktuellen Kontingentwerte auf allen Appliances an. Die jeweils neuesten Werte der einzelnen Benutzer werden an alle Appliances verteilt. Die Verteilung der Werte erfolgt auch an Knoten, die zeitweise nicht aktiv waren und somit auch keine Aktualisierungen erhielten, die in dieser Zeit verteilt wurden. Außerdem werden die Werte auch an neu zur Konfiguration hinzugefügte Knoten verteilt, die bislang noch keinerlei Aktualisierungen erhalten haben. Cleanup database after (Datenbank säubern nach) Gibt den Zeitraum (in Tagen) vor, nach dessen Ablauf die Daten in der Kontingentdatenbank gelöscht werden. Vor dem Löschvorgang wird überprüft, ob die Daten tatsächlich obsolet sind. Daten sind dann obsolet, wenn das für eine Kontingentverwaltungsfunktion konfigurierte Zeitintervall abgelaufen ist. Wenn beispielsweise einem Benutzer für einen Monat eine festgelegte Byte-Menge als Volumenkontingent zur Verfügung steht, wird die Angabe der Menge, die der Benutzer während dieses Monats tatsächlich verbraucht hat, mit dem Beginn eines neuen Monats obsolet. Beim Säuberungsvorgang werden diese Daten dann gelöscht, sofern auch der in der Option Cleanup database after (Datenbank säubern nach) festgelegte Zeitraum abgelaufen ist. Gespeicherte Daten bezüglich Zeitkontingenten werden nach einem Monat obsolet. Für andere Kontingentverwaltungsfunktionen sind andere Zeitintervalle ausschlaggebend. Beim Coaching und autorisierten Außerkraftsetzen kann der Säuberungsvorgang z. B. erst durchgeführt werden, wenn der für die entsprechende Sitzung zur Verfügung gestellte Zeitraum abgelaufen ist. McAfee Web Gateway 7.5.0 Produkthandbuch 275 8 Kontingentverwaltung Kontingent-Systemeinstellungen 276 McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung Wenn die Benutzer Ihres Netzwerks Web-Zugriffsanfragen senden, filtert Web Gateway diese Anfragen sowie die Antworten, die aus dem Internet zurückgesendet werden. Eingebettete Objekte, die mit Anfragen oder Antworten gesendet werden, werden ebenfalls gefiltert. Die Web-Filterung wird auf verschiedene Art und Weise durchgeführt. Sie wird durch Regeln gesteuert, die Sie überprüfen und ändern können, um sie an die Anforderungen Ihrer Web-Sicherheitsrichtlinien anzupassen. Die Standardfilterprozesse auf WebGateway umfassen Folgendes: • Viren- und Malware-Filterung: Blockiert den Zugriff auf Web-Objekte, die mit Viren und anderer Malware infiziert sind • URL-Filterung: Blockiert den Zugriff auf Web-Objekte mit bestimmten URLs bzw. lässt ihn zu • Medientypfilterung: Blockiert den Zugriff auf Web-Objekte, die zu bestimmten Medientypen gehören, bzw. lässt ihn zu Mit globalen Whitelists können Sie den Zugriff auf Web-Objekte zulassen, bevor die Regeln der oben genannten Filterungsmethoden angewendet werden. SSL-Scans ermöglichen die Filterung von Anfragen, die über SSL-gesicherte Verbindungen gesendet werden. Inhalt Viren- und Malware-Filterung URL-Filterung Medientyp-Filterung Anwendungsfilterung Streaming-Medien-Filterung Globale Whitelists SSL-Scans Hardware Security Module Advanced Threat Defense Data Loss Prevention McAfee Web Gateway 7.5.0 Produkthandbuch 277 9 Web-Filterung Viren- und Malware-Filterung Viren- und Malware-Filterung Die Viren- und Malware-Filterung stellt sicher, dass die Benutzer Ihres Netzwerks nicht auf Web-Objekte zugreifen können, die durch Viren und andere Malware infiziert sind. Der Filterprozess erkennt Infektionen und blockiert den Zugriff entsprechend. Der Prozess umfasst mehrere Elemente mit jeweils unterschiedlichen Funktionen. • Filterregeln steuern den Prozess. • Whitelists werden von Regeln verwendet, damit für einige Web-Objekte die Viren- und Malware-Filterung übersprungen werden kann. • Das Modul „Anti-Malware“, das durch eine bestimmte Regel aufgerufen wird, scannt Web-Objekte auf Viren- oder andere Malware-Infektionen. Ein Standardprozess zur Viren- und Malware-Filterung wird nach der Ersteinrichtung auf Web Gateway installiert. Sie können diesen Prozess verändern und an die Bedürfnisse Ihrer Web-Sicherheitsrichtlinie anpassen. Sie haben die folgenden Möglichkeiten zur Konfiguration der Viren- und Malware-Filterung: • Schlüsselelemente von Regeln: Nachdem Sie in der Regelsatz-Baumstruktur auf den Regelsatz Gateway Anti-Malware geklickt haben, können Sie Schlüsselelemente der Standardregeln für den Filterprozess anzeigen und konfigurieren. • Vollständige Regeln: Wenn Sie in der Schlüsselelementansicht auf Unlock View (Anzeige entsperren) klicken, werden die Standardregeln für das Filtern vollständig angezeigt, und Sie können alle Elemente, auch die Schlüsselelemente, konfigurieren sowie neue Regeln erstellen oder Regeln löschen. Um von dieser Ansicht wieder zur Schlüsselelementansicht zurückzukehren, müssen Sie alle Änderungen verwerfen oder den Regelsatz erneut importieren. Filterregeln Üblicherweise enthält ein Regelsatz alle zur Steuerung der Viren- und Malware-Filterung benötigten Regeln. Die Schlüsselregel in diesem Regelsatz ist die Regel, die den Zugriff auf Web-Objekte blockiert, wenn diese durch Viren und andere Malware infiziert sind. Um herauszufinden, ob ein Objekt infiziert ist, ruft die Regel das Modul „Anti-Malware“ auf, das das Modul scannt und der Regel das Ergebnis meldet. Whitelisting-Regeln können in diesem Regelsatz vor der Blockierungsregel platziert und verarbeitet werden. Wenn eine der Regeln zutrifft, wird die Blockierungsregel übersprungen, und die Objekte der Whitelist werden nicht gescannt. Wenn das Standard-Regelsatzsystem implementiert ist, ist ein Regelsatz zur Viren- und Malware-Filterung enthalten. Dieser Regelsatz heißt Gateway Anti-Malware. Whitelists Whitelists werden von Whitelisting-Regeln verwendet, um einige Web-Objekte die Blockierungsregel überspringen zu lassen, d. h., diese Objekte nicht zu scannen. Es können Whitelists für URLs, Medientypen und andere Objekttypen vorhanden sein. Sie können diesen Listen Einträge hinzufügen oder Einträge daraus entfernen. Sie können auch eigene Listen erstellen und diese von den Whitelist-Regeln verwenden lassen. 278 McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung Viren- und Malware-Filterung Blockierungslisten werden üblicherweise nicht für die Viren- und Malware-Filterung verwendet, da die Blockierung hier nicht von Einträgen in Listen abhängig ist, sondern von den Ergebnissen des Moduls „Anti-Malware“. Modul „Anti-Malware“ Das Modul „Anti-Malware“ wird auch als Engine „Anti-Malware“ bezeichnet. Es scannt Objekte auf Infektionen durch Viren und sonstige Malware. Entsprechend den Ergebnissen dieses Moduls blockiert die Blockierungsregel den Zugriff auf Web-Objekte oder lässt diese passieren. Wenn das Modul „Anti-Malware“ zum Ausführen und Scannen von Web-Objekten aufgerufen wird, handelt es sich standardmäßig um eine Kombination aus zwei Modulen, die ausgeführt werden. Diese Module können als Sub-Module des Moduls „Anti-Malware“ betrachtet werden. Jedes dieser Sub-Module verwendet verschiedene Scan-Methoden. Die beiden Standard-Sub-Module sind das McAfee Gateway Anti-Malware-Modul und das McAfee Anti-Malware-Modul. Letzteres verwendet zum Erkennen von Infektionen in Web-Objekten Virus-Signaturen. Diese Methode kann jedoch nur Viren und sonstige Malware erkennen, die bereits bekannt und mit Signaturen versehen sind. Für eine erhöhte Web-Sicherheit verwendet das McAfee Gateway Anti-Malware-Modul auch proaktive Methoden zur Erkennung neuer Viren und Malware. Beim Konfigurieren der Einstellungen für das Modul „Anti-Malware“ können Sie den Standardmodus ändern, sodass ein Sub-Modul eines Drittanbieters zusätzlich oder alleine ausgeführt wird. Das McAfee Gateway Anti-Malware-Modul fügt in einigen Fällen einer URL auf einer Webseite ein Wasserzeichen hinzu, das entfernt werden muss, wenn die URL an den entsprechenden Web-Server weitergeleitet werden soll. Ein Regelsatz mit einer passenden Regel zum Entfernen des Wasserzeichens wird in der Regelsatz-Bibliothek bereitgestellt. Um eine vorübergehende Überlastung der Sub-Module zu vermeiden, können Sie eine Malware-Schutz-Warteschlange erstellen, in die Anfragen vor dem Scannen verschoben werden. Konfigurieren von Schlüsselelementen für die Viren- und Malware-Filterung Konfigurieren Sie Schlüsselelemente der Regeln für die Viren- und Malware-Filterung, um wichtige Teile des Filterprozesses an die Anforderungen Ihrer Web-Sicherheitsrichtlinie anzupassen. Vorgehensweise 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus. 2 Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz Gateway Anti-Malware aus. Nun werden die Schlüsselelemente der Regeln für den Filterprozess im Konfigurationsbereich angezeigt. 3 Konfigurieren Sie die Schlüsselelemente nach Bedarf. 4 Klicken Sie auf Save Changes (Änderungen speichern). Siehe auch Schlüsselelemente für die Viren- und Malware-Filterung auf Seite 280 McAfee Web Gateway 7.5.0 Produkthandbuch 279 9 Web-Filterung Viren- und Malware-Filterung Schlüsselelemente für die Viren- und Malware-Filterung Die Schlüsselelemente der Regeln für die Viren- und Malware-Filterung beziehen sich auf wichtige Teile dieses Filterprozesses. Bypass Scanning for These Agents and Hosts (Scannen für diese Agenten und Hosts umgehen) Schlüsselelemente für das Umgehen des Scannens durch das Anti-Malware-Modul Tabelle 9-1 Bypass scanning for these agents and hosts (Scannen für diese Agenten und Hosts umgehen) Option Definition User agent whitelist (Whitelist für Benutzer-Agenten) Wenn Sie auf Edit (Bearbeiten) klicken, öffnet sich ein Fenster, in dem Sie die von einer Regel verwendete Whitelist für Benutzer-Agenten bearbeiten können. Sie können der Liste Einträge hinzufügen sowie Einträge der Liste bearbeiten oder löschen. URL host whitelist (URL-Host-Whitelist) Wenn Sie auf Edit (Bearbeiten) klicken, öffnet sich ein Fenster, in dem Sie die von einer Regel verwendete URL-Host-Whitelist bearbeiten können. Sie können der Liste Einträge hinzufügen sowie Einträge der Liste bearbeiten oder löschen. Scanning Options (Scan-Optionen) Schlüsselelemente für Scan-Aktivitäten des Anti-Malware-Moduls Tabelle 9-2 Scanning Options (Scan-Optionen) Option Definition Remove partial content for HTTP requests (Unvollständige Inhalte für HTTP-Anfragen entfernen) Bei Auswahl dieser Option wird eine Regel aktiviert, die die Angabe in einer HTTP- bzw. HTTPS-Anfrage entfernt, dass nur auf einen Teil der Inhalte eines Web-Objekts zugegriffen wird, sodass sich die Anfrage auf den vollständigen Inhalt bezieht. Wenn ein Web-Objekt (z. B. eine Datei) vom betreffenden Web-Server vollständig übermittelt wird, kann es auch vollständig von Web Gateway gescannt werden. Beim einem kompletten Scan-Vorgang können Infektionen festgestellt werden, die beim teilweisen Scannen des Web-Objekts möglicherweise nicht erkannt werden. Block partial content for FTP requests (Teilinhalte für FTP-Anfragen blockieren) Bei Auswahl dieser Option wird eine Regel aktiviert, die FTP-Anfragen blockiert, bei denen nur ein Teil der Inhalte eines Web-Objekts angefordert wird. Gemäß dem FTP-Protokoll ist es nicht möglich, die Angabe des Zugriffs auf unvollständige Inhalte eines Web-Objekts aus Anfragen zu entfernen. Daher empfiehlt es sich, derartige Anfragen zu blockieren. Use the Media Stream Scanner (Media Stream Scanner verwenden) Bei Auswahl dieser Option scannt und übermittelt der Media Stream Scanner Web-Objekte, bei denen es sich um Streaming-Medien handelt, paketweise, wodurch der Vorgang beschleunigt wird. Die proaktiven Funktionen des McAfee Gateway Anti-Malware-Moduls werden zum Scannen verwendet; die anderen für diesen Zweck in Web Gateway verfügbaren Module hingegen sind an diesem Prozess nicht beteiligt. 280 McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung Viren- und Malware-Filterung Gateway Anti-Malware Settings (Gateway Anti-Malware-Einstellungen) Schlüsselelemente für das Konfigurieren von Einstellungen für das Anti-Malware-Modul Tabelle 9-3 Gateway Anti-Malware Settings (Gateway Anti-Malware-Einstellungen) Option Definition Enable Anti-Malware scanning (Malware-Schutz-Scan aktivieren) Bei Auswahl dieser Option wird eine Regel aktiviert, die das Anti-Malware-Modul aufruft, das Web-Objekte auf Infektionen mit Viren und sonstiger Malware scannt. Settings (Einstellungen) Wenn Sie auf Edit (Bearbeiten) klicken, wird ein Fenster geöffnet, in dem Sie die Einstellungen für das Anti-Malware-Modul bearbeiten können. Konfigurieren der Viren- und Malware-Filterung mithilfe der vollständigen Regelansicht Sie können die Viren- und Malware-Filterung konfigurieren, um diesen Prozess an die Anforderungen Ihres Netzwerks anzupassen. Führen Sie die folgenden allgemeinen Schritte aus. Vorgehensweise 1 Prüfen Sie die Regeln im Regelsatz für die Viren- und Malware-Filterung. Hierbei handelt es sich standardmäßig um den Regelsatz Gateway Anti-Malware. 2 Ändern Sie diese Regeln nach Bedarf. Sie können beispielsweise Folgendes ausführen: • Aktivieren oder Deaktivieren von Whitelist-Regeln • Bearbeiten der Listen, die von den Whitelist-Regeln verwendet werden Ein gelbes Dreieck neben dem Namen einer Liste zeigt an, dass die Liste anfänglich leer ist und Sie Einträge hinzufügen müssen. • Erstellen eigener Whitelists und Festlegen von deren Verwendung durch die Whitelist-Regeln • Ändern der Kombination von Sub-Modulen, die beim Aufrufen des Anti-Malware-Moduls zum Scannen von Web-Objekten ausgeführt werden Standardmäßig umfasst die Kombination die folgenden Sub-Module: • • McAfee Gateway Anti-Malware • McAfee Anti-Malware Ändern anderer Einstellungen des Anti-Malware-Moduls 3 Konfigurieren Sie die Entfernung von Wasserzeichen aus URLs, wenn diese nach dem Scannen an die entsprechenden Web-Server übergeben werden sollen. 4 Konfigurieren Sie die Malware-Schutz-Warteschlangen entsprechend den jeweiligen Anforderungen, um eine Überlastung der Module zum Scannen von Web-Objekten zu verhindern. 5 Speichern Sie die Änderungen. McAfee Web Gateway 7.5.0 Produkthandbuch 281 9 Web-Filterung Viren- und Malware-Filterung Konfigurieren von Einstellungen für das Modul „Anti-Malware“ Sie können das Modul „Anti-Malware“ konfigurieren, um zu ändern, auf welche Weise Web-Objekte auf Infektionen mit Viren und sonstiger Malware gescannt werden. Vorgehensweise 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus. 2 Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz für die Virus- und Malware-Filterung aus. Hierbei handelt es sich standardmäßig um den Regelsatz Gateway Anti-Malware. Daraufhin werden die Regeln des Regelsatzes im Einstellungsbereich angezeigt. 3 Achten Sie darauf, dass Show details (Details anzeigen) ausgewählt ist. 4 Suchen Sie nach der Regel, die das Modul „Anti-Malware“ aufruft. Standardmäßig ist dies die Regel Block if virus was found. 5 Klicken Sie in den Regelkriterien auf den Namen der Einstellungen. Dieser Name wird neben der Eigenschaft Antimalware.Infected angezeigt. Standardmäßig lautet dieser Gateway Anti-Malware. Daraufhin öffnet sich das Fenster Edit Settings (Einstellungen bearbeiten). Es enthält die Einstellungen für das Modul „Anti-Malware“. 6 Konfigurieren Sie diese Einstellungen nach Bedarf. Klicken Sie anschließend auf OK, um das Fenster zu schließen. 7 Klicken Sie auf Save Changes (Änderungen speichern). Siehe auch Einstellungen für „Anti-Malware“ auf Seite 284 Ändern der Modulkombination zum Scannen von Web-Objekten Beim Konfigurieren der Einstellungen des Anti-Malware-Moduls können Sie die Kombination der Submodule ändern, die zum Scannen von Web-Objekten ausgeführt werden. Unter dem Namen des Moduls (Engine) Anti-Malware können verschiedene Submodule zum Scannen ausgeführt werden. Welche dieser Submodule auf Ihrer Appliance verfügbar sind, hängt von Ihren erworbenen Lizenzen ab. Vorgehensweise 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus. 2 Rufen Sie die Einstellungen für „Anti-Malware“ auf. a Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz für die Virus- und Malware-Filterung aus. Hierbei handelt es sich standardmäßig um den Regelsatz Gateway Anti-Malware. Daraufhin werden die Regeln des Regelsatzes im Einstellungsbereich angezeigt. b 282 Achten Sie darauf, dass Show details (Details anzeigen) ausgewählt ist. McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung Viren- und Malware-Filterung c Suchen Sie nach der Regel, die das Modul „Anti-Malware“ aufruft. Standardmäßig ist dies die Regel Block if virus was found. d Klicken Sie in den Regelkriterien auf den Namen der Einstellungen. Dieser Name wird neben der Eigenschaft Antimalware.Infected angezeigt. Standardmäßig lautet dieser Gateway Anti-Malware. Daraufhin öffnet sich das Fenster Edit Settings (Einstellungen bearbeiten). Es enthält die Einstellungen für das Modul „Anti-Malware“. 3 Wählen Sie im Abschnitt Select scanning engines and behavior (Auswählen der Scan-Module und des Verhaltens) eine der folgenden Kombinationen aus Submodulen: • Full McAfee coverage: The recommended high-performance configuration (Vollständiger McAfee-Schutz: Die empfohlene Hochleistungskonfiguration): Bei Auswahl dieser Option sind das McAfee Gateway Anti-Malware-Modul und das McAfee Anti-Malware-Modul aktiv. Der Scan-Modus lautet dann: Proaktive Methoden + Virussignaturen Diese Modulkombination ist standardmäßig aktiviert. • Layered coverage: Full McAfee coverage plus specific Avira engine features – minor performance impact (Mehrstufiger Schutz: Vollständiger McAfee-Schutz plus bestimmte Avira-Modulfunktionen – geringe Leistungseinbußen): Bei Auswahl dieser Option sind das McAfee Gateway Anti-Malware-Modul, das McAfee Anti-Malware-Modul und für einige Web-Objekte zusätzlich das Avira-Modul (Drittanbieter) aktiv. Der Scan-Modus lautet dann: Proaktive Methoden + Virussignaturen + Modulfunktionen eines Drittanbieters für einige Web-Objekte • Duplicate coverage: Full McAfee coverage and Avira engine – less performance and more false positives (Doppelter Schutz: Vollständiger McAfee-Schutz und Avira-Modul – weniger Leistung und mehr False-Positives): Bei Auswahl dieser Option sind das McAfee Gateway Anti-Malware-Modul, das McAfee Anti-Malware-Modul und das Avira-Modul (Drittanbieter) aktiv. Der Scan-Modus lautet dann: Proaktive Methoden + Virussignaturen + Modulfunktionen eines Drittanbieters • Avira only: Only uses Avira engine – not recommended (Nur Avira: Nur das Avira-Modul wird verwendet – nicht empfohlen): Bei Auswahl dieser Option ist nur das Avira-Modul aktiv. Der Scan-Modus lautet dann: Modulfunktionen eines Drittanbieters 4 Klicken Sie auf OK, um das Fenster zu schließen. 5 Klicken Sie auf Save Changes (Änderungen speichern). Wenn Sie beim Arbeiten mit dem Regelsatz für Gateway Anti-Malware die Option wählen, dass nur Avira verwendet wird, sollten Sie die Einstellungen und den Regelsatz umbenennen, um zu verdeutlichen, dass sich eine Schlüsseleinstellung geändert hat. Die Umbenennung könnte beispielsweise von Gateway Anti-Malware (Einstellungen und Regelsatz) in Avira Anti-Malware (Einstellungen und Regelsatz) erfolgen. Anstatt den Regelsatz und die Einstellungen umzubenennen, können Sie auch einen zusätzlichen Regelsatz und zusätzliche Einstellungen erstellen, damit diese bei Bedarf zum Konfigurieren von Regeln verfügbar sind. McAfee Web Gateway 7.5.0 Produkthandbuch 283 9 Web-Filterung Viren- und Malware-Filterung Einstellungen für „Anti-Malware“ Mit den Einstellungen für „Anti-Malware“ können Sie konfigurieren, wie das „Anti-Malware“-Modul Web-Objekte auf Viren- oder andere Malware-Infektionen scannt. Auswahl der Scan-Module und des Verhaltens Einstellungen für die Auswahl einer Kombination von Scan-Modulen und deren Verhalten für den Fall, dass ein Modul eine Infektion erkennt Die Scan-Module sind die Submodule, die zusammen als „Anti-Malware“-Modul Web-Objekte scannen Tabelle 9-4 Auswahl von Scan-Modulen Option Definition Full McAfee coverage: The recommended high-performance configuration (Vollständiger McAfee-Schutz: Die empfohlene Hochleistungskonfiguration) Bei Auswahl dieser Option sind das McAfee Gateway Anti-Malware-Modul und das McAfee Anti-Malware-Modul aktiv. Zum Scannen der Web-Objekte werden folgende Methoden verwendet: Proaktive Methoden + Virussignaturen Diese Option ist standardmäßig ausgewählt. Layered coverage: Full McAfee coverage plus specific Avira engine features — minor performance impact (Mehrstufiger Schutz: Vollständiger McAfee-Schutz plus bestimmte Avira-Modulfunktionen – geringe Leistungseinbußen) Bei Auswahl dieser Option sind das McAfee Gateway Anti-Malware-Modul, das McAfee Anti-Malware-Modul und für einige Web-Objekte zusätzlich das Avira-Modul (Drittanbieter) aktiv. Zum Scannen der Web-Objekte werden folgende Methoden verwendet: Proaktive Methoden + Virussignaturen + Modulfunktionen eines Drittanbieters für einige Web-Objekte Duplicate coverage: Full McAfee coverage and Avira Bei Auswahl dieser Option sind das McAfee Gateway engine — less performance and more false positives Anti-Malware-Modul, das McAfee Anti-Malware-Modul (Doppelter Schutz: Vollständiger McAfee-Schutz und und das Avira-Modul (Drittanbieter) aktiv. Avira-Modul – weniger Leistung und mehr False-Positives) Zum Scannen der Web-Objekte werden folgende Methoden verwendet: Proaktive Methoden + Virussignaturen + Modulfunktionen eines Drittanbieters Avira only: Only uses Avira engine — not recommended (Nur Avira: Nur das Avira-Modul wird verwendet – nicht empfohlen) Bei Auswahl dieser Option ist nur das Avira-Modul aktiv. Zum Scannen der Web-Objekte werden folgende Methoden verwendet: Modulfunktionen eines Drittanbieters Stop virus scanning right after an engine detected a virus Bei Auswahl dieser Option wird das Scannen eines (Viren-Scan gleich nach Entdeckung eines Virus anhalten) Web-Objekts sofort angehalten, sobald ein Modul eine Virus- oder andere Malware-Infektion entdeckt hat. Verhalten von mobilem Code Einstellungen für das Konfigurieren einer Risikostufe bei der Klassifizierung von mobilem Code Die Risikostufenwerte liegen im Bereich von 60 bis 100. 284 McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung Viren- und Malware-Filterung Ein niedriger Wert bedeutet, das Risiko, das Verhalten von mobilem Code proaktiv zu scannen und nicht zu erkennen, dass es sich um Malware handelt, ist gering, weil die Scan-Methoden konsequent angewendet werden. Mobiler Code wird auch dann als Malware klassifiziert, wenn nur einige wenige Kriterien für potenziell bösartiges Verhalten entdeckt wurden. Dies kann dazu führen, dass mobiler Code als Malware klassifiziert wird, der eigentlich nicht bösartig ist („False-Positives“). Während durch strengere Einstellungen mehr proaktive Sicherheit erzielt wird, nimmt bei der Bestimmung, welcher mobile Code wirklich bösartig ist, die Genauigkeit ab. Daher werden möglicherweise Web-Objekte von der Appliance blockiert, die eigentlich an die Benutzer weitergeleitet werden sollten. Ein hoher Wert bedeutet, das Risiko, dass bösartiger mobiler Code nicht erkannt wird (mehr „False-Negatives“) ist hoch, jedoch ist die korrekte Klassifizierung von mobilem Code als bösartig genauer (weniger „False-Positives“). Tabelle 9-5 Verhalten von mobilem Code Option Definition Classification threshold (Klassifizierungsschwellenwert) Legt wie oben beschrieben eine Risikostufe auf einer einstellbaren Skala fest. • Mindestwert (maximale Proaktivität): 60 • Höchstwert (maximale Genauigkeit): 100 Erweiterte Einstellungen Erweiterte Einstellungen für alle Scan-Submodule McAfee Web Gateway 7.5.0 Produkthandbuch 285 9 Web-Filterung Viren- und Malware-Filterung Tabelle 9-6 Erweiterte Einstellungen Option Definition Enable Antivirus prescan (Antivirus-Prescan aktivieren) Bei Auswahl dieser Option wird die Leistungsfähigkeit der Submodule durch eine Verringerung der an sie zum Scannen gesendeten Daten verbessert. Increase Web Gateway performance by making a light-weight pass on (Web Gateway-Leistung erhöhen durch einfaches Scannen von): • Common web files (Allgemeine Web-Dateien) • Common web files and other low-risk files (Allgemeine Web-Dateien und sonstige Dateien mit geringem Risiko) Diese Option ist standardmäßig aktiviert. Es empfiehlt sich, diese Einstellung beizubehalten. Bei Auswahl dieser Option sind die drei Optionen darunter ebenfalls zugänglich. Sie können eine davon auswählen, um den Dateitypbereich zu konfigurieren, auf den der einfache Malware-Scan angewendet werden soll. • Common web files, other low-risk files, and web content on trustworthy sites (Allgemeine Die dritte Option ist standardmäßig aktiviert. Web-Dateien, sonstige Dateien mit geringem Risiko und Web-Inhalt auf vertrauenswürdigen Websites) Die drei Optionen beziehen sich aufeinander: Wenn die erste Option konfiguriert ist, können die anderen beiden Files matching the selected option do not continue to Optionen nicht ausgewählt werden. Die zweite Option the standard anti-malware scanning. (Dateien, auf die schließt die erste Option ein, und die dritte Option die ausgewählte Option zutrifft, werden nicht mehr mit schließt die erste und die zweite Option ein. dem Standard-Malware-Schutz-Scan gescannt.) Das URL-Filtermodul ist ebenfalls aktiv, um zu überprüfen, ob die Website, von der eine Datei heruntergeladen wird, vertrauenswürdig ist. Durch Aktualisierungen der Virus- und Malware-Filterinformationen kann die Kategorisierung der Dateitypen geändert werden, z. B. in sicher oder selten ausgenutzt oder auf vertrauenswürdigen Websites gehostet. Enable GTI file reputation queries (GTI-Datei-Reputationsanfragen aktivieren) Bei Auswahl dieser Option enthält das Scan-Ergebnis auch Informationen über die Reputation von Dateien aus dem Global Threat Intelligence-System. Enable heuristic scanning (Heuristik-Scan aktivieren) Bei Auswahl dieser Option werden heuristische Scan-Methoden auf Web-Objekte angewendet. Erweiterte Einstellungen für McAfee Gateway Anti-Malware Erweiterte Einstellungen für das McAfee Gateway Anti-Malware-Submodul Die folgenden Optionen sind standardmäßig aktiviert. Es empfiehlt sich, diese Einstellungen beizubehalten. Tabelle 9-7 Erweiterte Einstellungen für McAfee Gateway Anti-Malware Option Definition Enable detection for potentially unwanted programs (Entdeckung von potenziell unerwünschten Programmen aktivieren) Bei Auswahl dieser Option werden Web-Objekte auch auf potenziell unerwünschte Programme gescannt. Enable mobile code scanning (Mobil-Code-Scan aktivieren) Bei Auswahl dieser Option wird mobiler Code ganz allgemein gescannt. Individuelle Einstellungen können unter Scan the following mobile code types (Folgende Arten von mobilem Code scannen) konfiguriert werden. 286 McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung Viren- und Malware-Filterung Tabelle 9-7 Erweiterte Einstellungen für McAfee Gateway Anti-Malware (Fortsetzung) Option Definition Enable removal of disinfectable content detected in HTML documents by mobile code filter (Entfernung von desinfizierbarem Inhalt aktivieren, der von Filter für mobilen Code in HTML-Dokumenten gefunden wurde) Bei Auswahl dieser Option kann der hier beschriebene Inhalt entfernt werden. Enable Payload Heuristics (Inhaltsheuristiken aktivieren) Bei Auswahl dieser Option verwendet das McAfee Gateway Anti-Malware-Modul zum Scannen von Web-Objekten die hocheffizienten Inhaltsheuristiken. Wenn diese Option aktiviert ist, versieht das Scan-Modul URLs von ausführbaren Dateien und ähnlichen Web-Objekten, z. B. den auf Webseiten enthaltenen DLL-Dateien (Dynamic Link Libraries), mit einem Wasserzeichen. Wenn diese URLs von den Appliances an die entsprechenden Web-Server weitergeleitet werden, müssen die Wasserzeichen entfernt werden. Ein Ereignis in einer Regel, die in einem Bibliotheks-Regelsatz enthalten ist, entfernt die Wasserzeichen durch Überschreiben der URLs. Der Name dieses Regelsatzes lautet Payload Heuristic – Rewrite Watermarked URLs (Inhaltsheuristik – URLs mit Wasserzeichen überschreiben). Diesen Regelsatz müssen Sie importieren und an der obersten Stelle der Regelsatz-Baumstruktur positionieren. Wenn Sie die Option auswählen, wird eine Meldung über diese zusätzliche Anforderung angezeigt. Scan the following mobile code types (Folgende Arten von mobilem Code scannen) Wenn die folgenden Arten von mobilem Code ausgewählt werden, werden sie gescannt. Windows executables (Ausführbare Windows-Dateien) Wenn diese ausführbaren Dateien aus dem Internet heruntergeladen oder per E-Mail empfangen und dann gestartet werden, können sie zur Bedrohung werden, da sie mit allen Berechtigungen des aktuellen Benutzers ausgeführt werden. JavaScript JavaScript-Code kann praktisch überall eingebettet werden, in Webseiten, PDF-Dokumente, Video- und HTML-Dateien. Flash ActionScript (Flash-ActionScript) ActionScript-Code kann in Flash-Videos und Animationen eingebettet werden und hat Zugriff auf den Flash-Player und den Browser mit allen Funktionen. Java applets (Java-Applets) Java-Applets können in Webseiten eingebettet werden. Nach der Aktivierung werden sie auf Grundlage eines digitalen Zertifikats und der Benutzerauswahl auf verschiedenen Berechtigungsebenen ausgeführt. Java applications (Java-Anwendungen) Java-Anwendungen werden eigenständig mit allen Berechtigungen des aktuellen Benutzers ausgeführt. ActiveX controls (ActiveX-Steuerelemente) ActiveX-Steuerelemente können in Webseiten und Office-Dokumente eingebettet werden. Nach der Aktivierung werden sie mit allen Berechtigungen des aktuellen Benutzers ausgeführt. McAfee Web Gateway 7.5.0 Produkthandbuch 287 9 Web-Filterung Viren- und Malware-Filterung Tabelle 9-7 Erweiterte Einstellungen für McAfee Gateway Anti-Malware (Fortsetzung) Option Definition Windows libraries (Windows-Bibliotheken) Diese Bibliotheken sind normalerweise zusammen mit einer ausführbaren Datei in einem Setup-Paket enthalten oder werden von einer ausführbaren Datei oder von bösartigem Code aus dem Internet heruntergeladen. Visual Basic script (Visual Basic-Skript) Visual Basic-Skript-Code kann in Webseiten und E-Mails eingebettet werden. Visual Basic for Applications Visual Basic-Makros können in Office-Dokumente eingebettet werden, die mit Word, Excel oder PowerPoint erstellt wurden. Block the following behavior (Folgendes Verhalten blockieren) Wenn die folgenden Verhaltenstypen ausgewählt werden, werden Web-Objekte, die dieses Verhalten zeigen, blockiert. Data theft: Backdoor (Datendiebstahl: Backdoor) Bösartige Anwendungen gewähren einem Angreifer durch vorhandene oder neu erschaffene Netzwerkkanäle vollständigen Remote-Zugriff und Kontrolle über das System des Opfers. Data theft: Keylogger (Datendiebstahl: Keylogger) Bösartige Anwendungen klinken sich ins Betriebssystem ein, um die vorgenommenen Tastenanschläge aufzuzeichnen. Die erfassten Informationen, z. B. Kennwörter, werden dem Angreifer gemeldet. Data theft: Password stealer (Datendiebstahl: Kennwortdiebstahlprogramm) Bösartige Anwendungen erfassen und speichern sensible Daten, um sie weiterzugeben, z. B. die Systemkonfiguration, vertrauliche Daten, Anmeldeinformationen und sonstige Daten für die Benutzerauthentifizierung. System compromise: Code execution exploit (Systemgefährdung: Code-Ausführungs-Exploit) Mithilfe von Exploits für Schwachstellen in Client-Anwendungen, z. B. Browser, Office-Programme oder Multimedia-Player, können Angreifer beliebigen Code in den angegriffenen Systemen ausführen. System compromise: Browser exploit (Systemgefährdung: Browser-Exploit) Mithilfe von Exploits für Schwachstellen in Browser-Anwendungen und Plug-Ins können Angreifer beliebigen Code ausführen, sensible Daten stehlen oder höhere Berechtigungen erlangen. System compromise: Trojan (Systemgefährdung: Trojaner) Bösartige Anwendungen geben vor, harmlos oder nützlich zu sein, fügen dem System aber in Wahrheit Schaden zu. Stealth activity: Rootkit (Getarnte Aktivität: Bösartige Anwendungen oder Gerätetreiber manipulieren das Rootkit) Betriebssystem und verbergen die Anwesenheit von Malware auf infizierten Systemen. Nach dem erfolgreichen Angriff werden alle Dateien, Registrierungsschlüssel und Netzwerkverbindungen, die zu den Malware-Prozessen gehören, unsichtbar und können nur sehr schwer wiederhergestellt werden. Viral Replication: Network worm (Virusreplikation: Netzwerkwurm) Bösartige Anwendungen oder Gerätetreiber replizieren sich selbst mithilfe von E-Mails, dem Internet, Peer-zu-Peer-Netzwerkdiensten oder indem sie sich selbst auf Wechseldatenträger, wie z. B. USB-Geräte, kopieren. Viral Replication: File infector virus (Virusreplikation: Dateiinfiziererungsvirus) Selbstreplizierende Anwendungen infizieren vorhandene Dateien auf der Festplatte und betten Virencode ein, damit er sich über die frisch infizierte Host-Datei ausbreitet. System compromise: Trojan downloader Skript-Code oder bösartige Anwendungen laden zusätzlichen (Systemgefährdung: Trojaner-Downloader) Inhalt aus dem Internet herunter und führen ihn aus. 288 McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung Viren- und Malware-Filterung Tabelle 9-7 Erweiterte Einstellungen für McAfee Gateway Anti-Malware (Fortsetzung) Option Definition System compromise: Trojan dropper (Systemgefährdung: Trojaner-Dropper) Bösartige Anwendungen schleusen versteckten Inhalt ein, extrahieren ihn und starten ihn bei der Ausführung. System compromise: Trojan proxy (Systemgefährdung: Trojaner-Proxy) Bösartige Anwendungen lassen potenziell bösartige versteckte Netzwerkaktivitäten durch das angegriffene System zu. Web threats: Infected website (Internet-Bedrohungen: Infizierte Website) Websites enthalten eingeschleusten bösartigen Skript-Code oder fordern weiteren bösartigen Code an, sobald sie in einem Browser geöffnet werden. Die ursprüngliche Infektion kann beispielsweise durch SQL-Injektion auf dem Web-Server erfolgt sein. Stealth activity: Code injection (Tarnungsaktivität: Code-Einschleusung) Anwendungen kopieren ihren Code in andere, oft legitime Prozesse, wodurch sie die entsprechenden Berechtigungen und die Vertrauenswürdigkeit übernehmen. Diese Technik wird hauptsächlich von Malware angewendet, die ihre Anwesenheit auf angegriffenen Systemen verbergen und Erkennung vermeiden will. Detection evasion: Obfuscated code (Erkennungsumgehung: verschleierter Code) Anwendungen enthalten stark verschlüsselten Code, sodass Teile des bösartigen Codes nur schwer zu erkennen sind. Detection evasion: Packed code (Erkennungsumgehung: komprimierter Code) Anwendungen komprimieren ihren Inhalt mithilfe eines Laufzeit-Komprimierungsprogramms oder eines Protectors. Dadurch ändert sich das Aussehen des Inhalts und er ist schwieriger zu klassifizieren. Potentially unwanted: Ad-/Spyware (Potenziell unerwünscht: Ad-/Spyware) Anwendungen zeigen potenziell lästige oder unerwünschte Werbung, verfolgen und analysieren aber gleichzeitig das Verhalten und die Aktivitäten des Benutzers. Potentially unwanted: Adware (Potenziell unerwünscht: Adware) Anwendungen zeigen potenziell lästige oder unerwünschte Werbung, verfolgen und analysieren aber gleichzeitig das Verhalten und die Aktivitäten des Benutzers. Data theft: Spyware (Datendiebstahl: Spyware) Anwendungen verfolgen und analysieren das Verhalten und die Aktivitäten des Benutzers, stehlen sensible Daten und geben diese Informationen an die Server des Angreifers weiter. Potentially unwanted: Dialer (Potenziell unerwünscht: Dialer) Anwendungen bieten Zugriff auf Inhalte, z. B. Pornografie, über eine teurere Netzwerkverbindung. Web threats: Vulnerable ActiveX controls (Internet-Bedrohungen: Anfällige ActiveX-Steuerelemente) In Webseiten angezeigte ActiveX-Steuerelemente, die auf anderweitige Nutzung im Browser beschränkt sind, stellen potenzielle Schwachstellen dar. Potentially unwanted: Suspicious activity (Potenziell unerwünscht: Verdächtige Aktivitäten) Potenziell bösartiger Code zeigt entweder unübliches Verhalten oder nicht vollständig vertrauenswürdiges Verhalten. Web threats: Cross-site scripting (Internet-Bedrohungen: Cross-Site-Scripting) Bösartige Skripts nutzen Zugangskontrollschwachstellen in Browsern oder Web-Anwendungen aus, um Benutzerdaten, wie z. B. Cookies, zu stehlen. Potentially unwanted: Deceptive behavior (Potenziell unerwünscht: Betrügerisches Verhalten) Irreführende Meldungen, Meldungen über fehlenden Code und vorgetäuschte Warnmeldungen. McAfee Web Gateway 7.5.0 Diese Bedrohungen melden den Benutzern, dass das System mit Spyware infiziert ist, und bieten falsche AV-Anwendungen zur Säuberung an. Produkthandbuch 289 9 Web-Filterung Viren- und Malware-Filterung Tabelle 9-7 Erweiterte Einstellungen für McAfee Gateway Anti-Malware (Fortsetzung) Option Definition Potentially unwanted: Redirector (Potenziell unerwünscht: Umleitungsprogramm) Umleitungs-Code leitet Benutzer von einer Website an andere potenziell bösartige Websites weiter. Potentially unwanted: Direct kernel communication (Potenziell unerwünscht: Direkte Kernel-Kommunikation) Anwendungen kommunizieren direkt mit einem Windows-Kernel oder im Kernel-Modus und versuchen dabei, beispielsweise ein Rootkit zu installieren oder das System zu destabilisieren. Potentially unwanted: Privacy violation (Potenziell unerwünscht: Datenschutzverletzung) Potenziell bösartiger Code greift auf sensible oder private Daten zu, sodass der Inhalt des Zwischenspeichers ausgelesen oder Registrierungsschlüssel gelesen werden können. Dieses Verhalten wird oft von einer Infektion einer zuvor seriösen Website verursacht. Gateway Anti-Malware (Regelsatz) Der Regelsatz „Gateway Anti-Malware“ ist der Standard-Regelsatz für die Viren- und Malware-Filterung. Standard-Regelsatz – Gateway Anti-Malware Criteria – Always Cycles – Requests (and IM), Responses, Embedded Objects Der Regelsatz enthält die folgenden Regeln. Allow if user agent matches User Agent Whitelist Header.Request.Get (“User-Agent”) matches in list User Agent WhiteList –> Stop Rule Set Die Regel überprüft mithilfe der Eigenschaft Header.Request.Get die Benutzer-Agent-Informationen, die mit dem Header einer Anfrage gesendet werden. Wenn der betreffende Benutzer-Agent in der angegebenen Whitelist enthalten ist, wird die Verarbeitung des Regelsatzes beendet, sodass die Blockierungsregel am Ende des Regelsatzes nicht verarbeitet wird. Ein Parameter der Eigenschaft gibt an, dass beim Verarbeiten der Regel die Benutzer-Agent-Informationen überprüft werden müssen. Diese Regel ist standardmäßig nicht aktiviert. Wenn ausschließlich diese Regel für den Abgleich mit Whitelists verwendet wird, stellt dies ein Sicherheitsproblem dar, da Clients normalerweise einen beliebigen bevorzugten Benutzer-Agent festlegen können. Allow URL host that matches in list Anti-Malware URL Whitelist URL.Host matches in list Anti-Malware URL Whitelist –> Stop Rule Set Die Regel überprüft mithilfe der Eigenschaft URL.Host, ob eine bestimmte URL mit einem der Einträge in der angegebenen Whitelist übereinstimmt. Wenn dies der Fall ist, wird die Verarbeitung des Regelsatzes beendet, und die Blockierungsregel am Ende des Regelsatzes wird nicht verarbeitet. Sie können mit dieser Regel Web-Datenverkehr von der Filterung ausschließen, wenn es sich bei den Hosts der betreffenden URLs um bekannte Web-Server handelt, bei denen mit hinreichender Sicherheit davon ausgegangen werden kann, dass diese keine Viren oder sonstige Malware verbreiten. Der Abgleich mit der Whitelist erhöht außerdem die Leistung, da die entsprechenden Web-Objekte nicht gescannt werden müssen. 290 McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung Viren- und Malware-Filterung Remove partial content for HTTP requests Cycle.TopName equals “Request” AND (Connection.Protocol equals “http” OR Connection.Protocol equals “https”) –> Continue – Header.RemoveAll (“Range”) Die Regel überprüft mithilfe der Eigenschaften Cycle.TopName und Connection.Protocol, ob der aktuelle Verarbeitungszyklus der Anfragezyklus ist und ob eine Anfrage im HTTP-Modus oder im HTTPS-Modus gesendet wurde. Wenn dies der Fall ist, ändert das Ereignis Header.RemoveAll die Anfrage, indem die Angabe entfernt wird, dass nur unvollständige Inhalte angefordert werden. Eine Anfrage für vollständige Inhalte wird an den relevanten Web-Server weitergeleitet und schließlich von dort empfangen, sodass die vollständigen Inhalte eines Web-Objekts auf der Appliance verarbeitet werden können. So kann z. B. ein vollständiges Archiv geöffnet und auf Viren und sonstige Malware gescannt werden. Bösartige Inhalte, die auf verschiedene Teile einer Datei verteilt sind, können durch Scannen der kompletten Datei erkannt werden, während sie möglicherweise nicht bemerkt werden, wenn nur Teile der Datei gescannt werden. Die Aktion „Continue“ bewirkt, dass mit der Verarbeitung der nächsten Regel fortgefahren wird. Block partial content for FTP requests Cycle.TopName equals “Request” AND Connection.Protocol equals “ftp” AND Command.Categories contains “Partial” –> Block<Partial Content Not Allowed> Die Regel überprüft mithilfe der Eigenschaften Cycle.TopName, Connection.Protocol und Command.Categories, ob der aktuelle Verarbeitungszyklus der Anfragezyklus ist, ob die Anfrage im FTP-Modus gesendet wurde und ob die für die FTP-Übertragung verwendete Befehlskategorie die Zeichenfolge Partial enthält. Dadurch kann Web Gateway eine FTP-Anfrage für unvollständige Inhalte erkennen und blockieren. Im Gegensatz zu HTTP- oder HTTPS-Anfragen können FTP-Anfragen nicht so geändert werden, dass sie eine Anfrage für vollständigen Inhalt darstellen. Wenn unvollständige Inhalte auf einer Appliance zugelassen werden, bringt dies jedoch dieselben Sicherheitsprobleme mit sich, die bereits in den Ausführungen zur Regel zum Blockieren von HTTP- und HTTPS-Anfragen erläutert wurden. Die Einstellungen für die Aktion geben an, dass eine Nachricht an den anfordernden Benutzer gesendet wird. Start Media Stream Scanner on streaming media and skip anti-malware scanning Cycle.Name equals "Response" AND StreamDetector.IsMediaStream<Default Streaming Detection> equals true –> Stop Rule Set – Enable Media Stream Scanner Die Regel überprüft mithilfe der Eigenschaft Cycle.Name, ob der Verarbeitungszyklus der Antwortzyklus ist, und sie überprüft mithilfe der Eigenschaft StreamDetector.IsMediaStream, ob es sich bei dem als Antwort an Web Gateway gesendeten Web-Objekt um Streaming-Medien handelt. Wenn beides zutrifft, wird die Verarbeitung des Regelsatzes beendet, sodass die verbleibende Regel nicht verarbeitet wird, und der Media Stream Scanner wird mit einem Ereignis gestartet. Block if virus was found Antimalware.Infected<Gateway Anti-Malware> equals true –> Block<Virus Found> – Statistics.Counter.Increment (“BlockedByAntiMalware”,1)<Default> Die Regel überprüft mithilfe der Eigenschaft Antimalware.Infected, ob ein bestimmtes Web-Objekt mit einem Virus oder sonstiger Malware infiziert ist. Beim Aufruf des Moduls „Anti-Malware“ zum Scannen des Objekts wird es mit den Gateway Anti-Malware-Einstellungen ausgeführt, wie von der Eigenschaft angegeben. In diesen Einstellungen wird vorgeschrieben, dass Web-Objekte mit allen drei Sub-Modulen des Moduls und deren zugehörigen Methoden gescannt werden. Wenn das Modul erkennt, dass ein Web-Objekt infiziert ist, wird die Verarbeitung aller Regeln beendet, und das Objekt wird nicht weiter übergeben. Auf diese Weise ist der Zugriff darauf blockiert. McAfee Web Gateway 7.5.0 Produkthandbuch 291 9 Web-Filterung Viren- und Malware-Filterung In einem Anfragezyklus wird das infizierte Web-Objekt nicht an das Web übergeben. Im Antwortzyklus und im Zyklus für eingebettete Objekte wird es nicht an den Benutzer übergeben, der es angefragt hat. Die Aktionseinstellungen geben an, dass eine Nachricht an den betreffenden Benutzer gesendet wird. Die Regel nutzt außerdem ein Ereignis zum Zählen der Blockierungen aufgrund von Virus- und Malware-Infektionen. Die Ereignisparameter geben den zu erhöhenden Zähler und die entsprechenden Erhöhungsschritte an. In den Ereigniseinstellungen sind die Einstellungen des Moduls „Statistics“ angegeben, das die Zählung durchführt. Scannen des Mediendatenstroms Medien-Datenströme können auf Web Gateway paketweise gescannt werden, sodass Benutzer heruntergeladene Streaming-Medien schneller sehen und hören können, da sie nicht warten müssen, bis der Stream vollständig gescannt wurde. Diese Scan-Methode wird vom Media Stream Scanner durchgeführt, der vom McAfee Gateway Anti-Malware-Modul bereitgestellt wird. Die Streaming-Medien werden gescannt und paketweise an den Client übermittelt, der den Download angefragt hat. Wenn in einem Paket eine Infektion erkannt wird, wird der Download angehalten, und dieses Paket und der Rest der Streaming-Medien werden nicht übermittelt. Der vom Media Stream Scanner durchgeführte Scan verwendet die proaktiven Funktionen des McAfee Gateway Anti-Malware-Moduls. Das McAfee Anti-Malware-Modul und das Avira-Modul, die auch zum Scannen der Web-Objekte auf Infektionen durch Viren und andere Malware konfiguriert werden können, sind bei aktivem Media Stream Scanner nicht beteiligt. Der Scanner wird durch ein Ereignis einer Regel im Gateway Anti-Malware-Regelsatz des Standard-Regelsatzsystems gestartet. Die Regel wird angewendet, wenn das Stream Detector-Modul feststellt, dass es sich bei einem als Reaktion auf eine Download-Anfrage auf Web Gateway eingegangenes Web-Objekt um Streaming-Medien handelt. Die Verarbeitung des Regelsatzes wird angehalten, und die verbleibende Regel im Regelsatz, die auch Web-Objekte auf Infektionen durch Viren und andere Malware scannen lässt, wird nicht verarbeitet. Wenn ein Web-Objekt vom Stream Detector nicht als Streaming-Medien erkannt wird, wird die Regel nicht angewendet, die Verarbeitung wird mit der verbleibenden Regel fortgesetzt, und das Web-Objekt wird entsprechend den für diese Regel konfigurierten Einstellungen gescannt. Warteschlange für Malware-Schutz Um die Überlastung der Module zu vermeiden, die Web-Objekte auf Viren und andere Malware scannen, werden Zugriffsanfragen für Web-Objekte vor der Verarbeitung in eine Warteschlange verschoben. Diese Warteschlange wird als Warteschlange für Malware-Schutz bezeichnet. Wenn die Appliance eine Anfrage erhält, wird sie von einem funktionierenden Thread des Proxy-Moduls in diese Warteschlange verschoben. Die Anfrage verbleibt dort solange, bis ein anderer Thread sie an einen Thread eines der Scan-Module weiterleitet. Auf gleiche Weise wird auch mit Antworten verfahren, die von Web-Servern stammen, an die Anfragen weitergeleitet wurden. Sowohl die funktionierenden Threads, die Anfragen und Antworten an die Scan-Module übermitteln, als auch die von den Modulen zur Ausführung von Scan-Aktivitäten verwendeten Threads werden als funktionierende Threads für Malware-Schutz bezeichnet. 292 McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung Viren- und Malware-Filterung Beim Konfigurieren der Warteschlange für Malware-Schutz können Sie folgende Eigenschaften festlegen: • Anzahl der verfügbaren funktionierenden Threads für Malware-Schutz • Kapazität der Warteschlange für Malware-Schutz • Maximale Verweildauer für Anfragen und Antworten in der Warteschlange Das Verschieben von Anfragen und Antworten in die Warteschlange für Malware-Schutz ist eine Lösung für kurzzeitig auftretende Lastspitzen. Bei ständiger Überlastung müssen andere Gegenmaßnahmen angewendet werden. Konfigurieren der Malware-Schutz-Warteschlange Sie können die Einstellungen der Malware-Schutz-Warteschlange so konfigurieren, dass eine Überlastung der Scan-Module vermieden wird. Vorgehensweise 1 Wählen Sie Configuration | Appliances (Konfiguration | Appliances) aus. 2 Wählen Sie in der Appliances-Baumstruktur die Appliance aus, auf der Sie die Malware-Schutz-Warteschlange konfigurieren möchten, und klicken Sie dann auf Anti-Malware (Malware-Schutz). Nun werden die Einstellungen für die Malware-Schutz-Warteschlange im Einstellungsbereich angezeigt. 3 Konfigurieren Sie diese Einstellungen nach Bedarf. 4 Klicken Sie auf Save Changes (Änderungen speichern). Systemeinstellungen für Malware-Schutz Mithilfe der Systemeinstellungen für Malware-Schutz kann die Warteschlange für Malware-Schutz konfiguriert werden. Global Anti-Malware Settings (globale Einstellungen für Malware-Schutz) Einstellungen der Warteschlange für Malware-Schutz McAfee Web Gateway 7.5.0 Produkthandbuch 293 9 Web-Filterung Viren- und Malware-Filterung Tabelle 9-8 Global Anti-Malware Settings (globale Einstellungen für Malware-Schutz) Option Definition Number of threads for AV scanning (Anzahl der Threads für das Antiviren-Scannen) Legt die Anzahl der auf der Appliance verfügbaren funktionierenden Threads für Malware-Schutz fest. Die hier von Ihnen festgelegte Anzahl gilt sowohl für die Threads, die Anfragen und Antworten an die Threads der Scan-Module weiterleiten, sowie für die Threads der Scan-Module selbst. Wenn Sie z. B. die Zahl 25 eingeben, stehen 25 Threads zum Weiterleiten und noch einmal 25 Threads zum Scannen zur Verfügung. Maximum number of jobs in the queue (Höchstanzahl an Jobs in der Warteschlange) Begrenzt die Anzahl der Anfragen und Antworten, die als Jobs für die Scan-Module in die Warteschlange verschoben werden dürfen. Number of seconds a scanning job stays in the queue before being removed (Anzahl der Sekunden, die ein Scan-Job bis zum Entfernen in der Warteschlange verbleiben darf) Gibt den Zeitraum (in Sekunden) vor, nach dessen Ablauf eine Anfrage bzw. Antwort aus der Warteschlange für Malware-Schutz entfernt wird, sofern sie nicht an ein Scan-Modul weitergeleitet wurde. Entfernen eines Malware-Schutz-Wasserzeichens Beim Übergeben von Benutzeranfragen an die entsprechenden Web-Server müssen Wasserzeichen entfernt werden, die URLs vom McAfee Gateway Anti-Malware-Modul (MGAM) hinzugefügt wurden. Das Modul fügt diese Wasserzeichen in einigen Fällen hinzu, wenn beim Scannen von Web-Objekten eine bestimmte Art von Heuristiken angewendet wird. Damit das Modul diese (als Inhaltsheuristiken bezeichneten) Heuristiken nutzen kann, müssen Sie eine bestimmte Option der Anti-Malware-Einstellungen aktivieren. Eine der Aktivitäten, die das Modul anschließend ausführt, besteht darin, dass URLs mit Wasserzeichen versehen werden, die zu Links von Webseiten gehören, wenn diese Links den Zugriff auf ausführbare Dateien oder ähnliche Web-Objekte (z. B. DLLs) ermöglichen. Bevor die Appliance jedoch eine Anfrage für den Zugriff auf ein Objekt an einen Web-Server weiterleiten kann, muss ein hinzugefügtes Wasserzeichen aus der betreffenden URL entfernt werden. Andernfalls kann der Web-Server die URL u. U. nicht verarbeiten. Die Entfernung erfolgt, indem die URL neu geschrieben wird. Ein Ereignis in einer Regel erkennt das Wasserzeichen und schreibt die URL neu. Wird kein Wasserzeichen gefunden, dann wird die URL unverändert beibehalten. Die Regel ist in einem Regelsatz enthalten, der in der Regelsatz-Bibliothek bereitgestellt wird. Hinzufügen eines Wasserzeichens für die Unterstützung von Inhaltsheuristiken Das McAfee Gateway Anti-Malware-Modul fügt der URL einer ausführbaren Datei oder eines ähnlichen Objekts auf einer Webseite ein Wasserzeichen hinzu, wenn eine Anfrage für den Zugriff auf das betreffende Objekt auf der Appliance empfangen und verarbeitet wird. Wenn das Objekt später von einem Web-Server an die Appliance gesendet wird, wird es von demselben Modul auf Infektionen mit Viren und sonstiger Malware gescannt. Da die URL des Objekts beim Empfang der Anfrage für den Zugriff auf das Objekt mit einem Wasserzeichen versehen wurde, erkennt das Scan-Modul, dass das Objekt als Antwort auf eine von einem Benutzer gesendete Anfrage gesendet wurde, und nicht von einem automatisierten Programm jeglicher Art. Diese Information ist wichtig für die Inhaltsheuristiken, die vom Modul beim Scannen des Objekts und seiner Einstufung als bösartig oder unbedenklich verwendet wird. 294 McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung Viren- und Malware-Filterung Aktivitäten zum Entfernen von Wasserzeichen Um die Entfernung von Wasserzeichen zu implementieren, müssen Sie den bereitgestellten Bibliotheks-Regelsatz importieren und an oberster Stelle in der Regelsatz-Baumstruktur platzieren. Dadurch wird sichergestellt, dass Wasserzeichen in URLs zu Beginn des Prozesses entfernt werden und dass diese Entfernung nicht durch nachfolgende Regeln übersprungen werden kann, deren Aktionen auf „Stop Rule Set“ bzw. „Stop Cycle“ festgelegt sind. Wenn Sie die Option zum Verwenden von Inhaltsheuristiken auf der Benutzeroberfläche auswählen, wird eine Meldung angezeigt, in der Sie über den Regelsatz informiert werden. Konfigurieren der Entfernung von Malware-Schutz-Wasserzeichen Sie können die Entfernung von Malware-Schutz-Wasserzeichen konfigurieren, die URLs vom McAfee Gateway Anti-Malware-Modul hinzugefügt wurden. Wasserzeichen werden URLs nur dann hinzugefügt, wenn die Option Enable Payload Heuristics (Inhaltsheuristiken aktivieren) aktiviert ist. Wenn Sie diese Option auswählen, wird eine Meldung angezeigt, in der Sie über die Entfernung informiert werden. Vorgehensweise 1 Importieren Sie den Bibliotheks-Regelsatz zum Entfernen von Wasserzeichen. a Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus. b Klicken Sie auf Add (Hinzufügen), und wählen Sie Rule Set from Library (Regelsatz aus Bibliothek) aus. Daraufhin öffnet sich das Fenster Add from Rule Set Library (Aus Regelsatz-Bibliothek hinzufügen). c Erweitern Sie in der Baumstruktur der Regelsatz-Bibliothek Gateway Anti-Malware, wählen Sie den Regelsatz Payload Heuristic – Rewrite Watermarked URLs aus, und klicken Sie anschließend auf OK. Das Fenster Add from Rule Set Library (Aus Regelsatz-Bibliothek hinzufügen) wird nun geschlossen, und der neue Regelsatz wird in der Regelsatz-Baumstruktur angezeigt. 2 Verschieben Sie den Regelsatz in der Regelsatz-Baumstruktur an die oberste Position. Ein Ereignis in der einzigen Regel des Regelsatzes überschreibt nun die mit Wasserzeichen versehenen URLs, um die Wasserzeichen zu entfernen. Payload Heuristic – Rewrite Watermarked URLs (Regelsatz) Mit dem Bibliotheks-Regelsatz „Payload Heuristic – Rewrite Watermarked URL“ kann ein vom McAfee Gateway Anti-Malware-Modul hinzugefügtes Wasserzeichen aus einer URL entfernt werden. Standard-Regelsatz – Payload Heuristic – Rewrite Watermarked URLs Criteria – Always Cycle – Requests (and IM) Der Regelsatz enthält die folgende Regel. Rewrite watermarked URLs Always –> Continue – AntiMalware.MGAM.RewriteWatermarkedURL Die Regel schreibt mithilfe des Ereignisses AntiMalware.MGAM.RewriteWatermarkedURL eine URL neu, wenn erkannt wird, dass diese ein Malware-Schutz-Wasserzeichen enthält. Andernfalls wird die URL unverändert beibehalten. McAfee Web Gateway 7.5.0 Produkthandbuch 295 9 Web-Filterung URL-Filterung Das Wasserzeichen wird der URL vom McAfee Gateway Anti-Malware-Modul hinzugefügt, wenn beim Scannen erkannt wird, dass sie einen Link zu einer ausführbaren Datei oder einem vergleichbaren Web-Objekt darstellt, z. B. eine DLL (Dynamic Link Library). Das Wasserzeichen muss entfernt werden, bevor die URL an den entsprechenden Web-Server übergeben wird. URL-Filterung Die URL-Filterung stellt sicher, dass die Benutzer Ihres Netzwerks nicht auf Web-Objekte zugreifen können, die als Risiko für die Web-Sicherheit angesehen werden oder aus anderen Gründen nicht zulässig sind. Der Filterungsprozess verwendet Blockierungslisten, Kategorieinformationen und Reputationsfaktoren für die URLs der Web-Objekte und blockiert bzw. erlaubt den Zugriff entsprechend. Der Prozess umfasst mehrere Elemente mit jeweils unterschiedlichen Funktionen. • Filterregeln steuern den Prozess. • Eine Whitelist und mehrere Blockierungslisten werden von Regeln verwendet, um einige Web-Objekte die URL-Filterung überspringen zu lassen und andere zu blockieren. • Das Modul „URL Filter“, das von bestimmten Regeln aufgerufen wird, ruft Informationen zu URL-Kategorien und Web-Reputationsfaktoren aus dem Global Threat Intelligence-Dienst ab. Ein Standardprozess zur URL-Filterung wird nach der Ersteinrichtung auf dem Web Gateway installiert. Sie können diesen Prozess ändern und an die Anforderungen Ihrer Web-Sicherheitsrichtlinien anpassen. Sie haben die folgenden Möglichkeiten zur Konfiguration der URL-Filterung: • Schlüsselelemente von Regeln: Nachdem Sie in der Regelsatz-Baumstruktur auf den Standard-Regelsatz URL filtering geklickt haben, können Sie Schlüsselelemente der Standardregeln für den Filterungsvorgang anzeigen und konfigurieren. • Vollständige Regeln: Wenn Sie in der Schlüsselelementansicht auf Unlock View (Anzeige entsperren) klicken, werden die Standardregeln für das Filtern vollständig angezeigt, und Sie können alle Elemente, auch die Schlüsselelemente, konfigurieren sowie neue Regeln erstellen oder Regeln löschen. Um von dieser Ansicht wieder zur Schlüsselelementansicht zurückzukehren, müssen Sie alle Änderungen verwerfen oder den Regelsatz erneut importieren. Filterregeln Die Regeln, die den URL-Filterungsprozess steuern, befinden sich üblicherweise in einem einzelnen URL-Filterungsregelsatz. Eine dieser Regeln besagt beispielsweise, dass der Zugriff auf eine URL blockiert wird, wenn diese mit einem Eintrag in einer Blockierungsliste übereinstimmt. Eine andere Regel blockiert URLs, wenn diese zu einer Kategorie gehören, die sich in einer Blockierliste befindet. Diese Regel ruft das Modul „URL Filter“ auf, um Kategorieinformationen für URLs aus dem Global Threat Intelligence-System abzurufen. Eine weitere Regel blockiert auf ähnliche Weise URLs mit einer schlechten Reputation. 296 McAfee Web Gateway 7.5.0 Produkthandbuch Web-Filterung URL-Filterung 9 Eine Whitelisting-Regel stellt URLs von der Filterung frei, wenn diese mit Einträgen in der von der Regel verwendeten Liste übereinstimmen. Diese Regel wird vor den Blockierungsregeln platziert und verarbeitet. Wenn diese Regel gilt, werden die Blockierungsregeln übersprungen, und für die Objekte der Whitelist erfolgt keine URL-Filterung. Wenn das Standard-Regelsatzsystem implementiert ist, ist ein Regelsatz zur URL-Filterung enthalten. Dieser heißt URL Filtering. Whitelists und Blockierungslisten Eine Whitelist wird von einer Whitelisting-Regel verwendet, um einige URLs die Blockierungsregel überspringen zu lassen, es erfolgt also keine Filterung nach diesen URLs. Da ein URL-Filterungsregelsatz nur die URL-Filterung steuert, sind im Gegensatz zur Virus- und Malware-Filterung nicht mehrere Whitelists für mehrere Objekttypen erforderlich. Eine andere Regel blockiert URLs, wenn diese zu einer Kategorie gehören, die sich in einer Blockierliste befindet. Diese Regel ruft das Modul „URL Filter“ auf, um Kategorieinformationen für URLs aus dem Global Threat Intelligence-System abzurufen. Eine weitere Regel blockiert auf ähnliche Weise URLs mit einer schlechten Reputation. Da ein URL-Filterungsregelsatz nur für die URL-Filterung zuständig ist, werden im Gegensatz zur Virusund Malware-Filterung keine Whitelists für verschiedene Objekttypen benötigt. Blockierungslisten werden von Regeln verwendet, um URLs entsprechend ihren Kategorien oder aufgrund einer Übereinstimmung mit einem Eintrag in einer Liste zu blockieren. Jede der Blockierungsregeln verwendet eine eigene Liste. Filtermodul Das Modul „URL Filter“ wird auch als Engine „URL Filter“ bezeichnet. Es ruft Informationen zu URL-Kategorien und Reputationsfaktoren aus dem von McAfee bereitgestellten Global Threat Intelligence™-Dienst ab. Auf Grundlage dieser Informationen blockieren Blockierungsregeln den Zugriff auf URLs. Verschiedene Technologien wie Link-Crawler, Sicherheitsforensik, Honeypot-Netzwerke, ausgereifte Tools zur automatischen Bewertung und Kundenprotokolle werden zum Sammeln dieser Informationen verwendet. Ein internationales mehrsprachiges Team aus McAfee-Web-Analysten wertet die Informationen aus und gibt URLs unter bestimmten Kategorien in eine Datenbank ein. Zum Sammeln von Informationen zur Reputation einer URL wird deren Verhalten auf einer weltweiten Echtzeitgrundlage analysiert, z. B. wo eine URL im Internet sichtbar ist, ihr Domänenverhalten sowie weitere Details. Sie können Einstellungen für dieses Modul konfigurieren, damit es beispielsweise aus einer von Ihnen bereitgestellten erweiterten Liste abgerufene Kategorieinformationen enthält oder eine DNS-Suche nach URLs durchführt und die entsprechenden IP-Adresse in die Suche nach Kategorieinformationen aufnimmt. McAfee Web Gateway 7.5.0 Produkthandbuch 297 9 Web-Filterung URL-Filterung Konfigurieren von Schlüsselelementen für die URL-Filterung Konfigurieren Sie Schlüsselelemente der Regeln für die URL-Filterung, um wichtige Teile des Filterprozesses an die Anforderungen Ihrer Web-Sicherheitsrichtlinie anzupassen. Vorgehensweise 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus. 2 Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz URL Filtering aus. Nun werden die Schlüsselelemente der Regeln für den Filterprozess im Konfigurationsbereich angezeigt. 3 Konfigurieren Sie die Schlüsselelemente nach Bedarf. 4 Klicken Sie auf Save Changes (Änderungen speichern). Siehe auch Schlüsselelemente für die URL-Filterung auf Seite 298 Schlüsselelemente für die URL-Filterung Die Schlüsselelemente für die URL-Filterung beziehen sich auf wichtige Teile dieses Filterprozesses. Basic Filtering (Grundlegende Filterung) Schlüsselelemente für das Durchführen der grundlegenden URL-Filterung Tabelle 9-9 Basic Filtering (Grundlegende Filterung) Option Definition URL whitelist (URL-Whitelist) Wenn Sie auf Edit (Bearbeiten) klicken, öffnet sich ein Fenster, in dem Sie die von einer Regel verwendete URL-Whitelist bearbeiten können. Sie können der Liste Einträge hinzufügen sowie Einträge der Liste bearbeiten oder löschen. URL blocklist (URL-Sperrliste) Wenn Sie auf Edit (Bearbeiten) klicken, öffnet sich ein Fenster, in dem Sie die von einer Regel verwendete URL-Sperrliste bearbeiten können. Sie können der Liste Einträge hinzufügen sowie Einträge der Liste bearbeiten oder löschen. URL category blocklist Wenn Sie auf Edit (Bearbeiten) klicken, öffnet sich ein Fenster, in dem Sie (Sperrliste für URL-Kategorien) die von einer Regel verwendete Sperrliste von URL-Kategorien bearbeiten können. Sie können der Liste Einträge hinzufügen sowie Einträge der Liste bearbeiten oder löschen. SafeSearch Schlüsselelemente für das Integrieren von SafeSearch in den URL-Filterungsprozess 298 McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung URL-Filterung Tabelle 9-10 SafeSearch Option Definition Enable SafeSearch (SafeSearch aktivieren) Bei Auswahl dieser Option wird eine Regel aktiviert, die den SafeSearch-Teil des URL-Filterungsprozesses steuert. SafeSearch settings (SafeSearch-Einstellungen) Wenn Sie auf Edit (Bearbeiten) klicken, öffnet sich ein Fenster, in dem Sie die Einstellungen für das Modul (auch als Engine bezeichnet) „SafeSearch Enforcer“ bearbeiten können. Dieses Modul behandelt die Integration von SafeSearch Enforcer in den URL-Filterungsprozess von Web Gateway. Hierbei handelt es sich um ein zusätzliches Produkt für die Web-Sicherheit. GTI reputation (GTI-Reputation) Schlüsselelement für das Bewerten von Reputationsfaktoren, die im Rahmen des URL-Filterungsprozesses vom Global Threat Intelligence-Dienst abgerufen wurden Tabelle 9-11 GTI reputation (GTI-Reputation) Option Definition Block URLs with a High Risk reputation (URLs mit hochriskanter Reputation blockieren) Bei Auswahl dieser Option wird eine Regel aktiviert, die URLs mit einem Reputationsfaktor blockiert, der als hohes oder mittleres Risiko für die Web-Sicherheit eingestuft wird. Der Reputationsfaktor einer URL wird vom Global Threat Intelligence-Dienst festgelegt, der von McAfee bereitgestellt wird. Er wird von diesem Dienst durch das URL Filter-Modul abgerufen. Uncategorized URLs (Nicht kategorisierte URLs) Schlüsselelement für das Behandeln von URLs, die während des URL-Filterungsprozesses keiner Kategorie zugeordnet werden konnten Tabelle 9-12 Uncategorized URLs (Nicht kategorisierte URLs) Option Definition Uncategorized URLs (Nicht kategorisierte URLs) Wenn Sie Block (Blockieren) auswählen, wird eine Regel aktiviert, die Anfragen für den Zugriff auf Web-Objekte mit URLs blockiert, die während des URL-Filterungsprozesses nicht kategorisiert werden konnten. Wenn Sie Allow (Zulassen) auswählen, wird von dieser Regel keine Aktion ausgeführt. Bei der URL-Filterung wird mit der Verarbeitung der nächsten Regel fortgefahren. Konfigurieren der URL-Filterung mithilfe der vollständigen Regelansicht Sie können die URL-Filterung konfigurieren, um diesen Prozess an die Anforderungen Ihres Netzwerks anzupassen. Beim Konfigurieren der URL-Filterung können Sie mit der Schlüsselelementansicht oder der Regelansicht arbeiten. Vorgehensweise 1 Prüfen Sie die Regeln im Regelsatz für die URL-Filterung. Standardmäßig ist dies der Regelsatz URL Filtering. 2 Ändern Sie diese Regeln nach Bedarf. McAfee Web Gateway 7.5.0 Produkthandbuch 299 9 Web-Filterung URL-Filterung Sie können beispielsweise Folgendes ausführen: • Blockierungsregeln und die Whitelist-Regel aktivieren bzw. deaktivieren • Die von diesen Regeln verwendeten Listen bearbeiten Ein gelbes Dreieck neben dem Namen einer Liste zeigt an, dass die Liste anfänglich leer ist und Sie Einträge hinzufügen müssen. • 3 Einstellungen des URL Filter-Moduls ändern Speichern Sie die Änderungen. Konfigurieren von Einstellungen für das Modul „URL Filter“ Sie können das Modul „URL Filter“ konfigurieren und ändern, auf welche Weise Informationen zu URL-Kategorien und Reputationsfaktoren aus dem Global Threat Intelligence-System abgerufen werden. Vorgehensweise 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus. 2 Wählen Sie in der Regelsatz-Baumstruktur einen Regelsatz für die URL-Filterung aus. Im Standard-Regelsatzsystem sind Regelsätze für die URL-Filterung den Regelsätzen für die Inhaltsfilterung untergeordnet. Die Regeln werden im Einstellungsbereich angezeigt. 3 Achten Sie darauf, dass Show details (Details anzeigen) ausgewählt ist. 4 Suchen Sie nach der Regel, die eine Blockierungsliste für Kategorien verwendet. Hierbei handelt es sich standardmäßig um die Regel Block URLs whose category is in Category BlockList. 5 Klicken Sie in den Regelkriterien auf den Namen der Einstellungen. Dieser Name wird neben der Eigenschaft URL.Categories angezeigt. Standardmäßig lautet er Default. Daraufhin öffnet sich das Fenster Edit Settings (Einstellungen bearbeiten). Es enthält die Einstellungen für das Modul „URL Filter“. 6 Konfigurieren Sie diese Einstellungen nach Bedarf. 7 Klicken Sie auf OK, um das Fenster zu schließen. 8 Klicken Sie auf Save Changes (Änderungen speichern). Siehe auch URL-Filtereinstellungen auf Seite 300 URL-Filtereinstellungen Die URL-Filtereinstellungen werden für das Konfigurieren der Art und Weise verwendet, auf die das URL-Filtermodul Informationen aus dem Global Threat Intelligence-System abruft. Extended List (erweiterte Liste) Einstellungen für erweiterte Listen 300 McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung URL-Filterung Tabelle 9-13 Extended List (erweiterte Liste) Option Definition Use the extended list (Erweiterte Liste verwenden) Zeigt eine Auswahlliste der erweiterten Listen an. Add (Hinzufügen) Öffnet das Fenster Add List (Liste hinzufügen) zum Hinzufügen einer erweiterten Liste. Edit (Bearbeiten) Öffnet das Fenster Edit List (Extended List) (Liste bearbeiten, erweiterte Liste) zur Bearbeitung der ausgewählten erweiterten Liste. Rating Settings (Bewertungseinstellungen) Einstellungen für das Abrufen von auf Kategorien und Reputationsfaktoren basierenden Bewertungsinformationen zu URLs Tabelle 9-14 Rating Settings (Bewertungseinstellungen) Option Definition Search the CGI parameters for rating Bei Auswahl dieser Option werden CGI-Parameter nach (CGI-Parameter nach Bewertungsinformationen Informationen durchsucht. durchsuchen) Durch CGI-Parameter (Common Gateway Interface) in einer URL wird beim Zugriff auf diese URL der Start von Skripten oder Programmen ausgelöst. Informationen über CGIs werden bei der Kategorisierung von URLs einbezogen. Search for and rate embedded URLs (Eingebettete URLs suchen und bewerten) Bei Auswahl dieser Option werden eingebettete URLs nach Informationen durchsucht und bewertet. Informationen über eingebettete URLs werden bei der Kategorisierung der einbettenden URL einbezogen. Die Suche nach eingebetteten URLs kann sich auf die allgemeine Leistung auswirken. Do a forward DNS lookup to rate URLs (DNS-Suche zur Bewertung von URLs durchführen) Bei Auswahl dieser Option wird für eine URL, zu der keine relevanten Informationen gefunden wurden, eine DNS-Suche durchgeführt. Die IP-Adresse, nach der gesucht wurde, wird für eine weitere Suche verwendet. Do a backward DNS lookup for unrated IP-based URLs (Umgekehrte DNS-Suche für unbewertete IP-basierte URLs durchführen) Bei Auswahl dieser Option wird für eine URL, zu der keine relevanten Informationen gefunden wurden, basierend auf der IP-Adresse der URL eine umgekehrte DNS-Suche durchgeführt. Der Host-Name, nach dem gesucht wurde, wird für eine weitere Suche verwendet. Use the built-in keyword list (Integrierte Schlüsselwortliste verwenden) Bei Auswahl dieser Option wird die integrierte Schlüsselwortliste in die Suche einbezogen. Only use online GTI web reputation and categorization services (Nur Online-Dienste für GTI-Web-Reputation und Kategorisierung verwenden) Bei Auswahl dieser Option werden Informationen zu URL-Kategorien und Reputationsfaktoren ausschließlich aus dem Global Threat Intelligence-System abgerufen. McAfee Web Gateway 7.5.0 Produkthandbuch 301 9 Web-Filterung URL-Filterung Tabelle 9-14 Rating Settings (Bewertungseinstellungen) (Fortsetzung) Option Definition Use online GTI web reputation and categorization services if local rating yields no results (Online-Dienste für GTI-Web-Reputation und Kategorisierung verwenden, wenn lokale Bewertung keine Ergebnisse liefert) Bei Auswahl dieser Option werden Informationen zu URL-Kategorien und Reputationsfaktoren nur dann aus dem Global Threat Intelligence-System abgerufen, wenn die Suche in den internen Datenbanken keine Ergebnisse liefert. Use default GTI server for web reputation and categorization services (Standard-GTI-Server für Web-Reputations- und Kategorisierungsdienste verwenden) Bei Auswahl dieser Option verbindet sich die Appliance mit dem standardmäßigen Server, um vom Global Threat Intelligence-System Informationen zu URL-Kategorien und Reputationsfaktoren abzurufen. • IP of the server (IP-Adresse des Servers): Gibt die IP-Adresse des Servers an, über den die Verbindung mit dem Global Threat Intelligence-System erfolgt, wenn nicht der Standard-Server verwendet wird. Format: <Domänenname> oder <IPv4-Adresse> oder <einer IPv6-Adresse zugeordnete IPv4-Adresse> Es können keine regulären IPv6-Adressen angegeben werden. • Port of the server (Port des Servers): Gibt die Nummer des Ports auf diesem Server an, der den Eingang von Anfragen der Appliance überwacht. Zulässiger Bereich: 1–65535 Advanced Settings (Erweiterte Einstellungen) Erweiterte Einstellungen für das URL-Filtermodul Tabelle 9-15 Advanced Settings (Erweiterte Einstellungen) Option Definition Treat connection problems to the cloud as Bei Auswahl dieser Option werden Probleme mit der Verbindung errors (Verbindungsprobleme mit Cloud zwischen Appliance und Global Threat Intelligence-Server als als Fehler behandeln) Fehler protokolliert. Es werden Eigenschaften für den Umgang mit diesen Fehlern festgelegt und gegebenenfalls entsprechende Regeln eines Regelsatzes für den Umgang mit Fehlern ausgeführt. Do a backward DNS lookup also for private Bei Auswahl dieser Option werden private IP-Adressen in die addresses (Umgekehrte DNS-Suche auch umgekehrte DNS-Suche einbezogen. für private Adressen durchführen) Wenn diese Adressen nicht in die Suche einbezogen werden, wirkt sich dies positiv auf die Leistung bei der URL-Filterung aus. Standardmäßig ist diese Option deaktiviert. Die Suche umfasst folgende Adresstypen: • IPv4 • private Adressen • Zeroconf-Adressen • IPv6 • lokale Link-Adressen • lokale Website-Adressen • eindeutige lokale Adressen 302 McAfee Web Gateway 7.5.0 Produkthandbuch Web-Filterung URL-Filterung 9 Konfigurationseinstellungen für einen Proxy, den die Appliance für die Verbindung mit dem Global Threat Intelligence™-System verwenden kann Tabelle 9-16 Proxy Settings (Proxy-Einstellungen) Option Definition Use upstream proxy (Upstream-Proxy verwenden) Bei Auswahl dieser Option nutzt die Appliance einen Proxy für die Verbindung mit dem Global Threat Intelligence-Server, auf dem Suchen nach Informationen zu URL-Kategorien (auch als Cloud-Suche bezeichnet) durch geführt werden können. IP or name of the proxy (IP-Adresse oder Name des Proxys) Gibt die IP-Adresse oder den Host-Namen des Proxys an. Port of the proxy (Port des Proxys) Gibt die Nummer des Ports auf dem Proxy an, der den Eingang von Suchanfragen der Appliance überwacht. User name (Benutzername) Gibt den Benutzernamen der Appliance für die Anmeldung am Proxy an. Password (Kennwort) Legt ein Kennwort für die Appliance fest. Set (Festlegen) Öffnet ein Fenster zum Festlegen eines Kennworts. Einstellungen für die Protokollierung der URL-Filteraktivitäten auf der Appliance McAfee Web Gateway 7.5.0 Produkthandbuch 303 9 Web-Filterung URL-Filterung Tabelle 9-17 Logging (Protokollierung) Option Definition Enable logging (Protokollierung aktivieren) Bei Auswahl dieser Option werden alle URL-Filteraktivitäten auf der Appliance protokolliert. Log level (Protokollebene) Enthält eine Auswahlliste der verfügbaren Protokollebenen. Wenn diese Option nicht ausgewählt ist, werden die folgenden Protokollierungsoptionen abgeblendet. Es sind folgende Ebenen vorhanden: • 00 FATAL: Protokolliert nur schwere Fehler. • 01 ERRORS: Protokolliert alle Fehler. • 02 WARNING: Protokolliert Fehler und Warnungen. • 03 INFO: Protokolliert Fehler, Warnungen und zusätzliche Informationen. • 04 DEBUG1 ... 013 DEBUG9: Protokolliert Informationen, die für das Debugging von URL-Filteraktivitäten erforderlich sind. Die Menge der protokollierten Daten steigt von Ebene DEBUG1 bis Ebene DEBUG9 kontinuierlich an. • 14 TRACE: Protokolliert Informationen, die für die Verfolgung von URL-Filteraktivitäten erforderlich sind. • 15 ALL: Protokolliert alle URL-Filteraktivitäten (Log area) (Zu protokollierender Bereich) Enthält eine Reihe von Optionen zur Auswahl verschiedener Bereiche der URL-Filteraktivitäten in die Protokollierung. • LOG_AREA_ALL: Mit dieser Option werden alle URL-Filteraktivitäten protokolliert. • LOG_AREA_NETWORK: Mit dieser Option werden Aktivitäten hinsichtlich der für die URL-Filterung verwendeten Netzwerkverbindungen protokolliert. • LOG_AREA_DATABASE_SEARCH: Mit dieser Option werden Aktivitäten bezüglich des für die URL-Filterung ausgeführten Datenabrufs aus der internen Datenbank protokolliert. • LOG_AREA_DNS: Mit dieser Option werden Aktivitäten bezüglich der für die URL-Filterung durchgeführten DNS-Suche protokolliert. • LOG_AREA_URL: Mit dieser Option werden Aktivitäten bezüglich des Umgangs mit URLs protokolliert, z. B. das Analysieren von URLs,. • LOG_AREA_CLOUD: Mit dieser Option werden Aktivitäten bezüglich des Abrufens von Informationen aus dem Global Threat Intelligence-System protokolliert. Empfohlene Vorgehensweisen – Aufnahme von Web-Objekten in die Whitelist mithilfe von URL-Eigenschaften URL-Eigenschaften wie URL, URL.Host, URL.Host.BelongsToDomains usw. können für Regelkriterien verwendet werden, um Web-Objekte in die Whitelist aufzunehmen. Wenn ein Objekt in der Whitelist enthalten ist, dürfen Benutzer darauf zugreifen, beispielsweise um eine Webseite anzuzeigen oder eine Datei herunterzuladen. Die Regeln zur Aufnahme in die Whitelist werden in die entsprechenden Regelsätze innerhalb des Regelsatz-Systems von Web Gateway eingetragen. Üblicherweise beenden sie die weitere Verarbeitung von Regeln bezüglich der aktuellen Zugriffsanfrage für ein Web-Objekt, damit dieser Zugriff nicht durch andere Regeln blockiert wird. 304 McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung URL-Filterung Die Aufnahme in die Whitelist kann auf unterschiedliche Weise mit unterschiedlichen URL-Eigenschaften erfolgen. Wenn der Zugriff auf ein einzelnes Web-Objekt erlaubt werden soll, beispielsweise, wenn gewährleistet werden soll, dass die Benutzer eine bestimmte Datei herunterladen können, verwenden Sie am besten die Eigenschaft URL in Kombination mit einer Liste, in der die vollständige URL dieser Datei enthalten ist. Anhand der folgenden Beispiele wird gezeigt, welche URL-Eigenschaften sich am besten für welche Arten der Whitelist-Aufnahme eignen, und welche Schritte dafür erforderlich sind. Außerdem werden einige Tipps und Beispiele zu folgenden Aspekten vorgestellt: • Werte, auf die unterschiedliche URLs eingestellt werden, wenn eine Beispiel-URL verarbeitet wird, die im Rahmen einer Anfrage für den Web-Zugriff an Web Gateway gesendet wurde • Verwendung der beiden Operatoren is in list und matches in list in den Kriterien einer Regel • Geeignete und ungeeignete Einträge in den Listen, die mit unterschiedlichen URL-Eigenschaften verwendet werden Aufnahme einzelner Web-Objekte in die Whitelist – URL Ziel Benutzern den Zugriff auf einzelne Web-Objekte gestatten. Beispiel: Download der Datei Stinger.exe, auf die unter der URL http:// download.mcafee.com/products/mcafee-avert/Stinger/Stinger.exe zugegriffen werden kann. Erforderliche Schritte Setzen Sie in den Kriterien einer Regel die Zeichenfolgeneigenschaft URL mit einer Liste vollständiger URLs ein. Die entsprechende Regel könnte z. B. so konfiguriert sein: URL is in list URLWhiteList –> Stop Rule Set Wenn Sie die URL http://download.mcafee.com/products/mcafee-avert/Stinger/Stinger.exe in die Liste URLWhiteList eintragen, wird die Datei Stinger.exe bei der Verarbeitung der Regel in die Whitelist aufgenommen. Auf ähnliche Weise können Sie den Zugriff auf die Datei auch blockieren, und zwar mit der folgenden Regel aus dem standardmäßigen Regelsatz zur URL-Filterung: URL matches in list URLBlockList –> Block Wenn Sie die betreffende URL in die Liste URLBlockList eintragen, wird die Datei bei Verarbeitung der Regel blockiert. Bei der Verwendung des Operators matches in list anstelle von is in list können in die von der Eigenschaft genutzten Liste auch Ausdrücke mit Platzhaltern eingetragen werden. Die Eigenschaft kann anschließend auch für die Aufnahme mehrerer Web-Objekte in die Whitelist verwendet werden. Sollen jedoch alle Web-Objekte eines bestimmten Hosts in die Whitelist aufgenommen werden, kann dies mithilfe der Eigenschaft URL.Host auf unkompliziertere Weise erreicht werden. McAfee Web Gateway 7.5.0 Produkthandbuch 305 9 Web-Filterung URL-Filterung Aufnahme von Hosts in die Whitelist – URL.Host Ziel Benutzern den Zugriff auf die von bestimmten Hosts bereitgestellten Web-Objekte erlauben. Beispiel: Download der Datei Stinger.exe bzw. einer beliebigen anderen Datei, die vom Host download.mcafee.com bereitgestellt wird. Erforderliche Schritte Verwenden Sie in den Kriterien einer Regel die Zeichenfolgen-Eigenschaft URL.Host mit einer Liste der Host-Namen. Eine Regel, in der die Eigenschaft URL.Host verwendet wird, könnte z. B. so konfiguriert sein: URL.Host is in list HostWhiteList –> Stop Rule Set Wenn Sie den Host download.mcafee.com in die Liste HostWhiteList eintragen, werden alle von diesem Host bereitgestellten Web-Objekte bei der Verarbeitung der Regel in die Whitelist aufgenommen. Bei der Verwendung des Operators matches in list anstelle von is in list können in die von der Eigenschaft genutzten Liste auch Ausdrücke mit Platzhaltern eingetragen werden. Die Eigenschaft kann anschließend auch für die Aufnahme mehrerer Hosts in die Whitelist verwendet werden. Sollen jedoch alle Hosts einer bestimmten Domäne in die Whitelist aufgenommen werden, kann dies mithilfe der Eigenschaft URL.Host.BelongsToDomains auf unkompliziertere Weise erreicht werden. Aufnahme von Domänen in die Whitelist – URL.Host.BelongsToDomains Ziel Benutzern den Zugriff auf die auf bestimmten Domänen bereitgestellten Web-Objekte erlauben. Beispiel: Download der Datei Stinger.exe bzw. einer beliebigen anderen Datei, die vom Host download.mcafee.com bereitgestellt wird, bzw. jeder anderen herunterladbaren Datei beliebiger anderer Hosts auf der Domäne mcafee.com. Erforderliche Schritte Verwenden Sie in den Kriterien einer Regel die boolesche Eigenschaft URL.Host:BelongsToDomains mit einer Liste der Domänennamen. Die entsprechende Regel könnte z. B. so konfiguriert sein: URL.Host.BelongsToDomains("Domain List") equals true –> Stop Rule Set Wenn Sie die Domäne mcafee.com in die Liste Domain List eintragen, werden alle auf dieser Domäne verfügbaren Web-Objekte bei der Verarbeitung der Regel in die Whitelist aufgenommen. Die Liste Domain List ist als Parameter der Eigenschaft URL.Host:BelongsToDomains konfiguriert. Diese Eigenschaft ist vom Typ „Boolean“. Wenn beispielsweise die URL http://download.mcafee.com/products/mcafee-avert/Stinger/Stinger.exe verarbeitet wird, richtet sich der Wert der Eigenschaft (true oder false) danach, ob sich die Domäne mcafee.com in die Liste Domain List befindet. Das folgende Beispiel zeigt, welche Einträge in der Liste Domain List zu einer Übereinstimmung führen, wenn diese Eigenschaft für die Whitelist-Aufnahme verwendet wird: mcafee.com dell.com k12.ga.us twitter.com xxx 306 McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung URL-Filterung Das Kriterium: URL.Host.BelongsToDomains("Domain List") equals true ergibt dann Übereinstimmungen für folgende URLs: https://contentsecurity.mcafee.com https://my.mcafee.com http://my.support.dell.com http://www.dekalb.k12.ga.us http://twitter.com http://www.twitter.com any.site.xxx jedoch nicht für diese URLs: https://www.mymcafee.com http://www.treasury.ga.us http://malicioustwitter.com Durch Verwendung der Eigenschaft URL.Host.BelongsToDomains kann außerdem das Erstellen komplizierterer Lösungen für eine im Endeffekt gleiche Zielsetzung vermieden werden, z. B.: • Verwenden von zwei Einträgen in einer Liste von Platzhalterausdrücken, wie z. B.: twitter.com *twitter.com • Nutzung eines einzelnen komplexen Eintrags in einer Liste mit Platzhalterausdrücken, wie z. B.: regex((.*\.|.?)twitter\.com) Eigenschaftswerte von Beispiel-URLs Beim Verarbeiten der Beispiel-URL http://www.mcafee.com/us/products/web-gateway.aspx werden für die aufgeführten URL-Eigenschaften die jeweils nebenstehenden Werte eingestellt. Eigenschaft Wert für die Beispiel-URL URL http://www.mcafee.com/us/products/web-gateway.aspx URL.Host www.mcafee.com URL.Host.BelongsToDomain true oder false In der als Parameter dieser Eigenschaft konfigurierten Liste müsste für die Domäne folgendes eingetragen werden: mcafee.com. URL.FileName web-gateway.aspx URL.Path /us/products/web-gateway.aspx URL.Protocol http Verwendung von Operatoren für unterschiedliche Übereinstimmungsarten Es besteht ein grundlegender Unterschied zwischen der Verwendung des Operators is in list und des Operators matches in list innerhalb der Kriterien einer Regel. McAfee Web Gateway 7.5.0 Produkthandbuch 307 9 Web-Filterung URL-Filterung Operator Beschreibung is in list Erfordert eine exakte Übereinstimmung der Zeichenfolgen. Wenn in einem Listeneintrag Platzhalterzeichen vorhanden sind, werden diese als Literale interpretiert. matches in list Lässt Platzhalter in Listeneinträgen zu und wertet diese aus. Geeignete und ungeeignete Einträge in Listen für URL-Eigenschaften Einträge in den von unterschiedlichen URL-Eigenschaften genutzten Listen können geeignet und ungeeignet sein, je nachdem, wie sinnvoll sie für den Verwendungszweck einer Eigenschaft sind. Im Folgenden sind Beispiele für geeignete und ungeeignete Listeneinträge aufgeführt. URL-Eigenschaft Geeignete und ungeeignete Listeneinträge URL mit Operator is in list Geeignet http://www.mcafee.com/us/products/web-gateway.aspx Es wird, wie für diese Eigenschaft erforderlich, die vollständige URL eingegeben. Es sind keine Platzhalter angegeben, da diese bei Verwendung des Operators is in list nicht ausgewertet werden. Ungeeignet www.mcafee.com/us/products/web-gateway.aspx Im Eintrag ist nicht die vollständige URL angegeben, da die Information bezüglich des Protokolls (http://) fehlt. URL mit Operator matches in Geeignet list http://www.mcafee.com/* Dieser Eintrag enthält einen Platzhalter, um den Zugriff auf alle vom Host www.mcafee.com bereitgestellten Web-Objekte zuzulassen. Bei Verwendung des Operators matches in list ist dies eine passende Angabe. Dieser Eintrag ergibt für http://mcafee.com/ keine Übereinstimmung. regex(htt(p|ps)://(.*\.|\.?)mcafee.com(\/.*|\/?)) Dieser Eintrag ist komplexer, da hier reguläre Ausdrücke verwendet werden. Bei der Übereinstimmungsprüfung erlaubt er sowohl unter dem Protokoll HTTP- als auch unter HTTPS Zugriff auf alle Web-Objekte unter der Domäne mcafee.com sowie unter deren untergeordneten Domänen. regex(htt(p|ps)://(.*\.|\.?)mcafee.(com|co.us)(\/.*|\/?)) Dieser Eintrag ist grundsätzlich mit dem vorhergehenden identisch, zeigt jedoch, wie auch andere Top-Level-Domänen wie .com oder .co.us in die Whitelist aufgenommen werden können. Ungeeignet *.mcafee.com* Bei diesem Eintrag kann es zu unerwünschten Übereinstimmungen kommen, beispielsweise zu einer Übereinstimmung mit der URL http://malicious-download-site.cc/malicious-file.exe?url= www.mcafee.com. 308 McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung URL-Filterung URL-Eigenschaft Geeignete und ungeeignete Listeneinträge URL.Host mit Operator is in list Geeignet www.mcafee.com Es wird ein Host-Name eingegeben, was für den Verwendungszweck dieser Eigenschaft sinnvoll ist. Da der Operator is in list verwendet wird, ist es ebenfalls sinnvoll, dass keine Platzhalter angegeben sind. Ungeeignet mcafee.com Der Eintrag selbst gibt einen Domänennamen an (mcafee.com), während der Wert der Eigenschaft ein Host-Name ist (www.mcafee.com, wenn z. B. die URL http:// www.mcafee.com/us/products/web-gateway.aspx verarbeitet wird). Auf diese Weise werden keinerlei Übereinstimmungen gefunden werden. *.mcafee.com Der Eintrag enthält einen Platzhalter, der jedoch bei Verwendung des Operators is in list nicht ausgewertet wird. *.mcafee.com/us* Der Eintrag enthält Pfadinformationen (/us), die nicht zum Verwendungszweck der Eigenschaft passen. Außerdem ist ein Platzhalter angegeben, der bei Verwendung des Operators is in list überhaupt nicht ausgewertet wird. McAfee Web Gateway 7.5.0 Produkthandbuch 309 9 Web-Filterung URL-Filterung URL-Eigenschaft Geeignete und ungeeignete Listeneinträge URL.Host mit Operator matches in list Geeignet *.mcafee.com Der Eintrag erbringt Übereinstimmungen für jeden beliebigen Host unter der Domäne mcafee.com, jedoch nicht für mcafee.com selbst. regex((.*\.|\.?)mcafee.com) Bei diesem Eintrag werden mithilfe regulärer Ausdrücke die Domäne mcafee.com sowie alle darin enthaltenen Hosts in die Whitelist aufgenommen. Ungeeignet *.mcafee.com* Bei diesem Eintrag kann es zu unerwünschten Übereinstimmungen kommen, beispielsweise mit http:// www.mcafee.com .malicious-download-site.cc/. *.mcafee.com/us* Der Eintrag enthält Pfadinformationen (/us), die nicht zum Verwendungszweck der Eigenschaft passen. URL.HostBelongsToDomains Geeignet mcafee.com wurde in die Liste Domain List eingegeben, die als Parameter der Eigenschaft konfiguriert ist. Der Eintrag ergibt Übereinstimmungen mit der Domäne mcafee.com sowie mit allen darin enthaltenen Hosts, z. B. www.mcafee.com oder secure.mcafee.com. www.mcafee.com Der Eintrag gibt zwar keine konkrete Domäne an, ist jedoch gültig. Hierbei wird ausschließlich der Host www.mcafee.com in die Whitelist aufgenommen. Dieses Ziel kann ebenfalls durch Hinzufügen des Eintrags zu einer Liste für die Eigenschaft URL.Host erreicht werden, wenn diese in Kombination mit dem Operator is in list verwendet wird. Ungeeignet *.mcafee.com Der Eintrag enthält einen Platzhalter, was nicht zum Verwendungszweck der Eigenschaft passt. Diese Eigenschaft ist dafür vorgesehen, um den aufwändigen Einsatz von Platzhaltern in Listeneinträgen zu vermeiden. Hier ist eine exakte Übereinstimmung mit einem Domänennamen erforderlich, z. B. eine Übereinstimmung mit mcafee.com. URL Filtering (Regelsatz) Der Regelsatz „URL Filtering“ ist der Standard-Regelsatz für die URL-Filterung. Standard-Regelsatz – URL Filtering Criteria – Always Cycles – Requests (and IM), responses, embedded objects 310 McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung URL-Filterung Der Regelsatz enthält die folgenden Regeln. Allow URLs that match in URL WhiteList URL matches in list URLWhiteList –> Stop Rule Set Die Regel überprüft mithilfe der Eigenschaft URL, ob eine bestimmte URL in der angegebenen Whitelist vorhanden ist. Wenn dies zutrifft, wird die Verarbeitung des Regelsatzes beendet, und die auf die Whitelist-Regel folgenden Blockierungsregeln werden nicht verarbeitet. Mithilfe dieser Regel können Sie URLs von der Filterung ausnehmen und dadurch gewährleisten, dass sie für die Benutzer des Netzwerks verfügbar sind und nicht von einer der nachfolgenden Blockierungsregeln blockiert werden. Der Abgleich mit der Whitelist erhöht außerdem die Leistung, da zu den jeweiligen URLs nicht erst Informationen abgerufen werden müssen. Block URLs that match in URL BlockList URL matches in list URL BlockList –> Block<URLBlocked> — Statistics.Counter.Increment (“ BlockedByURLFilter”,1)<Default> Die Regel überprüft mithilfe der Eigenschaft URL, ob eine bestimmte URL in der angegebenen Blockierungsliste vorhanden ist. Wenn dies zutrifft, wird die Verarbeitung aller Regeln beendet, und die Zugriffsanfrage für die URL wird nicht an den jeweiligen Web-Server übergeben. Auf diese Weise ist der Zugriff auf den Web-Server blockiert. In den Aktionseinstellungen ist festgelegt, dass der anfragende Benutzer eine Meldung hierüber erhält. Die Regel nutzt außerdem ein Ereignis zum Zählen der Blockierungen aufgrund von Virus- und Malware-Infektionen. Die Ereignisparameter geben den zu erhöhenden Zähler und die entsprechenden Erhöhungsschritte an. In den Ereigniseinstellungen sind die Einstellungen des Moduls „Statistics“ angegeben, das die Zählung durchführt. Enable SafeSearchEnforcer Always –> Continue — Enable SafeSearchEnforcer<Default> Die Regel aktiviert SafeSearchEnforcer. Dies ist ein zusätzliches Modul zum Filtern des Zugriffs auf Websites mit nicht jugendfreien Inhalten. Die Aktivierung erfolgt durch Ausführen eines Ereignisses. Die Einstellungen des Moduls werden mit dem Ereignis bestimmt. Anschließend wird die Verarbeitung mit der nächsten Regel fortgesetzt. Allow uncategorized URLs List.OfCategory.IsEmpty(URL.Categories<Default>) equals true –> Stop Rule Set Die Regel überprüft mithilfe der Eigenschaft List.OfCategory.IsEmpty (diese hat die Eigenschaft „URL.Categories“ als Parameter), ob die Kategorienliste zur Kategorisierung einer URL leer ist. Dies würde heißen, dass die URL nicht kategorisiert ist, da sie keiner vorhandenen Kategorie zugeordnet werden konnte. Die Angabe der Eigenschaft „URL.Categories“ als Parameter gewährleistet, dass eine bestimmte Kategorienliste überprüft wird. Hierbei handelt es sich um die Liste, die den Wert dieser Eigenschaft darstellt. Damit dem Wert der Eigenschaft „URL.Categories“ eine Kategorienliste zugeordnet werden kann, wird das Modul „URL Filter“ aufgerufen, das diese Liste vom Global Threat Intelligence-System abruft. Das Modul wird mit den festgelegten Standardeinstellungen ausgeführt. Wenn eine URL nicht kategorisiert ist, wird die Verarbeitung des Regelsatzes beendet, und die auf diese Regel folgenden Blockierungsregeln werden nicht verarbeitet. Die Anfrage für die URL wird an den entsprechenden Web-Server weitergeleitet, und dem Benutzer wird der Zugriff auf das durch Übermitteln der URL angefragte Web-Objekt erlaubt, sofern der Zugriff auf die URL nicht im Antwortzyklus bzw. im Zyklus für eingebettete Objekte blockiert wird. Block URLs whose category is in URL Category BlockList URL.Categories<Default> at least one in list Category BlockList –> Block<URLBlocked> — Statistics.Counter.Increment (“BlockedByURLFilter”,1)<Default> McAfee Web Gateway 7.5.0 Produkthandbuch 311 9 Web-Filterung URL-Filterung Die Regel überprüft mithilfe der Eigenschaft URL.Categories, ob eine der Kategorien, zu der eine bestimmte URL gehört, auf der angegebenen Blockierungsliste vorhanden ist. Das für den Informationsabruf zu diesen Kategorien aufgerufene Modul „URL Filter“ wird mit den Standardeinstellungen ausgeführt, die in der Eigenschaft angegeben sind. Wenn eine der Kategorien der URL in der Liste vorhanden ist, wird die Verarbeitung aller Regeln beendet, und die Zugriffsanfrage für die URL wird nicht an den jeweiligen Web-Server übergeben. Auf diese Weise ist der Zugriff auf den Web-Server blockiert. Die Einstellungen der Aktion URLBlocked legen fest, dass der den Zugriff anfragende Benutzer über die Blockierung informiert wird. Die Regel wendet außerdem ein Ereignis zum Zählen der Blockierungen aufgrund von URL-Filterung in der gleichen Weise an, wie die ebenfalls in diesem Regelsatz vorhandene Blockierungsregel für einzelne URLs. Block URLs with bad reputation URL.IsHighRisk<Default> equals true –> Block<URLBlocked> — Statistics.Counter.Increment (“ BlockedByURLFilter”,1)<default> Die Regel überprüft mithilfe der Eigenschaft URL.IsHighRisk, ob eine URL eine Reputation hat, aufgrund der ein Zugriff darauf sehr risikoreich erscheint. Wenn der Wert dieser Eigenschaft „true“ (wahr) ist, wird die Verarbeitung aller Regeln beendet, und die Zugriffsanfrage für die URL wird nicht an den jeweiligen Web-Server übergeben. Auf diese Weise ist der Zugriff auf den Web-Server blockiert. Der Reputationsfaktor wird vom Modul „URL Filter“ abgerufen, das mit den gemäß der Eigenschaft festgelegten Einstellungen ausgeführt wird. Die Einstellungen der Aktion URLBlocked legen fest, dass der den Zugriff anfragende Benutzer über die Blockierung informiert wird. Die Regel wendet außerdem ein Ereignis zum Zählen der Blockierungen aufgrund von URL-Filterung in der gleichen Weise an, wie die ebenfalls in diesem Regelsatz vorhandene Blockierungsregel für einzelne URLs. URL-Filterung mit Dynamic Content Classifier URLs können für die Filterung mit Dynamic Content Classifier kategorisiert werden. Dynamic Content Classifier (DCC) ist neben der lokalen Datenbank und Global Threat Intelligence eine weitere Quelle für Kategorisierungsinformationen hinsichtlich URLs. Sie können konfigurieren, dass Dynamic Content Classifier genutzt wird, wenn Suchanfragen nach URL-Kategorien bei den anderen beiden Quellen kein Ergebnis liefern. Konfigurieren von Dynamic Content Classifier Sie können konfigurieren, dass Dynamic Content Classifier zum Erkennen von URL-Kategorien verwendet wird, wenn andere Erkennungsmethoden keine Ergebnisse liefern. Vorgehensweise 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus. 2 Wählen Sie in der Regelsatz-Baumstruktur einen Regelsatz mit Regeln für die URL-Filterung aus. Im Standard-Regelsatzsystem ist dies z. B. der Regelsatz URL Filtering. Die Regeln werden im Einstellungsbereich angezeigt. 3 Achten Sie darauf, dass Show details (Details anzeigen) ausgewählt ist. 4 Wählen Sie die Regel zum Verarbeiten von URL-Kategorien aus, für die die Verwendung von Dynamic Content Classifier konfiguriert werden soll. Im Regelsatz „URL Filtering“ ist dies z. B. die Regel Block URLs whose category is in Category BlockList. 312 McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung URL-Filterung 5 Klicken Sie auf die Einstellungen des URL Filter-Moduls in den Regelkriterien. In der Beispielregel sind dies die Einstellungen für Default (Standard) im Kriterium URL.Categories <Default> at least one in list Category BlockList. Daraufhin öffnet sich das Fenster Edit Settings (Einstellungen bearbeiten). Es enthält die Einstellungen des URL Filter-Moduls. 6 Vergewissern Sie sich, dass unter Rating Settings (Bewertungseinstellungen) die Option Enable the Dynamic Content Classifier if GTI web categorization yields no results (Dynamic Content Classifier aktivieren, wenn GTI-Web-Kategorisierung keine Ergebnisse liefert) ausgewählt ist. 7 [Optional] Bearbeiten Sie die Liste der URL-Kategorien, die von Dynamic Content Classifier erkannt werden sollen. a Klicken Sie über der Liste Categories that will be dynamically detected (Dynamisch erkannte Kategorien) auf das Symbol Edit (Bearbeiten). Daraufhin öffnet sich das Fenster Edit (Bearbeiten). b Erweitern Sie unter DCC category (DCC-Kategorie) den Ordner Supported Categories (Unterstützte Kategorien). c Aktivieren und deaktivieren Sie URL-Kategorien nach Bedarf. d Klicken Sie auf OK. Das Fenster Edit (Bearbeiten) wird nun geschlossen, und die ausgewählten Kategorien werden in der Liste angezeigt. Sie können eine URL-Kategorie aus der Liste entfernen, indem Sie auf das Symbol Delete (Löschen) klicken und den Vorgang im angezeigten Fenster bestätigen. 8 Klicken Sie auf OK, um das Fenster Edit Settings (Einstellungen bearbeiten) zu schließen. 9 Klicken Sie auf Save Changes (Änderungen speichern). Dynamic Content Classifier wird nun an der Überprüfung beteiligt, ob eine in einer Anfrage für Web-Zugriff gesendete URL in eine der konfigurierten URL-Kategorien fällt. Verwenden einer eigenen URL-Filter-Datenbank Die URL-Filterung kann unter Verwendung von Informationen durchgeführt werden, die aus einer Ihrer eigenen Datenbanken abgerufen werden. Die URL-Filterung auf einer Web Gateway-Appliance verwendet Informationen über die Kategorien, in die URLs fallen, und die Web-Reputationsfaktoren, die ihnen zugeordnet sind. Diese Informationen werden aus der lokalen URL-Filterdatenbank, dem Global Threat Intelligence-System oder dem Dynamic Content Classifier abgerufen, abhängig davon, wie die Einstellungen des Moduls für die URL-Filterung konfiguriert sind. Die Informationen in der lokalen Datenbank resultieren aus dem dortigen Speichern von Kategorien und Web-Reputationsfaktoren, nachdem diese durch das Global Threat Intelligence-System für bestimmte URLs ermittelt wurden. Wenn eine Suche in der lokalen Datenbank keine Treffer ergibt, können zusätzlich die beiden anderen Informationsquellen verwendet werden. Anstelle der lokalen Datenbank können Sie eine eigene Datenbank verwenden, in der Informationen zu Kategorien und Web-Reputationsfaktoren enthalten sind. Um die lokale Datenbank zu ersetzen, müssen Sie beim Konfigurieren der Einstellungen für die zentrale Verwaltung die URL des Servers angeben, auf dem sich Ihre Datenbank befindet. McAfee Web Gateway 7.5.0 Produkthandbuch 313 9 Web-Filterung URL-Filterung Sie können sowohl Ihre eigene Datenbank als Quelle verwenden, die zuerst zum Abrufen von URL-Filterinformationen durchsucht wird, als auch die beiden anderen Quellen deaktivieren und den Filterungsprozess auf die Verwendung der in Ihrer Datenbank gespeicherten Informationen beschränken. Konfigurieren der Verwendung einer eigenen URL-Filter-Datenbank Wenn Sie URL-Filterinformationen aus einer eigenen Datenbank abrufen möchten, konfigurieren Sie die Verwendung dieser Datenbank im Rahmen der Einstellungen für die zentrale Verwaltung. Vorgehensweise 1 Wählen Sie Configuration | Appliances (Konfiguration | Appliances) aus. 2 Wählen Sie in der Appliances-Baumstruktur die Appliance aus, die die Informationen aus Ihrer Datenbank verwenden soll, und klicken Sie auf Central Management (Zentrale Verwaltung). 3 Führen Sie einen Bildlauf nach unten zu Advanced Update Settings (Erweiterte Aktualisierungseinstellungen) aus. 4 Geben Sie im Feld Enter a special custom parameter for an update server (Speziellen benutzerdefinierten Parameter für einen Aktualisierungs-Server eingeben) die URL des Servers ein, auf dem sich Ihre Datenbank befindet. 5 Klicken Sie auf Save Changes (Änderungen speichern). Wenn URLs mithilfe von Datenbankinformationen auf der Appliance gefiltert werden, werden diese nicht aus der lokalen Datenbank, sondern aus Ihrer eigenen Datenbank abgerufen. Sie können zudem andere Quellen von URL-Filterinformationen deaktivieren, um den Filtervorgang auf die in der eigenen Datenbank gespeicherten Informationen zu beschränken. Beschränken der URL-Filterung auf die Verwendung von Datenbankinformationen Wenn nur Datenbankinformationen für die URL-Filterung verwendet werden sollen, deaktivieren Sie die Verwendung des Global Threat Intelligence-Systems und des Dynamic Content Classifier. Wenn Sie die Verwendung einer eigenen URL-Filter-Datenbank konfiguriert haben, werden Filterinformationen ausschließlich aus dieser Datenbank abgerufen. Vorgehensweise 1 Wählen Sie Policy | Settings (Richtlinie | Einstellungen) aus. 2 Wählen Sie unter Engines | URL Filter (Module | URL-Filter) die URL-Filter-Einstellungen aus, für die Informationsquellen deaktiviert werden sollen. 3 Deaktivieren Sie unter Rating Settings (Bewertungseinstellungen) nacheinander die folgenden beiden Kontrollkästchen: 4 314 • Enable the Dynamic Content Classifier if GTI web categorization yields no result (Dynamic Content Classifier aktivieren, wenn GTI-Web-Kategorisierung kein Ergebnis liefert) • Use online GTI web reputation and categorization services if local rating yields no result (Online-Dienste für GTI-Web-Reputation und Kategorisierung verwenden, wenn lokale Bewertung kein Ergebnis liefert) Klicken Sie auf Save Changes (Änderungen speichern). McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung URL-Filterung URL-Filterung mithilfe eines IFP-Proxys Die URL-Filterung kann für Web-Zugriffsanfragen durchgeführt werden, die unter dem IFP-Protokoll übermittelt werden. Zum Anwenden der URL-Filterung auf Anfragen dieser Art sind folgende Schritte erforderlich: • Einrichten eines IFP-Proxys • Implementieren geeigneter Filterregeln Filteraktivitäten für IFP-Anfragen werden im Dashboard der Benutzeroberfläche angezeigt. Für diese Aktivitäten kann auch eine Verbindungsverfolgung durchgeführt werden. Einrichten eines IFP-Proxys Für die Verarbeitung und das Filtern von Web-Zugriffsanfragen, die Benutzer von ihren Client-Systemen aus unter dem IFP-Protokoll stellen, müssen die Proxy-Funktionen der Appliance entsprechend konfiguriert werden. Es muss ein IFP-Proxy eingerichtet werden, der diese Anfragen abfängt und sie für die URL-Filterung bereitstellt. Für das Einrichten des Proxys müssen Sie auf der Benutzeroberfläche unter Configuration | Proxies (Konfiguration | Proxys) verschiedene Einstellungen festlegen. Diese Einstellungen umfassen: • Aktivieren bzw. Deaktivieren des Proxys • Liste der Proxy-Ports mit folgenden Angaben für jeden Proxy: • • IP-Adresse und Port-Nummer • Meldungsmodus (zur Angabe, ob eine Blockierungsmeldung als umgeleitete oder als normale Meldung unter dem IFP-Protokoll gesendet wurde) Höchstanzahl gleichzeitiger IFP-Anfragen Mit dieser Einstellung können Sie die Überlastung des IFP-Proxys verhindern. Regeln für das Filtern von IFP-Anfragen Für das Steuern des Filtervorgangs für IFP-Anfragen steht kein standardmäßiger bzw. Bibliotheks-Regelsatz zur Verfügung. Sie können jedoch selbst einen Regelsatz erstellen und die IFP-Proxy-Funktionen auch in vorhandenen Regelsätzen verwenden. Beim Erstellen eines Regelsatzes zur Filterung von IFP-Anfragen müssen Sie die Nutzung des IFP-Protokolls als Regelsatzkriterium festlegen, damit der Regelsatz grundsätzlich auf Anfragen, die unter diesem Protokoll gestellt werden, angewendet wird. Dies erreichen Sie, indem Sie die Eigenschaft Connection.Protocol zu den Kriterien hinzufügen und das IFP-Protokoll als Operanden konfigurieren. Da das IFP-Protokoll nur Anfragen abdeckt, können Sie die Filterung von Antworten und eingebetteten Objekten als Aktivitäten, auf die der Regelsatz angewendet werden soll, ausschließen. Die im Regelsatz enthaltenen Regeln können die gleichen wie im Standard-Regelsatz „URL Filtering“ sein. Wenn die URL-Filterung nur für über das IFP-Protokoll gesendete Anfragen durchgeführt werden soll, sollten Sie den Standard-Regelsatz „URL Filtering“ löschen und ausschließlich den auf hier beschriebenem Wege erstellten Regelsatz zur IFP-Filterung anzuwenden. Die Nutzung der IFP-Proxy-Funktionen in bestehenden Regelsätzen kann beispielsweise dann eine Option sein, wenn bereits Authentifizierungsvorgänge für Anfragen unter verschiedenen anderen Protokollen implementiert sind und Sie die Authentifizierung für IFP-Anfragen hinzufügen möchten. McAfee Web Gateway 7.5.0 Produkthandbuch 315 9 Web-Filterung URL-Filterung Der Bibliotheks-Regelsatz „Authentication Server (Time/IP-based Session)“ enthält einen eingebetteten Regelsatz mit Regeln zur Überprüfung, ob für einen anfragenden Client bereits eine authentifizierte Sitzung besteht. Andernfalls wird die Anfrage an den Authentifizierungs-Server umgeleitet. Der eingebettete Regelsatz umfasst Protokolle wie HTTP oder HTTPS. Durch Nutzung der Eigenschaft Connection.Protocol können Sie die Kriterien erweitern und auch das IFP-Protokoll aufnehmen. Einschränkungen bei der IFP-Filterung Bei der Verwendung eines IFP-Proxys zur Filterung von URLs sollten Sie folgende Einschränkungen berücksichtigen: • Eingeschränkte Nutzung von SafeSearch Enforcer Während der IFP-Filterung kann SafeSearch Enforcer ausschließlich für das Filtern von mit Google durchgeführten Suchanfragen angewendet werden. Das liegt daran, dass lediglich Google für das Senden der Suchkriterien URLs verwendet. Alle anderen Suchmaschinen hingegen nutzen Cookies. Diese können jedoch nicht vom IFP-Proxy einer Appliance verarbeitet werden. • HTTP-Proxy für bestimmte Funktionen erforderlich Wenn Sie die folgenden Aktionen durchführen möchten, ist die Einrichtung eines HTTP-Proxys zusätzlich zum IFP-Proxy erforderlich: • Von einer Filterregel blockierte IFP-Anfragen an eine Blockierungsseite umleiten, damit auf dem Client des anfragenden Benutzers eine Blockierungsmeldung angezeigt wird. • Authentifizieren von Benutzern auf der Appliance durch Überprüfung ihrer Anmeldeinformationen auf dem internen Authentifizierungs-Server. • Beschränkung des Web-Zugangs von Benutzern durch Implementieren des Bibliotheks-Regelsatzes für Zeitkontingente. IFP-Filteraktivitäten im Dashboard Das Dashboard auf der Benutzeroberfläche enthält Informationen zu verschiedenen Aktivitäten der IFP-Filterung. • Anzahl der verarbeiteten IFP-Anfragen Diese Information wird unter Web Traffic Summary | Requests per protocol (Zusammenfassung Web-Datenverkehr | Anfragen nach Protokoll) angezeigt. • Domänen, für die am häufigsten Zugriffsanfragen gestellt wurden (Anzahl der Anfragen) In diesen Anfragen können auch unter dem IFP-Protokoll übermittelte Anfragen enthalten sein. Diese Information wird unter Web Traffic | Top Level Domains by Number of Requests (Web-Datenverkehr | Top-Level-Domänen nach Anzahl der Anfragen) angezeigt. • Websites, für die am häufigsten Zugriffsanfragen gestellt wurden (Anzahl der Anfragen) In diesen Anfragen können auch unter dem IFP-Protokoll übermittelte Anfragen enthalten sein. Diese Informationen werden unter Web Traffic | Destinations by Number of Requests (Web-Datenverkehr | Ziel-Websites nach Anzahl der Anfragen) angezeigt. Verbindungsverfolgung für IFP-Filteraktivitäten Bei der Filterung von IFP-Anfragen kann eine Verbindungsverfolgung durchgeführt werden. 316 McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung URL-Filterung Bei aktivierter Verbindungsverfolgung werden Verfolgungsdateien angelegt und gespeichert. Auf diese Dateien kann auf der Benutzeroberfläche im übergeordneten Menü Troubleshooting (Fehlerbehebung) zugegriffen werden. Konfigurieren der IFP-Proxy-Einstellungen Sie können die IFP-Proxy-Einstellungen konfigurieren, um einen Proxy für die Verarbeitung von Anfragen für den Web-Zugriff einzurichten, die unter diesem Protokoll gesendet werden. Vorgehensweise 1 Wählen Sie Configuration | Appliances (Konfiguration | Appliances) aus. 2 Erweitern Sie in der Appliances-Baumstruktur die Appliance, für die Sie die IFP-Proxy-Einstellungen konfigurieren möchten, und klicken Sie auf Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys (HTTP(S), FTP, ICAP und IM)). 3 Führen Sie im Bereich für Einstellungen einen Bildlauf nach unten zum Abschnitt IFP Proxy (IFP-Proxy) aus. 4 Konfigurieren Sie die Einstellungen in diesem Abschnitt nach Bedarf. 5 Klicken Sie auf Save Changes (Änderungen speichern). IFP-Proxy-Einstellungen Mit den IFP-Proxy-Einstellungen wird ein Proxy konfiguriert, der unter dem IFP-Protokoll gesendete Anfragen für Web-Zugriff abfängt und für die URL-Filterung verfügbar macht. IFP Proxy (IFP-Proxy) Einstellungen für das Konfigurieren eines IFP-Proxys Tabelle 9-18 IFP Proxy (IFP-Proxy) Option Definition Enable IFP proxy (IFP-Proxy aktivieren) Bei Auswahl dieser Option wird der IFP-Proxy auf einer Appliance aktiviert. IFP port definition list (Liste von IFP-Port-Definitionen) Ermöglicht Ihnen das Erstellen einer Liste von Ports, die IFP-Anfragen empfangen. Maximum number of concurrent IFP requests allowed (Maximal zulässige Anzahl gleichzeitiger IFP-Anfragen) Beschränkt die Anzahl gleichzeitig verarbeiteter IFP-Anfragen auf den angegebenen Wert. Sie können mithilfe dieser Eigenschaft eine Überlastung des IFP-Proxys verhindern. In der folgenden Tabelle wird ein Eintrag in der Liste der IFP-Port-Definitionen beschrieben. Tabelle 9-19 IFP Port Definition (IFP-Port-Definition) Option Definition Listener address (Listener-Adresse) Gibt die IP-Adresse und die Port-Nummer eines Ports an, der IFP-Anfragen empfängt. Send error message as redirect (Bei Umleitung Fehlermeldung senden) Beim Wert „True“ wird ein Benutzer, der eine Anfrage gesendet hat, durch Umleiten der Anfrage auf eine Fehlermeldungsseite benachrichtigt, z. B. über eine Blockierung der Anfrage. Andernfalls werden die relevanten Informationen als normale Nachricht unter dem IFP-Protokoll gesendet. Comment (Kommentar) McAfee Web Gateway 7.5.0 Gibt einen Kommentar (Nur-Text-Format) zu einem Port an, der IFP-Anfragen empfängt. Produkthandbuch 317 9 Web-Filterung URL-Filterung Erstellen eines Regelsatzes zum Filtern von IFP-Anfragen Sie können einen Regelsatz mit Regeln zum Filtern von Web-Zugriffsanfragen erstellen, die unter dem IFP-Protokoll gestellt werden. Vorgehensweise 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze), klicken Sie anschließend auf Add (Hinzufügen), und wählen Sie dann Rule Set (Regelsatz) aus. Daraufhin öffnet sich das Fenster Add New Rule Set (Neuen Regelsatz hinzufügen). 2 Geben Sie im Feld Name einen geeigneten Namen für den Regelsatz ein, z. B. Filter IFP Requests. 3 Deaktivieren Sie unter Applies to (wird angewendet auf) die Optionen Responses (Antworten) und Embedded Objects (eingebettete Objekte). 4 Wählen Sie unter Apply this rule set (Diesen Regelsatz anwenden) die Option If the following criteria is matched (Wenn folgende Kriterien erfüllt sind) aus. 5 Konfigurieren Sie die Regelsatzkriterien. a Klicken Sie unter Criteria (Kriterien) auf Add (Hinzufügen), und wählen Sie Advanced criteria (Erweiterte Kriterien) aus. Daraufhin öffnet sich das Fenster Add Criteria (Kriterien hinzufügen). b Wählen Sie in der Liste der Eigenschaften Connection.Protocol aus. c Wählen Sie in der Liste der Operatoren equals (ist gleich) aus. d Geben Sie im Eingabefeld für Operanden IFP ein. e Klicken Sie auf OK. Das Fenster Add Criteria (Kriterien hinzufügen) wird nun geschlossen, und das Kriterium wird im Feld Criteria (Kriterien) angezeigt. 6 Klicken Sie auf OK. Das Fenster Add New Rule Set (Neuen Regelsatz hinzufügen) wird nun geschlossen, und der neue Regelsatz wird in der Regelsatz-Baumstruktur angezeigt. Wenn die Erstellung des-Regelsatzes abgeschlossen ist, müssen Sie dort Regeln zur URL-Filterung einfügen. Beispielsweise können Sie Regeln aus dem Standard-Regelsatz für URL-Filterung kopieren und nach Bedarf anpassen. Bearbeiten eines Authentifizierungs-Regelsatzes zur Einbindung des IFPProtokolls Sie können das IFP-Protokoll in die Kriterien eines Authentifizierungs-Regelsatzes einbinden, um die Authentifizierung für Anfragen zu aktivieren, die unter diesem Protokoll übermittelt werden. Vorgehensweise 1 Importieren Sie einen Authentifizierung-Regelsatz aus der Bibliothek. a Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus, klicken Sie auf Add (Hinzufügen), und wählen Sie dann Top Level Rule Set (Regelsatz der obersten Ebene) aus. Daraufhin öffnet sich das Fenster Add Top Level Rule Set (Regelsatz der obersten Ebene hinzufügen). 318 McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung Medientyp-Filterung b Klicken Sie auf Import rule set from Rule Set Library (Regelsatz aus Regelsatz-Bibliothek importieren). Daraufhin öffnet sich das Fenster Add from Rule Set Library (Aus Regelsatz-Bibliothek hinzufügen). c Wählen Sie in der Liste Rule Set Library (Regelsatz-Bibliothek) den Regelsatz Authentication (Time/ IP-based Session) aus. d Wählen Sie im Bereich Import conflicts (Import-Konflikte) den aufgeführten Konflikt aus, und wählen Sie unter Conflict Solution (Konfliktlösung) eine Strategie zur Konfliktlösung aus. e Klicken Sie auf OK. Das Fenster Add from Rule Set Library (Aus Regelsatz-Bibliothek hinzufügen) wird geschlossen, und der Regelsatz wird in der Regelsatz-Baumstruktur angezeigt. 2 Erweitern Sie den Regelsatz, und wählen Sie den untergeordneten Regelsatz Check for Valid Authentication Session aus. Nun werden die Kriterien und Regeln des untergeordneten Regelsatzes im Abschnitt für Einstellungen angezeigt. 3 Klicken Sie auf Edit (Bearbeiten). Daraufhin öffnet sich das Fenster Edit Rule Set (Regelsatz bearbeiten). 4 Ändern Sie die Regelsatzkriterien. a Klicken Sie unter Criteria (Kriterien) auf Add (Hinzufügen), und wählen Sie Advanced Criteria (Erweiterte Kriterien) aus. b Wählen Sie in der Liste der Eigenschaften Connection.Protocol aus. c Wählen Sie in der Liste der Operatoren equals (ist gleich) aus. d Geben Sie im Eingabefeld für Operanden IFP ein. e Klicken Sie auf OK. Das Fenster Add Criteria (Kriterien hinzufügen) wird geschlossen, und das Kriterium wird im Feld Criteria (Kriterien) angezeigt. f 5 Entfernen Sie unter Criteria combination (Kriterienkombination) die schließende Klammer nach dem Buchstaben e, und fügen Sie eine schließende Klammer hinter d ein. Klicken Sie auf OK. Das Fenster Edit Rule Set (Regelsatz bearbeiten) wird geschlossen. 6 Klicken Sie auf Save Changes (Änderungen speichern). Medientyp-Filterung Die Medientyp-Filterung stellt sicher, dass die Benutzer Ihres Netzwerks nicht auf Medien bestimmter Typen, z. B. Bilder, Audio oder Streaming-Medien, zugreifen können, wenn diese laut Ihrer Web-Sicherheitsrichtlinien nicht zulässig sind. Auf diese Weise können Sie beispielsweise verhindern, dass Ihre Benutzer zu viele Ressourcen belegen. McAfee Web Gateway 7.5.0 Produkthandbuch 319 9 Web-Filterung Medientyp-Filterung Die Medientyp-Filterung umfasst eine Reihe von Elementen mit jeweils unterschiedlichen Funktionen. • Filterregeln steuern den Prozess. • Eine Regel verwendet eine Blockierungsliste, um den Zugriff auf Medien bestimmter Typen zu blockieren. Ein Standardprozess zur Medientyp-Filterung wird nach der Ersteinrichtung auf Web Gateway installiert. Sie können diesen Prozess ändern und an die Anforderungen Ihrer Web-Sicherheitsrichtlinien anpassen. Beim Konfigurieren der Medientyp-Filterung können Sie mit Folgendem arbeiten: • Schlüsselelemente von Regeln: Nachdem Sie in der Regelsatz-Baumstruktur auf den Standard-Regelsatz Media Type Filtering geklickt haben, können Sie Schlüsselelemente der Standardregeln für die Filterung anzeigen und konfigurieren. • Vollständige Regeln: Wenn Sie in der Schlüsselelementansicht auf Unlock View (Anzeige entsperren) klicken, können Sie den Regelsatz Media Type Filtering in der Regelsatz-Baumstruktur erweitern, sodass die untergeordneten Regelsätze Upload Media Types und Download Media Types angezeigt werden. Wenn Sie auf eine der Möglichkeiten klicken, werden die jeweiligen Standardregeln für die Filterung vollständig angezeigt. Sie können alle Elemente konfigurieren, einschließlich der Schlüsselelemente, und auch neue Regeln erstellen oder Regeln löschen. Um von dieser Ansicht wieder zur Schlüsselelementansicht zurückzukehren, müssen Sie alle Änderungen verwerfen oder den Regelsatz erneut importieren. Filterregeln Die Regeln, die den Medientyp-Filterungsprozess steuern, befinden sich üblicherweise in einem einzelnen Medientyp-Filterungsregelsatz. Dieser kann zwei untergeordnete Regelsätze mit Regeln zum Filtern von Medientypen, die ins Web hochgeladen bzw. aus dem Web heruntergeladen werden, enthalten. Wenn der Standardprozess implementiert wird, ist ein Regelsatz zur Medientyp-Filterung mit zwei untergeordneten Regelsätzen enthalten. Der Name des übergeordneten Regelsatzes lautet Media Type Filtering, die der untergeordneten Regelsätze Upload Media Types und Download Media Types. Eine Medientyp-Filterregel kann eine Liste mit Medientypen verwenden. Sie kann zudem auf der Verwendung einer passenden Eigenschaft in ihren Kriterien basieren, z. B. die Eigenschaften MediaType.IsAudio oder MediaType.IsVideo. Blockierungslisten Eine Regel verwendet eine Blockierungsliste, um Medien bestimmter Typen zu blockieren. Es kann sowohl eine Blockierungsliste für Medien geben, die nicht aus Ihrem Netzwerk heraus ins Web hochgeladen werden dürfen, als auch eine für Medien, die nicht aus dem Web in Ihr Netzwerk heruntergeladen werden dürfen. 320 McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung Medientyp-Filterung Konfigurieren von Schlüsselelementen für die MedientypFilterung Konfigurieren Sie Schlüsselelemente der Regeln für die Medientyp-Filterung, um wichtige Teile des Filterprozesses an die Anforderungen Ihrer Web-Sicherheitsrichtlinie anzupassen. Vorgehensweise 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus. 2 Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz Media Type Filtering aus. Nun werden die Schlüsselelemente der Regeln für den Filterprozess im Konfigurationsbereich angezeigt. 3 Konfigurieren Sie die Schlüsselelemente nach Bedarf. 4 Klicken Sie auf Save Changes (Änderungen speichern). Schlüsselelemente für die Medientyp-Filterung Die Schlüsselelemente für die Medientyp-Filterung beziehen sich auf wichtige Teile dieses Filterprozesses. Block Media Types in Uploads (Medientypen in Uploads blockieren) Schlüsselelemente für das Filtern von Medien, die in das Web hochgeladen werden Tabelle 9-20 Block Media Types in Uploads (Medientypen in Uploads blockieren) Option Definition Media types to block (Zu blockierende Medientypen) Wenn Sie auf Edit (Bearbeiten) klicken, wird ein Fenster geöffnet, in dem Sie die von einer Regel verwendete Liste „Upload Media Type Block“ bearbeiten können. Sie können der Liste Einträge hinzufügen sowie Einträge der Liste bearbeiten oder löschen. Block Media Types in Downloads (Medientypen in Downloads blockieren) Schlüsselelemente für das Filtern von Medien, die aus dem Web heruntergeladen werden Tabelle 9-21 Block Media Types in Downloads (Medientypen in Downloads blockieren) Option Definition Media types to block (Zu blockierende Medientypen) Wenn Sie auf Edit (Bearbeiten) klicken, wird ein Fenster geöffnet, in dem Sie die von einer Regel verwendete Liste „Download Media Type Block“ bearbeiten können. Sie können der Liste Einträge hinzufügen sowie Einträge der Liste bearbeiten oder löschen. Block undetectable media types (Nicht erkannte Medientypen blockieren) Bei Auswahl dieser Option wird eine Regel aktiviert, die Medien blockiert, wenn deren Typ nicht erkannt wurde. Block unsupported media types (Nicht unterstützte Medientypen blockieren) Bei Auswahl dieser Option wird eine Regel aktiviert, die Medien blockiert, wenn diese einen Typ aufweisen, der von Web Gateway nicht verarbeitet werden kann. McAfee Web Gateway 7.5.0 Produkthandbuch 321 9 Web-Filterung Medientyp-Filterung Tabelle 9-21 Block Media Types in Downloads (Medientypen in Downloads blockieren) (Fortsetzung) Option Definition Block multimedia (Multimedia blockieren) Bei Auswahl dieser Option wird eine Regel aktiviert, die Medien blockiert, wenn diese einen Multimedia-Typ aufweisen. Block streaming media (Streaming-Medien blockieren) Bei Auswahl dieser Option wird eine Regel aktiviert, die Medien blockiert, wenn es sich dabei um Streaming-Medien handelt. Konfigurieren der Medientyp-Filterung mithilfe der vollständigen Regelansicht Sie können die Medientyp-Filterung konfigurieren, um diesen Prozess an die Anforderungen Ihres Netzwerks anzupassen. Beim Konfigurieren der URL-Filterung können Sie mit der Schlüsselelementansicht oder der Regelansicht arbeiten. Vorgehensweise 1 Prüfen Sie die Regeln im Regelsatz für die URL-Filterung. Standardmäßig ist dies der Regelsatz URL Filtering. 2 Ändern Sie diese Regeln nach Bedarf. Sie können beispielsweise Folgendes ausführen: • Blockierungsregeln und die Whitelist-Regel aktivieren bzw. deaktivieren • Die von diesen Regeln verwendeten Listen bearbeiten Ein gelbes Dreieck neben dem Namen einer Liste zeigt an, dass die Liste anfänglich leer ist und Sie Einträge hinzufügen müssen. • 3 Einstellungen des URL Filter-Moduls ändern Speichern Sie die Änderungen. Eigenschaften für die Medientyp-Filterung Die meisten Regeln für die Medientyp-Filterung verwenden die Eigenschaft MediaType.EnsuredTypes in ihren Kriterien. Bei Verwendung anderer Eigenschaften wird die Medientyp-Filterung auf andere Weise ausgeführt. So gibt es beispielsweise die Eigenschaft MediaType.NotEnsuredTypes. Wenn Sie diese Eigenschaft in den Kriterien einer Blockierungsregel verwenden, blockiert die Regel Medien, deren Typen in einer Sperrliste enthalten sind. Dies gilt selbst dann, wenn die Wahrscheinlichkeit, dass sie tatsächlich diesen Typ aufweisen, bei weniger als 50 % liegt. Sie können mit dieser Eigenschaft sicherstellen, dass ein Medientyp unter allen Umständen blockiert wird. In der folgenden Tabelle sind die Eigenschaften aufgelistet, die für Regeln für die Medientyp-Filterung verfügbar sind. 322 McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung Medientyp-Filterung Tabelle 9-22 Eigenschaften für die Medientyp-Filterung Eigenschaft Beschreibung MediaType.EnsuredTypes Eigenschaft von Medien, deren Typen mit einer Wahrscheinlichkeit von mehr als 50 % gesichert ist Dieses Wahrscheinlichkeitsniveau wird angenommen, wenn eine Medientyp-Signatur aus einer internen Liste auf der Appliance im Objekt-Code der jeweiligen Medien gefunden wird. MediaType.NotEnsuredTypes Eigenschaft von Medien, bei denen die Wahrscheinlichkeit, dass sie tatsächlich den jeweiligen Typ aufweisen, bei weniger als 50 % liegt MediaType.FromFileExtension Eigenschaft von Medien, bei denen die Typen anhand der Erweiterungen der Medientyp-Dateinamen angenommen werden Die Erweiterungen und die jeweils zugeordneten Medientypen werden in einem internen Katalog auf der Appliance nachgeschlagen. Es gibt jedoch Erweiterungen, die für mehrere Medientypen verwendet werden. MediaType.FromHeader Eigenschaft von Medien, bei denen die Typen entsprechend dem Inhaltstyp-Feld des mit den Medien gesendeten Headers angenommen werden Die Header werden gelesen und in einem standardisierten Format ausgewertet. Wenn Sie Header in ihrem ursprünglichen Format filtern möchten, können Sie die Eigenschaft „Header.Get“ verwenden. MediaType.IsSupported Eigenschaft von eingebetteten oder archivierten Medien, die mit dem Öffner-Modul der Appliance extrahiert werden können. List.OfMediaType.IsEmpty Eigenschaft von Medien mit Typen, die nicht in einer internen Liste aufgeführt werden Bearbeiten einer Medientyp-Filterregel Sie können eine Medientyp-Filterregel so bearbeiten, dass ein anderer Medientyp gefiltert wird, indem Sie die Eigenschaft in den Regelkriterien ändern. Sie müssen dann auch eine neue Filterliste für die bearbeitete Regel erstellen. Aufgaben • Erstellen einer Filterliste für eine geänderte Regel auf Seite 323 Wenn eine Medientyp-Filterregel geändert wurde, können Sie eine neue Filterliste für die Nutzung mit dieser Regel erstellen. • Ersetzen einer Eigenschaft in einer Medientyp-Filterregel auf Seite 324 Sie können die Eigenschaft in den Kriterien einer Medientyp-Filterregel durch eine andere Eigenschaft ersetzen, sodass die Regel eine andere Art von Medientypen filtert. Erstellen einer Filterliste für eine geänderte Regel Wenn eine Medientyp-Filterregel geändert wurde, können Sie eine neue Filterliste für die Nutzung mit dieser Regel erstellen. Vorgehensweise 1 Wählen Sie Policy | Lists (Richtlinie | Listen) aus. 2 Wählen Sie im Zweig Custom Lists (benutzerdefinierte Listen) der Listen-Baumstruktur auf Media Type (Medientyp), und klicken Sie auf Add (Hinzufügen). Daraufhin öffnet sich das Fenster Add List (Liste hinzufügen). McAfee Web Gateway 7.5.0 Produkthandbuch 323 9 Web-Filterung Medientyp-Filterung 3 Geben Sie im Feld Name einen geeigneten Namen für die neue Liste ein, z. B. Not Ensured Download Media Type Blocklist. 4 [Optional] Geben Sie im Feld Comment (Kommentar) einen Kommentar (Nur-Text-Format) zur neuen Liste ein. 5 [Optional] Klicken Sie auf die Registerkarte Permissions (Berechtigungen), und legen Sie dort fest, wer zum Zugriff auf die Liste berechtigt ist. 6 Klicken Sie auf OK. Das Fenster Add List (Liste hinzufügen) wird geschlossen, und die neue Liste wird nun in der Listen-Baumstruktur unter Media Type (Medientyp) angezeigt. Sie können der neuen Liste nun Einträge hinzufügen, anhand derer die Medientyp-Filterregel Medien blockiert bzw. zulässt. Ersetzen einer Eigenschaft in einer Medientyp-Filterregel Sie können die Eigenschaft in den Kriterien einer Medientyp-Filterregel durch eine andere Eigenschaft ersetzen, sodass die Regel eine andere Art von Medientypen filtert. Vorgehensweise 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus. 2 Wählen Sie in der Regelsatz-Baumstruktur einen Regelsatz für die Medientyp-Filterung aus, z. B. den untergeordneten Regelsatz Download Media Type im Regelsatz Media Type Filtering. 3 Wählen Sie eine Regel aus, z. B. Block types from Download Media Type Blocklist, und klicken Sie auf Edit (Bearbeiten). Daraufhin öffnet sich das Fenster Edit Rule (Regel bearbeiten), in dem der Schritt Name ausgewählt ist. 4 Klicken Sie auf Rule Criteria (Regelkriterien), und wählen Sie unter Criteria (Kriterien) die Regel aus. Klicken Sie dann auf Edit (Bearbeiten). Daraufhin öffnet sich das Fenster Edit Criteria (Kriterien bearbeiten). 5 6 Bearbeiten Sie die Regelkriterien wie folgt: a Wählen Sie in der Liste der Eigenschaften in der linken Spalte eine neue Eigenschaft aus, z. B. MediaType.NotEnsuredTypes (anstelle von MediaType.EnsuredTypes). b Wählen Sie in der Liste der Operanden in der rechten Spalte Not Ensured Download Media Type Blocklist (Sperrliste für unsichere Medientyp-Downloads) aus. Klicken Sie auf OK. Das Fenster wird nun geschlossen, und die geänderten Kriterien werden unter Rule Criteria (Regelkriterien) angezeigt. 7 Klicken Sie auf Finish (Fertig stellen). Das Fenster Edit Rule (Regel bearbeiten) wird geschlossen, und die geänderte Regel wird im ausgewählten untergeordneten Regelsatz angezeigt. 8 324 Klicken Sie auf Save Changes (Änderungen speichern). McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung Medientyp-Filterung Media Type Filtering (Regelsatz) Der Regelsatz „Media Type Filtering“ ist der Standard-Regelsatz für die Medientypfilterung. Bibliotheks-Regelsatz – Media Type Filtering Criteria – Always Cycles – Requests (and IM), Responses, Embedded Objects Dieser Regelsatz enthält die folgenden untergeordneten Regelsätze: • Upload Media Type Dieser Regelsatz ist standardmäßig nicht aktiviert. • Download Media Type Upload Media Type Dieser untergeordnete Regelsatz blockiert das Hochladen von Medien, die zu bestimmten Medientypen gehören. Er wird sowohl in Anfragezyklen verarbeitet, wenn Benutzer das Hochladen von Medien in das Web anfragen, als auch in untergeordneten Objektzyklen, wenn Objekte in Medien eingebettet sind. Untergeordneter Bibliotheks-Regelsatz – Upload Media Type Criteria – Always Cycles – Requests (and IM) and embedded objects Der Regelsatz enthält die folgende Regel: Block types from list Upload Media Type Blocklist Media.TypeEnsuredTypes at least one in list Upload Media Type Blocklist –> Block<Media Type (Block List)> — Statistics.Counter.Increment (“BlockedByMediaFilter”, 1)<Default> Die Regel sucht mithilfe der Eigenschaft Media.TypeEnsuredTypes nach Medien, deren Typ sichergestellt ist, wenn sie sich in der angegebenen Liste befinden. Wenn dies der Fall ist, wird der Zugriff auf den Medientyp blockiert, und die Verarbeitung der Regeln wird angehalten. Die Regel verwendet ein Ereignis zum Zählen der Blockierungen aufgrund der Medientypfilterung. Die Ereignisparameter geben den zu erhöhenden Zähler und die entsprechenden Erhöhungsschritte an. In den Ereigniseinstellungen sind die Einstellungen des Moduls „Statistics“ angegeben, das die Zählung durchführt. Die Verarbeitung wird mit der nächsten auf der Appliance eingehenden Anfrage fortgesetzt. Download Media Type Dieser untergeordnete Regelsatz blockiert das Herunterladen von Medien, die zu bestimmten Medientypen gehören. Er wird sowohl in Antwortzyklen verarbeitet, wenn Web-Server Medien als Reaktion auf Download-Anfragen von Benutzern senden, als auch in untergeordneten Objektzyklen, wenn Objekte in Medien eingebettet sind. Untergeordneter Bibliotheks-Regelsatz – Download Media Type Criteria – Always Cycles – Responses and embedded objects Der Regelsatz enthält die folgende Regel. Block types from list Download Media Type Blocklist Media.TypeEnsuredTypes at least one in list Download Media Type Blocklist –> Block<Media Type (Block List)> — Statistics.Counter.Increment (“BlockedByMediaFilter”, 1)<Default> McAfee Web Gateway 7.5.0 Produkthandbuch 325 9 Web-Filterung Anwendungsfilterung Die Regel sucht mithilfe der Eigenschaft Media.TypeEnsuredTypes nach Medien, deren Typ sichergestellt ist, wenn sie sich in der angegebenen Liste befinden. Wenn dies der Fall ist, wird der Zugriff auf den Medientyp blockiert, und die Verarbeitung der Regeln wird angehalten. Die Regel verwendet ein Ereignis zum Zählen der Blockierungen aufgrund der Medientypfilterung. Die Ereignisparameter geben den zu erhöhenden Zähler und die entsprechenden Erhöhungsschritte an. In den Ereigniseinstellungen sind die Einstellungen des Moduls „Statistics“ angegeben, das die Zählung durchführt. Die Verarbeitung wird mit der nächsten auf der Appliance eingehenden Anfrage fortgesetzt. Anwendungsfilterung Mit der Anwendungsfilterung wird gewährleistet, dass die Benutzer in Ihrem Netzwerk keinen Zugriff auf nicht erwünschte Anwendungen bekommen, wie beispielsweise Facebook, Xing u. ä. Beim Filterprozess werden Name und Reputationsfaktor einer Anwendung ausgewertet und gegebenenfalls der Zugriff darauf entsprechend blockiert. Es ist auch möglich, die Filterung lediglich für einzelne Funktionen von Anwendungen zu nutzen. An diesem Vorgang sind folgende Elemente beteiligt: • Filterregeln zur Steuerung des Vorgangs • von Regeln genutzte Anwendungslisten zur Blockierung von Anwendungen • in regelmäßigen Abständen aktualisierte Anwendungssystemlisten Im Dashboard werden der Aktualisierungsstand und statistische Daten des Anwendungsfiltervorgangs angezeigt. Regeln für die Anwendungsfilterung Üblicherweise enthält ein Regelsatz alle zur Steuerung der Anwendungsfilterung benötigten Regeln. Für die Zugriffsblockierung von Anwendungen und einzelne Anwendungsfunktionen setzen diese Regeln eine der beiden folgenden Methoden ein: • Blockieren von Anwendungen und einzelnen Funktionen anhand einer Liste • Blockieren von Anwendungen mit einer bestimmten Risikostufe Bei der Blockierung von Anwendungen und einzelnen Funktionen anhand einer Liste wird die Eigenschaft Application.Name genutzt. Die Anfrage eines Benutzers, der Zugriff auf eine Anwendung bzw. eine einzelne Anwendungsfunktion erhalten möchte, enthält als Wert dieser Eigenschaft den Namen dieser Anwendung bzw. Anwendungsfunktion. Wenn dieser Name auf einer Blockierungsliste aufgeführt ist, wird der Zugriff mithilfe einer Regel blockiert, z. B. auf folgende Weise. Name Block applications according to list Kriterien Application.Name is in list Unwanted Applications Aktion –> Block<blockierte Anwendung> Für das Blockieren von Anwendungen mit bestimmten Risikostufen werden Eigenschaften wie z. B. Application.IsMediumRisk oder Application.IsHighRisk verwendet, die den Wert true bzw. false annehmen können. 326 McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung Anwendungsfilterung Die Risikoauswertung für eine Anwendung erfolgt auf Grundlage ihres vom Global Threat Intelligence-System zugeordneten Reputationsfaktors. Wenn das Risiko beim Zulassen des Zugriffs auf eine Anwendung als hoch eingestuft wird, bedeutet dies, dass die Anwendung eine schlechte Reputation besitzt. Wenn eine Anwendung diese Stufe erreicht oder sogar überschreitet, wird der Zugriff mithilfe einer Regel blockiert, z. B. auf folgende Weise. Name Block high-risk applications Kriterien Application.IsMediumRisk equals true OR Application.isHighRisk equals true Aktion –> Block<blockierte Anwendung> Beide Methoden basieren auf den Anwendungssystemlisten. Auf von Anwendungsfilterregeln genutzte Listen können Anwendungen und Anwendungsfunktionen nur dann gelangen, wenn sie in den Anwendungssystemlisten aufgeführt sind. Auch die Risikostufen von Anwendungen und Anwendungsfunktionen werden den Anwendungssystemlisten entnommen. Für Protokollierungszwecke stehen die Eigenschaften Application.To String und Application.Reputation zur Verfügung. Die erste dieser Eigenschaften den in eine Zeichenfolge umgewandelten Namen einer angefragten Anwendung, die zweite dagegen den entsprechenden numerischen Wert des jeweiligen Reputationsfaktors. Diese Eigenschaften können in Regeln zur Registrierung von Informationen in Protokolldateieinträgen verwendet werden. Die Anwendungsfilterung wird auf Appliances nicht standardmäßig durchgeführt. Sie können jedoch den in der Bibliothek verfügbaren Regelsatz Application Control importieren. Anschließend können Sie die in diesem Regelsatz enthaltenen Regeln überprüfen, bearbeiten oder löschen und auch selbst neue Regeln erstellen. Blockierungslisten Regeln nutzen Anwendungslisten dazu, den von Benutzern angefragten Zugriff auf Anwendungen zu blockieren. Die Regeln des in der Bibliothek verfügbaren Regelsatzes enthalten Listen, in denen bereits mehrere Anwendungsnamen aufgeführt sind. Sie können zu einer Liste des Bibliotheks-Regelsatzes Anwendungsnamen hinzufügen, Namen daraus entfernen und auch selbst eigene Listen erstellen. Beim Hinzufügen von Anwendungsnamen müssen diese aus den Anwendungssystemlisten entnommen werden. Das Erstellen und Bearbeiten von Listen mit den Namen von Anwendungsfunktionen erfolgt auf dieselbe Weise. Anwendungssystemlisten Die Anwendungen und Anwendungsfunktionen, die von Anwendungsfilterregeln blockiert werden können, sind in Listen aufgeführt, die das Appliance-System vorgibt und die regelmäßig aktualisiert werden. Sie können diese Listen anzeigen, indem Sie in der Listen-Baumstruktur auf der Registerkarte Lists (Listen) unter System Lists (Systemlisten) auf den Ordner Application Name (Anwendungsnamen) klicken. Dieser Ordner enthält mehrere Unterordner für unterschiedliche Anwendungstypen, beispielsweise File Sharing (Dateifreigabe) oder Instant Messaging. McAfee Web Gateway 7.5.0 Produkthandbuch 327 9 Web-Filterung Anwendungsfilterung In den Unterordnern ist jeweils eine Liste mit Anwendungen vorhanden, die für jede Anwendung folgende Informationen enthält: • Name der Anwendung (bzw. Name der Anwendung und Name der Anwendungsfunktion) • Kommentar • Risikostufe • Beschreibung der Anwendung (bzw. der Anwendungsfunktion) Anwendungsfunktionen sind in Klammern nach dem Anwendungsnamen aufgeführt, z. B. Orkut(Orkut Chat). Wenn Sie zur Liste einer Blockierungsregel eine Anwendungsfunktion hinzufügen, wird nicht die gesamte Anwendung sondern lediglich die angegebene Funktion blockiert. Einträge für Anwendungen in einer Systemliste sind wie im folgenden Beispiel angelegt: MessengerFX | Risk: Minimal: A web-based instant messaging service (Risiko: Minimal: Ein Web-basierter Instant Messaging-Dienst) Das nächste Beispiel zeigt einen Eintrag für eine Anwendungsfunktion: Orkut(Orkut Chat) | Risk: High: Allows users to send instant messages. (Risiko: Hoch: Ermöglicht Benutzern das Senden von Instant Messages) Im Dashboard vorhandene Informationen zur Anwendungsfilterung Im Dashboard werden folgende Informationen zur Anwendungsfilterung angezeigt: • Aktualisierungsstand der Anwendungsliste • statistische Daten zu tatsächlich blockierten Anwendungen und Anwendungsfunktionen Konfigurieren der Anwendungsfilterung Sie können die Anwendungsfilterung konfigurieren, um diesen Prozess an die Anforderungen Ihres Netzwerks anzupassen. Führen Sie die folgenden allgemeinen Schritte aus. Vorgehensweise 1 Importieren Sie den Regelsatz Application Control. 2 Prüfen Sie die Regeln in diesem Regelsatz, und ändern Sie sie gegebenenfalls. Sie können beispielsweise Folgendes ausführen: • Aktivieren oder Deaktivieren von Blockierungsregeln • Bearbeiten der in Regeln verwendeten Listen durch Hinzufügen oder Entfernen von Anwendungen • Erstellen eigener Listen und Festlegen von deren Verwendung anstelle der bzw. zusätzlich zu den vorhandenen Listen • Ändern der Reputationsbewertung in Regeln durch Ersetzen der relevanten Eigenschaften, z. B. durch Ersetzen von Application.IsHighRisk durch Application.IsMediumRisk Sie können auch eigene Blockierungsregeln erstellen. 3 328 Speichern Sie die Änderungen. McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung Anwendungsfilterung Erstellen einer Liste zur Anwendungsfilterung Sie können eine Liste zur Verwendung in einer Filterregel für Anwendungen erstellen und diese mit Einträgen für Anwendungen oder einzelne Funktionen von Anwendungen füllen, die blockiert werden sollen. Vorgehensweise 1 Wählen Sie Policy | Lists (Richtlinie | Listen) aus, und klicken Sie dann auf das Symbol Add (Hinzufügen). Daraufhin öffnet sich das Fenster Add List (Liste hinzufügen). 2 3 Konfigurieren Sie die allgemeinen Listeneinstellungen. a Geben Sie im Feld Name einen geeigneten Namen für die Liste ein, z. B. Unwanted Applications. b Wählen Sie in der Liste Type (Typ) die Option Application Name (Anwendungsname) aus. c [Optional] Klicken Sie auf die Registerkarte Permissions (Berechtigungen), und legen Sie dort fest, wer zum Zugriff auf die Liste berechtigt ist. d [Optional] Geben Sie im Feld Comments (Kommentare) einen Kommentar (Nur-Text-Format) zur Liste ein. Klicken Sie auf OK. Das Fenster Add List (Liste hinzufügen) wird geschlossen, und die neue Liste wird nun in der Listen-Baumstruktur unter Custom Lists | Application Name (Benutzerdefinierte Listen | Anwendungsname) angezeigt. 4 Wählen Sie die Liste aus, und klicken Sie über dem Einstellungsbereich auf das Symbol Edit (Bearbeiten). Daraufhin öffnet sich das Fenster Edit (Bearbeiten) mit einer Liste von Ordnern, die Anwendungsnamen enthalten. 5 Füllen Sie die Liste mit Einträgen für Anwendungen bzw. für einzelne Funktionen von Anwendungen. a Erweitern Sie den Ordner, der eine Anwendung oder Anwendungsfunktion enthält, deren Name Sie zur Liste hinzufügen möchten, z. B. Instant Messaging Web Applications (Web-Anwendungen für Instant Messaging). b Wählen Sie eine Anwendung oder Anwendungsfunktion aus, beispielsweise MessengerFX oder Orkut(Orkut Chat). Sie können gleichzeitig mehrere Anwendungen oder Anwendungsfunktionen, mehrere Elemente aus unterschiedlichen Ordnern und auch komplette Ordner auswählen. c Klicken Sie auf OK. Das Fenster Edit (Bearbeiten) wird geschlossen, und die ausgewählten Anwendungen und Anwendungsfunktionen werden in der Liste angezeigt. Sie können auch einen kompletten Ordner hinzufügen und anschließend die Einträge für Anwendungen oder Anwendungsfunktionen, die nicht in der Liste stehen sollen, wieder löschen. 6 Klicken Sie auf Save Changes (Änderungen speichern). McAfee Web Gateway 7.5.0 Produkthandbuch 329 9 Web-Filterung Anwendungsfilterung Sie können die so erstellte Liste in den Kriterien einer Regel zur Anwendungsfilterung einsetzen, beispielsweise zur Überprüfung, ob der Name einer Anwendung oder Anwendungsfunktion, für die Zugriff angefragt wird, in der Liste aufgeführt ist. Bearbeiten der Risikostufen in einer Anwendungsfilterregel Sie können die Risikostufe in einer Regel bearbeiten, die Anwendungen entsprechend dem Risiko filtert, das diese für die Web-Sicherheit darstellen, z. B. von hoch bis mittel. Dies erhöht die Web-Sicherheit, da dann eine Blockierungsaktion auch dann ausgelöst werden kann, wenn eine Anwendung nur ein mittleres Risiko darstellt. Bevor Sie beginnen Im folgenden Vorgang wird davon ausgegangen, dass Sie den Regelsatz „Application Control“ aus der Bibliothek importiert haben. Vorgehensweise 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus. Daraufhin öffnet sich das Fenster Add New Rule Set (Neuen Regelsatz hinzufügen). 2 Erweitern Sie den Regelsatz Application Control, und erweitern Sie dann den untergeordneten Regelsatz Block Applications in Request Cycle. Die allgemeinen Einstellungen und Regeln des untergeordneten Regelsatzes werden im Abschnitt für Einstellungen angezeigt. 3 Achten Sie darauf, dass Show details (Details anzeigen) ausgewählt ist. 4 Wählen Sie die Regel Block web applications with high risk aus, und klicken Sie auf Edit (Bearbeiten). Daraufhin öffnet sich das Fenster Edit Rule (Regel bearbeiten). 5 Wählen Sie unter Steps (Schritte) die Option Rule Criteria (Regelkriterien) aus, markieren Sie im Abschnitt Criteria (Kriterien) den oberen Teil der komplexen Kriterien (der die Eigenschaft Application.IsHighRisk verwendet), und klicken Sie dann auf Edit (Bearbeiten). Daraufhin öffnet sich das Fenster Edit Criteria (Kriterien bearbeiten), und die Eigenschaft Application.IsHighRisk ist in der Eigenschaftenliste ausgewählt. 6 Wählen Sie in der Liste der Eigenschaften den Eintrag Application.IsMediumRisk aus. 7 Klicken Sie auf OK. Das Fenster Edit Criteria (Kriterien bearbeiten) wird geschlossen, und die geänderten Kriterien werden im Abschnitt Criteria (Kriterien) angezeigt. 8 Klicken Sie auf Finish (Fertig stellen). Das Fenster Edit Rule (Regel bearbeiten) wird geschlossen, und die Regel mit den geänderten Kriterien wird im Einstellungsbereich angezeigt. 9 330 Klicken Sie auf Save Changes (Änderungen speichern). McAfee Web Gateway 7.5.0 Produkthandbuch Web-Filterung Anwendungsfilterung 9 Application Control (Regelsatz) Der Bibliotheks-Regelsatz „Application Control“ wird für die Anwendungsfilterung verwendet. Bibliotheks-Regelsatz – Application Control Criteria – Always Cycles – Requests (and IM), responses Dieser Regelsatz enthält die folgenden untergeordneten Regelsätze: • Block Applications in Request Cycle • Block Applications in Response Cycle Block Applications in Request Cycle Dieser untergeordnete Regelsatz behandelt die Anwendungsfilterung im Anfragezyklus. Untergeordneter Bibliotheks-Regelsatz – Block Applications in Request Cycle Criteria – Always Cycle – Requests (and IM) Der Regelsatz enthält die folgenden Regeln: Block instant messaging applications Application.Name is in list Instant Messaging –> Block<Default> Die Regel überprüft mithilfe der Eigenschaft Application.Name, ob der Name der Anwendung in einer angegebenen Liste enthalten ist. Wenn dies der Fall ist, blockiert sie eine Anfrage für diese Anwendung. Die Aktionseinstellungen geben an, dass eine Nachricht an den anfragenden Benutzer gesendet wird. Die Regel ist standardmäßig nicht aktiviert. Block web applications with high risk Application.HighRisk equals true AND Application.Name is in list Web Browsing and Web Conferencing –> Block<Default> Die Regel überprüft mithilfe der Eigenschaft Application.HighRisk den Reputationsfaktor einer Anwendung, und sie überprüft mithilfe der Eigenschaft Application.Name, ob der Name dieser Anwendung in einer angegebenen Liste enthalten ist. Wenn der Reputationsfaktor auf oder über dem hohen Risikoniveau liegt und wenn der Anwendungsname zudem in der Liste enthalten ist, blockiert die Regel eine Anfrage für diese Anwendung. Die Aktionseinstellungen geben an, dass eine Nachricht an den anfragenden Benutzer gesendet wird. Block Facebook chat Application.ToString (Application.Name) equals "Facebook.Chat" –> Block<Default> Die Regel überprüft mithilfe der Eigenschaft Application.To String, ob der Name einer Anwendung mit einer angegebenen Zeichenfolge übereinstimmt. Zu diesem Zweck wird der Name der Anwendung in eine Zeichenfolge konvertiert. Wenn der konvertierte Anwendungsname mit der angegebenen Zeichenfolge übereinstimmt, wird eine Anfrage für die Anwendung blockiert. Die Aktionseinstellungen geben an, dass eine Nachricht an den anfragenden Benutzer gesendet wird. Die Regel ist standardmäßig nicht aktiviert. Block Applications in Response Cycle Dieser untergeordnete Regelsatz behandelt die Anwendungsfilterung im Antwortzyklus. McAfee Web Gateway 7.5.0 Produkthandbuch 331 9 Web-Filterung Streaming-Medien-Filterung Untergeordneter Bibliotheks-Regelsatz – Block Applications in Response Cycle Criteria – Always Cycle – Responses Der Regelsatz enthält die folgende Regel: Applications to be looked for in response cycle Application.Name is in list of Applications to Search for in Response Cycle –> Block<Default> Die Regel überprüft mithilfe der Eigenschaft Application.Name, ob der Name der Anwendung in einer angegebenen Liste enthalten ist. Wenn dies der Fall ist, blockiert sie eine Anfrage für diese Anwendung. Die Aktionseinstellungen geben an, dass eine Nachricht an den anfragenden Benutzer gesendet wird. Die Regel ist standardmäßig nicht aktiviert. Block web applications with high risk Application.HighRisk equals true AND Application.Name is in list Web Browsing and Web Conferencing –> Block<Default> Die Regel überprüft mithilfe der Eigenschaft Application.HighRisk den Reputationsfaktor einer Anwendung, und sie überprüft mithilfe der Eigenschaft Application.Name, ob der Name dieser Anwendung in einer angegebenen Liste enthalten ist. Wenn der Reputationsfaktor auf oder über dem hohen Risikoniveau liegt und wenn der Anwendungsname zudem in der Liste enthalten ist, blockiert die Regel eine Anfrage für diese Anwendung. Die Aktionseinstellungen geben an, dass eine Nachricht an den anfragenden Benutzer gesendet wird. Block Facebook chat Application.ToString (Application.Name) equals "Facebook.Chat" –> Block<Default> Die Regel überprüft mithilfe der Eigenschaft Application.To String, ob der Name einer Anwendung mit einer angegebenen Zeichenfolge übereinstimmt. Zu diesem Zweck wird der Name der Anwendung in eine Zeichenfolge konvertiert. Wenn der konvertierte Anwendungsname mit der angegebenen Zeichenfolge übereinstimmt, wird eine Anfrage für die Anwendung blockiert. Die Aktionseinstellungen geben an, dass eine Nachricht an den anfragenden Benutzer gesendet wird. Die Regel ist standardmäßig nicht aktiviert. Streaming-Medien-Filterung Die Streaming-Medien-Filterung stellt sicher, dass Web-Objekte dieses Medientyps erkannt werden, wenn sie auf Web Gateway eingehen, und entsprechend den konfigurierten Regeln verarbeitet werden. Wenn die Virus- und Malware-Filterung auf Web Gateway implementiert ist, werden an Web Gateway gesendete Web-Objekte auf Infektionen überprüft. Für ein umfassenden Scan-Ergebnis muss das Web-Objekt vollständig gescannt werden. Streaming-Medien sind jedoch niemals „vollständig“. Wenn also die herkömmliche Scan-Methode angewendet wird, führt dies im Gegensatz zu anderen Nicht-Streaming-Medien zu keinem Ergebnis. Zudem würde sich die Verarbeitung der Streaming-Medien endlos verzögern, da der Scan-Prozess nie beendet wäre. Sobald also ein Web-Objekt als Streaming-Medien erkannt wird, können Sie es blockieren, um zu verhindern, dass die Benutzer Ihres Netzwerks auf Web-Objekte zugreifen, die noch nicht auf Infektionen untersucht wurden. 332 McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung Streaming-Medien-Filterung Alternativ können Sie auch Streaming-Medien das Virus- und Malware-Scannen überspringen lassen, und Ihren Benutzern den Zugriff auf Medien dieses Typs ohne Scannen erlauben. Folgende Elemente auf Web Gateway sind am Filterprozess beteiligt: • Filterregeln zur Steuerung des Vorgangs • Ein Modul, das die Wahrscheinlichkeit für Objekte berechnet, dass es sich um Streaming-Medien handelt Das Modul setzt den Wert einer passenden Eigenschaft auf True, wenn die Wahrscheinlichkeit, dass es sich bei einem Web-Objekt um Streaming-Medien handelt, einen konfigurierten Wert erreicht oder übersteigt. Streaming-Medien-Filterung erfolgt normalerweise im Antwortzyklus des Filterprozesses, um Streaming-Medien zu verarbeiten, die von Web-Servern als Antwort auf Benutzeranfragen gesendet wurden. Regel zur Streaming-Medien-Erkennung Zum Blockieren oder Zulassen von Web-Objekten, bei denen es sich mit einer bestimmten Wahrscheinlichkeit um Streaming-Medien handelt, können Sie eine Regel einrichten, die die Eigenschaft StreamDetector.IsMediaStream verwendet. Wen der Wert dieser Eigenschaft „True“ ist, würde der Zugriff auf das Web-Objekt durch die folgende Regel blockiert werden. Name Block access to streaming media Kriterien Aktion StreamDetector.IsMediaStream<Streaming Detection> equals true –> Block<Streaming Media Blocked> Der Zugriff würde durch die folgende Regel zugelassen: Name Allow access to streaming media Kriterien StreamDetector.IsMediaStream<Streaming Detection> equals true Aktion –> Continue Der Wert der Eigenschaft StreamDetector.IsMediaStream wird über das Datenstromerkennungsprogramm bereitgestellt. Die Streaming-Medien-Filterung erfolgt nicht standardmäßig auf Web Gateway. Wenn Sie dies wünschen, müssen Sie eine Regel wie die oben beschriebenen Regeln erstellen. Es wird empfohlen, diese Regel nicht in einem eigenen Regelsatz zu verwenden, sondern in einen anderen, passenden Regelsatz einzufügen, z. B. in einen Regelsatz zur Medientyp-Filterung. Der Standard-Regelsatz „Gateway Anti-Malware“ enthält eine Regel, mit der Streaming-Medien die Virus- und Malware-Filterung überspringen können. In diesem Regelsatz wird die Überspringungsregel vor der Regel platziert, mit der das Web-Objekt durch das Modul „Anti-Malware“ gescannt wird. McAfee Web Gateway 7.5.0 Produkthandbuch 333 9 Web-Filterung Streaming-Medien-Filterung Zusätzliche Eigenschaften zur Streaming-Medien-Filterung Wenn die Eigenschaft StreamDetector.IsMediaStream auf „True“ gesetzt wird, erhalten zwei zusätzliche Eigenschaften zugehörige Werte. Der Wert der Eigenschaft StreamDetector.Probability ist der Prozentsatz, der tatsächlich für ein Web-Objekt berechnet wurde, z. B. 60 oder 70. Der Wert der Eigenschaft StreamDetector.MatchedRule ist der Name der übereinstimmenden Regel. Diese zusätzlichen Eigenschaften können in Regeln zur Registrierung von Informationen in Protokolldateieinträgen verwendet werden. Modul zur Streaming-Medien-Erkennung Die Wahrscheinlichkeit, dass es sich bei Web-Objekten um Streaming-Medien handelt, wird vom Datenstrom-Erkennungsprogramm (auch als Filter oder Engine bezeichnet) berechnet, das zur Berechnung Informationen zu URL-Kategorien, Content-Type-Headern, Quell-IP-Adressen und anderen Elementen verwendet. Das Ergebnis einer Wahrscheinlichkeitsberechnung ist ein Prozentsatz. Unter anderem können auf diese Weise die folgenden Streaming-Medien-Typen erkannt werden: • Flash-Videos • RealMedia • IC9-Streams • MP3-Streams • MS WMSP Sie können Einstellungen für dieses Modul konfigurieren und diese beispielsweise Streaming Media Detection nennen. Die Einstellungen enthalten die Mindestwahrscheinlichkeit, ab der Web-Objekte als Streaming-Medien eingestuft werden. Konfigurieren der Streaming-Medien-Filterung Sie können die Streaming-Medien-Filterung konfigurieren, um diesen Prozess an die Anforderungen Ihres Netzwerks anzupassen. Führen Sie die folgenden allgemeinen Schritte aus. Vorgehensweise 1 Erstellen Sie eine Regel für die Streaming-Medien-Filterung, die Web-Objekte blockiert, wenn die Wahrscheinlichkeit, dass es sich dabei um Streaming-Medien handelt, ein konfiguriertes Niveau erreicht oder überschreitet. 2 Fügen Sie diese Regel in einen geeigneten Regelsatz ein, z. B. in einen Regelsatz für die Medientyp-Filterung. Sie können die Regel später bearbeiten, indem Sie beispielsweise das Wahrscheinlichkeitsniveau erhöhen oder senken. Dazu müssen Sie die Einstellungen des Streaming-Erkennungsmoduls konfigurieren. 3 334 Speichern Sie die Änderungen. McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung Streaming-Medien-Filterung Konfigurieren des Moduls für die Streaming-Medien-Erkennung Sie können das Modul konfigurieren, das die Wahrscheinlichkeit von Streaming-Medien für ein bestimmtes Web-Objekt berechnet, um es an die Anforderungen Ihres Netzwerks anzupassen. Vorgehensweise 1 Wählen Sie Policy | Settings (Richtlinie | Einstellungen) aus. 2 Wählen Sie Stream Detector (Streaming-Erkennung) aus, und klicken Sie auf Add (Hinzufügen). Daraufhin öffnet sich das Fenster Add Settings (Einstellungen hinzufügen). 3 Geben Sie im Eingabefeld Name einen Namen für die Einstellungen ein. 4 [Optional] Geben Sie im Eingabefeld Comment (Kommentar) einen Kommentar zu den Einstellungen ein. 5 [Optional] Klicken Sie auf die Registerkarte Permissions (Berechtigungen), und geben Sie an, welchen Benutzern Sie die Berechtigung für den Zugriff auf die Einstellungen zuweisen möchten. 6 Konfigurieren Sie unter Streaming Detector (Streaming-Erkennung) die Einstellungen für das Modul nach Bedarf. 7 Klicken Sie auf Save Changes (Änderungen speichern). Empfohlene Vorgehensweisen – Konfigurieren Stream Detector Durch die Konfiguration von Stream Detector können Sie die Handhabung von Streaming-Medien einrichten. Die empfohlene Vorgehensweise ist die Durchführung eines speziellen Scans, wenn Stream Detector erkannt hat, dass ein Web-Objekt zu diesem Medientyp gehört. Bei der Virus- und Malware-Filterung aus Web Gateway ist es üblicherweise erforderlich, dass Web-Objekte vollständig heruntergeladen und vom Modul „Anti-Malware“ gescannt werden (auch als Engine oder Filter bezeichnet). Da eine Vollständigkeit für Streaming-Medien jedoch nie erreicht werden kann, liefert die übliche Scan-Methode keine Ergebnisse, sondern läuft endlos weiter. Streaming-Medien müssen daher auf eine besondere Weise verarbeitet werden. In Web Gateway sind dafür zwei Komponenten verfügbar: • Stream Detector erkennt, dass ein Web-Objekt Medien streamt. • Media Stream Scanner scannt Streaming-Medien paketweise. Verglichen mit der herkömmlichen Methode ist das Scannen mit Media Stream Scanner weniger intensiv. Entsprechend der Verarbeitung durch Media Stream Scanner werden Streaming-Medien auch paketweise an den Client übermittelt, von dem eine Download-Anfrage eingegangen ist. Wenn in einem Paket eine Infektion erkannt wird, wird der Vorgang angehalten, und dieses Paket und der Rest der Streaming-Medien werden nicht weitergegeben. Stream Detector ist ein separates Modul in Web Gateway und nicht wie der Media Stream Scanner Bestandteil des Moduls „Anti-Malware“. Eine passende Regel ruft beide Komponenten zur Ausführung ihrer jeweiligen Aufgaben auf. Diese ist im Standard-Regelsatz Gateway Anti-Malware enthalten. McAfee Web Gateway 7.5.0 Produkthandbuch 335 9 Web-Filterung Streaming-Medien-Filterung Die Regel ist jedoch nicht in älteren Versionen von McAfee Web Gateway enthalten. Es empfiehlt sich daher die folgende Vorgehensweise: • Überprüfen Sie Ihr Regelsatzsystem. • Wenn die Regel im Standard-Regelsatz „Gateway Anti-Malware“ oder einem anderen Regelsatz, den Sie zur Virus- oder Malware-Filterung verwenden, nicht enthalten ist, konfigurieren Sie die Regel in einem dieser Regelsätze. Sie müssen die Regel direkt vor der Regel platzieren, die den üblichen Malware-Scan auslöst. Regel zur Streaming-Medien-Filterung Die Standardregel zur Streaming-Medien-Filterung sieht wie folgt aus: Name Start Media Stream Scanner on streaming media and skip anti-malware scanning Kriterien Aktion Ereignis Cycle.Name equals "Response" AND StreamDetector.IsMediaStream<Default Streaming Detection> equals true –> Stop Ruleset – Enable Media Stream Scanner Im Standard-Regelsatz „Gateway Anti-Malware“ befindet sich diese Regel direkt vor der Regel, die den üblichen Malware-Scan auslöst. Wenn Stream Detector erkennt, dass ein Web-Objekt Medien streamt, stoppt die Regel die Verarbeitung für diesen Regelsatz und startet Media Stream Scanner, sodass der spezielle Streaming-Medien-Scan durchgeführt und die Regel für den üblichen Scan übersprungen wird. Der Teil des Kriteriums, der die Cycle.Name-Eigenschaft verwendet, stellt sicher, dass die Regel nur im Antwortzyklus der Verarbeitung gilt, wenn Web-Objekte in Web Gateway als Antwort auf eine weitergeleitete Anfrage aus dem Internet empfangen werden. Einstellungen für Stream Detector Auf die Einstellungen für Stream Detector kann in der Einstellungs-Baumstruktur unter Stream Detector zugegriffen werden. Der Name der Standardeinstellungen lautet Default Streaming Detection (Standard-Datenstromerkennung). Die Standardeinstellungen enthalten nur die folgende Option: Minimal probability (Mindestwahrscheinlichkeit): Legt die Wahrscheinlichkeit fest, dass es sich um Streaming-Medien handelt, die erfüllt sein muss, damit ein Web-Objekt als Streaming-Medium behandelt wird. 336 • Die Wahrscheinlichkeit wird in Prozent gemessen und als eine Zahl von 1 bis 100 eingestellt. • Die Wahrscheinlichkeit wird von Stream Detector ermittelt. Bei Erreichen dieser Mindestwahrscheinlichkeit wird die Eigenschaft StreamDetector.IsMediaStream, die in der Standardregel zum Filtern der Streaming-Medien verwendet wird, auf true gesetzt. • Der Standardwert für die Mindestwahrscheinlichkeit ist 60. Sie sollten diesen Wert beibehalten. McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung Globale Whitelists Einstellungen für Stream Detector Mit den Einstellungen für Stream Detector wird das Modul konfiguriert, das die Wahrscheinlichkeit berechnet, dass es sich bei Web-Objekten um Streaming-Medien handelt. Stream Detector Einstellungen für das Modul zur Berechnung der Wahrscheinlichkeit für Streaming-Medien Tabelle 9-23 Stream Detector Option Definition Minimal probability (Mindestwahrscheinlichkeit) Legt die Wahrscheinlichkeit (in Prozent, angegeben durch eine Zahl von 0 bis 100) fest, die ausreicht, damit Web-Objekte als Streaming-Medien eingestuft werden. Globale Whitelists Globale Whitelists stellen sicher, dass für in Whitelists enthaltene Web-Objekte alle weiterführenden Filtervorgänge übersprungen werden, sodass der Zugriff auf diese Objekte nicht blockiert werden kann. Der Prozess der globalen Whitelists umfasst eine Reihe von Elementen mit jeweils unterschiedlichen Funktionen. • Filterregeln steuern den Prozess. • Whitelists werden von Regeln verwendet, damit für einige Web-Objekte weitere Filtervorgänge übersprungen werden können. Ein Standardprozess für globale Whitelists wird nach der Ersteinrichtung in Web Gateway installiert. Sie können diesen Prozess ändern und an die Anforderungen Ihrer Web-Sicherheitsrichtlinien anpassen. Zum Konfigurieren globaler Whitelists können Sie folgende Elemente verwenden: • Schlüsselelemente von Regeln: Nachdem Sie in der Regelsatz-Baumstruktur auf den Regelsatz Global Whitelist geklickt haben, können Sie Schlüsselelemente der Standardregeln für den Filterprozess anzeigen und konfigurieren. • Vollständige Regeln: Wenn Sie in der Schlüsselelementansicht auf Unlock View (Anzeige entsperren) klicken, werden die Standardregeln für das Filtern vollständig angezeigt, und Sie können alle Elemente, auch die Schlüsselelemente, konfigurieren sowie neue Regeln erstellen oder Regeln löschen. Um von dieser Ansicht wieder zur Schlüsselelementansicht zurückzukehren, müssen Sie alle Änderungen verwerfen oder den Regelsatz erneut importieren. Filterregeln Die Regeln, die globale Whitelists steuern, sind normalerweise in einem Regelsatz enthalten. Whitelist-Regeln werden in diesem Regelsatz platziert und dort verarbeitet. Wenn eine der Regeln angewendet wird, werden die darauf folgenden Regelsätze übersprungen, und für die in den Whitelists enthaltenen Objekte werden keine weiteren Filtervorgänge ausgeführt. Sie können die in diesem Regelsatz enthaltenen Regeln überprüfen, ändern oder löschen. Zudem können Sie eigene Regeln erstellen. McAfee Web Gateway 7.5.0 Produkthandbuch 337 9 Web-Filterung Globale Whitelists Wenn das Standard-Regelsatzsystem implementiert ist, ist ein Regelsatz für globale Whitelists enthalten. Dieser Regelsatz heißt Global Whitelist. Whitelists Whitelists werden von Whitelist-Regeln verwendet, damit für bestimmte Web-Objekte weitere Filtervorgänge übersprungen werden können. Es können Whitelists für URLs, Medientypen und andere Objekttypen vorhanden sein. Sie können diesen Listen Einträge hinzufügen oder Einträge daraus entfernen. Sie können auch eigene Listen erstellen und diese von den Whitelist-Regeln verwenden lassen. Konfigurieren von globalen Whitelists Sie können die globalen Whitelists konfigurieren, um diesen Prozess an die Anforderungen Ihres Netzwerks anzupassen. Führen Sie die folgenden allgemeinen Schritte aus. Vorgehensweise 1 Prüfen Sie die Regeln im Regelsatz auf globale Whitelists. Standardmäßig ist dies der Regelsatz Global Whitelisting. 2 Ändern Sie diese Regeln nach Bedarf. Sie können beispielsweise Folgendes ausführen: • Aktivieren oder Deaktivieren von Whitelist-Regeln • Bearbeiten der Listen, die von den Whitelist-Regeln verwendet werden Ein gelbes Dreieck neben dem Namen einer Liste zeigt an, dass die Liste anfänglich leer ist und Sie Einträge hinzufügen müssen. • 3 Erstellen eigener Whitelists und Festlegen von deren Verwendung durch die Whitelist-Regeln Speichern Sie die Änderungen. Global Whitelist (Regelsatz) Der Regelsatz „Global Whitelist“ ist der Standard-Regelsatz für globale Whitelists. Standard-Regelsatz – Global Whitelist Criteria – Always Cycles – Requests (and IM), Responses, Embedded Objects Der Regelsatz enthält die folgenden Regeln. Client IP is in list Allowed Clients Client.IP is in list Allowed Clients –> Stop Cycle Die Regel überprüft mithilfe der Eigenschaft Client.IP, ob die IP-Adresse eines Clients, von dem eine Anfrage gesendet wurde, in der angegebenen Whitelist enthalten ist. Wenn dies der Fall ist, wird die Regel angewendet, und der laufende Verarbeitungszyklus wird beendet. Die Anfrage wird dann an den entsprechenden Web-Server weitergeleitet. URL.Host matches in list Global Whitelist URL.Host matches in list Global Whitelist –> Stop Cycle 338 McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung SSL-Scans Die Regel überprüft mithilfe der Eigenschaft URL.Host, ob der Host, auf den mit der in einer Anfrage gesendeten URL zugegriffen wird, in der angegebenen Whitelist enthalten ist. Wenn dies der Fall ist, wird die Regel angewendet, und der laufende Verarbeitungszyklus wird beendet. Die Anfrage wird dann an den Web-Server weitergeleitet, der den angefragten Host darstellt. SSL-Scans SSL-Scans stellen sicher, dass SSL-verschlüsselter Web-Datenverkehr verarbeitet und anderen Filterfunktionen zur Verfügung gestellt werden kann. Der SSL-Scan-Vorgang umfasst mehrere Elemente mit jeweils unterschiedlichen Funktionen. • SSL-Scan-Regeln steuern den Prozess. • Whitelists und andere Listen, mit denen Regeln Web-Objekten das Überspringen des SSL-Scannens ermöglichen und andere Funktionen im Prozess ausführen können. • SSL-Scan-Module, die von den Regeln aufgerufen werden, führen eine Zertifikatsverifizierung und andere Funktionen im Prozess aus. Sie haben die folgenden Möglichkeiten zur Konfiguration des SSL-Scannens: • Schlüsselelemente von Regeln: Nachdem Sie in der Regelsatz-Baumstruktur auf den Standard-Regelsatz SSL Scanner geklickt haben, können Sie Schlüsselelemente der Standardregeln für den Filterungsvorgang anzeigen und konfigurieren. • Vollständige Regeln: Wenn Sie in der Schlüsselelementansicht auf Unlock View (Anzeige entsperren) klicken, werden die Standardregeln für das Filtern vollständig angezeigt, und Sie können alle Elemente, auch die Schlüsselelemente, konfigurieren sowie neue Regeln erstellen oder Regeln löschen. Um von dieser Ansicht wieder zur Schlüsselelementansicht zurückzukehren, müssen Sie alle Änderungen verwerfen oder den Regelsatz erneut importieren. SSL-Scan-Regeln Die Regeln zur Steuerung des SSL-Scannens befinden sich üblicherweise in einem Regelsatz, der mehrere untergeordnete Regelsätze enthält. Jeder der untergeordneten Regelsätze steuert eine bestimmte Funktion des SSL-Scanprozesses: • Handle CONNECT call: Es gibt einen Regelsatz mit Regeln zum Umgang mit dem CONNECT-Aufruf, der zu Beginn einer SSL-verschlüsselten Kommunikation unter dem HTTPS-Protokoll gesendet wird. • Certificate verification: Es gibt Regelsätze zur Überprüfung von Zertifikaten, die in einer SSL-verschlüsselten Umgebung durch Clients und Server gesendet werden, z. B. durch Überprüfung der allgemeinen Namen in diesen Zertifikaten. Dieser Teil des Prozesses ermöglicht die Verifizierung für Einrichtungen mit explizitem Proxy und transparente Einrichtungen. • Content inspection: Ein weiterer Regelsatz enthält Regeln zur Aktivierung der Untersuchung von Inhalten, die in einer SSL-verschlüsselten Kommunikation übertragen werden. Um herauszufinden, ob ein Objekt infiziert ist, ruft die Regel das Modul „Anti-Malware“ auf, das das Modul scannt und der Regel das Ergebnis meldet. McAfee Web Gateway 7.5.0 Produkthandbuch 339 9 Web-Filterung SSL-Scans Whitelisting-Regeln können in diesem Regelsatz vor der Blockierungsregel platziert und verarbeitet werden. Wenn eine der Regeln zutrifft, wird die Blockierungsregel übersprungen, und die Objekte der Whitelist werden nicht gescannt. Sie können die auf der Appliance für das SSL-Scannen implementierten Regeln überprüfen, ändern oder löschen sowie eigene Regeln erstellen. Wenn das Standard-Regelsatzsystem implementiert ist, ist ein Regelsatz zum SSL-Scannen enthalten. Dieser heißt SSL Scanner. Dieser Regelsatz ist jedoch anfänglich nicht aktiviert. Whitelists und andere Listen für SSL-Scans Whitelists werden von SSL-Scan-Regeln verwendet, um Web-Objekte Teile des Prozesses überspringen zu lassen. Beispielsweise stellt eine Zertifikats-Whitelist Zertifikate von der Verifizierung frei. Andere beim SSL-Scannen verwendete Listen enthalten die Port-Nummern, die in CONNECT-Aufrufen zulässig sind, wenn diese anzunehmen sind, oder die Server, für die eine besondere Art der Zertifikatsverifizierung erforderlich ist, da eine bestimmte Methode zum Schlüsselaustausch für diese nicht angewendet werden kann. Sie können diesen Listen Einträge hinzufügen oder Einträge daraus entfernen. Sie können auch eigene Listen erstellen und diese von den SSL-Scan-Regeln verwenden lassen. Module zum SSL-Scannen Die folgenden Module (auch als Engines bezeichnet) werden von den SSL-Scan-Regeln aufgerufen, um verschiedene Teile des SSL-Scan-Prozesses auszuführen: • SSL-Scanner: Führt je nach Ausführungseinstellungen die Zertifikatsverifizierung oder die Aktivierung der Inhaltsüberprüfung durch. Entsprechend wird das Modul von den Regeln zur Zertifikatsverifizierung und Inhaltsüberprüfung mit verschiedenen Einstellungen aufgerufen. • Module zum Festlegen des Client-Kontexts: Wickeln das Senden eines Zertifikats für die Appliance an die Clients ab, die während einer SSL-verschlüsselten Kommunikation Anfragen an diese gesendet haben. Beim Senden des Zertifikats kann auch die Zertifizierungsstelle, die das Zertifikat ausgestellt hat, gesendet werden. Entsprechend gibt es ein Modul zum Senden eines Zertifikats mit und ein anderes Modul zum Senden eines Zertifikats ohne dessen Zertifizierungsstelle. Der Regelsatz „SSL Scanner“ des Standardsystems verwendet die Methode zum Senden eines Zertifikats mit dessen Zertifizierungsstelle. Nach der Ersteinrichtung ist eine Standard-Zertifizierungsstelle zur Verwendung verfügbar. Es wird jedoch empfohlen, zur weiteren Verwendung eine eigene Zertifizierungsstelle anzugeben. • Zertifikatskette: Ist für das Erstellen einer Zertifikatskette zuständig. Beim Erstellen der Kette verwendet das Modul eine Liste mit Zertifizierungsstellen für die Zertifikate, die in der Kette enthalten sind. Sie können bestehenden Listen Zertifizierungsstellen hinzufügen und auch neue Listen hinzufügen. Konfigurieren des SSL-Scans Sie können SSL-Scans konfigurieren, um diesen Prozess an die Anforderungen Ihres Netzwerks anzupassen. Führen Sie die folgenden allgemeinen Schritte aus. 340 McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung SSL-Scans Vorgehensweise 1 Aktivieren Sie den Regelsatz für SSL-Scans, und überprüfen Sie die Regeln in diesem Regelsatz. Hierbei handelt es sich standardmäßig um den Regelsatz SSL Scanner. 2 Ändern Sie diese Regeln nach Bedarf. Sie können beispielsweise Folgendes ausführen: • Ersetzen Sie die standardmäßige Stamm-Zertifizierungsstelle (CA) zum Signieren von Zertifikaten, welche die Appliance an ihre Clients sendet, durch eine eigene Zertifizierungsstelle. Hierbei kann es sich um eine Zertifizierungsstelle handeln, die Sie selbst auf der Benutzeroberfläche erstellen, oder um eine Zertifizierungsstelle, die Sie aus dem Dateisystem importieren. • • Aktivieren oder deaktivieren Sie Whitelist-Regeln, beispielsweise: • Die Standardregel zum Überspringen der Verifizierung von Zertifikaten, wenn sich ein von einem Client gesendetes Zertifikat in einer Whitelist befindet • Die Standardregel zum Überspringen der Inhaltsüberprüfung, wenn sich der Host einer angeforderten URL in einer Whitelist befindet Bearbeiten Sie die von den Whitelist-Regeln verwendeten Listen. Ein gelbes Dreieck neben dem Namen einer Liste zeigt an, dass die Liste anfänglich leer ist und Sie Einträge hinzufügen müssen. 3 • Erstellen Sie eigene Whitelists und legen Sie deren Verwendung durch die Whitelist-Regeln fest. • Ändern Sie die Einstellungen der am SSL-Scan beteiligten Module. • Modul „SSL Scanner“ • Modul „SSL Client Context“ • Modul „Certificate Chain“ Speichern Sie die Änderungen. Konfigurieren der Module für SSL-Scans Sie können die Module für SSL-Scans konfigurieren, um zu ändern, auf welche Weise der SSL-gesicherte Web-Datenverkehr verarbeitet wird. Die folgenden Module sind am SSL-Scannen beteiligt und können konfiguriert werden: • Modul „SSL Scanner“ • Modul „SSL Client Context“ • Modul „Certificate Chain“ Vorgehensweise 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus. 2 Suchen Sie in der Regelsatz-Baumstruktur den Regelsatz für SSL-Scans. Hierbei handelt es sich standardmäßig um den Regelsatz SSL Scanner. McAfee Web Gateway 7.5.0 Produkthandbuch 341 9 Web-Filterung SSL-Scans 3 Erweitern Sie den Regelsatz, und wählen Sie den untergeordneten Regelsatz aus, der die Regel mit den Einstellungen für das zu konfigurierende Modul enthält. Wenn Sie beispielsweise das SSL Scanner-Modul konfigurieren möchten, erweitern Sie den untergeordneten Regelsatz Handle CONNECT Call. Dieser enthält standardmäßig die Regel Enable certificate verification mit den Einstellungen Default certificate verification für das Modul „SSL Scanner“. Die Regeln des untergeordneten Regelsatzes werden im Abschnitt für Einstellungen angezeigt. 4 Achten Sie darauf, dass Show details (Details anzeigen) ausgewählt ist. 5 Suchen Sie nach der Regel mit den Einstellungen für das Modul, das konfiguriert werden soll. Dies könnte beispielsweise die oben genannte Regel Enable certificate verification handeln. 6 Klicken Sie in der Regel auf einen Einstellungsnamen. Klicken Sie z. B. im Regelereignis von Enable certificate verification auf Default certificate verification. Daraufhin öffnet sich das Fenster Edit Settings (Einstellungen bearbeiten). Es enthält die Einstellungen für ein Modul, beispielsweise das Modul „SSL Scanner“. 7 Konfigurieren Sie diese Einstellungen nach Bedarf. 8 Klicken Sie auf OK, um das Fenster zu schließen. 9 Klicken Sie auf Save Changes (Änderungen speichern). Ersetzen der standardmäßigen Stamm-Zertifizierungsstelle Sie können die nach der Erstkonfiguration bereitgestellte standardmäßige Stamm-Zertifizierungsstelle, mit der die von der Appliance an ihre Clients gesendeten Zertifikate signiert werden, durch eine eigene Zertifizierungsstelle ersetzen. Sie können eine neue Stamm-Zertifizierungsstelle auf der Benutzeroberfläche erstellen oder eine Stamm-Zertifizierungsstelle aus dem Dateisystem importieren. Aufgaben • Erstellen einer Stamm-Zertifizierungsstelle auf Seite 342 Anstelle der standardmäßigen Zertifizierungsstelle können Sie eine eigene Stamm-Zertifizierungsstelle (CA) zum Signieren der Zertifikate erstellen, welche die Appliance an ihre Clients sendet. • Importieren einer Stamm-Zertifizierungsstelle auf Seite 343 Sie können eine Stamm-Zertifizierungsstelle (CA) zum Signieren der Zertifikate importieren, die die Appliance an ihre Clients sendet und diese anstelle der standardmäßigen Zertifizierungsstelle verwenden. Erstellen einer Stamm-Zertifizierungsstelle Anstelle der standardmäßigen Zertifizierungsstelle können Sie eine eigene Stamm-Zertifizierungsstelle (CA) zum Signieren der Zertifikate erstellen, welche die Appliance an ihre Clients sendet. Vorgehensweise 342 1 Wählen Sie Policy | Settings (Richtlinie | Einstellungen) aus. 2 Erweitern Sie im Zweig Engines (Module) der Einstellungs-Baumstruktur SSL Client Context with CA (SSL-Client-Kontext mit CA), und wählen Sie die Einstellungen aus, für die die neue Zertifizierungsstelle verwendet werden soll. McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung SSL-Scans 3 Klicken Sie auf Generate New (Neu erstellen). Daraufhin öffnet sich das Fenster Generate New Certificate Authority (Neue Zertifizierungsstelle erstellen). 4 Geben Sie in den Feldern Organization (Unternehmen) und Locality (Ort) entsprechende Informationen zu Ihrer Zertifizierungsstelle ein. 5 [Optional] Geben Sie in den Feldern Organizational unit (Organisationseinheit) und State (Bundesland) entsprechende Informationen ein. Wählen Sie in der Liste Country (Land) ein Land aus. 6 Geben Sie im Feld Common name (Allgemeiner Name) für Ihre Zertifizierungsstelle einen allgemeinen Namen ein. 7 [Optional] Geben Sie im Feld Email address (E-Mail-Adresse) für Ihr Unternehmen eine E-Mail-Adresse ein. 8 Wählen Sie aus der Liste Valid for (Gültigkeitsdauer) den Zeitraum aus, für den Ihre Zertifizierungsstelle gültig sein soll. 9 [Optional] Geben Sie im Feld Comment (Kommentar) einen Kommentar (Nur-Text-Format) zur Zertifizierungsstelle ein. 10 Klicken Sie auf OK. Daraufhin wird die neue Zertifizierungsstelle erstellt. 11 Klicken Sie auf Save Changes (Änderungen speichern). Importieren einer Stamm-Zertifizierungsstelle Sie können eine Stamm-Zertifizierungsstelle (CA) zum Signieren der Zertifikate importieren, die die Appliance an ihre Clients sendet und diese anstelle der standardmäßigen Zertifizierungsstelle verwenden. Vorgehensweise 1 Wählen Sie Policy | Settings (Richtlinie | Einstellungen) aus. 2 Wählen Sie in der Einstellungs-Baumstruktur SSL Client Context with CA (SSL-Client-Kontext mit Zertifizierungsstelle) aus, und klicken Sie auf die Einstellungen, für die die importierte Zertifizierungsstelle verwendet werden soll. 3 Klicken Sie auf Import (Importieren). Daraufhin öffnet sich das Fenster Import Certificate Authority (Zertifizierungsstelle importieren). 4 Geben Sie im Feld Certificate (Zertifikat) den Namen der Zertifizierungsstellen-Datei ein, indem Sie auf Browse (Durchsuchen) klicken und zur entsprechenden Datei navigieren. Die Datei muss im PEM-Format (Privacy-Enhanced Mail) codiert sein. 5 Geben Sie im Feld Private key (Privater Schlüssel) den Namen der Zertifikatsschlüsseldatei ein, indem Sie auf Browse (Durchsuchen) klicken und zur entsprechenden Datei navigieren. Die Datei muss im PEM-Format codiert sein. Der Schlüssel muss eine Mindestlänge von 2.048 Bit aufweisen. 6 [Bedingt] Wenn der private Schlüssel durch ein Kennwort geschützt ist, geben Sie dieses im Feld Password (Kennwort) ein. Hier können nur unverschlüsselte Schlüssel und Schlüssel mit AES-128-Bit-Verschlüsselung verwendet werden. McAfee Web Gateway 7.5.0 Produkthandbuch 343 9 Web-Filterung SSL-Scans 7 [Bedingt] Wenn die Zertifizierungsstelle Teil einer Zertifikatskette ist und Sie zusammen mit dem Zertifikat Informationen zu dieser Kette angeben möchten, geben Sie den Namen der Datei mit diesen Informationen im Feld Certificate chain (Zertifikatskette) ein, indem Sie auf Browse (Durchsuchen) klicken und zur entsprechenden Datei navigieren. Die Datei muss im PEM-Format codiert sein. 8 Klicken Sie auf OK. Die Zertifizierungsstelle wird nun importiert. 9 Klicken Sie auf Save Changes (Änderungen speichern). Liste der Client-Zertifikate Bei der Liste der Client-Zertifikate handelt es sich um eine Zertifikatsliste, die an einen Web-Server gesendet werden kann, wenn eine SSL-gesicherte Client-Anfrage von einer Appliance empfangen und an den entsprechenden Web-Server weitergeleitet wird. Das Zertifikat wird gesendet, wenn der Web-Server es bei dem ersten und den anschließenden Handshakes, wenn die SSL-Neuaushandlung durchgeführt wird, anfordert. Ein Regelereignis weist die Appliance an, ein Client-Zertifikat für die Kommunikation mit dem Web-Server zu verwenden. Das Zertifikat kann dann aus der Liste der Client-Zertifikate ausgewählt werden. In diesem Fall muss der private Schlüssel für das Zertifikat von dem Client bereitgestellt werden, der die Anfrage gesendet hat. Alternativ kann ein vorkonfiguriertes Zertifikat verwendet werden, das immer an den Web-Server gesendet wird. Das Regelereignis, das die Verwendung eines Zertifikats aus der Liste der Client-Zertifikate auslöst, kann zu Regeln gehören, die für CONNECT-Anfragen gelten (auch in transparenten Einrichtungen), oder zu Regeln in Regelsätzen für die Zertifikatverifizierung, die in ihren Kriterien CERTVERIFY als Wert für die Command.Name-Eigenschaft haben. Sie können Einstellungen für das Regelereignis konfigurieren, beispielsweise eine Liste der Client-Zertifikate und die Anweisungen zu deren Verwendung. Die Einstellungen können auch angeben, dass der private Schlüssel für die Zertifikate, die durch die Clients der Appliance bereitgestellt werden, unverschlüsselt gespeichert wird. Erstellen einer Liste mit Client-Zertifikaten Sie können eine Liste mit Client-Zertifikaten erstellen, die dann im Rahmen der SSL-gesicherten Kommunikation an Web-Server gesendet werden kann. Vorgehensweise 1 Wählen Sie Policy | Settings (Richtlinie | Einstellungen) aus. 2 Wählen Sie in der Einstellungs-Baumstruktur SSL Client Certificate Handling (SSL-Client-Zertifikate verwalten) aus, und klicken Sie auf Add (Hinzufügen). Daraufhin öffnet sich das Fenster Add Settings (Einstellungen hinzufügen, in dem die Registerkarte Add Settings (Einstellungen hinzufügen) ausgewählt ist. 344 McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung SSL-Scans 3 Konfigurieren Sie die Parameter für allgemeine Einstellungen. a Geben Sie im Feld Name einen Namen für die Einstellungen ein. b [Optional] Geben Sie im Feld Comments (Kommentare) einen Kommentar (Nur-Text-Format) zu den Einstellungen ein. c [Optional] Klicken Sie auf die Registerkarte Permissions (Berechtigungen), und geben Sie an, welchen Benutzern Sie die Berechtigung für den Zugriff auf die Einstellungen zuweisen möchten. 4 Überprüfen Sie, ob die Option Use client certificate from Known client certificates list if client has proven ownership (Client-Zertifikat aus Liste der bekannten Client-Zertifikate verwenden, wenn Nachweis des Eigentums durch Client erfolgt ist) unter Client Certificate Handling (Client-Zertifikate verwalten) ausgewählt ist. 5 Klicken Sie auf der Symbolleiste der Liste Known client certificates (Bekannte Client-Zertifikate) auf Add (Hinzufügen). Daraufhin öffnet sich das Fenster Add Client Certificate (Client-Zertifikat hinzufügen). 6 Klicken Sie zum Importieren eines Client-Zertifikats auf Import (Importieren). Daraufhin öffnet sich das Fenster Import Client Certificate (Client-Zertifikat importieren). 7 Importieren Sie nun ein Client-Zertifikat. a Klicken Sie neben dem Feld Certificate (Zertifikat) auf Browse (Durchsuchen), navigieren Sie im daraufhin geöffneten lokalen Datei-Manager zu einer passenden Zertifikatsdatei, und wählen Sie diese aus. Der Datei-Manager wird geschlossen, und der Name der Zertifikatsdatei wird nun in der Liste angezeigt. b Klicken Sie neben dem Feld Private key (Privater Schlüssel) auf Browse (Durchsuchen), navigieren Sie im daraufhin geöffneten lokalen Datei-Manager zu einer passenden Schlüsseldatei, und wählen Sie diese aus. Der Datei-Manager wird geschlossen, und Name und Kennwort der Schlüsseldatei werden nun in den Feldern Private key (Privater Schlüssel) bzw. Password (Kennwort) angezeigt. c Klicken Sie auf OK. Das Fenster wird geschlossen, und die Informationen zur Zertifikatsdatei werden im Fenster Import Client Certificate (Client-Zertifikat importieren) angezeigt. d 8 [Optional] Geben Sie im Feld Comments (Kommentare) einen Kommentar (Nur-Text-Format) zum Zertifikat ein. Klicken Sie auf OK. Das Fenster Add Client Certificate (Client-Zertifikat hinzufügen) wird geschlossen, und der Name der Zertifikatsdatei sowie der Kommentar (falls vorhanden) werden in der Liste Known client certificates (bekannte Client-Zertifikate) angezeigt. Wiederholen Sie die Schritte 5 bis 8 für jedes weitere Zertifikat, das Sie zur Liste hinzufügen möchten. 9 Klicken Sie auf OK, um das Fenster Add Settings (Einstellungen hinzufügen) zu schließen. 10 Klicken Sie auf Save Changes (Änderungen speichern). McAfee Web Gateway 7.5.0 Produkthandbuch 345 9 Web-Filterung SSL-Scans Einstellungen zur Verarbeitung von SSL-Client-Zertifikaten Mit den Einstellungen zur Verarbeitung von SSL-Client-Zertifikaten werden Client-Zertifikate konfiguriert, die in einer SSL-gesicherten Kommunikation an Web-Server gesendet werden. Verarbeitung von SSL-Client-Zertifikaten Einstellungen zum Konfigurieren von SSL-Client-Zertifikaten Tabelle 9-24 Verarbeitung von SSL-Client-Zertifikaten Option Definition Use client certificate from Known client certificates list if client has proven ownership (Client-Zertifikat aus Liste bekannter Zertifikate verwenden, wenn Client bewährten Besitz hat) Bei Auswahl dieser Option wird das Client-Zertifikat, das in einer SSL-gesicherten Kommunikation an einen Web-Server gesendet wird, der Liste bekannter Client-Zertifikate entnommen. Das Zertifikat wird jedoch nur dann dieser Liste entnommen, wenn sichergestellt wurde, dass der Client, dessen Anfrage die Appliance an einen Server weiterleitet, der Besitzer dieses Zertifikats ist. Nach der Auswahl dieses Optionsfelds wird der Bereich Known Client Certificates (Bekannte Client-Zertifikate) mit Einstellungen zum Konfigurieren einer Liste mit Zertifikaten angezeigt. Always use predefined client certificate (Immer vordefiniertes Client-Zertifikat verwenden) Bei Auswahl dieser Option wird immer dasselbe Client-Zertifikat an einen Web-Server in einer SSL-gesicherten Kommunikation gesendet. Nach der Auswahl dieses Optionsfelds wird der Bereich Predefined Client Certificate (Vordefiniertes Client-Zertifikat) mit Einstellungen zum Konfigurieren eines einzelnen Zertifikats angezeigt Known client certificates (Bekannte Client-Zertifikate) Einstellungen zur Konfiguration einer Liste bekannter Client-Zertifikate, die an einen Web-Server gesendet werden können Tabelle 9-25 Known client certificates (Bekannte Client-Zertifikate) Option Definition List of known client certificates (Liste bekannter Client-Zertifikate) Bietet eine Liste mit Client-Zertifikaten, die an einen Web-Server in einer SSL-gesicherten Kommunikation gesendet werden können. In der folgenden Tabelle werden die Elemente eines Eintrags in der Liste bekannter Client-Zertifikate erläutert. Tabelle 9-26 Known client certificates (Bekannte Client-Zertifikate) – Listeneintrag Option Definition Certificate (Zertifikat) Gibt den Namen eines Client-Zertifikats an. Comment (Kommentar) Enthält einen Kommentar im Nur-Text-Format zu einem Zertifikat. Predefined client certificate (Vordefiniertes Client-Zertifikat) Einstellungen zum Konfigurieren eines Client-Zertifikats, das immer an einen Web-Server gesendet wird 346 McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung SSL-Scans Tabelle 9-27 Predefined client certificate (Vordefiniertes Client-Zertifikat) Option Definition Subject, Issuer, Validity, Extensions Bietet Informationen zum Client-Zertifikat, das derzeit zum Senden (Inhaber, Aussteller, Gültigkeit, an einen Web-Server verwendet wird. Erweiterungen) Import (Importieren) Öffnet das Fenster Import Client Certificate (Client-Zertifikat importieren) zum Importieren eines Client-Zertifikats. Nach dem Import werden Informationen zum Client-Zertifikat unter Subject (Inhaber), Issuer (Aussteller) sowie in den anderen Informationsfeldern angezeigt. Export (Exportieren) Öffnet den lokalen Datei-Manager, um ein Client-Zertifikat an einem passenden Ort zu speichern. Export Key (Schlüssel exportieren) Öffnet den lokalen Datei-Manager, um den privaten Schlüssel für ein Client-Zertifikat an einem passenden Ort zu speichern. Certificate Chain (Zertifikatskette) Zeigt eine Zertifikatskette an, sofern eine mit einem Client-Zertifikat importiert wurde. Einstellungen für „SSL Scanner“ Mit den SSL-Einstellungen für „SSL Scanner“ wird konfiguriert, wie Zertifikate verifiziert und die Inhaltsüberprüfung für SSL-gesicherten Web-Datenverkehr aktiviert wird. Enable SSL Scanner (SSL Scanner aktivieren) Einstellungen zum Konfigurieren der Zertifkatsverifizierung oder der Aktivierung der Inhaltsüberprüfung Tabelle 9-28 Enable SSL Scanner (SSL Scanner aktivieren) Option Definition SSL scanner function (SSL Scanner-Funktion) Hiermit wird die vom Modul „SSL Scanner“ ausgeführte Funktion ausgewählt. • Certificate verification (Zertifikatverifizierung): Bei Auswahl dieser Option verifiziert das Modul Zertifikate, die in der SSL-gesicherten Kommunikation eingereicht wurden. • SSL inspection (SSL-Prüfung): Bei Auswahl dieser Option überprüft das Modul den Inhalt der in einer SSL-gesicherten Kommunikation übertragenen Web-Objekte. SSL protocol version (SSL-Protokollversion) Bei Auswahl dieser Option überprüft das Modul den Inhalt der in einer SSL-gesicherten Kommunikation übertragenen Web-Objekte. • TLS 1.0: Bei Auswahl dieser Option wird TLS (Transport Layer Security), Version 1.0, verwendet. • SSL 3.0: Bei Auswahl dieser Option wird SSL, Version 3.0, verwendet. Server cipher list (Server-Verschlüsselungsliste) Gibt eine Zeichenfolge mit Open SSL-Symbolen an, die zum Entschlüsseln von Server-Daten verwendet werden. Das Modul „SSL Scanner“ verwendet verschiedene Zeichenfolgen für die Standard-Zertifikatverifizierung und zum Verifizieren von Zertifikaten von Servern, auf denen die EDH-Methode (Ephemeral Diffie-Hellman) nicht unterstützt wird. McAfee Web Gateway 7.5.0 Produkthandbuch 347 9 Web-Filterung SSL-Scans Tabelle 9-28 Enable SSL Scanner (SSL Scanner aktivieren) (Fortsetzung) Option Definition SSL session cache TTL (SSL-Sitzungs-Cache TTL) Gibt den Zeitraum (in Sekunden) vor, den die Parameterwerte einer Sitzung in der SSL-gesicherten Kommunikation im Cache gespeichert werden. Allow handshake and renegotiation with servers that do not implement RFC 5746 (Handshake und Neuaushandlung mit Servern zulassen, die RFC 5746 nicht implementieren) Bei Auswahl dieser Option führt das Modul „SSL Scanner“ diese Aktivitäten auch bei der Kommunikation mit Web-Servern aus, die den festgelegten Standard nicht erfüllen. Zulassen alternativer Handshakes Einstellungen für Handshakes in der SSL-gesicherten Kommunikation, die alternative Parameterwerte verwenden Tabelle 9-29 Zulassen alternativer Handshakes Option Definition Use alternative handshake settings after handshake failure (Alternative Handshake-Einstellungen nach Handshake-Fehler verwenden) Bei Auswahl dieser Option verwendet das SSL Scanner-Modul alternative Parameterwerte, nachdem beim ersten Versuch der Durchführung eines Handshakes in einer SSL-gesicherten Kommunikation ein Fehler aufgetreten ist. SSL protocol version (SSL-Protokollversion) Wählt die Version des Protokolls, dem das SSL Scanner-Modul bei der Durchführung eines alternativen Handshakes folgt. • TLS 1.0: Bei Auswahl dieser Option wird TLS (Transport Layer Security), Version 1.0, verwendet • SSL 3.0: Bei Auswahl dieser Option wird SSL, Version 3.0, verwendet Server cipher list (Server-Verschlüsselungsliste) Gibt eine Zeichenfolge mit Open SSL-Symbolen an, die zum Entschlüsseln von Server-Daten verwendet werden. Das Modul „SSL Scanner“ verwendet verschiedene Zeichenfolgen für die Standard-Zertifikatverifizierung und zum Verifizieren von Zertifikaten von Servern, auf denen die EDH-Methode (Ephemeral Diffie-Hellman) nicht unterstützt wird. Einstellungen für SSL-Client-Kontext Die Einstellungen für den SSL-Client-Kontext werden für das Modul verwendet, das die Zertifikate verarbeitet, die die Appliance an ihre Clients sendet. Definieren des SSL-Client-Kontexts Einstellungen für das Zertifikat, das die Appliance an ihre Clients sendet 348 McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung SSL-Scans Tabelle 9-30 Aktivieren des SSL-Scanners Option Definition (Current root certificate authority) (Aktuelle Root-Zertifizierungsstelle) Bietet Informationen zur Root-Zertifizierungsstelle, die derzeit auf der Appliance verwendet wird. Send certificate chain (Zertifikatskette senden) Nach der Ersteinrichtung wird eine Standard-Root-Zertifizierungsstelle auf der Appliance implementiert. Zur weiteren Administration wird empfohlen, eine eigene Root-Zertifizierungsstelle zu erstellen. Verwenden Sie zum Erstellen dieser Zertifizierungsstelle die Schaltfläche Generate New (Neu generieren). Bei Auswahl dieser Option sendet die Appliance Informationen zur Kette der Zertifikate, die an der Bestätigung des Zertifikats beteiligt sind, das die Appliance an ihre Clients sendet. Bei dem Zertifikat, das die Appliance als Server an ihre Clients sendet, wird davon ausgegangen, dass es sich auf Stufe 0 befindet. Wenn eine Zertifizierungsstelle dieses Server-Zertifikat zur Bestätigung signiert, erfolgt dies auf Stufe 1. Wenn eine zusätzliche Zertifizierungsstelle die erste Zertifizierungsstelle validiert, erfolgt dies auf Stufe 2. Die Stufe erhöht sich mit jeder zusätzlichen beteiligten Zertifizierungsstelle um den Wert 1. Certificate Chain (Zertifikatskette) Bietet Informationen zu einer Zertifikatskette. Nach dem Importieren einer vorhandenen Zertifizierungsstelle, die an einer Zertifikatskette beteiligt ist, werden die Informationen zu dieser Zertifikatskette im Feld angezeigt. Perform insecure renegotations (Durchführen unsicherer Neuaushandlungen) Bei Auswahl dieser Option handelt das Modul die Parameter für die SSL-gesicherte Kommunikation auch dann neu aus, wenn dies eigentlich unsicher ist. Client cipher list (Client-Verschlüsselungslisten) Gibt eine Zeichenfolge aus Open SSL-Symbolen an, die zum Entschlüsseln von Client-Daten verwendet werden. SSL session cache TTL (SSL-Sitzungs-Cache TTL) Gibt den Zeitraum (in Sekunden) vor, den die im Cache gespeicherten Parameterwerte einer Sitzung in der SSL-gesicherten Kommunikation beibehalten werden. SSL protocol version (SSL-Protokollversion) Wählt die Version des Protokolls aus, dem das SSL Scanner-Modul bei der Durchführung eines Handshakes folgt. • TLS 1.0: Bei Auswahl dieser Option wird TLS (Transport Layer Security), Version 1.0, verwendet • SSL 3.0: Bei Auswahl dieser Option wird SSL, Version 3.0, verwendet Einstellungen für die Zertifikatskette Mit den Einstellungen für die Zertifikatskette wird das Modul konfiguriert, das für die Erstellung von Zertifikatsketten zuständig ist. Zertifikatsverifizierung Einstellungen zum Erstellen einer Zertifikatskette McAfee Web Gateway 7.5.0 Produkthandbuch 349 9 Web-Filterung SSL-Scans Tabelle 9-31 Zertifikatsverifizierung Option Definition List of certificate authorities (Liste der Zertifizierungsstellen) Hier können Sie aus einer Liste eine Zertifizierungsstelle auswählen, die die Zertifikate in einer Zertifikatskette signiert. In der folgenden Tabelle werden die Elemente eines Eintrags in dieser Liste erläutert. Tabelle 9-32 Liste der Zertifizierungsstellen Option Definition Certificate authority (Zertifizierungsstelle) Gibt den Namen einer Zertifizierungsstelle an. Certificate revocation list (Zertifikatsperrliste) Gibt die Liste, die Informationen zum Gültigkeitsende eines von dieser Zertifizierungsstelle signierten Zertifikats enthält, und die für den Zugriff auf die Liste verwendete URI an. Trusted (Vertrauenswürdig) Bei Auswahl dieser Option gilt die Zertifizierungsstelle auf der Appliance als vertrauenswürdig. Comment (Kommentar) Kommentar zu einer Zertifizierungsstelle im Nur-Text-Format. SSL Scanner (Regelsatz) Der Regelsatz SSL Scanner ist der Standard-Regelsatz für das SSL-Scannen. Standard-Regelsatz – SSL Scanner Criteria – Always Cycles – Requests (and IM) Dieser Regelsatz enthält die folgenden untergeordneten Regelsätze: • Handle CONNECT Call • Certificate Verification • Verify Common Name (proxy setup) • Content Inspection • Verify Common Name (transparent setup) Handle CONNECT Call Dieser untergeordnete Regelsatz behandelt den CONNECT-Aufruf in SSL-gesicherter Kommunikation und aktiviert die Zertifikatsüberprüfung. Untergeordneter Bibliotheks-Regelsatz – Handle CONNECT Call Criteria – Command.Name equals “CONNECT” Cycles – Requests (and IM) Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn auf der Appliance eine Anfrage eingeht, die den CONNECT-Befehl enthält. Dieser wird in der Eröffnungsphase der SSL-gesicherten Kommunikation gesendet. Der Regelsatz enthält die folgenden Regeln: Set client context Always –> Continue – Enable SSL Client Context with CA <Default CA> Die Regel aktiviert die Verwendung eines Server-Zertifikats, das an einen Client gesendet wird. 350 McAfee Web Gateway 7.5.0 Produkthandbuch Web-Filterung SSL-Scans 9 Als standardmäßiger Aussteller des Zertifikats ist in den Ereigniseinstellungen die Zertifizierungsstelle für McAfee Web Gateway-Stammzertifikate angegeben, die nach der Erstkonfiguration auf der Appliance implementiert wurde. Die Aktion „Continue“ bewirkt, dass mit der Verarbeitung der nächsten Regel fortgefahren wird. Tunneled hosts URL.Host is in list SSL Host Tunnel List –> Stop Cycle Mit dieser Regel können Anfragen das SSL-Scannen umgehen, die Zugriff auf Hosts mit einer URL anfordern, die in der angegebenen Whitelist aufgeführt ist. Restrict destination ports to Allowed CONNECT Ports URL.Port is not in list Allowed Connect Ports –> Block<Connect not allowed> Die Regel blockiert Anfragen mit Ziel-Ports, die nicht in der Liste der zulässigen CONNECT-Ports aufgeführt sind. In den Aktionseinstellungen ist festgelegt, dass der anfragende Benutzer eine Meldung hierüber erhält. Enable certificate verification without EDH for hosts in no-EDH server list URL.Host is in list No-EDH server –> Block<Connect not allowed> Stop Rule Set – Enable SSL Scanner<Certificate Verification without edh> Die Regel aktiviert die Zertifikatsüberprüfung für Anfragen, die von einem Host gesendet wurden, der in der Liste der Server ohne Diffie-Helman-Schlüsselaustausch (EDH) aufgeführt ist. In den Aktionseinstellungen ist festgelegt, dass der anfragende Benutzer eine Meldung hierüber erhält. In den Ereigniseinstellungen ist festgelegt, dass das SSL-Scan-Modul im Überprüfungsmodus ausgeführt wird. Außerdem ist dort eine spezielle Verschlüsselungszeichenfolge für die Datenverschlüsselung auf Hosts ohne Diffie-Helman-Schlüsselaustausch angegeben. Enable certificate verification Always –> Stop Rule Set – Enable SSL Scanner<Default certificate verification> Die Regel aktiviert die Zertifikatsüberprüfung. Die Ereigniseinstellungen geben an, dass das SSL-Scan-Modul im Überprüfungsmodus ausgeführt wird. Certificate Verification Dieser untergeordnete Regelsatz behandelt den CERTVERIFY-Aufruf in SSL-gesicherter Kommunikation. Entsprechend bestimmter Kriterien lässt er in der Whitelist enthaltene Zertifikate die Überprüfung umgehen, blockiert jedoch andere Zertifikate. Untergeordneter Bibliotheks-Regelsatz – Certificate Verification Criteria – Command.Name equals “CERTVERIFY* Cycles – Requests (and IM) Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn auf der Appliance eine Anfrage eingeht, die den CERTVERIFY-Befehl enthält. Dieser wird zur Anforderung der Überprüfung eines Zertifikats gesendet. Dieser Regelsatz enthält den folgenden untergeordneten Regelsatz: • Verify Common Name (proxy setup) McAfee Web Gateway 7.5.0 Produkthandbuch 351 9 Web-Filterung SSL-Scans Der Regelsatz enthält die folgenden Regeln: Skip verification for certificates found in Certificate Whitelist SSL.Server.Certificate.HostAndCertificate is in list Certificate Whitelist –> Stop Rule Set Die Regel lässt in der Whitelist enthaltene Zertifikate die Überprüfung umgehen. Block self-signed certificates SSL.Server.Certificate.SelfSigned equals true –> Block <Certificate incident> Die Regel blockiert Anfragen mit selbstsignierten Zertifikaten. In den Aktionseinstellungen ist festgelegt, dass der anfragende Benutzer eine Meldung hierüber erhält. Block expired server (7 day tolerance) and expired CA certificates SSL.Server.Certificate.DaysExpired greater than 7 OR SSL.Server.CertificateChain.ContainsExpiredCA<Default> equals true –> Block <Certificate incident> Die Regel blockiert Anfragen mit abgelaufenen und CA-Zertifikaten. In den Aktionseinstellungen ist festgelegt, dass der anfragende Benutzer eine Meldung hierüber erhält. Block too long certificate chains SSL.Server.CertificateChain.PathLengthExceeded<Default> equals true –> Block <Certificate incident> Die Regel blockiert eine Zertifikatskette, wenn diese die Pfadlänge überschreitet. Die Einstellungen der Eigenschaft geben eine Liste für das Modul an, das die Zertifizierungsstelle überprüft. In den Aktionseinstellungen ist festgelegt, dass der anfragende Benutzer eine Meldung hierüber erhält. Block revoked certificates SSL.Server.CertificateChain.ContainsRevoked<Default> equals true –> Block <Certificate incident> Die Regel blockiert eine Zertifikatskette, wenn eines der enthaltenen Zertifikate widerrufen wurde. Die Einstellungen der Eigenschaft geben eine Liste für das Modul an, das die Zertifizierungsstelle überprüft. In den Aktionseinstellungen ist festgelegt, dass der anfragende Benutzer eine Meldung hierüber erhält. Block unknown certificate authorities SSL.Server.CertificateChain.FoundKnownCA<Default> equals false –> Block <Certificate incident> Die Regel blockiert eine Zertifikatskette, wenn keine der Zertifizierungsstellen, die die enthaltenen Zertifikate ausgestellt haben, bekannt ist. Die Einstellungen der Eigenschaft geben eine Liste für das Modul an, das die Zertifizierungsstelle überprüft. In den Aktionseinstellungen ist festgelegt, dass der anfragende Benutzer eine Meldung hierüber erhält. Block untrusted certificate authorities SSL.Server.FirstKnownCAIsTrusted<Default> equals false –> Block <Certificate incident> Die Regel blockiert eine Zertifikatskette, wenn die erste bekannte Zertifizierungsstelle, die gefunden wurde, nicht als vertrauenswürdig eingestuft ist. 352 McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung SSL-Scans Die Einstellungen der Eigenschaft geben eine Liste für das Modul an, das die Zertifizierungsstelle überprüft. In den Aktionseinstellungen ist festgelegt, dass der anfragende Benutzer eine Meldung hierüber erhält. Verify Common Name (proxy setup) Dieser untergeordnete Regelsatz überprüft den in einem Zertifikat enthaltenen allgemeinen Namen. Der Regelsatz wird bei Anfragen angewendet, die im Modus „expliziter Proxy“ gesendet wurden. Untergeordneter Bibliotheks-Regelsatz – Verify Common Name (proxy setup) Criteria – Connection.SSL.TransparentCNHandling equals false Cycles – Requests (and IM) Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn über eine Verbindung mit SSL-gesicherter Kommunikation eine Anfrage eingeht und die Überprüfung des allgemeinen Namens nicht im transparenten Modus ausgeführt wird. Der Regelsatz enthält die folgenden Regeln: Allow matching hostname URL.Host equals Certificate.SSL.CN –> Stop Rule Set Die Regel lässt eine Anfrage zu, wenn die URL des angefragten Hosts mit dem allgemeinen Namen im Zertifikat übereinstimmt. Allow wildcard certificates Certificate.SSL.CN.HasWildcards equals true AND URL.Host matches.Certificate.SSL.CN.ToRegex(Certificate.SSL.CN) –> Stop Rule Set Die Regel lässt Anfragen an Hosts zu, wenn diese Hosts Zertifikate mit Platzhalter enthaltenden allgemeinen Namen senden, die mit den URLs der Hosts übereinstimmen. Zur Überprüfung, ob ein allgemeiner Name mit Platzhaltern tatsächlich mit einem Host übereinstimmt, wird dieser Name in einen regulären Ausdruck umgewandelt. Allow alternative common names URL.Host is in list Certificate.SSL.AlternativeCNs –> Stop Rule Set Die Regel lässt Anfragen an Hosts zu, deren Zertifikate alternative allgemeine Namen enthalten, sofern mindestens einer dieser Namen mit dem Host übereinstimmt. Block incident Always –> Block <Common name mismatch> Wenn irgendeine der Regeln zum Zulassen übereinstimmender Namen zutrifft, wird die Verarbeitung des Regelsatzes beendet, und die Regel wird nicht verarbeitet. Wenn dies nicht der Fall ist, blockiert diese Regel die Anfragen, da dann keine Übereinstimmung des allgemeinen Namens vorliegt. In den Aktionseinstellungen ist festgelegt, dass der anfragende Benutzer eine Meldung hierüber erhält. Content Inspection Dieser untergeordnete Regelsatz schließt die Behandlung eines CERTVERIFY-Aufrufs ab. Entsprechend bestimmter Kriterien lässt er manche Anfragen die Inhaltsprüfung umgehen, aktiviert diese Prüfung jedoch für alle anderen. McAfee Web Gateway 7.5.0 Produkthandbuch 353 9 Web-Filterung SSL-Scans Untergeordneter Bibliotheks-Regelsatz – Content Inspection Criteria – Command.Name equals “CERTVERIFY* Cycles – Requests (and IM) Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn auf der Appliance eine Anfrage eingeht, die den CERTVERIFY-Befehl enthält. Dieser wird zur Anforderung der Überprüfung eines Zertifikats gesendet. Der Regelsatz enthält die folgenden Regeln: Skip content inspection for hosts found in SSL Inspection Whitelist Connection.SSL.Transparent equals false AND URL.Host matches in list SSL Inspection Whitelist –> Stop Rule Set Die Regel lässt Anfragen die Inhaltsprüfung umgehen, wenn diese an Hosts gesendet wurden, die in der Whitelist enthalten sind. Angewendet wird diese Regel nur im nicht-transparenten Modus. Skip content inspection for CN found in SSL Inspection Whitelist Connection.SSL.Transparent equals true AND Certificate.SSL.CN matches in list SSL Inspection Whitelist –> Stop Rule Set Die Regel lässt Anfragen die Inhaltsprüfung umgehen, wenn deren Zertifikate in der Whitelist enthaltene allgemeine Namen aufweisen. Angewendet wird diese Regel nur im transparenten Modus. Die Regel ist anfänglich nicht aktiviert. Do not inspect connections with client certificates Connection.Client.CertificateIsRequested equals true –> Stop Rule Set Die Regel lässt Anfragen die Prüfung umgehen, wenn für diese Anfragen die Nutzung von Client-Zertifikaten erforderlich ist. Die Regel ist anfänglich nicht aktiviert. Enable content inspection Always –> Continue – Enable SSL Scanner<Enable content inspection> Die Regel aktiviert die Inhaltsprüfung. Die Ereigniseinstellungen geben an, dass das SSL-Scan-Modul im Prüfmodus ausgeführt wird. Wenn mindestens eine der Regeln zum Umgehen der Inhaltsprüfung zutrifft, wird die Verarbeitung des Regelsatzes beendet, und diese (letzte) Regel zur Aktivierung der Prüfung wird nicht verarbeitet. Andernfalls aktiviert diese Regel die Inhaltsprüfung. Verify Common Name (transparent setup) Dieser untergeordnete Regelsatz überprüft den in einem Zertifikat enthaltenen allgemeinen Namen. Der Regelsatz wird nur bei Anfragen angewendet, die im transparenten Modus gesendet wurden. Bei Anfragen, die im Modus „expliziter Proxy“ gesendet wurden, wird der mit dem allgemeinen Namen zu vergleichende Host-Name aus der von einem Client gesendeten CONNECT-Anfrage entnommen. Da im transparenten Modus keine CONNECT-Anfragen gesendet werden, wird der Host-Name in diesem Fall der vom Client gesendeten Anfrage für den Web-Zugriff entnommen. Untergeordneter Bibliotheks-Regelsatz – Verify Common Name (transparent setup) Criteria – Connection.SSL.TransparentCNHandling equals true AND Command.Name does not equal “ CONNECT” AND Command.Name does not equal “CERTVERIFY” Cycles – Requests (and IM) 354 McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung Hardware Security Module Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn über eine Verbindung mit SSL-gesicherter Kommunikation eine Anfrage eingeht und die Überprüfung des allgemeinen Namens im transparenten Modus ausgeführt wird. Der Regelsatz enthält die folgenden Regeln: Allow matching hostname URL.Host equals Certificate.SSL.CN –> Stop Rule Set Die Regel lässt eine Anfrage zu, wenn die URL des angefragten Hosts mit dem allgemeinen Namen im Zertifikat übereinstimmt. Allow wildcard certificates Certificate.SSL.CN.HasWildcards equals true AND URL.Host matches.Certificate.SSL.CN.ToRegex(Certificate.SSL.CN) –> Stop Rule Set Die Regel lässt Anfragen an Hosts zu, wenn diese Hosts Zertifikate mit Platzhalter enthaltenden allgemeinen Namen senden, die mit den URLs der Hosts übereinstimmen. Zur Überprüfung, ob ein allgemeiner Name mit Platzhaltern tatsächlich mit einem Host übereinstimmt, wird dieser Name in einen regulären Ausdruck umgewandelt. Allow alternative common names URL.Host is in list Certificate.SSL.AlternativeCNs –> Stop Rule Set Die Regel lässt Anfragen an Hosts zu, deren Zertifikate alternative allgemeine Namen enthalten, sofern mindestens einer dieser Namen mit dem Host übereinstimmt. Block incident Always –> Block <Common name mismatch> Wenn irgendeine der Regeln zum Zulassen übereinstimmender Namen zutrifft, wird die Verarbeitung des Regelsatzes beendet, und die Regel wird nicht verarbeitet. Wenn dies nicht der Fall ist, blockiert diese Regel die Anfragen, da dann keine Übereinstimmung des allgemeinen Namens vorliegt. In den Aktionseinstellungen ist festgelegt, dass der anfragende Benutzer eine Meldung hierüber erhält. Hardware Security Module Der Einsatz eines Hardware Security Module (HSM) erhöht die Sicherheit beim Verarbeiten der privaten Schlüssel für die Zertifikate, die im Rahmen der SSL-gesicherten Kommunikation an Server und Clients gesendet werden. Schlüssel für Zertifikate, die in SSL-gesicherter Kommunikation verwendet werden, können öffentlich oder privat sein. Wenn Sie private Schlüssel verwenden und diese nicht offenlegen möchten, können Sie sie in einem Hardware Security Module speichern. Ein Hardware Security Module ist eine separate Hardware-Komponente, die auf einer Web Gateway-Appliance installiert ist. Wenn die Schlüssel zur Konfiguration und Aktivierung eines Zertifikats benötigt werden, werden sie anhand ihrer ID (auch als Schlüsselname bezeichnet) referenziert, während die eigentlichen Schlüssel geschützt auf der Hardware-Komponente verbleiben. Schlüsselverarbeitung in einem Hardware Security Module Alle Kryptografievorgänge, die für die Verwendung eines privaten Schlüssels erforderlich sind, der wiederum zur Nutzung eines Zertifikats benötigt wird, werden im Hardware Security Module ausgeführt. Diese Methode der Schlüsselverarbeitung erhöht die Sicherheit im Vergleich zur alternativen Methode, bei der ein Schlüssel aus einer Datei importiert wird, die geöffnet und gelesen werden kann. McAfee Web Gateway 7.5.0 Produkthandbuch 355 9 Web-Filterung Hardware Security Module Schlüssel werden im Modul generiert oder in das Modul importiert. Sie werden geladen, damit sie in Web Gateway zur Konfiguration und Verwendung von Zertifikaten durch den HSM-Agenten verfügbar sind, der zum Web Gateway-Appliance-System gehört. Der HSM-Agent kann einen privaten Schlüssel nur laden, wenn Sie die Schlüssel-ID im Zeichenfolgenformat einer Liste in der Benutzeroberfläche von Web Gateway hinzufügt und dem Agenten bereitgestellt haben. Für die Kommunikation mit dem HSM-Agenten wird auf einer Appliance, auf der ein Hardware Security Module installiert ist, ein HSM-Server eingerichtet. Die Einrichtung erfolgt auf der Benutzeroberfläche von Web Gateway in den Einstellungen für das Hardware Security Module. Beim Generieren von Zertifikatschlüsseln werden zur Erhöhung der Schlüsselsicherheit normalerweise auch Kennwörter oder ein OCS (Operator Card System) verwendet. Schlüssel können jedoch auch ohne diese zusätzlichen Optionen generiert werden. Wenn ein Schlüssel durch ein Kennwort oder OCS geschützt ist, müssen Sie ihn im Hardware Security Module entsperren, um ihn verwenden zu können. Importieren eines Schlüssels für ein Zertifikat Um ein Zertifikat in der Benutzeroberfläche von Web Gateway zu importieren, wird ein Import-Fenster bereitgestellt, das verschiedene Optionen zum Importieren des zur Aktivierung des Zertifikats erforderlichen Schlüssels enthält. Sie können einen Schlüssel importieren, der in einer Datei gespeichert ist, oder anhand der Schlüssel-ID auf einen Schlüssel auf dem Hardware Security Module verweisen. Sie verweisen auf einen Schlüssel, indem Sie in der von Ihnen erstellten Schlüsselliste eine Zeichenfolge auswählen. Remote-Verwendung eines Hardware Security Module Auf einem Hardware Security Module können die Schlüssel auf der Web Gateway-Appliance, auf der das Modul installiert ist, gespeichert und geladen werden. Es kann auch von anderen Web Gateway-Appliances innerhalb Ihres Netzwerks verwendet werden, auf denen kein solches Modul installiert ist. Eine Appliance, auf der ein Hardware Security Module installiert ist, wird als HSM-Server konfiguriert. Appliances, auf denen kein Modul installiert ist, werden als Clients dieses Servers konfiguriert, sodass sie eine Verbindung mit dem Server herstellen und Zertifikatsschlüssel laden können. Die Konfiguration einer Appliance als HSM-Server oder -Client erfolgt auf der Benutzeroberfläche von Web Gateway in den Einstellungen für das Hardware Security Module. Installation und Zugriff auf ein Hardware Security Module Ein Hardware Security Module wird auf einer PCI-Karte zur Verfügung gestellt, die zusammen mit den entsprechenden Treibern auf einer Appliance installiert wird, auf der Web Gateway ausgeführt wird. Wenn die Modulkarte installiert ist, können Sie auf das Modul zugreifen, indem Sie sich über eine Systemkonsole bei der Appliance anmelden. Aktivitäten wie das Generieren oder Entsperren von Schlüsseln führen Sie auf dem Modul durch Eingabe der entsprechenden Befehle in der Befehlszeile aus. Weitere Informationen zum Installieren einer Hardware Security Module-Karte und zum Durchführen von Aktivitäten auf dem Modul finden Sie in der Dokumentation des McAfee-Partners, der das Modul bereitstellt (Thales). Zuständigkeiten des Administrators bei der Schlüsselverarbeitung Administratoren können unterschiedliche Zuständigkeiten zugewiesen werden, um die Sicherheit bei der Schlüsselverarbeitung zu erhöhen. 356 McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung Hardware Security Module So könnte beispielsweise ein Administrator für das Generieren von Zertifikatschlüsseln auf einem Hardware Security Module zuständig sein, während der Web Gateway-Administrator anhand dieser Schlüssel Zertifikate auf der Benutzeroberfläche von Web Gateway konfiguriert. Dem Web Gateway-Administrator müssen dann die generierten Schlüssel-IDs und die Schlüsselkennwörter bekannt sein, die für zusätzlichen Schutz festgelegt wurden. Protokollieren von Schlüsselvorgängen Schlüsselvorgänge, an denen ein Hardware Security Module beteiligt ist, werden in Web Gateway protokolliert und im Dashboard der Benutzeroberfläche unter SSL Scanner Statistics (SSL-Scanner-Statistik) als Remote Private Key Operations (Remote-Vorgänge für private Schlüssel) angezeigt. Verwendung eines Hardware Security Module zum Verwalten von Zertifikatsschlüsseln Mit einem Hardware Security Module (HSM) können Sie die Sicherheit der privaten Schlüssel erhöhen, die für die SSL-verschlüsselte Kommunikation verwendet werden. Mithilfe des HSM können Schlüssel erstellt und gespeichert und verschiedene andere Aktivitäten durchgeführt werden. Die folgenden Schritte müssen möglicherweise von unterschiedlichen Administratoren ausgeführt werden. Vorgehensweise 1 Konfigurieren Sie eine Web Gateway-Appliance so, dass darauf ein Hardware Security Module ausgeführt werden kann. a Installieren Sie auf der Appliance eine Hardware Security Module-Karte. b Die Treiber für das Hardware Security Module werden über eine Systemkonsole installiert. Weitere Informationen zum Installieren der PCI-Karte mit dem Hardware Security Module finden Sie im Installationshandbuch für McAfee Web Gateway. Weitere Informationen zum Installieren der Modultreiber können Sie der entsprechenden Dokumentation des McAfee-Partners entnehmen, der das HSM anbietet (Thales). 2 Erstellen Sie über eine Systemkonsole im Hardware Security Module einen Security World-Bereich und (optional) ein OCS (Operator Card Set) für die entsprechenden Schlüssel. Erstellen Sie anschließend die Schlüssel, bzw. importieren Sie sie, und merken Sie sich die Schlüssel-IDs. Weitere Informationen zum Erstellen dieser Elemente können Sie der entsprechenden Dokumentation des McAfee-Partners entnehmen, der das HSM anbietet (Thales). 3 Konfigurieren Sie auf der Web Gateway-Benutzeroberfläche eine der folgenden beiden Optionen: • Lokale Verwendung des Moduls Richten Sie auf einer Appliance mit installiertem Hardware Security Module einen HSM-Server zur lokalen Nutzung ein. • Remote-Verwendung des Moduls • Richten Sie auf einer Appliance mit installiertem Hardware Security Module einen HSM-Server zur lokalen Nutzung ein. Erteilen Sie anschließend den Clients dieses Servers die Berechtigung zur Remote-Verwendung des Moduls. • Konfigurieren Sie die Appliances ohne installiertes Modul, die das Modul per Remote-Zugriff nutzen sollen, als HSM-Clients. McAfee Web Gateway 7.5.0 Produkthandbuch 357 9 Web-Filterung Hardware Security Module 4 Entsperren Sie über eine Systemkonsole die Schlüssel im Hardware Security Module, die durch ein Kennwort bzw. ein OCS (Operator Card Set) geschützt sind. Weitere Informationen zum Entsperren von Schlüsseln können Sie der entsprechenden Dokumentation des McAfee-Partners entnehmen, der das HSM anbietet (Thales). 5 Sie können die Schlüssel nun auf der Benutzeroberfläche von Web Gateway zum Erstellen von Zertifikaten verwenden. Konfigurieren der lokalen Verwendung eines Hardware Security Module Sie können die lokale Verwendung eines Hardware Security Module konfigurieren, sodass es nur auf der Appliance verwendet wird, auf der es installiert ist. Vorgehensweise 1 Wählen Sie Configuration | Appliances (Konfiguration | Appliances) aus. 2 Wählen Sie in der Appliances-Struktur die Appliance aus, für die Sie die lokale Verwendung des Moduls konfigurieren möchten, und klicken Sie dann auf Hardware Security Module. 3 Wählen Sie unter HSM Server (HSM-Server) die Option Start local HSM server (Lokalen HSM-Server starten) aus. 4 Fügen Sie der Liste Keys to be loaded (Zu ladende Schlüssel) Einträge für die Schlüssel hinzu, die zum Laden verfügbar sein sollen. Geben Sie hierfür die Schlüssel-ID der einzelnen Schlüssel im Zeichenfolgenformat ein. 5 Klicken Sie auf Save Changes (Änderungen speichern). Siehe auch Einstellungen für das Hardware Security Module auf Seite 360 Konfigurieren der Remote-Verwendung eines Hardware Security Module Sie können die Remote-Verwendung eines Hardware Security Module konfigurieren, sodass es für Appliances in Ihrem Netzwerk verfügbar ist, auf denen kein solches Modul installiert ist. Vorgehensweise 1 Wählen Sie Configuration | Appliances (Konfiguration | Appliances) aus. 2 Wählen Sie in der Appliances-Struktur die Appliance mit dem Modul aus, für das Sie die Remote-Verwendung konfigurieren möchten, und klicken Sie dann auf Hardware Security Module. 3 Konfigurieren Sie einen HSM-Server auf dieser Appliance. a Wählen Sie unter HSM Server (HSM-Server) die Option Start local HSM server (Lokalen HSM-Server starten) aus. b Fügen Sie der Liste Keys to be loaded (Zu ladende Schlüssel) Einträge für die Schlüssel hinzu, die zum Laden verfügbar sein sollen. Geben Sie hierfür die Schlüssel-ID der einzelnen Schlüssel im Zeichenfolgenformat ein. c 358 Klicken Sie auf Allow remote connections (Remote-Verbindungen zulassen). McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung Hardware Security Module 4 d Fügen Sie in der Liste HSM server port definition (HSM-Server-Port-Definition) einen oder mehrere Ports hinzu, die auf Client-Anfragen überwachen. e Generieren oder importieren Sie unter Server identification (Server-Identifikation) ein Zertifikat für den Server. Exportieren Sie es dann an einen Ort, von dem Sie es bei der Konfiguration der Clients wieder importieren können. Führen Sie für jede Appliance, die Sie als HSM-Client konfigurieren möchten, Folgendes durch: a Wählen Sie in der Appliances-Struktur eine Appliance aus, auf der kein Modul installiert ist, und klicken Sie dann auf Hardware Security Module. b Wählen Sie unter HSM Client (HSM-Client) die Option Use remote HSM server (Remote-HSM-Server verwenden) aus. c Fügen Sie in der Liste Remote server (Remote-Server) einen Eintrag für den HSM-Server hinzu. Geben Sie den Host-Namen und den Listener-Port ein, und importieren Sie das Server-Zertifikat. d 5 Generieren oder importieren Sie unter Client identification (Client-Identifikation) ein Zertifikat für den Client. Exportieren Sie es dann an einen Ort, von dem aus Sie es bei der Konfiguration der Liste der zulässigen Clients wieder importieren können. Fügen Sie unter HSM Server (HSM-Server) einen Eintrag für jeden HSM-Client zur Liste Permitted clients (Zulässige Clients) hinzu. Geben Sie den Host-Namen ein, und importieren Sie das Client-Zertifikat. 6 Klicken Sie auf Save Changes (Änderungen speichern). Siehe auch Einstellungen für das Hardware Security Module auf Seite 360 Konfigurieren eines Zertifikats mithilfe einer Schlüssel-ID In einem Hardware Security Module können Sie mithilfe der ID eines privaten Schlüssels ein Zertifikat zur Verwendung bei der SSL-verschlüsselten Kommunikation konfigurieren. In den folgenden Einstellungen können private Schlüssel des Hardware-Sicherheitsmoduls zum Konfigurieren von Zertifikaten eingesetzt werden: SSL Client Certificate Handling (SSL-Client-Zertifikate verwalten), SSL Client Context with CA (SSL-Client-Kontext mit Zertifizierungsstelle), SSL Client Context without CA (SSL-Client-Kontext ohne Zertifizierungsstelle). Bei der folgenden Vorgehensweise wird in der Einstellung SSL Client Context with CA (SSL-Client-Kontext mit Zertifizierungsstelle) ein Zertifikat mithilfe eines Schlüssels konfiguriert. Vorgehensweise 1 Wählen Sie Policy | Settings (Richtlinie | Einstellungen) aus. 2 Erweitern Sie im Zweig Engines (Module) der Einstellungsstruktur die Einstellung SSL Client Context with CA (SSL-Client-Kontext mit Zertifizierungsstelle), und wählen Sie dann die Einstellung Default CA (Standard-Zertifizierungsstelle) aus. 3 Klicken Sie unter Define SSL Client Context (SSL-Client-Kontext definieren) auf die Option Import (Importieren), die sich neben Certificate Authority (Zertifizierungsstelle) befindet. Daraufhin öffnet sich das Fenster Import Certificate Authority (Zertifizierungsstelle importieren). 4 Klicken Sie neben Certificate (Zertifikat) auf Browse (Durchsuchen), navigieren Sie zur gewünschten Zertifikatsdatei, und importieren Sie diese. McAfee Web Gateway 7.5.0 Produkthandbuch 359 9 Web-Filterung Hardware Security Module 5 Wählen Sie neben Private key source (Herkunft des privaten Schlüssels) die Option HSM aus. Daraufhin wird eine Dropdown-Liste der IDs für das verfügbare HSM angezeigt. 6 Wählen Sie eine Schlüssel-ID aus, und klicken Sie dann auf Import (Importieren), um das Zertifikat mit diesem Schlüssel zu importieren. 7 Klicken Sie auf Save Changes (Änderungen speichern). Einstellungen für das Hardware Security Module Mit den Einstellungen für das Hardware Security Module wird die Verarbeitung von Zertifikatschlüsseln auf einem lokal oder auf einer anderen Appliance installierten Hardware Security Module konfiguriert. HSM Server (HSM-Server) Dies sind die Einstellungen für ein Hardware Security Module auf der Web Gateway-Appliance, die Sie gerade konfigurieren. Tabelle 9-33 HSM Server (HSM-Server) Option Definition Start local HSM server (Lokalen HSM-Server starten) Bei Auswahl dieser Option wird ein Hardware Security Module zum Speichern und Laden von Schlüsseln für diese Appliance ausgeführt. Keys to be loaded (Zu ladende Schlüssel) Enthält eine Liste von Schlüssel-IDs für die Schlüssel, die im Hardware Security Module gespeichert sind und zur Verwendung mit einem Zertifikat geladen werden können. Das Modul wird auf einem Server bereitgestellt, mit dem andere Web Gateway-Appliances in Ihrem Netzwerk eine Verbindung als Client herstellen können, um die im Modul gespeicherten Schlüssel zu laden. Für jeden Schlüssel, den Sie in Web Gateway verwenden möchten, müssen Sie die Schlüssel-ID im Zeichenfolgenformat zu dieser Liste hinzufügen. Die Schlüssel-IDs werden bekannt, wenn Schlüssel im Hardware Security Module generiert oder importiert werden. In der folgenden Tabelle wird ein Eintrag in der Schlüsselliste erläutert. Tabelle 9-34 Zu ladende Schlüssel – Listeneintrag Option Definition String (Zeichenfolge) Gibt die Schlüssel-ID für einen im Hardware Security Module gespeicherten Schlüssel an. Comment (Kommentar) Enthält einen Kommentar im Nur-Text-Format zu einem Schlüssel. Option Definition Allow local connections (Lokale Verbindungen zulassen) Bei Auswahl dieser Option können die im Hardware Security Module gespeicherten Schlüssel für Verbindungen verwendet werden, die auf dieser Appliance eingerichtet sind. Allow remote connections (Remote-Verbindungen zulassen) Bei Auswahl dieser Option können die im Hardware Security Module gespeicherten Schlüssel per Remote-Zugriff für Verbindungen verwendet werden, die auf anderen Web Gateway-Appliances in Ihrem Netzwerk eingerichtet sind. Bei Auswahl dieser Option müssen Sie die Ports des HSM-Servers auf dieser Appliance angeben, die für Remote-Verbindungen verfügbar sind. 360 McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung Hardware Security Module Option Definition HSM server port definition list (Liste der HSM-Server-Port-Definitionen) Enthält eine Liste der Ports auf dem HSM-Server. Permitted clients (Zulässige Clients) Enthält eine Liste der anderen Appliances in Ihrem Netzwerk, die als Clients des HSM-Servers ausgeführt werden können und das Hardware Security Module zum Laden von Schlüsseln verwenden können. In den folgenden Tabellen werden die Einträge in der Liste der HSM-Server-Ports und der Liste der zulässigen Clients erläutert. Tabelle 9-35 HSM server port definition list (Liste der HSM-Server-Port-Definitionen) – Listeneintrag Option Definition Listener address (Listener-Adresse) IP-Adresse und Port-Nummer eines Ports auf dem HSM-Server, der auf Anfragen zur Herstellung einer Remote-Verbindung überwacht. Comment (Kommentar) Enthält einen Kommentar im Nur-Text-Format zu einem Port. Tabelle 9-36 Permitted clients (Zulässige Clients) – Listeneintrag Option Definition Host Gibt den Host-Namen oder die IP-Adresse einer Web Gateway-Appliance in Ihrem Netzwerk an, die zum Laden der im Hardware Security Module auf dieser Appliance gespeicherten Schlüssel berechtigt ist. Certificate (Zertifikat) Gibt das Zertifikat an, das ein Client beim Herstellen einer Verbindung mit dem HSM-Server sendet. Comment (Kommentar) Enthält einen Kommentar im Nur-Text-Format zu einem zulässigen Client. Server Identification (Server-Identifizierung) Dies sind Einstellungen für das Zertifikat, das der HSM-Server beim Herstellen einer Verbindung mit seinen Clients sendet. Für den HSM-Server wird nach der Ersteinrichtung einer Web Gateway-Appliance standardmäßig ein von der McAfee-Stammzertifizierungsstelle ausgestelltes Zertifikat bereitgestellt. Sie sollten dieses Zertifikat durch ein eigenes Zertifikat ersetzen. Tabelle 9-37 Server Identification (Server-Identifizierung) Option Definition Subject, Issuer, Validity, Extensions, Private key (Inhaber, Aussteller, Gültigkeit, Erweiterungen, privater Schlüssel) Bietet Informationen zum derzeit verwendeten Zertifikat. Server certificate (Server-Zertifikat) Enthält Schaltflächen zur Durchführung verschiedener Aktivitäten in Bezug auf ein Server-Zertifikat: • Generieren eines Zertifikats • Importieren eines Zertifikats • Exportieren eines Zertifikats • Exportieren eines Zertifikatschlüssels McAfee Web Gateway 7.5.0 Produkthandbuch 361 9 Web-Filterung Hardware Security Module HSM Client (HSM-Client) Dies sind Einstellungen für das Konfigurieren der Verwendung eines Hardware Security Module, das sich auf einer anderen Web Gateway-Appliance in Ihrem Netzwerk befindet. Tabelle 9-38 HSM Server (HSM-Server) Option Definition Use remote HSM server (Remote-HSM-Server verwenden) Bei Auswahl dieser Option verwendet diese Appliance die Schlüssel, die in einem Hardware Security Module auf einer anderen Web Gateway-Appliance in Ihrem Netzwerk gespeichert sind. Das Modul wird auf einem Server bereitgestellt, mit dem diese Appliance eine Verbindung als Client herstellen kann. Bei Auswahl dieser Option müssen Sie einen oder mehrere Server in einer Liste angeben. Remote server (Remote-Server) Enthält eine Liste der anderen Web Gateway-Appliances in Ihrem Netzwerk, auf denen ein Hardware Security Module auf einem Server ausgeführt wird, mit dem diese Appliance eine Verbindung als Client herstellen kann. In der folgenden Tabelle wird ein Eintrag in der Liste der Remote-Server erläutert. Tabelle 9-39 Remote server (Remote-Server) – Listeneintrag Option Definition Host Gibt den Host-Namen oder die IP-Adresse einer Web Gateway-Appliance in Ihrem Netzwerk an, auf der ein Hardware Security Module auf einem Server ausgeführt wird. Certificate (Zertifikat) Zertifikat, das der Server beim Herstellen einer Verbindung mit einem Client sendet. Comment (Kommentar) Enthält einen Kommentar im Nur-Text-Format zu einem Remote-Server. Client Identification (Client-Identifizierung) Dies sind Einstellungen für das Zertifikat, das diese Appliance beim Herstellen einer Verbindung mit einem HSM-Server als Client sendet. Für diesen Client wird nach der Ersteinrichtung einer Web Gateway-Appliance standardmäßig ein von der McAfee-Stammzertifizierungsstelle ausgestelltes Zertifikat bereitgestellt. Sie sollten dieses Zertifikat durch ein eigenes Zertifikat ersetzen. Tabelle 9-40 Server Identification (Server-Identifizierung) Option Definition Subject, Issuer, Validity, Extensions, Private key (Inhaber, Aussteller, Gültigkeit, Erweiterungen, privater Schlüssel) Bietet Informationen zum derzeit verwendeten Zertifikat. Client certificate (Client-Zertifikat) Enthält Schaltflächen zur Durchführung verschiedener Aktivitäten in Bezug auf ein Client-Zertifikat: • Generieren eines Zertifikats • Importieren eines Zertifikats • Exportieren eines Zertifikats • Exportieren eines Zertifikatschlüssels 362 McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung Advanced Threat Defense Advanced Threat Defense Nachdem ein Web-Objekt durch Web Gateway auf Viren oder andere Malware gescannt wurde, können Sie es zusätzlich durch das Web-Sicherheitsprodukt Advanced Threat Defense (McAfee Advanced Threat Defense) scannen lassen. ® Advanced Threat Defense nutzt die sogenannte Sandboxing-Methode zum Scannen, bei der das Verhalten eines bestimmten Web-Objekts zunächst in einer isolierten Testumgebung analysiert wird. Das Scan-Ergebnis wird in einem Bericht erfasst und an Web Gateway gesendet. Der zusätzliche Scan-Vorgang durch Advanced Threat Defense wird auch als Offline-Scan oder Hintergrund-Scan bezeichnet. Um die Nutzung von Advanced Threat Defense zu aktivieren, müssen Sie auf Web Gateway geeignete Regeln implementieren. Regelsätze, die solche Regeln enthalten, können Sie aus der Regelsatz-Bibliothek importieren. Für die Konfiguration von Advanced Threat Defense in Web Gateway stehen Ihnen folgende Optionen zur Verfügung: • Schlüsselelemente von Regeln: Nachdem Sie die Regelsätze für die Verwendung von Advanced Threat Defense aus der Bibliothek importiert und in der Baumstruktur auf einen Regelsatz geklickt haben, können Sie die wichtigsten Elemente dieser Regeln für den zusätzlichen Scan konfigurieren. • Vollständige Regeln: Nachdem Sie in der Schlüsselelement-Ansicht auf Unlock View (Anzeige entsperren) geklickt haben, werden die Regeln für den Zusatz-Scan vollständig angezeigt, und Sie können alle Elemente, einschließlich der Schlüsselelemente, konfigurieren sowie neue Regeln erstellen oder Regeln löschen. Um von dieser Ansicht wieder zur Schlüsselelementansicht zurückzukehren, müssen Sie alle Änderungen verwerfen oder den Regelsatz erneut importieren. Konfigurationsoptionen für die Verwendung von Advanced Threat Defense Zur Implementierung eines von Advanced Threat Defense durchgeführten zusätzlichen Scans können Sie verschiedene Optionen definieren. • Forwarding a web object depending on the additional scanning (Web-Objekt abhängig von Ergebnis des Zusatz-Scans weiterleiten): Bei Auswahl dieser Option bestimmt das Ergebnis des zusätzlich von Advanced Threat Defense durchgeführten Scans, ob ein Web-Objekt an den anfordernden Benutzer weitergeleitet wird. Es werden nur Web-Objekte weitergeleitet, die als sicher eingestuft wurden. • Forwarding a web object before the additional scanning (Web-Objekt vor Zusatz-Scan weiterleiten): Bei Auswahl dieser Option wird das Web-Objekt an den anfordernden Benutzer weitergeleitet, bevor der zusätzliche Scan durch Advanced Threat Defense durchgeführt wird. Sollte während des Scans festgestellt werden, dass das Web-Objekt infiziert ist, wird eine Warnmeldung an den Administrator des Netzwerks gesendet, von dem der Benutzer die Anfrage gestellt hat. Sie können auch konfigurieren, dass ein bereits gescanntes Web-Objekt kein zweites Mal von Advanced Threat Defense gescannt werden soll. In diesem Fall wird der beim ersten Scannen erstellte Bericht erneut ausgewertet. McAfee Web Gateway 7.5.0 Produkthandbuch 363 9 Web-Filterung Advanced Threat Defense Verfügbarkeit von Advanced Threat Defense Für die Verwendung mit Web Gateway wird die Web-Sicherheits-Software Advanced Threat Defense auf derselben Hardware-Plattform vorinstalliert geliefert, auf der sie als Appliance auf einem separaten Server ausgeführt wird. Es können auch mehrere Instanzen des Produkts auf verschiedenen Servern ausgeführt und zur Unterstützung von Web Gateway verwendet werden. Jede Instanz des Produkts muss auf einer eigenen Hardware-Plattform installiert werden. Workflows für die Verwendung von Advanced Threat Defense Für das zusätzliche Scannen von Web-Objekten durch Advanced Threat Defense können unterschiedliche Workflows konfiguriert werden. Weiterleiten von Web-Objekten abhängig von Ergebnis des Zusatz-Scans Die folgende Abbildung veranschaulicht den Workflow, bei dem ein Web-Objekt gemäß dem Scan-Ergebnis von Advanced Threat Defense an den Benutzer weitergeleitet wird. Abbildung 9-1 Web-Objekt wird abhängig vom Ergebnis des Zusatz-Scans weitergeleitet 1 Ein Benutzer sendet eine Anfrage für den Zugriff auf ein Web-Objekt, beispielsweise eine Datei, von einem System innerhalb Ihres Netzwerks, bei dem es sich um einen Web Gateway-Client handelt. 2 Wenn die Anfrage die Filterung gemäß den konfigurierten Regeln besteht, leitet Web Gateway sie an den entsprechenden Web-Server weiter. An den Client wird eine Fortschrittsseite gesendet, auf der der Benutzer aufgefordert wird, die Verarbeitung der Anfrage abzuwarten. 3 Der Web-Server sendet das Objekt an Web Gateway. 4 Wenn die Kriterien für die Verwendung von Advanced Threat Defense erfüllt werden, leitet Web Gateway das Objekt zum Scannen weiter. Web Gateway ruft in regelmäßigen Abständen Informationen über den Scan-Fortschritt von Advanced Threat Defense ab. 364 McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung Advanced Threat Defense 5 Wenn Advanced Threat Defense den Scan abgeschlossen hat, meldet es an Web Gateway, ob das Objekt bösartig ist. 6 Der Zugriff auf das angeforderte Objekt wird entsprechend zugelassen oder verweigert. In letzterem Fall meldet Web Gateway dem Benutzer, dass der Zugriff verweigert wird, und gibt den Grund dafür an. Kriterien für das zusätzliche Scannen durch Advanced Threat Defense Web Gateway verwendet die Funktionen von Advanced Threat Defense zum Scannen eines Web-Objekts, nachdem das Objekt bereits von den Anti-Malware-Modulen von Web Gateway gescannt wurde. Die Regelsatz-Bibliothek von Advanced Threat Defense verwendet diese Wahrscheinlichkeit in ihren Kriterien. Standardmäßig ist ein Wert von 60 Prozent für die Übereinstimmung der Kriterien eingestellt. Das bedeutet, dass die Scan-Ergebnisse des Web-Objekts in Web Gateway eine Malware-Wahrscheinlichkeit von mindestens 60 Prozent aufweisen müssen, damit es an Advanced Threat Defense weitergeleitet wird. Bei der Konfiguration von Advanced Threat Defense können Sie hier einen höheren oder niedrigeren Wert einstellen, was zur Folge hat, dass dieses Produkt Web Gateway mehr oder weniger häufig unterstützt. Daher muss sich der Regelsatz für Advanced Threat Defense in der Regelsatz-Baumstruktur hinter dem Regelsatz für die normalen Malware-Schutz-Funktionen von Web Gateway befinden, welches üblicherweise der Standard-Regelsatz Gateway Anti-Malware ist. Wenn Web Gateway und Advanced Threat Defensezusammenarbeiten, wird das Modul (oder Engine) „Anti-Malware“ mit zwei verschiedenen Einstellungen ausgeführt: eine für den Web Gateway-Bereich und eine für den Bereich des unterstützenden Produkts. Die Standardnamen für die beiden Einstellungen lauten Gateway Anti-Malware und Gateway ATD. Diese beiden Einstellungen unterscheiden sich in einem wichtigen Punkt: Bei den Gateway ATD-Einstellungen ist die Verwendung von Advanced Threat Defense eingestellt, in den anderen Einstellungen ist dies nicht der Fall. Konfigurationselemente für die Verwendung von Advanced Threat Defense Um das zusätzliche Scannen von Web-Objekten durch Advanced Threat Defense zu aktivieren, müssen Sie auf Web Gateway geeignete Regeln implementieren. Regelsätze, die solche Regeln enthalten, können Sie aus der Regelsatz-Bibliothek importieren. Nach dem Importieren dieses Regelsatzes werden auch eine Liste und die entsprechenden Einstellungen implementiert. Regelsätze für den Zusatz-Scan Es gibt einen Regelsatz für das Weiterleiten eines Web-Objekts abhängig vom Ergebnis des Zusatz-Scans und einen Regelsatz für das Weiterleiten eines Web-Objekts vor dem Zusatz-Scan, bei dem nach dem Scan ggf. eine Warnmeldung ausgegeben wird. • Bibliotheks-Regelsatz „Advanced Threat Defense“: Diese Regel implementiert den Workflow, mit dem ein Web-Objekt zusätzlich durch Advanced Threat Defense gescannt und dann abhängig vom Ergebnis des Scans an den Benutzer weitergeleitet wird. Nach dem Importieren dieses Regelsatzes werden auch eine Liste und die entsprechenden Einstellungen implementiert. McAfee Web Gateway 7.5.0 Produkthandbuch 365 9 Web-Filterung Advanced Threat Defense • Untergeordneter Bibliotheks-Regelsatz „ATD – Init Offline Scan“: Für diesen untergeordneten Regelsatz gelten die gleichen Kriterien wie für den Regelsatz, bei dem ein Web-Objekt abhängig vom Ergebnis des Zusatz-Scans an den Benutzer weitergeleitet wird. Der Regelsatz wird angewendet, wenn der zuvor von Web Gateway durchgeführte Scan zum Ergebnis hatte, dass das Web-Objekt zu einem konfigurierten Wahrscheinlichkeitsgrad infiziert ist, wenn sich das Web-Objekt in der Liste von scanbaren Web-Objekten befindet und eine bestimmte Objektgröße nicht überschritten wird. Der Regelsatz enthält nur eine Regel, die die Eigenschaft Antimalware.MATD.InitBackgroundScan in ihren Kriterien verwendet. Der Wert dieser Eigenschaft ist standardmäßig auf true gesetzt. In diesem Fall werden Daten für die aktuelle Transaktion aufgezeichnet. Hierzu gehören alle Daten, die im Zusammenhang mit einer Anfrage auf Web-Zugriff und der dazugehörigen Antwort von einem Web-Server stehen, wie z. B. die IP-Adresse des Clients, die Authentifizierungsinformationen, die URL des Web-Servers und das angeforderte Web-Objekt, das als Inhalt der Antwortnachricht gesendet wurde. Es wird eine interne Anfrage zum Veranlassen des Advanced Threat Defense-Scans gesendet. Anschließend wird das angeforderte Web-Objekt an den Benutzer weitergeleitet, während der Scan später mit den aufgezeichneten Daten durchgeführt wird. Wenn der Wert der Eigenschaft Antimalware.MATD.InitBackgroundScan auf false gesetzt ist, kann der Advanced Threat Defense-Scan nicht veranlasst werden, und es wird mithilfe eines Regelereignisses eine Fehlermeldung angezeigt. • Untergeordneter Bibliotheks-Regelsatz „ATD – Handle Offline Scan“: Zu den Kriterien für diesen untergeordneten Regelsatz gehört die Eigenschaft Antimalware.MATD.IsBackgroundScan. Der Wert dieses Kriteriums ist standardmäßig auf true gesetzt. In diesem Fall werden die Daten, die von der Regel im Regelsatz ATD – Init Offline Scan erfasst wurden, von Advanced Threat Defense zum Scannen des durch die Daten angegebenen Web-Objekts verwendet. Der Regelsatz enthält eine Regel, die mithilfe eines Ereignisses einen Zähler erhöht, wenn beim Scannen ein infiziertes Web-Objekt gefunden wurde, eine zweite Regel, die mithilfe eines weiteren Ereignisses eine Meldung über das infizierte Web-Objekt erstellt und an den Administrator sendet, und schließlich eine dritte Regel, die den Verarbeitungszyklus beendet. Liste und Einstellungen für den Zusatz-Scan Der Bibliotheks-Regelsatz Advanced Threat Defense enthält Regeln zur Aktivierung von Advanced Threat Defense auf Web Gateway sowie zur Weiterleitung eines angeforderten Web-Objekts an den Benutzer, je nachdem, wie das Scan-Ergebnis ausgefallen ist. Nach dem Importieren dieses Regelsatzes werden auch eine Liste und die entsprechenden Einstellungen implementiert. • Liste der für Advanced Threat Defense unterstützten Typen: Diese Liste wird innerhalb der Kriterien des Bibliotheks-Regelsatzes verwendet. Nur Web-Objekte, die zu einem der Medientypen auf dieser Liste gehören, werden zum Scannen an Advanced Threat Defense weitergeleitet. Die Liste enthält standardmäßig bereits einige Medientypen. Sie können beliebig viele Medientypen zur Liste hinzufügen oder daraus entfernen. • 366 Gateway-ATD-Einstellungen: Diese Einstellungen gelten für das Anti-Malware-Modul (auch als Engine bezeichnet) von Web Gateway, das für die Viren- und Malware-Filterung sowie für die zusätzliche Verwendung von Advanced Threat Defense zuständig ist. McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung Advanced Threat Defense Die Einstellungen enthalten hauptsächlich Optionen zur Konfiguration der folgenden Elemente: • Kommunikation zwischen Web Gateway und dem Server, auf dem Advanced Threat Defense ausgeführt wird • Schweregrad, ab dem ein Web-Objekt, beispielsweise eine Datei, als bösartig klassifiziert wird Wenn ein Objekt von Advanced Threat Defense gescannt wird, ist das Ergebnis ein Schweregrad auf einer Skala von 0 bis 5 (sehr hoher Schweregrad). Auf dieser Skala können Sie einen Wert einstellen, beispielsweise 3, was bedeutet, dass alle Objekte mit einem Scan-Ergebnis von mindestens 3 als bösartig eingestuft werden. Für diese Objekte wird die Eigenschaft „Antimalware.Infected“ auf true gesetzt, sodass eine Regel, die diese Eigenschaft in ihren Kriterien verwendet, das Web-Objekt blockiert und verhindert, dass es an den Benutzer weitergeleitet wird, der darauf zugreifen wollte. Überwachung der Aktivitäten von Advanced Threat Defense Für die Überwachung der Scan-Aktivitäten, die von Advanced Threat Defense als Unterstützung von Web Gateway durchgeführt werden, stehen verschiedene Methoden zur Verfügung. • Log Handler (Protokoll-Handler): Der Regelsatz ATD Scanning Log kann aus der Regelsatzgruppe Logging (Protokollierung) in der Regelsatz-Bibliothek importiert werden. Der Regelsatz enthält eine Protokollierungsregel, die Informationen über jeden Scan-Job aufzeichnet, den Advanced Threat Defense zu einem von Web Gateway weitergeleiteten Web-Objekt durchführt. Die folgenden Informationen sind verfügbar: • Beim Scan ermittelter Schweregrad • Server, auf dem Advanced Threat Defense ausgeführt wird • Task-ID für einen Scan-Job • Hash-Wert für einen Scan-Job Zur Erstellung der Protokolleinträge für diese Informationen verwendet die Regel geeignete Eigenschaften. • Error Handler (Fehler-Handler): Der Regelsatz Block on ATD Errors kann aus der Fehlerbehandlungs-Regelsatzgruppe in der Regelsatz-Bibliothek importiert werden. Er enthält Blockierungsregeln zur Behandlung von Fehlern, die während der Durchführung eines Scan-Jobs von Advanced Threat Defense auftreten. Die Regeln verwenden die entsprechenden Fehler-IDs in ihren Kriterien. Die Fehler-IDs liegen im Bereich von 14010 bis 14012. Eine Regel im Regelsatz „Block on Anti-Malware Engine Errors“ deckt den Bereich von 14002 bis 14050 ab. Der Regelsatz „Block on ATD Errors“ muss sich daher vor diesem Malware-Schutz-Regelsatz befinden. Die Blockierungsregeln des Regelsatzes „Block on ATD Errors“ würden sonst nie verarbeitet werden, und es würden nur Blockierungsmeldungen mit allgemeinen Verweisen auf Malware-Schutz-Fehler an die Benutzer gesendet werden. McAfee Web Gateway 7.5.0 Produkthandbuch 367 9 Web-Filterung Advanced Threat Defense • Anti-Malware properties (Anti-Malware-Eigenschaften): Für die Überwachung der Aktivitäten von Advanced Threat Defense stehen verschiedene Eigenschaften zur Verfügung. Die Namen der Eigenschaften beginnen beispielsweise mit Antimalware.MATD, Antimalware.MATD.Server oder Antimalware.MATD.Report. Diese Eigenschaften werden in den Protokollierungsregeln des Regelsatzes „ATD Scanning Log“ verwendet. Wenn ein Scan-Job von Advanced Threat Defense durchgeführt wurde, stellt der Wert der Eigenschaft Antimalware.MATD.Report einen Bericht über diesen Job dar. Der Bericht wird in Form einer Zeichenfolge bereitgestellt, die die Datenstruktur eines JSON-Objekts (JavaScript Object Notation) abbildet. Um Informationen aus diesem Bericht zu extrahieren, verwenden Sie JSON-Eigenschaften zusammen mit der Eigenschaft Antimalware.MATD.Report. • Dashboard: In den Diagrammen und Tabellen des Dashboards wird gezeigt, wie sich die folgenden Daten während eines bestimmten Zeitintervalls entwickelt haben. • Unter Executive Summary (Kurzfassung): Die Anzahl der Anfragen für Web-Objekte, die aufgrund der Scan-Ergebnisse von Advanced Threat Defense blockiert wurden. • Unter Malware Statistics (Malware-Statistik): Die Anzahl der Anfragen für Web-Objekte, die zum Scannen an Advanced Threat Defense weitergeleitet wurden, die Anzahl der aufgrund der Scan-Ergebnisse blockierten Anfragen und die Scan-Dauer. Nutzung eines vorhandenen Scan-Berichts von Advanced Threat Defense Ein Bericht, der von Advanced Threat Defense nach dem Scannen eines Web-Objekts erzeugt wurde, kann von Web Gateway zur Bewertung dieses Objekts und somit für dessen Zugriffsverwaltung genutzt werden. Wenn Web Gateway einen vorhandenen Bericht nutzt, wird in Advanced Threat Defense kein erneuter Scan ausgelöst. Beim Vorhandensein mehrerer Berichte wird die Bewertung anhand des neuesten Berichts vorgenommen. In Web Gateway werden intern Hash-Werte berechnet, damit bestimmt werden kann, ob zwei Web-Objekte identisch sind. Wenn dies der Fall ist, kann derselbe Bericht verwendet werden. Damit vorhandene Scan-Berichte in Web Gateway genutzt werden können, müssen Sie eine Regel mit der Eigenschaft Antimalware.ATD.GetReport implementieren. Wenn diese boolesche Eigenschaft den Wert true (wahr) hat, heißt dies, dass ein bestimmtes Web-Objekt bereits von Advanced Threat Defense gescannt und der entsprechende Bericht für diesen Scan abgerufen wurde. Dieser Bericht kann auch anderen Regeln zur Verfügung gestellt werden. Beispielsweise kann eine Regel mit der Eigenschaft Antimalware.Infected durch Auswertung des Bericht feststellen, ob ein Objekt infiziert ist. Optionen für die Nutzung eines vorhandenen Scan-Berichts Für die Nutzung eines vorhandenen Scan-Berichts bei der Zugriffsverwaltung für Web-Objekte gibt es verschiedene Möglichkeiten. • 368 Allow a file when a scanning report shows that it is not infected (Datei zulassen, wenn ein Scan-Bericht zeigt, dass keine Infektion vorliegt): Manche Dateien werden manuell in Advanced Threat Defense geladen und dort gescannt. Anschließend wird ein Bericht dazu erstellt. Danach gestattet Web Gateway Benutzern das Herunterladen einer solchen Datei, sofern dafür ein Bericht vorhanden ist, aus dem hervorgeht, dass diese Datei nicht infiziert ist. McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung Advanced Threat Defense Wenn für ein Web-Objekt kein Scan-Bericht vorhanden ist, kann die Eigenschaft Antimalware.ATD.GetReport trotzdem in passenden Regeln angewendet werden. In diesen Regeln trägt die Eigenschaft dann den Wert false (falsch), da kein Scan-Bericht abgerufen werden konnte. • Allow a file if no scanning report is available and scan this file offline (Datei zulassen, wenn kein Scan-Bericht verfügbar ist, und diese Datei offline scannen): Wenn für eine Datei, deren Download angefordert wurde, kein Scan-Bericht vorhanden ist, kann eine Regel dem Benutzer das Herunterladen der Datei erlauben und anschließend einen Offline-Scan durchführen lassen. Nach Abschluss des Scans wird ein Bericht erzeugt und an den Netzwerkadministrator des Benutzers weitergeleitet. • Block a file if no scanning report is available and scan this file offline (Datei blockieren, wenn kein Scan-Bericht verfügbar ist, und diese Datei offline scannen): Wenn für eine Datei, deren Download angefordert wurde, kein Scan-Bericht vorhanden ist, kann eine Regel den Zugriff auf die Datei blockieren und einen Offline-Scan durchführen lassen. Nach Abschluss des Scan-Vorgangs wird ein Bericht erzeugt und an den Netzwerkadministrator des Benutzers weitergeleitet. Beispielregeln für die Nutzung eines vorhandenen Scan-Berichts Im Standard-Regelsatzsystem bzw. der Regelsatz-Bibliothek ist kein vorkonfigurierter Regelsatz für die Nutzung eines vorhandenen Advanced Threat Defense-Scan-Berichts ist verfügbar. Sie können für diesen Zweck jedoch selbst entsprechende Regeln sowie einen passenden Regelsatz erstellen. Bei der Implementierung der folgenden Beispielregeln werden Dateien manuell in Advanced Threat Defense hochgeladen. Das Herunterladen einer Datei ist zulässig, wenn der von Advanced Threat Defense erzeugte Bericht zeigt, dass die Datei nicht infiziert ist. Der Name des Regelsatzes könnte z. B. Use Existing Advanced Threat Defense Scanning Report lauten. Hinsichtlich Medientypen muss der Regelsatz über die gleichen Kriterien verfügen wie der Bibliotheks-Regelsatz Advanced Threat Defense und auf alle Verarbeitungszyklen anwendbar sein. Der Regelsatz sollte folgende Regeln beinhalten: • Eine Regel, die mithilfe der Eigenschaft Antimalware.ATD.GetReport einen vorhandenen Scan-Bericht abruft. • Eine Regel, die Dateien anhand dieses Berichts bewertet und den Zugriff darauf blockiert, wenn aus dem Bericht eine Infektion der Datei hervorgeht. Die Regel zum Abrufen des Berichts könnte z. B. wie folgt aussehen: Name Allow files that have been scanned before Criteria (Kriterium) Antimalware.ATD.GetReport equals false Action (Aktion) –> Block <BlockedByMATD> Event (Ereignis) – Statistics.Counter.Increment" (BlockedByMATD",1)<Default> Die Regel blockiert den Zugriff auf eine Datei, wenn für diese kein Bericht vorhanden ist. In diesem Fall wird die nächste Regel nicht mehr verarbeitet. Diese Regel wertet einen Bericht aus. Sie könnte wie folgt aussehen: Name Block infected files Criteria (Kriterium) Action (Aktion) Antimalware.Infected <Gateway –> Block ATD> equals true <BlockedByMATD> McAfee Web Gateway 7.5.0 Event (Ereignis) – Statistics.Counter.Increment ("BlockedByMATD",1)<Default> Produkthandbuch 369 9 Web-Filterung Advanced Threat Defense In beiden Regeln registriert ein Zähler, wie häufig Dateien beim Verwenden von Advanced Threat Defense-Funktionen blockiert wurden. Nutzung eines laufenden Scans von Advanced Threat Defense Wenn von Advanced Threat Defense gerade ein Scan durchgeführt wird, können die Ergebnisse dieses Vorgangs nicht nur für die Verarbeitung der zugrunde liegenden Anfrage genutzt werden, sondern auch für andere Zugriffsanfragen bezüglich des gleichen Web-Objekts. Damit die Ergebnisse eines Scans zur Verarbeitung mehrerer Anfragen verwendet werden können, müssen diese Anfragen in Web Gateway eingehen, während der entsprechende Scan noch läuft. In Web Gateway werden intern Hash-Werte berechnet, damit bestimmt werden kann, ob zwei Web-Objekte identisch sind. So kann entschieden werden, ob sich die eingehenden Anfragen auf das gleiche Objekt beziehen. Wenn Sie die Ergebnisse eines Scans für mehrere Zugriffsanfragen, die sich auf dasselbe Objekt beziehen, verwenden möchten, müssen Sie eine Option aktivieren, die sich in den Gateway ATD-Einstellungen für das Modul (auch als Engine bezeichnet) „Anti-Malware“ befindet. Diese muss aktiviert sein. Hierbei handelt es sich um die Option Re-use running task if same sample is being analyzed (Laufenden Task bei Analyse desselben Objekts wiederverwenden). Im Standard-Regelsatzsystem bzw. der Regelsatz-Bibliothek ist kein vorkonfigurierter Regelsatz für die Nutzung der Ergebnisse eines Scans bei Eingehen mehrerer Anfragen für dasselbe Objekt vorhanden. Sie können für diesen Zweck jedoch selbst entsprechende Regeln sowie einen passenden Regelsatz erstellen. Konfigurieren der Verwendung von Advanced Threat Defense Sie können einstellen, dass Web-Objekte nach dem Scannen durch Web Gateway zusätzlich durch Advanced Threat Defense gescannt werden. Alternativ kann auch ein von Advanced Threat Defense für ein Web-Objekt erzeugter Scan-Bericht in Web Gateway ausgewertet werden, um den Zugriff auf dieses Objekt zu steuern. Wenn für ein Web-Objekt ein vorhandener Scan-Bericht ausgewertet wird, löst Web Gateway für dieses Objekt kein erneutes zusätzliches Scannen durch Advanced Threat Defense aus. Aufgaben • Konfigurieren des Scans durch Advanced Threat Defense auf Seite 370 Sie können einen zusätzlichen Scan durch Advanced Threat Defense konfigurieren, der nach Abschluss des Scans durch Web Gateway durchgeführt wird. • Konfigurieren der Nutzung vorhandener Scan-Berichte von Advanced Threat Defense auf Seite 372 Wenn ein Web-Objekt nicht erneut gescannt werden soll, können Sie veranlassen, dass ein vorhandener Scan-Bericht von Advanced Threat Defense zur Bewertung dieses Objekts verwendet wird. Konfigurieren des Scans durch Advanced Threat Defense Sie können einen zusätzlichen Scan durch Advanced Threat Defense konfigurieren, der nach Abschluss des Scans durch Web Gateway durchgeführt wird. Vorgehensweise 1 Nehmen Sie alle notwendigen Einstellungen vor, um Advanced Threat Defense in das Netzwerk zu integrieren. Weitere Informationen hierzu finden Sie im McAfee Advanced Threat Defense Product Guide (Produkthandbuch zu McAfee Advanced Threat Defense). 370 McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung Advanced Threat Defense 2 Führen Sie auf der Benutzeroberfläche von Web Gateway folgende Schritte aus: a Importieren Sie aus der Bibliothek für Regelsätze den Regelsatz für einen der beiden zusätzlichen Scan-Workflows. Diese Regelsätze befinden sich in der Regelsatzgruppe Gateway Anti-Malware. • Advanced Threat Defense: Zum Weiterleiten von Web-Objekten abhängig vom Ergebnis des Zusatz-Scans. Platzieren Sie diesen Regelsatz in der Regelsatz-Baumstruktur hinter dem Regelsatz zum Scannen durch Web Gateway. Hierbei handelt es sich standardmäßig um den Regelsatz Gateway Anti-Malware. • ATD – Offline Scanning with Immediate File Availability: Zum Weiterleiten von Web-Objekten vor der Durchführung zusätzlicher Scans. Nach dem Importieren dieses Regelsatzes werden in der Regelsatz-Baumstruktur die beiden folgenden Regelsätze angezeigt: • ATD – Init Offline Scan: Dieser Regelsatz startet den zusätzlichen Scan-Vorgang. Platzieren Sie diesen Regelsatz in der Regelsatz-Baumstruktur hinter dem Regelsatz zum Scannen durch Web Gateway. Hierbei handelt es sich standardmäßig um den Regelsatz Gateway Anti-Malware. • ATD – Handle Offline Scan: Dieser Regelsatz steuert den zusätzlichen Scan-Vorgang nach dessen Beginn. Platzieren Sie diesen Regelsatz in der Regelsatz-Baumstruktur hinter den Regelsätzen zur Durchführung globaler bzw. allgemeiner Aktivitäten und vor den Regelsätzen zur Durchführung spezieller Filtervorgänge. Beispielsweise wäre dies in der standardmäßigen Regelsatz-Baumstruktur die Position zwischen den Regelsätzen Common Rules und Media Type Filtering. b Zum Aktivieren der Überwachung der Scan-Aktivitäten von Advanced Threat Defense in Web Gateway müssen Sie aus der Bibliothek für Regelsätze die Regelsätze ATD Scanning Log und Block on ATD Errors importieren und diese den vorhandenen Regelsätzen „Log Handler“ bzw. „Error Handler“ hinzufügen. c Fügen Sie der Liste der unterstützten Medientypen je nach Bedarf Medientypen hinzu, oder entfernen Sie bestimmte Typen aus der Liste. Nach dem Importieren eines der Regelsätze aus der Bibliothek lautet der Name dieser Liste Advanced Threat Defense Supported Types. Wenn Sie einen Regelsatz importiert haben, ist diese Liste in der Schlüsselelementansicht des Regelsatzes verfügbar. d Konfigurieren Sie die Einstellungen für das Scannen durch Web Gateway. Standardmäßig tragen diese den Namen Gateway Anti-Malware. Wenn Sie einen Regelsatz importiert haben, können Sie diese Einstellungen in der Schlüsselelementansicht des Regelsatzes bearbeiten. McAfee Web Gateway 7.5.0 Produkthandbuch 371 9 Web-Filterung Advanced Threat Defense e Konfigurieren Sie die Einstellungen für das Scannen durch Advanced Threat Defense. Nach dem Importieren eines der Regelsätze aus der Bibliothek lautet der Name dieser Einstellungen Gateway ATD. Wenn Sie einen Regelsatz importiert haben, können Sie diese Einstellungen in der Schlüsselelementansicht des Regelsatzes bearbeiten. f Speichern Sie die Änderungen. Konfigurieren der Nutzung vorhandener Scan-Berichte von Advanced Threat Defense Wenn ein Web-Objekt nicht erneut gescannt werden soll, können Sie veranlassen, dass ein vorhandener Scan-Bericht von Advanced Threat Defense zur Bewertung dieses Objekts verwendet wird. Für die Nutzung eines vorhandenen Scan-Berichts gibt es verschiedene Optionen. Bei den folgenden Handlungsanweisungen werden diese Gegebenheiten vorausgesetzt: • Für manuell in Advanced Threat Defense hochgeladene und gescannte Web-Objekte wurden Scan-Berichte erzeugt. • Web Gateway gestattet den Zugriff, wenn aus einem Bericht hervorgeht, dass ein Web-Objekt nicht infiziert ist, bzw. blockiert dieses Objekt, wenn kein entsprechender Bericht vorhanden ist. Führen Sie die folgenden allgemeinen Schritte aus: Vorgehensweise 1 Erstellen Sie für die Regeln zur Steuerung der Nutzung vorhandener Scan-Berichte von Advanced Threat Defense einen Regelsatz. 2 Erstellen Sie in diesem Regelsatz folgende Regeln: 3 4 372 • Eine Regel zum Abrufen eines Scan-Berichts für eine Datei. Diese Regel muss den Zugriff zu dieser Datei blockieren, wenn kein entsprechender Bericht vorhanden ist. • Eine Regel zum Auswerten eines Scan-Berichts. Diese Regel muss eine Datei blockieren, wenn aus dem entsprechenden Bericht eine Infektion hervorgeht. Konfigurieren Sie im Modul „Anti-Malware“ die Einstellungen für Gateway ATD. a Achten Sie darauf, dass die Option Re-use previous detection ... (Frühere Erkennung erneut verwenden) ausgewählt ist. b [Optional] Ändern Sie bei Bedarf den Wert unter Maximum detection age (Höchstalter der Erkennung), um festzulegen, ab wann ältere Berichte nicht mehr berücksichtigt werden sollen. Als Standardwert sind hier 30 Minuten eingestellt. Speichern Sie die Änderungen. McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung Advanced Threat Defense Konfigurieren von Schlüsselelementen für die Verwendung von Advanced Threat Defense Konfigurieren Sie Schlüsselelemente für das zusätzliche Scannen durch Advanced Threat Defense, um wichtige Teile des Scan-Vorgangs an die Anforderungen Ihrer Web-Sicherheitsrichtlinie anzupassen. Vorgehensweise 1 Importieren Sie den Regelsatz Advanced Threat Defense oder den Regelsatz ATD – Offline Scanning with Immediate File Availability aus der Regelsatz-Bibliothek. 2 Wählen Sie in der Regelsatz-Baumstruktur den importierten Regelsatz aus. Schlüsselelemente der Regeln für den Scan-Vorgang werden im Konfigurationsbereich angezeigt. 3 Konfigurieren Sie die Schlüsselelemente nach Bedarf. 4 Klicken Sie auf Save Changes (Änderungen speichern). Siehe auch Schlüsselelemente für die Verwendung von Advanced Threat Defense auf Seite 373 Schlüsselelemente für die Verwendung von Advanced Threat Defense Die Schlüsselelemente der Regeln für die Verwendung von Advanced Threat Defense beim zusätzlichen Scannen von Web-Objekten behandeln wichtige Teile dieses Prozesses. Es können unterschiedliche Schlüsselelemente für die Regeln in den Regelsätzen konfiguriert werden, die für das zusätzliche Scannen implementiert sind. • • • Advanced Threat Defense: Wenn dieser Regelsatz implementiert ist, können die folgenden Gruppen von Schlüsselelementen konfiguriert werden: • Enable Advanced Threat Defense for These Supported Media Types (Advanced Threat Defense für diese unterstützten Medientypen aktivieren) • Gateway Anti-Malware Settings (Gateway Anti-Malware-Einstellungen) • Gateway Advanced Threat Defense Settings (Gateway Advanced Threat Defense-Einstellungen) ATD – Init Offline ScanAdvanced: Wenn dieser Regelsatz implementiert ist, können die folgenden Gruppen von Schlüsselelementen konfiguriert werden: • Enable Advanced Threat Defense for These Supported Media Types (Advanced Threat Defense für diese unterstützten Medientypen aktivieren) • Gateway Anti-Malware Settings (Gateway Anti-Malware-Einstellungen) ATD – Handle Offline Scan: Wenn dieser Regelsatz implementiert ist, können die folgenden Gruppen von Schlüsselelementen konfiguriert werden: • Gateway Advanced Threat Defense Settings (Gateway Advanced Threat Defense-Einstellungen) Im Folgenden werden die Schlüsselelemente dieser Regelsätze beschrieben. Enable Advanced Threat Defense for These Supported Media Types (Advanced Threat Defense für diese unterstützten Medientypen aktivieren) Schlüsselelement für die Auswahl von Web-Objekten, die zusätzlich durch Advanced Threat Defense gescannt werden können McAfee Web Gateway 7.5.0 Produkthandbuch 373 9 Web-Filterung Advanced Threat Defense Tabelle 9-41 Enable Advanced Threat Defense for These Supported Media Types (Advanced Threat Defense für diese unterstützten Medientypen aktivieren) Option Definition Media types to insert (Einzufügende Wenn Sie auf Edit (Bearbeiten) klicken, öffnet sich ein Fenster, in Medientypen) dem Sie die von einer Regel verwendete Liste Advanced Threat Defense Supported Types (Unterstützte Medientypen für Advanced Threat Defense) bearbeiten können. Von Advanced Threat Defense werden nur die Web-Objekte zusätzlich gescannt, deren Medientyp in dieser Liste aufgeführt ist; zudem müssen die anderen Kriterien erfüllt sein. Sie können der Liste Einträge hinzufügen sowie Einträge der Liste bearbeiten oder löschen. Gateway Anti-Malware Settings (Gateway Anti-Malware-Einstellungen) Schlüsselelement zur Konfiguration der Scans durch das Anti-Malware-Modul, bevor zusätzliche Scans durch Advanced Threat Defense ausgeführt werden Tabelle 9-42 Gateway Anti-Malware Settings (Gateway Anti-Malware-Einstellungen) Option Definition Settings (Einstellungen) Wenn Sie auf Edit (Bearbeiten) klicken, öffnet sich ein Fenster, in dem Sie die Einstellungen für das Anti-Malware-Modul bearbeiten können, wenn dieses mit den Modulkomponenten ausgeführt wird, die normalerweise in Web Gateway verfügbar sind. Dieser Scan wird vor jedem Scan durch Advanced Threat Defense ausgeführt. Je nach dem Ergebnis dieses Scans führt Advanced Threat Defense ggf. einen zusätzlichen Scan durch. Gateway Advanced Threat Defense Settings (Gateway Advanced Threat Defense-Einstellungen) Schlüsselelement für die Konfiguration des zusätzlichen Scans durch Advanced Threat Defense Tabelle 9-43 Bypass scanning for these agents and hosts (Scannen für diese Agenten und Hosts umgehen) Option Definition Settings (Einstellungen) Wenn Sie auf Edit (Bearbeiten) klicken, öffnet sich ein Fenster, in dem Sie die Einstellungen für das Anti-Malware-Modul in Web Gateway bearbeiten können, während Scans durch Advanced Threat Defense ausgeführt werden. Konfigurieren von Einstellungen für die Verwendung von Advanced Threat Defense Sie können Einstellungen für das Modul (auch als Engine bezeichnet) Anti-Malware in Web Gateway so konfigurieren, dass Web-Objekte mithilfe von Advanced Threat Defense gescannt werden können. Vorgehensweise 1 Wählen Sie Policy | Settings (Richtlinie | Einstellungen) aus. 2 Erweitern Sie im Zweig Engines (Module) der Einstellungs-Baumstruktur Anti-Malware, und wählen Sie die Einstellungen für das Konfigurieren der Verwendung von Advanced Threat Defense aus. Nach dem Importieren des Bibliotheks-Regelsatzes „Advanced Threat Defense“ lautet der Name der betreffenden Einstellungen Gateway ATD. 374 McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung Advanced Threat Defense 3 Konfigurieren Sie diese Einstellungen nach Bedarf. 4 Klicken Sie auf Save Changes (Änderungen speichern). Siehe auch Gateway ATD-Einstellungen auf Seite 375 Gateway ATD-Einstellungen Mit den Gateway ATD-Einstellungen wird die Verwendung von Advanced Threat Defense zum Scannen von Web-Objekten konfiguriert, die über Web Gateway weitergegeben wurden. Auswahl der Scan-Module und des Verhaltens Einstellungen für die Auswahl einer Kombination von Scan-Modulen und deren Verhalten für den Fall, dass ein Modul eine Infektion erkennt Tabelle 9-44 Auswahl von Scan-Modulen Option Definition Full McAfee coverage: The recommended high-performance configuration (Vollständiger McAfee-Schutz: Die empfohlene Hochleistungskonfiguration) Bei Auswahl dieser Option sind das McAfee Gateway Anti-Malware-Modul und das McAfee Anti-Malware-Modul aktiv. Zum Scannen der Web-Objekte werden folgende Methoden verwendet: Proaktive Methoden + Virussignaturen Diese Option ist standardmäßig ausgewählt. Layered coverage: Full McAfee coverage plus specific Avira engine features — minor performance impact (Mehrstufiger Schutz: Vollständiger McAfee-Schutz plus bestimmte Avira-Modulfunktionen – geringe Leistungseinbußen) Bei Auswahl dieser Option sind das McAfee Gateway Anti-Malware-Modul, das McAfee Anti-Malware-Modul und für einige Web-Objekte zusätzlich das Avira-Modul (Drittanbieter) aktiv. Zum Scannen der Web-Objekte werden folgende Methoden verwendet: Proaktive Methoden + Virussignaturen + Modulfunktionen eines Drittanbieters für einige Web-Objekte Duplicate coverage: Full McAfee coverage and Avira engine — less performance and more false positives (Doppelter Schutz: Vollständiger McAfee-Schutz und Avira-Modul – weniger Leistung und mehr False-Positives) Bei Auswahl dieser Option sind das McAfee Gateway Anti-Malware-Modul, das McAfee Anti-Malware-Modul und das Avira-Modul (Drittanbieter) aktiv. Zum Scannen der Web-Objekte werden folgende Methoden verwendet: Proaktive Methoden + Virussignaturen + Modulfunktionen eines Drittanbieters Avira only: Only uses Avira engine — not recommended (Nur Avira: Nur das Avira-Modul wird verwendet – nicht empfohlen) Bei Auswahl dieser Option ist nur das Avira-Modul aktiv. Zum Scannen der Web-Objekte werden folgende Methoden verwendet: Modulfunktionen eines Drittanbieters McAfee Web Gateway 7.5.0 Produkthandbuch 375 9 Web-Filterung Advanced Threat Defense Tabelle 9-44 Auswahl von Scan-Modulen (Fortsetzung) Option Definition McAfee Advanced Threat Defense only: Send files to an MATD appliance for deep analysis through sandboxing (Nur McAfee Advanced Threat Defense: Senden der Dateien an eine MATD-Appliance zur detaillierten Analyse durch Sandboxing) Bei Auswahl dieser Option ist nur das Scannen mit Advanced Threat Defense aktiv. Zum Scannen der Web-Objekte werden folgende Methoden verwendet: Advanced Threat Defense-Funktionen Diese Option ist standardmäßig ausgewählt. Stop virus scanning right after an engine detected a virus (Viren-Scan gleich nach Entdeckung eines Virus anhalten) Bei Auswahl dieser Option wird das Scannen eines Web-Objekts sofort angehalten, sobald ein Modul eine Virus- oder andere Malware-Infektion entdeckt hat. MATD-Einrichtung Allgemeiner Teil der Einstellungen zur Verwendung von Advanced Threat Defense Tabelle 9-45 MATD-Einrichtung Option Definition User name (Benutzername) Hier können Sie den Benutzernamen angeben, den Web Gateway zum Herstellen einer Verbindung mit Advanced Threat Defense sendet. Password (Kennwort) Hier können Sie das Kennwort angeben, das Web Gateway zum Herstellen einer Verbindung mit Advanced Threat Defense sendet. Durch Klicken auf Set (Festlegen) wird ein Fenster zum Festlegen des Kennworts geöffnet. Server list (Serverliste) Hiermit rufen Sie eine Liste der Server auf, auf denen Advanced Threat Defense ausgeführt wird. List of certificate authorities (Liste der Zertifizierungsstellen) Bietet eine Dropdown-Liste zur Auswahl bekannter Zertifizierungsstellen Diese Zertifizierungsstellen werden referenziert, wenn die Kommunikation zwischen Web Gateway und Advanced Threat Defense im SSL-verschlüsselten Modus unter dem HTTPS-Protokoll erfolgt. Severity threshold to indicate a malicious file (Schweregrad-Schwellenwert für Meldung einer bösartigen Datei) Legt einen Schwellenwert für den Schweregrad der bösartigen Funktionen fest, der in einem Web-Objekt (z. B. eine Datei) beim Scan durch Advanced Threat Defense erkannt wird. Wenn dieser Schwellenwert erreicht wird, wird das Objekt als bösartig eingestuft, und der Wert der Antimalware.Infected-Eigenschaft wird auf true gesetzt. Der Schwellenwert wird über einen Schieberegler mit Werten von 0 bis 5 (sehr hoher Schweregrad) eingestellt. Reuse previous detection, McAfee Web Gateway will retrieve latest report from MATD based on the hash of the file (Vorherige Erkennung wiederverwenden, McAfee Web Gateway ruft letzten Bericht aus MATD basierend auf dem Hash der Datei ab) 376 McAfee Web Gateway 7.5.0 Bei Auswahl dieser Option wird der Schweregrad, der für das Web-Objekt beim letzten Scannen durch Advanced Threat Defense gefunden wurde, verwendet, um es als bösartig oder nicht bösartig zu klassifizieren. Wenn diese Option ausgewählt ist, kann auch auf die nächste Option zugegriffen werden. Produkthandbuch 9 Web-Filterung Advanced Threat Defense Tabelle 9-45 MATD-Einrichtung (Fortsetzung) Option Definition Maximum detection age (Maximales Erkennungsalter) Legt die Höchstdauer (in Minuten) fest, die nach der Erkennung eines Schweregrads für ein Web-Objekt vergehen darf, bis dieser Wert nicht mehr zur Klassifizierung des Objekts als bösartig bzw. nicht bösartig verwendet werden kann. Der Standardhöchstdauer beträgt 30 Minuten. Reuse running task if same sample is analyzed (Laufenden Task bei Analyse desselben Objekts wiederverwenden) Bei Auswahl dieser Option wird ein laufender Task verwendet, wenn dasselbe Web-Objekt analysiert wird. Send client IP to MATD server (Client-IP an MATD-Server senden) Bei Auswahl dieser Option wird die IP-Adresse eines Clients, der eine Anfrage zum Herunterladen eines Web-Objekts gesendet hat, an den Server gesendet, auf dem Advanced Threat Defense ausgeführt wird. In der folgenden Tabelle wird ein Eintrag in der Serverliste erläutert. Tabelle 9-46 Serverliste – Listeneintrag Option Definition String (Zeichenfolge) Gibt den Namen des Servers an, auf dem Advanced Threat Defense ausgeführt wird. Comment (Kommentar) Enthält einen Kommentar im Nur-Text-Format zu einem Server. Netzwerkeinrichtung Einstellungen zur Konfiguration der Verbindung mit dem Server, auf dem Advanced Threat Defense ausgeführt wird Tabelle 9-47 Netzwerkeinrichtung Option Definition Connection timeout (Verbindungszeitlimit) Legt den Zeitraum (in Sekunden) fest, nach dessen Ablauf die Verbindung mit einem Server getrennt wird, wenn keine Reaktion empfangen wird. Der Standardzeitraum beträgt 5 Sekunden. Scan timeout (Scan-Zeitlimit) Legt die Dauer (in Minuten und Sekunden) fest, für die Advanced Threat Defense ein Web-Objekt scannen darf. Ein Überschreiten dieser Dauer wird in Web Gateway als Fehler erfasst. Minutes (Minuten): Zulässige Dauer in Minuten Seconds (Sekunden): Zulässige Dauer in Sekunden Der Standarddauer beträgt 10 Minuten. Poll interval (Abfrageintervall) Legt das Zeitintervall (in Sekunden) fest, das vergeht, bevor erneut Informationen über den Fortschritt beim Scannen eines Web-Objekts aus Advanced Threat Defense abgerufen werden. Das Standardintervall beträgt 20 Sekunden. McAfee Web Gateway 7.5.0 Produkthandbuch 377 9 Web-Filterung Advanced Threat Defense Advanced Threat Defense (Regelsatz) Der Bibliotheks-Regelsatz „Advanced Threat Defense“ ermöglicht Web Gateway das Verwenden von Advanced Threat Defense beim Filtern von Web-Objekten. Bibliotheks-Regelsatz – Advanced Threat Defense Criteria – Antimalware.Proactive.Probability<Gateway Anti-Malware> greater than or equals 60 AND MediaType.EnsuredTypes at least one in list Advanced Threat Defense Supported Types Cycles – Responses, Embedded Objects Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn Folgendes zutrifft: • Gemäß einem früheren Scan der Malware-Schutzmodule in Web Gateway beträgt die Wahrscheinlichkeit, dass ein Web-Objekt bösartig ist, mindestens 60 Prozent. • Der Medientyp des Objekts befindet sich in der Liste der Typen, für die das Scannen durch Advanced Threat Defense unterstützt wird. Der Regelsatz enthält die folgenden Regeln. Enable progress page Always –> Continue – Enable Progress Page<Default> Die Regel aktiviert ein Ereignis, mit dem eine Seite angezeigt wird, auf der der Fortschritt beim Herunterladen eines Web-Objekts auf einen Client angegeben wird. Upload file to ATD and wait for scanning result Antimalware.Infected<Gateway ATD> –> Block<Virus Found> – Statistics.Counter.Increment("BlockedByMATD",1)<Default> Die Regel überprüft mithilfe der Eigenschaft Antimalware.Infected, ob ein Web-Objekt (z. B. eine Datei) mit einem Virus oder sonstiger Malware infiziert ist. Der für diese Überprüfung erforderliche Scan-Vorgang erfolgt entsprechend den Gateway ATD-Einstellungen; d. h., er wird durch Advanced Threat Defense durchgeführt. Wenn eine Infektion des Objekts festgestellt wird, wird die Weiterleitung des Objekts an den anfragenden Client blockiert, und dem Benutzer, der den Zugriff auf das Objekt angefragt hat, wird eine Blockierungsmeldung angezeigt. Die Blockierungsaktion wird vom Statistikzähler erfasst. ATD – Offline Scanning with Immediate File Availability (Regelsatz) Der Bibliotheks-Regelsatz „ATD – Offline Scanning with Immediate File Availability“ ermöglicht Web Gateway das Verwenden von Advanced Threat Defense beim Filtern von Web-Objekten. Wenn dieser Regelsatz implementiert ist, wird ein Web-Objekt an den anfordernden Benutzer weitergeleitet, bevor es von Advanced Threat Defense zusätzlich gescannt wurde, sodass das Objekt sofort für den Benutzer verfügbar wird. Wenn beim Scan-Vorgang festgestellt wird, dass das Objekt infiziert ist, wird eine Meldung an den Administrator des Netzwerks gesendet, aus dem der Benutzer die Anfrage gesendet hat. Diese Nutzung der Scan-Funktionen von Advanced Threat Defense wird auch als Offline-Scan oder Hintergrund-Scan bezeichnet. 378 McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung Advanced Threat Defense Nach dem Importieren dieses Regelsatzes werden die folgenden beiden Regelsätze implementiert und in der Regelsatz-Baumstruktur angezeigt: • ATD – Init Offline Scan • ATD – Handle Offline Scan Ein Regelsatz mit dem Namen ATD – Offline Scanning with Immediate File Availability ist nicht implementiert. ATD – Init Offline Scan Dieser Regelsatz initiiert das zusätzliche Scannen durch Advanced Threat Defense. Bibliotheks-Regelsatz – ATD – Init Offline Scan Criteria – Antimalware.Proactive.Probability<Gateway Anti-Malware> greater than or equals 60 AND MediaType.EnsuredTypes at least one in list Advanced Threat Defense Supported Types AND Body.Size less than 30000000 Cycles – Responses, Embedded Objects Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn Folgendes zutrifft: • Gemäß einem früheren Scan-Vorgang durch Web Gateway beträgt die Wahrscheinlichkeit, dass ein Web-Objekt bösartig ist, mindestens 60 Prozent. • Der Medientyp des Objekts befindet sich in der Liste der Typen, für die das Scannen durch Advanced Threat Defense unterstützt wird. • Das Web-Objekt überschreitet nicht eine bestimmte Größe. Der Regelsatz enthält die folgende Regel. Offline scanning with immediate file availability Antimalware.MATD.InitBackgroundScan(5) equals false –> Block<ATD Communication Failed> Wenn diese Regel verarbeitet wird, werden alle Daten zu der an Web Gateway gesendeten Anfrage für den Web-Zugriff aufgezeichnet, einschließlich der Antwort, die vom angeforderten Web-Server empfangen wurde. Die Antwort enthält normalerweise in ihrem Textteil das angeforderte Web-Objekt, z. B. eine Datei. Der Textteil mit dem Web-Objekt wird in Web Gateway gespeichert. Zudem wird eine interne Anfrage in Web Gateway erstellt, um das Scannen durch Advanced Threat Defense zu initiieren. Web Gateway wartet anschließend auf eine Antwort auf diese interne Anfrage, um festzustellen, ob die Anfrage akzeptiert und das Scannen ausgeführt wird. Die Dauer, für die Web Gateway auf diese Antwort wartet, wird in Sekunden gemessen; sie ist ein Parameter der Antimalware.MATD.InitBackgroundScan-Eigenschaft. Dieser Zeitraum beträgt standardmäßig fünf Sekunden. Sie können diesen Zeitraum konfigurieren, indem Sie den Eigenschaftenparameter bearbeiten. Wenn innerhalb des konfigurierten Zeitraums keine Antwort auf die interne Anfrage empfangen wird, wird die Eigenschaft auf false gesetzt, sodass dieses Kriterium erfüllt und die Regel angewendet wird. Anschließend wird eine Meldung gesendet, mit der der Administrator informiert wird, dass das zusätzliche Scannen durch Advanced Threat Defense nicht ausgeführt werden konnte. Wenn die Antwort innerhalb des konfigurierten Zeitraums empfangen wird, wird das Web-Objekt an den Benutzer weitergeleitet. Die weitere Verarbeitung des zusätzlichen Scannens wird vom nächsten Regelsatz behandelt. Bibliotheks-Regelsatz – ATD – Handle Offline Scan Criteria – Antimalware.MATD.IsBackgroundScan equals true Cycles – Requests, Embedded Objects McAfee Web Gateway 7.5.0 Produkthandbuch 379 9 Web-Filterung Advanced Threat Defense Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn der Wert von Antimalware.MATD.IsBackgroundScan gleich true ist. Wenn der Wert „true“ ist, wurde das zusätzliche Scannen durch Advanced Threat Defense von der Regel im vorhergehenden Regelsatz erfolgreich initiiert. In diesem Fall werden die von diesem Regelsatz aufgezeichneten und gespeicherten Daten von Advanced Threat Defense zum Scannen eines angeforderten Web-Objekts verwendet. Der Regelsatz enthält die folgenden Regeln. Upload file to ATD and wait for scanning result Antimalware.Infected<Gateway ATD> equals true –> Continue – Statistics.Counter.Increment("BlockedByMATD",1)<Default> Die Regel überprüft mithilfe der Eigenschaft Antimalware.Infected, ob ein Web-Objekt (z. B. eine Datei) mit einem Virus oder sonstiger Malware infiziert ist. Der für diese Überprüfung erforderliche Scan-Vorgang erfolgt entsprechend den Gateway ATD-Einstellungen; d. h., er wird durch Advanced Threat Defense durchgeführt. Dafür wird das zuvor gespeicherte Web-Objekt von Web Gateway an Advanced Threat Defense weitergeleitet. Wenn sich beim Scannen herausstellt, dass das Objekt infiziert ist, wird dieses Ergebnis durch einen Statistikzähler erfasst. Offline scanning with immediate file availability Antimalware.Infected<Gateway ATD> equals true –> Block<Virus Found> – Set User-Defined.MessageText = "Client.IP: " + IP.ToString(Client.IP) + "Requested URL: " + URL + "Virus name: " + ListOfString.ToString (Antimalware.VirusNames<Gateway.ATD>, "," Email.Send ("Administrator@", "MATD offline scan detected a virus", User-Defined.MessageText)<Default> Beim Verarbeiten der Regel wird überprüft, ob der Wert der Antimalware.Infected-Eigenschaft true ist. Wenn dies der Fall ist, heißt das, dass beim Scannen durch Advanced Threat Defense eine Infektion des Web-Objekts mit einem Virus oder sonstiger Malware festgestellt wurde. Eine Warnmeldung wird erstellt und an den Administrator für das Netzwerk des Benutzers gesendet, der die Anfrage für den Zugriff auf das Web-Objekt gesendet hat. Die Meldung enthält Informationen zur Anfrage, die von der Regel des vorhergehenden Regelsatzes aufgezeichnet wurden. Stop cycle Always –> Stop Cycle Diese Regel beendet den Verarbeitungszyklus. Sie wird immer nach der Verarbeitung der vorangegangenen Regeln ausgeführt. 380 McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung Data Loss Prevention Data Loss Prevention Data Loss Prevention (DLP) stellt sicher, dass vertraulicher Inhalt Ihr Netzwerk nicht verlassen kann. Der Schutzprozess erkennt derartigen Inhalt und blockiert an das Internet ausgehenden Datenverkehr entsprechend. An diesem Vorgang sind folgende Elemente beteiligt: • Data Loss Prevention-Regeln, die den Prozess steuern • Standardklassifizierungen und ein Wörterbuch, das Sie mit Einträgen für Data Loss Prevention füllen • Data Loss Prevention-Module, die von den Regeln aufgerufen werden, die zur Suche nach vertraulichem Inhalt verarbeitet werden Mithilfe der Data Loss Prevention-Regeln können Sie auch verhindern, dass unangemessener Inhalt in Ihr Netzwerk gelangt. Dies kann jedoch die Leistung beeinträchtigen. Der Data Loss Prevention-Prozess kann für den Text angewendet werden, der im Textteil einer gesendeten Anfrage oder Antwort enthalten ist, oder für beliebigen anderen Text aus Anfragen und Antworten, z. B. URL-Parameter oder Header. Wenn Sie die Appliance zusammen mit einer DLP-Lösung ausführen, die zum Filtern einen ICAP-Server verwendet, können Sie einen Regelsatz implementieren, um einen ungestörten Datenfluss zwischen der Appliance und dem ICAP-Server zu gewährleisten. Data Loss Prevention-Regeln Data Loss Prevention wird nicht standardmäßig auf der Appliance implementiert. Sie können jedoch den Regelsatz Data Loss Prevention aus der Bibliothek importieren. Sie können dann die Regeln dieses Regelsatzes überprüfen, bei Bedarf ändern oder löschen und auch eigene Regeln erstellen. Eine Data Loss Prevention-Regel blockiert beispielsweise eine Anfrage, wenn der als Textteil gesendete Text vertrauliche Inhalte enthält. Um herauszufinden, ob dies auf einen bestimmten Anfragetext zutrifft, ruft die Regel ein Modul auf, das den Textteil untersucht. Um zu wissen, was als vertraulich gilt, bezieht sich das Modul abhängig von der Konfiguration auf die Standardklassifizierungen in den Systemlisten oder auf die Wörterbucheinträge. Bei der Verarbeitung einer Anfrage oder Antwort wird deren Text als Wert der Body.Text-Eigenschaft gespeichert. Bevor der Text gespeichert und untersucht werden kann, muss dieser extrahiert werden. Das Composite Opener-Modul führt die Öffnungsvorgänge aus. Ein Ereignis in einem Regelsatz des Regelsatzes Common Rules aktiviert den Öffner standardmäßig. Bei einem Anfragetext kann es sich beispielsweise um eine Textdatei handelt, für die das Hochladen ins Internet angefragt wird. Der Wert für eine passende textbezogene Eigenschaft in den Regelkriterien müsste dann wahr sein, damit die Regel angewendet wird und den Vorgang blockiert. Die folgende Regel verwendet die DLP.Classification.BodyText.Matched-Eigenschaft auf diese Weise. Wenn der Text einer Anfrage vertrauliche Inhalte enthält, wird dies vom Data Loss Prevention-Modul erkannt. Der Wert der Eigenschaft wird auf true gesetzt, und die Anfrage wird blockiert. Name Block files with SOX information Kriterien DLP.Classification.BodyText.Matched<SOX> equals true McAfee Web Gateway 7.5.0 Aktion –> Block<DLP.Classification.Block> Produkthandbuch 381 9 Web-Filterung Data Loss Prevention Bei der Verarbeitung dieser Regel sucht das Data Loss Protection-Modul gemäß seinen Einstellungen nach Inhalten, die aufgrund der SOX-Richtlinien (Sarbanes-Oxley), die sich mit Zuständigkeiten öffentlicher Unternehmen befassen, vertraulich sind. Der Regel können Ereignisse hinzugefügt werden, um Informationen bezüglich der Data Loss Prevention zu protokollieren oder einen Zähler zu erhöhen, der zählt, wie oft eine Anfrage aufgrund dieser Regel blockiert wurde. Standardklassifizierungen und Wörterbucheinträge In Data Loss Prevention werden mithilfe von Standardklassifizierungen und Wörterbucheinträgen vertrauliche Inhalte festgelegt, die Ihr Netzwerk nicht verlassen dürfen. Mithilfe der Systemlisten und Wörterbucheinträge können Sie auch festlegen, welche unangemessenen Inhalte, z. B. diskriminierende oder beleidigende Sprache, aus Ihrem Netzwerk ferngehalten werden sollen. Unangemessene Inhalte könnten beispielsweise so definiert werden, dass eine Regel von Web-Servern als Antwort auf eine Anfrage gesendete Inhalte blockiert. Der Bibliotheks-Regelsatz für Data Loss Prevention enthält einen untergeordneten Regelsatz zur Verarbeitung von Textteilen im Antwortzyklus. Standardklassifizierungen und Wörterbucheinträge unterscheiden sich wie folgt: • Standardklassifizierungen: Bieten Informationen zur Suche nach verschiedenen Arten vertraulicher oder unangemessener Inhalte, z. B. Kreditkartennummern, Sozialversicherungsnummern oder medizinische Diagnosedaten. Standardklassifizierungen sind in Ordnern und Unterordnern in Systemlisten enthalten und werden durch das Appliance-System aktualisiert. Sie können die Systemlisten unter DLP Classification (DLP-Klassifizierung) im Zweig System Lists (Systemlisten) der Listen-Baumstruktur anzeigen, jedoch nicht bearbeiten oder löschen. Wenn Sie die Einstellungen des Moduls bearbeiten, das für die Klassifizierungen zuständig ist, können Sie aus den Ordnern dieser Listen passende Unterordner auswählen und eine Liste mit Klassifizierungen zur Data Loss Prevention in Ihrem Netzwerk erstellen. • Wörterbucheinträge: Geben Sie vertrauliche oder unangemessene Inhalte an, z. B. Namen von Personen oder Stichwörter, die auf Inhalte hinweisen, die das Netzwerk nicht verlassen dürfen Das Wörterbuch wird im Rahmen der Einstellungen für das Modul erstellt, das für diese Liste zuständig ist. Durch das Erstellen eines Wörterbuchs und das Füllen des Wörterbuchs mit vertraulichen oder unangemessenen Inhalten lässt sich der Data Loss Prevention-Prozess im Gegensatz zur Verwendung der Standardklassifizierungen der Systemlisten noch weiter konfigurieren. Auf diese Weise können Sie den Prozess an die Anforderungen Ihres Netzwerks anpassen. Data Loss Prevention-Module Die Aufgabe der Data Loss Prevention-Module (auch als Engines bezeichnet) ist es, vertrauliche oder unangemessene Inhalte im Textteil von Anfragen und Antworten und in allen weiteren Texten der Anfragen und Antworten zu erkennen. Wenn zusammengesetzte Objekte, z. B. Archivdokumente, Textteile von POST-Anfragen usw., mit Anfragen oder Antworten gesendet werden, sind auch diese Teil des Data Loss Prevention-Prozesses. Um diese Objekte zu berücksichtigen, werden die Data Loss Prevention-Regeln auch im Zyklus „Embedded Objects“ (Eingebettete Objekte) verarbeitet. 382 McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung Data Loss Prevention Abhängig von den Ergebnissen der Data Loss Prevention-Module werden die textabhängigen Eigenschaften in den Regelkriterien auf true oder false gesetzt, sodass der Web-Datenverkehr letztendlich blockiert oder zugelassen wird. Es gibt zwei Module, die Listen zur Erkennung relevanter Inhalte unterschiedlich einsetzen: • Data Loss Prevention (Klassifizierungen): Verwendet Standardklassifizierungen auf Systemlisten zur Date Loss Prevention • Data Loss Prevention (Wörterbücher): Verwendet Wörterbücher mit Einträgen für vertrauliche und unangemessene Inhalte, die Sie sich selber zur Data Loss Prevention bereitstellen Beim Konfigurieren der Einstellungen für die Module geben Sie an, nach welchen Inhalten gesucht werden soll. Die Standardklassifizierungen und Wörterbucheinträge, die den Inhalt angeben, sind Teil der Einstellungsparameter. Suchmethoden zur Data Loss Prevention Es gibt verschiedene Methoden zur Suche nach Inhalten, die das Netzwerk nicht verlassen bzw. nicht hineinkommen dürfen. • Eine Suche kann beispielsweise herausfinden, ob ein bestimmter Anfrage- oder Antworttext Teile der Inhalte enthält, die als vertraulich oder unangemessen festgelegt wurden. • Eine Suche kann mit einem Teil des Inhalts beginnen, z. B. einem URL-Parameter oder Header, und herausfinden, ob dieser Teil entsprechend Ihrer Konfiguration vertraulich oder unangemessen ist. Für die erste Methode können Sie die DLP.Classification.BodyText.Matched-Eigenschaft verwenden, die bereits in einer Beispielregel gezeigt wurde. Für die zweite Methode können Sie die DLP.Classification.AnyText.Matched-Eigenschaft verwenden. Diese Eigenschaft verwendet einen Zeichenfolgeparameter für den Inhaltsteil, der darauf überprüft wird, ob er in einer Systemliste oder in einem Wörterbuch enthalten ist. Abhängig davon, womit Sie arbeiten, würden Sie die beiden bereits erwähnten Parameter mit Systemlisten und DLP.Dictionaries.BodyText.Matched und DLP.Dictionaries.AnyText.Matched mit dem Wörterbuch verwenden. Protokollierung von Data Loss Prevention Zusätzliche Eigenschaften stehen zur Protokollierung der Ergebnisse des Data Loss Prevention-Prozesses zur Verfügung. Somit können Sie diese Daten beispielsweise mit einem Ereignis in einer Regel protokollieren. Wenn der Wert für DLP.Classification.BodyText.Matched für den Text einer verarbeiteten Anfrage oder Antwort true ist, gilt Folgendes für die relevanten Protokollierungseigenschaften: • DLP.Classification.BodyText.MatchedTerms enthält eine Liste der übereinstimmenden Begriffe aus dem Textteil • DLP.Classification.BodyText.MatchedClassifications enthält eine Liste der übereinstimmenden Klassifizierungen Wenn DLP.Dictionary.BodyText.Matched den Wert true hat, enthält DLP.Dictionary.BodyText.MatchedTerms eine Liste aller übereinstimmenden Begriffe. Ähnlich können übereinstimmende Begriffe und Klassifizierungen für die Suchmethode protokolliert werden, die nach Übereinstimmungen einer bestimmten Textzeichenfolge sucht. McAfee Web Gateway 7.5.0 Produkthandbuch 383 9 Web-Filterung Data Loss Prevention Wenn der Wert für DLP.Classification.AnyText.Matched true ist: • DLP.Classification.AnyText.MatchedTerms enthält eine Liste übereinstimmender Begriffe, die in anderen Texten als dem Textteil gefunden wurden. • DLP.Classification.AnyText.MatchedClassifications enthält eine Liste übereinstimmender Klassifizierungen, die in anderen Texten als dem Textteil gefunden wurden. Wenn sich die Übereinstimmung in einem Wörterbuch befindet, ist DLP.Dictionary.AnyText.Matched true, und DLP.Dictionary.AnyText.MatchedTerms enthält eine Liste übereinstimmender Begriffe. Informationen zu den Data Loss Prevention-Ergebnissen werden auch im Dashboard angezeigt. Verhindern des Verlusts medizinischer Daten Das nachfolgende Beispiel aus Data Loss Prevention geht davon aus, dass medizinische Daten das Netzwerk eines amerikanischen Krankenhauses nicht verlassen dürfen. Standardklassifizierungen zur Verhinderung des Verlustes medizinischer Daten befinden sich im HIPAA-Ordner (Health Insurance Portability and Accountability Act). Zusätzlich zu diesen Standardinformationen werden die Namen der Ärzte, die im Krankenhaus arbeiten, in ein Wörterbuch eingegeben, damit auch diese Informationen das Netzwerk nicht verlassen. Die folgenden Aktivitäten müssen zur Konfiguration von Data Loss Prevention in diesem Beispiel durchgeführt werden: • Konfigurieren der Einstellungen für das Data Loss Prevention-Modul (Klassifizierungen), die die Standard-HIPAA-Klassifizierungen enthalten • Konfigurieren der Einstellungen für das Data Loss Prevention-Modul (Wörterbücher), die die Namen der Ärzte als Wörterbucheinträge enthalten • Sicherstellen, dass die Regel aktiviert ist, die den Composite Opener aktiviert Im Standard-Regelsatzsystem ist diese Regel im Regelsatz „Enable Opener“ enthalten, der dem Regelsatz „Common Rules“ untergeordnet ist. • Erstellen einer Regel, die Inhalte entsprechend den konfigurierten Einstellungen überprüft Die Regel muss in einem Regelsatz enthalten sein, der im Anfragezyklus für Anfragen zum Hochladen von Daten aus dem Krankenhausnetzwerk in das Internet gilt. Dieser Regelsatz kann im Standard-Regelsatz für Data Loss Prevention oder in einem von Ihnen erstellten Regelsatz eingebettet sein. In diesem Beispiel überprüft die Regel nur Text aus dem Textteil einer Anfrage. Es könnte wie folgt aussehen: Name Prevent loss of HIPAA data and doctors' names Kriterien Aktion DLP.Classification.BodyText.Matched<HIPAA> equals true AND –> Block<DLP.Classification.Block> DLP.Dictionary.BodyText.Matched<Doctors'Names> equals true Konfigurieren von Data Loss Prevention Sie können Data Loss Prevention konfigurieren, um zu verhindern, dass vertrauliche Inhalte Ihr Netzwerk verlassen. Sie können damit auch verhindern, dass unangemessene Inhalte in Ihr Netzwerk gelangen. Führen Sie die folgenden allgemeinen Schritte aus. 384 McAfee Web Gateway 7.5.0 Produkthandbuch Web-Filterung Data Loss Prevention 9 Vorgehensweise 1 Importieren Sie den Regelsatz „Data Loss Prevention“ aus der Bibliothek. 2 Prüfen Sie die enthaltenen Regeln, und ändern Sie sie gegebenenfalls. Sie können z. B. Folgendes ausführen: • Konfigurieren Sie Einstellungen für Data Loss Prevention für die Verwendung von Standardklassifizierungen. • Konfigurieren Sie Einstellungen für Data Loss Prevention für die Verwendung von Wörterbucheinträgen. • Ändern Sie die Parameter weiterer Einstellungen. • Erstellen Sie eigene Regeln. Sie können auch einen eigenen Regelsatz für Data Loss Prevention erstellen, anstatt den Bibliotheks-Regelsatz zu nutzen. 3 Vergewissern Sie sich, dass Composite Opener aktiviert ist, sodass der mit Anfragen und Antworten gesendete Text überprüft werden kann. Im Standard-Regelsatzsystem ist diese Regel im Regelsatz „Enable Opener“ enthalten, der dem Regelsatz „Common Rules“ untergeordnet ist. 4 Wenn Data Loss Prevention mit ICAP ausgeführt werden soll, können Sie einen weiteren Regelsatz aus der Bibliothek importieren und dessen Regeln nach Bedarf ändern. 5 Speichern Sie die Änderungen. Konfigurieren von Data Loss Prevention für die Verwendung von Standardklassifizierungen Sie können Data Loss Prevention konfigurieren, indem Sie Standardklassifizierungen aus Systemlisten auswählen und diese in eine Liste eingeben, die in den Einstellungen des Data Loss Prevention-Moduls für die Verarbeitung von Klassifizierungen enthalten ist. Vorgehensweise 1 Wählen Sie Policy | Settings (Richtlinie | Einstellungen) aus. 2 Wählen Sie in der Einstellungs-Baumstruktur Data Loss Prevention (Classifications) (Data Loss Prevention (Klassifizierungen)) aus, und klicken Sie auf Add (Hinzufügen). Daraufhin öffnet sich das Fenster Add Settings (Einstellungen hinzufügen). 3 Konfigurieren Sie die Parameter für allgemeine Einstellungen: a Geben Sie im Feld Name einen Namen für die Einstellungen ein. b [Optional] Geben Sie im Feld Comment (Kommentar) einen Kommentar (Nur-Text-Format) zu den Einstellungen ein. c [Optional] Klicken Sie auf die Registerkarte Permissions (Berechtigungen), und geben Sie an, welchen Benutzern Sie die Berechtigung für den Zugriff auf die Einstellungen zuweisen möchten. McAfee Web Gateway 7.5.0 Produkthandbuch 385 9 Web-Filterung Data Loss Prevention 4 Klicken Sie auf der Symbolleiste der internen Liste DLP Classifications (Data Loss Prevention-Klassifizierungen) auf das Symbol Edit (Bearbeiten). Daraufhin öffnet sich das Fenster Edit (Bearbeiten) mit einer Verzeichnisstruktur von Ordnern, die Unterordner mit Standardklassifizierungen enthalten. 5 Erweitern Sie einen Ordner, z. B. SOX Compliance (SOX-Compliance), und wählen Sie einen Unterordner aus, z. B. Compliance Reports (Compliance-Berichte). Klicken Sie anschließend auf OK. Sie können auch mehrere Unterordner eines Ordners gleichzeitig, Ordner aus verschiedenen Unterordnern oder komplette Ordner mit allen darin enthaltenen Unterordnern auswählen. Das Fenster Edit (Bearbeiten) wird nun geschlossen, und der bzw. die Unterordner werden in der internen Liste DLP Classifications (Data Loss Prevention-Klassifizierungen) angezeigt. 6 Klicken Sie auf Save Changes (Änderungen speichern). Konfigurieren von Data Loss Prevention für die Verwendung von Wörterbucheinträgen Sie können Text und Platzhalterausdrücke eingeben, die vertrauliche oder unangemessene Inhalte angeben, die als Einträge eines Wörterbuchs für Data Loss Prevention verwendet werden. Nach dem Importieren des Bibliotheks-Regelsatzes „Data Loss Prevention“ ist die Verwendung eines Wörterbuchs mit Einträgen für vertrauliche oder unangemessene Inhalte noch nicht implementiert. Sie müssen geeignete Einstellungen erstellen, um diese zu implementieren und das Wörterbuch mit Einträgen zu füllen. Aufgaben • Erstellen von Einstellungen mit einem Wörterbuch auf Seite 386 Wenn Data Loss Prevention mit Wörterbucheinträgen arbeitet, müssen Sie Einstellungen mit einem Wörterbuch erstellen. • Füllen des Wörterbuchs mit Einträgen auf Seite 387 Nach dem Erstellen von Einstellungen mit einem Wörterbuch können Sie dieses mit Einträgen füllen. Erstellen von Einstellungen mit einem Wörterbuch Wenn Data Loss Prevention mit Wörterbucheinträgen arbeitet, müssen Sie Einstellungen mit einem Wörterbuch erstellen. Vorgehensweise 1 Wählen Sie Policy | Settings (Richtlinie | Einstellungen) aus. 2 Wählen Sie in der Einstellungs-Baumstruktur Data Loss Prevention (Dictionaries) (Data Loss Prevention (Wörterbücher)) aus, und klicken Sie dann auf Add (Hinzufügen). Daraufhin öffnet sich das Fenster Add Settings (Einstellungen hinzufügen). 3 386 Konfigurieren Sie die Parameter für allgemeine Einstellungen: a Geben Sie im Feld Name einen Namen für die Einstellungen ein. b [Optional] Geben Sie im Feld Comment (Kommentar) einen Kommentar (Nur-Text-Format) zu den Einstellungen ein. c [Optional] Klicken Sie auf die Registerkarte Permissions (Berechtigungen), und geben Sie an, welchen Benutzern Sie die Berechtigung für den Zugriff auf die Einstellungen zuweisen möchten. McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung Data Loss Prevention Nun können Sie in das Wörterbuch Einträge einfügen. Füllen des Wörterbuchs mit Einträgen Nach dem Erstellen von Einstellungen mit einem Wörterbuch können Sie dieses mit Einträgen füllen. Vorgehensweise 1 Klicken Sie in den für Data Loss Prevention mit Wörterbucheinträgen erstellten Einstellungen auf der Symbolleiste der Inline-Liste Dictionary (Wörterbuch) auf das Symbol Add (Hinzufügen). Daraufhin öffnet sich das Fenster Add DLP Dictionary Entry (DLP-Wörterbucheintrag hinzufügen). 2 Wählen Sie unter Type of data to search (Typ der zu durchsuchenden Daten) Text oder Wildcard expression (Platzhalterausdruck) aus. 3 Geben Sie im Feld Text or wildcard expression (Text oder Platzhalterausdruck) eine Textzeichenfolge oder einen Platzhalterausdruck ein. 4 [Optional] Geben Sie zusätzliche Informationen für einen Eintrag an: • • Wenn Sie eine Textzeichenfolge eingegeben haben, wählen Sie eine oder eine beliebige Kombination der folgenden Optionen aus: • Case-sensitive (Groß-/Kleinschreibung berücksichtigen) • At start of word (Am Anfang des Wortes) • At end of word (Am Ende des Wortes) Wenn Sie einen Platzhalterausdruck eingegeben haben, aktivieren bzw. deaktivieren Sie die Option Case-sensitive (Groß-/Kleinschreibung berücksichtigen) nach Bedarf. 5 [Optional] Geben Sie im Feld Comment (Kommentar) einen Kommentar im Nur-Text-Format zu einem Eintrag ein. 6 Klicken Sie auf OK. Daraufhin wird das Fenster Add DLP Dictionary Entry (DLP-Wörterbucheintrag hinzufügen) geschlossen, und der neue Eintrag wird im Wörterbuch angezeigt. Wiederholen Sie die Schritte 1 bis 6, um weitere Einträge hinzuzufügen. 7 Klicken Sie im Fenster Add Settings (Einstellungen hinzufügen) auf OK. Daraufhin wird das Fenster geschlossen, und die Einstellungen werden in der Einstellungs-Baumstruktur unter Data Loss Prevention (Dictionaries) (Data Loss Prevention (Wörterbücher)) angezeigt. Einstellungen für Data Loss Prevention (Klassifizierung) Die Einstellungen für Data Loss Prevention (Klassifizierung) werden zum Konfigurieren von Einträgen in Klassifizierungslisten verwendet, die angeben, welche Inhalte als vertraulich bzw. unangemessen eingestuft werden. DLP-Klassifizierungsparameter Konfigurationseinstellungen für die Verwendung von Klassifizierungslisten bei der Suche nach vertraulichen bzw. unangemessenen Inhalten McAfee Web Gateway 7.5.0 Produkthandbuch 387 9 Web-Filterung Data Loss Prevention Tabelle 9-48 DLP-Klassifizierungsparameter Option Definition Tracking policy (Überwachungsrichtlinie) Legt den Umfang der Prüfung auf vertrauliche oder unangemessene Inhalte im Textteil von Anfragen und Antworten fest. Die Suche wird für alle ausgewählten Klassifizierungen durchgeführt. Sie können die Suche jedoch in folgendem Umfang anpassen: • Minimum: Die Suche für eine bestimmte Klassifizierung wird beendet, wenn für diese eine Instanz mit vertraulichem bzw. unangemessenem Inhalt gefunden wurde oder wenn die Suche nach einer solchen Instanz kein Ergebnis erbrachte. Anschließend wird die Suche für die nächste Klassifizierung durchgeführt. Dieser Ablauf wird so lange wiederholt, bis alle Klassifizierungen verarbeitet wurden. • Maximum: Die Suche ermittelt für eine bestimmte Klassifizierung alle Instanzen mit vertraulichem bzw. unangemessenem Inhalt. Wenn die Suche für eine Klassifikation abgeschlossen ist, wird die nächste Klassifikation verarbeitet. Dieser Ablauf wird so lange wiederholt, bis alle Klassifizierungen verarbeitet wurden. DLP Classifications (DLP-Klassifizierungen) Enthält eine Liste zur Auswahl von Einträgen in Klassifizierungslisten aus den Systemlisten, die in der Listen-Baumstruktur unter DLP Classification (DLP-Klassifizierung) aufgeführt sind. In der folgenden Tabelle wird ein Eintrag in der Liste „DLP Classifications“ erläutert. Tabelle 9-49 DLP-Klassifizierungsparameter – Listeneintrag Option Definition DLP Classification (DLP-Klassifizierung) Enthält Informationen bezüglich der Erkennung vertraulicher bzw. unangemessener Inhalte. Comment (Kommentar) Enthält einen Kommentar im Nur-Text-Format zu einem Eintrag. Advanced Parameters (Erweiterte Parameter) Einstellungen zum Konfigurieren erweiterter Funktionen für Data Loss Prevention Tabelle 9-50 Advanced Parameters (Erweiterte Parameter) Option Definition Reported context width (Umfang Hier können Sie den Umfang des angezeigten Kontexts (Zeichenanzahl) des ausgegebenen Kontexts) eines bei der Suche gefundenen Begriffs begrenzen. Der gefundene Begriff ist der in der Eigenschaft DLP.Classification.Matched.Terms gespeicherte Wert. Context list size (Länge der Kontextliste) Hier können Sie die Anzahl der aufgelisteten Begriffe begrenzen, die bei der Suche gefunden wurden. Die gefundenen Begriffe sind die in der Eigenschaft DLP.Classification.Matched.Terms gespeicherten Werte. 388 McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung Data Loss Prevention Einstellungen für Data Loss Prevention (Wörterbücher) Die Einstellungen für Data Loss Prevention (Wörterbücher) werden zum Konfigurieren von Begriffen und Platzhalterausdrücken verwendet, die angeben, welche Inhalte als vertraulich bzw. unangemessen eingestuft werden. DLP-Wörterbuchparameter Einstellungen zum Konfigurieren von Begriffen und Platzhalterausdrücken zur Angabe, welche Inhalte als vertraulich bzw. unangemessen eingestuft werden Tabelle 9-51 DLP-Wörterbuchparameter Option Definition Tracking policy (Überwachungsrichtlinie) Legt den Umfang der Prüfung auf vertrauliche oder unangemessene Inhalte im Textteil von Anfragen und Antworten fest. Die Suche wird für alle erstellten Wörterbucheinträge durchgeführt. Die Suche kann jedoch in folgendem Umfang angepasst werden: • Minimum: Die Suche wird für einen bestimmten Wörterbucheintrag beendet, wenn für diesen eine Instanz mit vertraulichem bzw. unangemessenem Inhalt gefunden wurde oder wenn die Suche nach einer solchen Instanz kein Ergebnis erbrachte. Anschließend wird die Suche für den nächsten Eintrag durchgeführt. Dieser Ablauf wird so lange wiederholt, bis alle Einträge verarbeitet wurden. • Maximum: Die Suche ermittelt für einen bestimmten Wörterbucheintrag alle Instanzen mit vertraulichem bzw. unangemessenem Inhalt. Wenn die Suche für einen Eintrag abgeschlossen ist, wird der nächste Eintrag verarbeitet. Dieser Ablauf wird so lange wiederholt, bis alle Einträge verarbeitet wurden. Dictionary (Wörterbuch) Enthält eine Liste zur Eingabe von Begriffen und Platzhalterausdrücken, die als vertraulicher bzw. unangemessener Inhalt eingestuft werden oder mit einem solchen Inhalt übereinstimmen. In der folgenden Tabelle wird ein Eintrag in der Liste Dictionary (Wörterbuch) erläutert. Tabelle 9-52 Wörterbuch – Listeneintrag Option Definition Text or wildcard expression (Begriff oder Platzhalterausdruck) Gibt einen Begriff bzw. Platzhalterausdruck an, der als vertraulicher bzw. unangemessener Inhalt eingestuft wird oder mit einem solchen Inhalt übereinstimmt. Comment (Kommentar) Enthält einen Kommentar im Nur-Text-Format zu einem Begriff (Zeichenfolge) bzw. einem Platzhalterausdruck. Advanced Parameters (Erweiterte Parameter) Einstellungen zum Konfigurieren erweiterter Funktionen für Data Loss Prevention McAfee Web Gateway 7.5.0 Produkthandbuch 389 9 Web-Filterung Data Loss Prevention Tabelle 9-53 Advanced Parameters (Erweiterte Parameter) Option Definition Reported context width (Umfang Hier können Sie den Umfang des angezeigten Kontexts (Zeichenanzahl) des ausgegebenen Kontexts) eines bei der Suche gefundenen Begriffs begrenzen. Der gefundene Begriff ist der in der Eigenschaft DLP.Dictionary.Matched.Terms gespeicherte Wert. Context list size (Länge der Kontextliste) Hier können Sie die Anzahl von Treffern begrenzen, die für den angegebenen Wert in der Liste angezeigt werden. Die gefundenen Begriffe sind die in der Eigenschaft DLP.Classification.Matched.Terms gespeicherten Werte. Data Loss Prevention (Regelsatz) Der Regelsatz „Data Loss Prevention (DLP)“ ist ein Bibliotheks-Regelsatz, mit dem verhindert wird, dass vertrauliche Inhalte Ihr Netzwerk verlassen bzw. dass unangemessene Inhalte in Ihr Netzwerk eindringen. Standard-Regelsatz – Data Loss Prevention (DLP) Criteria – Always Cycles – Requests (and IM), Responses, Embedded Objects Dieser Regelsatz enthält die folgenden untergeordneten Regelsätze: • DLP in Request Cycle • DLP in Response Cycle Dieser Regelsatz ist standardmäßig nicht aktiviert. DLP in Request Cycle Dieser untergeordnete Regelsatz blockiert Anfragen, die von Clients Ihres Netzwerks an Web-Server gesendet werden, wenn erkannt wird, dass es sich dabei um vertrauliche Inhalte handelt. So würde beispielsweise eine Anfrage zum Hochladen einer Datei mit vertraulichen Inhalten in das Internet blockiert. Untergeordneter Bibliotheks-Regelsatz – DLP in Request Cycle Criteria – Cycle.TopName equals "Request" Cycles – Requests (and IM) and Embedded Objects Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn eine Anfrage auf der Appliance verarbeitet wird. Der Regelsatz enthält die folgenden Regeln: Block files with HIPAA information DLP.Classification.BodyText.Matched <HIPAA> equals true –> Block<DLP.Classification.Block> – Statistics.Counter.Increment („BlockedByDLPMatch“,1)<Default> Die Regel überprüft anhand der DLP.Classification.BodyText.Matched -Eigenschaft, ob der Textteil der derzeit verarbeiteten Anfrage Text enthält, der als vertraulicher Inhalt eingestuft wird. Dieser Text kann z. B. in einer Datei enthalten sein, deren Upload in das Internet angefragt wird. Text wird gemäß den HIPAA-Vorschriften für das Gesundheitswesen als vertraulicher Inhalt eingestuft. Die Nutzung der relevanten Informationen wird im Rahmen der Moduleinstellungen konfiguriert, die nach dem Eigenschaftennamen angegeben sind. 390 McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung Data Loss Prevention Wenn im Textteil einer Anfrage vertrauliche Inhalte enthalten sind, wird die Anfrage blockiert. Die Einstellungen für die Aktion „Block“ (Blockieren) geben eine Meldung an den anfragenden Benutzer an. Die Regel verwendet zudem ein Ereignis zum Zählen von Blockierungsereignissen aufgrund eines Data Loss Prevention-Treffers. Block files with Payment Card Industry information DLP.Classification.BodyText.Matched <Payment Card Industry> equals true –> Block<DLP.Classification.Block> – Statistics.Counter.Increment („BlockedByDLPMatch“,1)<Default> Die Regel überprüft anhand der DLP.Classification.BodyText.Matched -Eigenschaft, ob der Textteil der derzeit verarbeiteten Anfrage Text enthält, der als vertraulicher Inhalt eingestuft wird. Dieser Text kann z. B. in einer Datei enthalten sein, deren Upload in das Internet angefragt wird. Text wird gemäß den geltenden Vorschriften für Kreditkarten als vertraulicher Inhalt eingestuft. Darunter würde beispielsweise eine Kreditkartennummer fallen. Ob ein Text vertrauliche Inhalte enthält, wird auf dieselbe Weise wie für die HIPAA-bezogene Regel anhand geeigneter Informationen bestimmt. Wenn im Textteil einer Anfrage vertrauliche Inhalte enthalten sind, wird die Anfrage blockiert. Die Einstellungen für die Aktion „Block“ (Blockieren) geben eine Meldung an den anfordernden Benutzer an. Die Regel verwendet zudem ein Ereignis zum Zählen von Blockierungsereignissen aufgrund eines Data Loss Prevention-Treffers. Block files with SOX information DLP.Classification.BodyText.Matched <SOX> equals true –> Block<DLP.Classification.Block> – Statistics.Counter.Increment („BlockedByDLPMatch“,1)<Default> Die Regel überprüft anhand der DLP.Classification.BodyText.Matched -Eigenschaft, ob der Textteil der derzeit verarbeiteten Anfrage Text enthält, der als vertraulicher Inhalt eingestuft wird. Dieser Text kann z. B. in einer Datei enthalten sein, deren Upload in das Internet angefragt wird. Text wird gemäß den Bestimmungen des Sarbanes-Oxley (SOX) Act zur Rechenschaftspflicht börsennotierter Unternehmen als vertraulich eingestuft. Darunter würden beispielsweise Protokolle von Vorstandssitzungen fallen. Ob ein Text vertrauliche Inhalte enthält, wird auf dieselbe Weise wie für die HIPAA-bezogene Regel anhand geeigneter Informationen bestimmt. Wenn im Textteil einer Anfrage vertrauliche Inhalte enthalten sind, wird die Anfrage blockiert. Die Einstellungen für die Aktion „Block“ (Blockieren) geben eine Meldung an den anfordernden Benutzer an. Die Regel verwendet zudem ein Ereignis zum Zählen von Blockierungsereignissen aufgrund eines Data Loss Prevention-Treffers. DLP in Response Cycle Dieser untergeordnete Regelsatz blockiert Antworten, die auf der Appliance von Web-Servern empfangen werden, wenn erkannt wird, dass diese unangemessene Inhalte enthalten, z. B. diskriminierende oder anstößige Sprache. Untergeordneter Bibliotheks-Regelsatz – DLP in Response Cycle Criteria – Cycle.TopName equals "Response" Cycles – Responses and embedded objects Die Regelsatzkriterien geben an, dass der Regelsatz angewendet wird, wenn eine Antwort auf der Appliance verarbeitet wird. McAfee Web Gateway 7.5.0 Produkthandbuch 391 9 Web-Filterung Data Loss Prevention Der Regelsatz enthält die folgende Regel: Acceptable use DLP.Classification.BodyText.Matched <Acceptable Use> equals true –> Block<DLP.Classification.Block> – Statistics.Counter.Increment („BlockedByDLPMatch“,1)<Default> Die Regel überprüft anhand der DLP.Classification.BodyText.Matched-Eigenschaft, ob der Textteil der derzeit verarbeiteten Antwort Text enthält, der als vertraulicher Inhalt eingestuft wird. Dieser Text kann z. B. in einer Datei enthalten sein, die als Antwort auf eine Download-Anfrage gesendet wird. Das von der Regel aufgerufene Modul, von dem festgestellt wird, ob im Textteil der Antwort unangemessene Inhalte enthalten sind, nutzt geeignete Informationen aus Klassifizierungslisten. Die Nutzung dieser Listen wird im Rahmen der Moduleinstellungen konfiguriert, die nach dem Eigenschaftennamen angegeben sind. Wenn im Textteil einer Antwort unangemessene Inhalte enthalten sind, wird die Antwort blockiert. Die Einstellungen für die Aktion „Block“ (Blockieren) geben eine Meldung an den Benutzer an, an den die Antwort weitergeleitet werden sollte. Die Regel verwendet zudem ein Ereignis zum Zählen von Blockierungsereignissen aufgrund eines Data Loss Prevention-Treffers. Verhindern von Datenlecks mit einem ICAP-Server Wenn Sie Data Loss Prevention mit einem ICAP-Server implementiert haben, der den Filterprozess behandelt, können Sie Einstellungen konfigurieren und einen Regelsatz implementieren, um einen reibungslosen Datenfluss zwischen der Appliance und dem ICAP-Server sicherzustellen. Für Data Loss Prevention können Sie die Lösung nDLP verwenden. In dieser Lösung werden Daten gefiltert, die Benutzer aus dem Netzwerk in das Web hochladen möchten, um Datenlecks zu verhindern. Die Filterung wird durch einen ICAP-Server abgewickelt. Der Datenfluss läuft wie folgt ab: • Aus den Client-Systemen der Benutzer gesendete Daten werden an die Appliance weitergeleitet. • Die Appliance stellt einen ICAP-Client bereit, der REQMOD-Anfragen mit den Benutzerdaten an den ICAP-Server sendet. • Die Anfragen werden auf dem Server gefiltert, indem sie gemäß dem ICAP-Protokoll geändert und an die Web-Server übergeben werden, die die Ziele der Anfragen darstellen. Nach dem Importieren des Regelsatzes Data Loss Prevention with ICAP aus der Bibliothek steuern auf der Appliance implementierte Regeln das Senden von Anfragen an den ICAP-Server. Entsprechend diesen Regeln wird eine Anfrage unter folgenden Umständen nicht weitergeleitet: • Der Textteil der Anfrage enthält keine Daten, und die Anfrage enthält keine URL-Parameter. • Der Textteil der Anfrage überschreitet eine bestimmte Größe (Standardwert: 50 MB). Zusammen mit dem Regelsatz werden Einstellungen importiert, die Sie konfigurieren müssen. Hierzu zählt eine Liste der ICAP-Server, an die die Appliance Anfragen weiterleiten kann. Sie können außerdem den ICAP-Client auf der Appliance so konfigurieren, dass keine größere Anzahl von Verbindungen zum Senden von Anfragen gleichzeitig geöffnet wird, als von einem bestimmten ICAP-Server bewältigt werden kann. 392 McAfee Web Gateway 7.5.0 Produkthandbuch 9 Web-Filterung Data Loss Prevention Erstellen einer ICAP-Server-Liste für Data Loss Prevention Da die nDLP-Lösung zur Data Loss Prevention zum Filtern von Daten einen ICAP-Server nutzt, müssen Sie für das Ausführen dieser Lösung eine Liste der entsprechenden Server konfigurieren. Vorgehensweise 1 Wählen Sie Policy | Settings (Richtlinie | Einstellungen) aus. 2 Wählen Sie in der Einstellungs-Baumstruktur ICAP Client (ICAP-Client) aus, und klicken Sie auf die Einstellung ReqMod. 3 Konfigurieren Sie nun die in diesen Einstellungen verfügbare ICAP-Server-Liste je nach Bedarf. 4 Klicken Sie auf Save Changes (Änderungen speichern). ICAP-Client-Einstellungen Mit den ICAP-Client-Einstellungen wird die Kommunikation im REQMOD-Modus zwischen einem ICAP-Client auf der Appliance und ICAP-Servern konfiguriert. ICAP Service (ICAP-Dienst) Einstellungen für ICAP-Server, an die der ICAP-Client auf der Appliance Anfragen sendet Tabelle 9-54 Select Scanning Engines (Scan-Module auswählen) Option Definition List of ICAP Servers (Liste der ICAP-Server) Enthält eine Liste zur Auswahl einer Liste von Servern, die für die ICAP-Kommunikation verwendet werden. Eingehende Anfragen von ICAP-Clients werden an die Server in der ausgewählten Liste im Round-Robin-Modus (Rundlaufmodus) verteilt. Die Liste wird hierfür alle 60 Sekunden überprüft. In der folgenden Tabelle wird ein Eintrag für einen ICAP-Server in einer Serverliste beschrieben. Tabelle 9-55 Eintrag in einer Liste von ICAP-Servern Option Definition URI Gibt die URI eines ICAP-Servers an. Format: ICAP://<IP-Adresse>:<Port-Nummer> Respect max concurrent connections limit (Zulässige Höchstzahl für gleichzeitige Verbindungen beachten) Bei Auswahl dieser Option öffnet der ICAP-Client auf der Appliance nicht mehr gleichzeitige Verbindungen zum Senden von Anfragen, als vom ICAP-Server bewältigt werden können. Comment (Kommentar) Enthält einen Kommentar im Nur-Text-Format zu einem ICAP-Server. Data Loss Prevention With ICAP (Regelsatz) Mit dem Bibliotheks-Regelsatz „Data Loss Prevention With ICAP“ kann der Datenfluss zwischen der Appliance und einem ICAP-Server innerhalb einer Data Loss Prevention-Lösung konfiguriert werden. Bibliotheks-Regelsatz – Data Loss Prevention With ICAP Criteria – URL.Host does not equal “ ” Cycles – Requests (and IM) and Embedded Objects Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn für eine in einer Anfrage an die Appliance gesendete URL ein Host-Name gefunden wird. McAfee Web Gateway 7.5.0 Produkthandbuch 393 9 Web-Filterung Data Loss Prevention Der Regelsatz enthält die folgenden Regeln. Skip requests that do not carry information Body.Size equals 0 AND ListOfString.IsEmpty(URL.Parameters) equals true –> Stop Rule Set Die Regel überprüft mithilfe der Eigenschaft Body.Size, ob der Textteil einer bestimmten Anfrage leer ist. Außerdem überprüft die Regel mit der Eigenschaft ListOfString.IsEmpty, ob eine Anfrage URL-Parameter enthält. Wenn ein Teil dieses zweiteiligen Kriteriums zutrifft, wird die Verarbeitung des Regelsatzes beendet, und die Anfrage wird nicht an den ICAP-Server weitergeleitet. Skip body that is greater than 50 MB Body.Size greater than 52428800 –> Stop Rule Set Die Regel überprüft mithilfe der Eigenschaft „Body.Size“, ob der Textteil einer bestimmten Anfrage größer als 50 MB ist. Wenn dies der Fall ist, wird die Verarbeitung des Regelsatzes beendet, und die Anfrage wird nicht an den ICAP-Server weitergeleitet. In diesem Regelsatzkriterium wird die maximale Größe des Textteils einer Anfrage in Bytes angegeben. Call ReqMod server ICAP.ReqMod.Satisfaction<ReqMod> equals true –> Stop Cycle Wenn eine Anfrage das Filtern durch die ersten zwei Regeln des Regelsatzes bestanden hat, wird sie an den ICAP-Server weitergeleitet. Die Eigenschaft „ICAP.ReqMod.Satisfaction“ erhält dann den Wert „True“ (wahr). Die Regel prüft, ob dies für eine Regel zutrifft, und beendet anschließend die Verarbeitung des laufenden Zyklus. 394 McAfee Web Gateway 7.5.0 Produkthandbuch 10 Unterstützende Funktionen Einige Funktionen der Appliance dienen nicht zur Filterung von Web-Objekten oder Benutzern, sondern unterstützen den Filterungsprozess auf eine andere Art. Die unterstützenden Funktionen bieten folgende Möglichkeiten: • Download-Fortschritt anzeigen: Sie können Methoden konfigurieren, um Benutzern den Fortschritt beim Herunterladen von Web-Objekten sichtbar zu machen. • Bandbreite für Uploads und Downloads beschränken: Sie können die Geschwindigkeit beschränken, mit der Daten von Clients auf die Appliance hochgeladen oder von Web-Servern auf die Appliance heruntergeladen werden. • Web-Cache für die Speicherung und Bereitstellung von Web-Objekten verwenden: Wenn Sie Objekte aus dem Web-Cache an die Appliance senden, können Sie Antworten auf Client-Anfragen beschleunigen. • Anfragen über Proxys des nächsten Hops umleiten: Über diese Proxys können Sie Anfragen an das jeweilige Ziel umleiten. Inhalt Fortschrittsanzeige Bandbreitenbeschränkung Web-Caching Nächster-Hop-Proxys Fortschrittsanzeige Die Fortschrittsanzeige zeigt einem Benutzer, der den Download eines Web-Objekts gestartet hat, der Fortschritt beim Herunterladen des Objekts an. An diesem Vorgang sind folgende Elemente beteiligt: • Fortschrittsanzeigeregeln, die den Prozess steuern • Fortschrittsanzeigemodule, die von den Regeln für die Verarbeitung der verschiedenen Methoden für die Fortschrittsanzeige aufgerufen werden McAfee Web Gateway 7.5.0 Produkthandbuch 395 10 Unterstützende Funktionen Fortschrittsanzeige Fortschrittsanzeigeregeln Die Regeln, die die Fortschrittsanzeige steuern, sind normalerweise in einem Regelsatz enthalten. Verschiedene Regeln steuern die Verwendung der unterschiedlichen Methoden für die Fortschrittsanzeige. Demzufolge rufen sie verschiedene Module zum Verarbeiten dieser Methoden auf. Auf der Appliance sind zwei Methoden für die Fortschrittsanzeige verfügbar. Welche Methode für einen Download geeignet ist, hängt von dem Browser ab, mit dem der Benutzer die Download-Anfrage sendet. • Fortschrittsseite: Für Mozilla-Browser Bei dieser Methode wird für den Benutzer, der einen Download gestartet hat, eine Seite mit einem Fortschrittsbalken angezeigt; anschließend wird eine weitere Seite beim Abschluss des Downloads angezeigt. • Durchlassen von Daten: Für alle anderen Browser Bei dieser Methode wird ein Web-Objekt in Paketen und mit einer bestimmten Weiterleitungsgeschwindigkeit an den Benutzer weitergeleitet. Die Fortschrittsanzeige ist im Standard-Regelsatzsystem nicht implementiert. Diese Funktionen werden von einem Bibliotheks-Regelsatz bereitgestellt. Dieser heißt Progress Indication. Sie können diesen Regelsatz implementieren, die darin enthaltenen Regeln überprüfen, ändern oder löschen, und Sie können auch eigene Regeln erstellen. Fortschrittsanzeigemodule Für die Verarbeitung der verschiedenen Methoden der Fortschrittsanzeige sind zwei Fortschrittsanzeigemodule (auch als Engine bezeichnet) verfügbar: • Modul „Progress Page“: für die Fortschrittsseitenmethode • Modul „Data Trickling“: für die Methode zum Durchlassen von Daten Sie können Einstellungen für diese Module konfigurieren, um die Art der Verarbeitung dieser Methoden zu ändern. Es werden Vorlagen für das Konfigurieren der beiden Seiten für die Fortschrittsseitenmethode bereitgestellt. Die Konfiguration erfolgt auf die gleiche Weise wie für Benutzermeldungsvorlagen. Konfigurieren der Fortschrittsanzeige Sie können die Fortschrittsanzeige implementieren und konfigurieren, um sie an die Anforderungen Ihres Netzwerks anzupassen. Führen Sie die folgenden allgemeinen Schritte aus. Vorgehensweise 396 1 Importieren Sie den Regelsatz „Progress Indication“ aus der Bibliothek. 2 Überprüfen Sie die Regeln in diesem Regelsatz, und ändern Sie sie gegebenenfalls. McAfee Web Gateway 7.5.0 Produkthandbuch Unterstützende Funktionen Fortschrittsanzeige 10 Sie können beispielsweise Folgendes ausführen: • • 3 Konfigurieren Sie Einstellungen für das Modul „Progress Page“: • Wählen Sie eine bestimmte Sprache für die Fortschrittsseite aus. • Ändern Sie den Text der Fortschrittsseite. • Geben Sie Zeitlimits für die heruntergeladene Seite an, z. B. ein Zeitlimit für den Zeitraum, den eine Seite nach dem Download verfügbar ist. Konfigurieren Sie Einstellungen für das Modul „Data Trickling“: • Größe des ersten Pakets beim Durchlassen von Daten • Weiterleitungsgeschwindigkeit Speichern Sie die Änderungen. Konfigurieren der Fortschrittsanzeige-Module Sie können die Fortschrittsanzeige-Module konfigurieren, um zu ändern, auf welche Weise der Fortschritt beim Download von Web-Objekten für Benutzer angezeigt wird. Für die Fortschrittsanzeige sind zwei verschiedene Module vorhanden: das Modul „Progress Page“ und das Modul „Data Trickling“. Vorgehensweise 1 Wählen Sie Policy Rule Sets (Richtlinie | Regelsätze) aus. 2 Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz für die Fortschrittsanzeige aus. Wenn Sie den Bibliotheks-Regelsatz für diese Funktion implementiert haben, ist dies der Regelsatz Progress Indication. Nun werden die Regeln des Regelsatzes im Einstellungsbereich angezeigt. 3 Achten Sie darauf, dass Show details (Details anzeigen) ausgewählt ist. 4 Suchen Sie je nach konfigurierter Fortschrittsanzeige nach der Regel, die das Modul „Progress Page“ bzw. das Modul „Data Trickling“ aufruft. Im Bibliotheks-Regelsatz sind dies die Regeln Enable progress page und Enable data trickling. 5 Klicken Sie im Regelereignis der entsprechenden Regel auf den Namen der Einstellungen. Daraufhin öffnet sich das Fenster Edit Settings (Einstellungen bearbeiten). Es enthält die Einstellungen für das Modul „Progress Page“ bzw. das Modul „Data Trickling“. 6 Konfigurieren Sie diese Einstellungen nach Bedarf. 7 Klicken Sie auf OK, um das Fenster zu schließen. 8 Klicken Sie auf Save Changes (Änderungen speichern). Siehe auch Einstellungen für das Durchlassen von Daten auf Seite 399 Progress Indication (Regelsatz) auf Seite 400 McAfee Web Gateway 7.5.0 Produkthandbuch 397 10 Unterstützende Funktionen Fortschrittsanzeige Einstellungen für „Progress Page“ (Fortschrittsseite) Mit den Einstellungen für „Progress Page“ (Fortschrittsseite) wird die Fortschrittsseite konfiguriert, die Benutzern beim Herunterladen von Web-Objekten angezeigt wird. Parameter für „Progress Page“ (Fortschrittsseite) Einstellungen für die Fortschrittsseite Tabelle 10-1 Parameter für „Progress Page“ (Fortschrittsseite) Option Definition Templates (Vorlagen) Stellt Einstellungen für die Vorlagen bereit, die für die Fortschrittsseite genutzt werden. Timeouts (Zeitlimits) Stellt Einstellungen für Zeitlimits bereit, die sich auf die Fortschrittsseite beziehen. Templates (Vorlagen) Einstellungen für die Vorlagen, die für die Fortschrittsseite genutzt werden Tabelle 10-2 Templates (Vorlagen) Option Definition Language (Sprache) Bietet Einstellungen zum Auswählen der Sprache der Fortschrittsseite. • Auto (Browser): Bei Auswahl dieser Option wird die Meldung in der Sprache des Browsers ausgegeben, von dem die blockierte Anfrage gesendet wurde. • Force to (Erzwingen von): Bei Auswahl dieser Option wird die Meldung in der Sprache ausgegeben, die in der hier bereitgestellten Liste ausgewählt wird. • Value of 'Message.Language' property (Wert der Message.Language-Eigenschaft): Bei Auswahl dieser Option wird die Meldung in der Sprache ausgegeben, die als Wert der Eigenschaft „Message.Language“ festgelegt ist. Mit dieser Eigenschaft kann eine Regel erstellt werden. Collection (Sammlung) Stellt eine Liste zum Auswählen einer Vorlagensammlung bereit. • Add (Hinzufügen): Öffnet das Fenster „Add Template Collection“ (Vorlagensammlung hinzufügen), mit dem eine Vorlagensammlung hinzugefügt werden kann. • Edit (Bearbeiten): Öffnet den Template Editor (Vorlagen-Editor) zum Bearbeiten einer Vorlagensammlung. Template name for progress bar page (Name der Vorlage für Seite mit Fortschrittsbalken) Stellt eine Liste zum Auswählen einer Vorlage bereit. • Add (Hinzufügen): Öffnet das Fenster „Add Template“ (Vorlage hinzufügen), mit dem eine Vorlage hinzugefügt werden kann. • Edit (Bearbeiten): Öffnet den Template Editor (Vorlagen-Editor) zum Bearbeiten einer Vorlage. 398 McAfee Web Gateway 7.5.0 Produkthandbuch Unterstützende Funktionen Fortschrittsanzeige 10 Tabelle 10-2 Templates (Vorlagen) (Fortsetzung) Option Definition Template name for download finished page (Name der Vorlage für Seite bei Download-Fertigstellung) Stellt eine Liste zum Auswählen einer Vorlage bereit. • Add (Hinzufügen): Öffnet das Fenster „Add Template“ (Vorlage hinzufügen), mit dem eine Vorlage hinzugefügt werden kann. • Edit (Bearbeiten): Öffnet den Template Editor (Vorlagen-Editor) zum Bearbeiten einer Vorlage. Template name for download canceled page (Name der Vorlage für Seite bei Abbruch des Downloads) Stellt eine Liste zum Auswählen einer Vorlage bereit. • Add (Hinzufügen): Öffnet das Fenster „Add Template“ (Vorlage hinzufügen), mit dem eine Vorlage hinzugefügt werden kann. • Edit (Bearbeiten): Öffnet den Template Editor (Vorlagen-Editor) zum Bearbeiten einer Vorlage. Timeouts (Zeitlimits) Einstellungen für Zeitlimits, die sich auf die Fortschrittsseite beziehen Tabelle 10-3 Templates (Vorlagen) Option Definition Delay for redirects to progress page (Verzögerung für Beschränkt den Zeitraum (in Sekunden) bis zum Anzeigen Umleitungen auf Fortschrittsseite) der Fortschrittsseite auf den angegebenen Wert. File availability time before download (Dateiverfügbarkeitsdauer vor Download) Beschränkt den Zeitraum (in Minuten), nach dessen Ablauf eine Datei für einen Benutzer vor dem Download nicht mehr verfügbar ist, auf den angegebenen Wert. File availability time after download (Dateiverfügbarkeitsdauer nach Download) Beschränkt den Zeitraum (in Minuten), nach dessen Ablauf eine Datei für einen Benutzer nach dem Download nicht mehr verfügbar ist, auf den angegebenen Wert. Einstellungen für das Durchlassen von Daten Die Einstellungen für das Durchlassen von Daten werden zum Konfigurieren des Vorgangs des Durchlassens von Daten genutzt, der angewendet wird, wenn ein Benutzer mit dem Download eines Web-Objekts begonnen hat. Parameter für das Durchlassen von Daten Einstellungen bezüglich der einzelnen Teilpakete eines Web-Objekts, die im Datendurchlass-Modus weitergeleitet werden Tabelle 10-4 Parameter für das Durchlassen von Daten Option Definition Size of first chunk (Größe des ersten Pakets) Gibt die Größe des ersten Pakets (in Bytes) eines Web-Objekts an, dessen Weiterleitung mithilfe der Methode zum Durchlassen von Daten erfolgt. Forwarding rate (Weiterleitungsgeschwindigkeit) Gibt die Größe der Pakete eines Web-Objekts an, die einzeln alle fünf Sekunden weitergeleitet werden. Die Weiterleitungsgeschwindigkeit beträgt ein Tausendstel der gesamten weiterzuleitenden Datenmenge multipliziert mit dem hier konfigurierten Wert. McAfee Web Gateway 7.5.0 Produkthandbuch 399 10 Unterstützende Funktionen Bandbreitenbeschränkung Progress Indication (Regelsatz) Mithilfe des Bibliotheks-Regelsatzes „Progress Indication“ kann Benutzern der Fortschritt beim Herunterladen eines Web-Objekts angezeigt werden. Bibliotheks-Regelsatz – Progress Indication Criteria – MediaType.FromHeader does not equal text/html Cycles – Requests (and IM), Responses, Embedded Objects Das Regelsatzkriterium gibt an, dass der Regelsatz angewendet wird, wenn Medien, die als Antwort auf die von einem Benutzer gesendete Anfrage aus dem Web gesendet werden, nicht vom Typ „Text“ oder „HTML“ sind. Der Regelsatz enthält die folgenden Regeln. Enable progress page Header.Request.Get (“User-Agent”) matches regex (*.mozilla.*) –> Stop Rule Set – Enable Progress Page <Default> Die Regel aktiviert eine Fortschrittsseite für Mozilla-Browser. Die Ereigniseinstellungen geben das Erscheinungsbild der Fortschrittsseite an, z. B. die verwendete Sprache. FTP upload timeout prevention URL.Protocol equals "ftp" AND Command.Categories contains "Upload" –> Continue – Enable FTP Upload Progress Indication Die Regel aktiviert die Funktion „FTP Upload Progress Indication“, wenn eine Datei von einem Client unter dem FTP-Protokoll zum Hochladen ins Web gesendet wurde. Meldungen zum Upload-Fortschritt werden dann während des Upload-Prozesses an den Client gesendet, um eine Zeitüberschreitung zu verhindern, die bei einer längeren Upload-Dauer auf dem Client auftreten könnte. Eine solche Zeitüberschreitung kann z. B. auf das Scannen der hochzuladenden Datei auf Infektionen mit Viren und sonstiger Malware zurückzuführen sein. Enable data trickling Always –> Stop Rule Set – Enable Data Trickling<Default> Die Regel aktiviert das Durchlassen von Daten für alle Browser, bei denen es sich nicht um Mozilla-Browser handelt. In den Ereigniseinstellungen werden die Paket- und Blockgrößen für das Durchlassen angegeben. Bandbreitenbeschränkung Sie können die Geschwindigkeit zum Hochladen und Herunterladen von Daten an bzw. von der Appliance beschränken. Dies wird auch als Bandbreitenbeschränkung bezeichnet. Mithilfe der Bandbreitenbeschränkung können Sie beispielsweise vermeiden, dass die Netzwerkleistung, die Sie zur Durchführung eines bestimmten Tasks benötigen, von anderen Benutzern beeinträchtigt wird, die einzelne Objekte in das Internet hochladen oder große Downloads aus dem Internet herunterladen. 400 McAfee Web Gateway 7.5.0 Produkthandbuch Unterstützende Funktionen Bandbreitenbeschränkung 10 Bandbreitenbeschränkungsregeln Bandbreitenbeschränkungsregeln begrenzen die Übertragungsgeschwindigkeit, wenn Objekte ins Internet hochgeladen oder aus dem Internet heruntergeladen werden. Ereignisse in Bandbreitenbeschränkungsregeln In den Regeln zur Steuerung der Bandbreitenbeschränkung können zwei Ereignisse verwendet werden: • Throttle.Client: Beschränkt die Geschwindigkeit der Datenübertragung von einem Client an die Appliance Dies ist der Fall, wenn ein Client eine Anfrage zum Hochladen eines Objekts an einen Web-Server sendet und die Anfrage auf der Appliance zusammen mit dem Objekt abgefangen wird. • Throttle.Client: Beschränkt die Geschwindigkeit der Datenübertragung von einem Web-Server an die Appliance In diesem Fall gab es eine Client-Anfrage zum Herunterladen eines Objekts von einem Web-Server, und nach dem Filtern der Anfrage auf der Appliance sowie dem Weiterleiten der Anfrage sendet der Web-Server als Antwort das Objekt. Bandbreitenbeschränkungsregeln für Uploads Das nachfolgende Beispiel zeigt eine Regel, die eine Bandbreitenbeschränkungsregel für Uploads ausführen kann. Limit upload speed for hosts on throttling list (Upload-Geschwindigkeit für Hosts in Beschränkungslisten begrenzen) URL.Host is in list Upload Throttling List –> Continue – Throttle.Client (10) Die Regel verwendet das Ereignis Throttle.Client, um die Geschwindigkeit für Uploads auf 10 Kbit/s zu begrenzen, wenn sich der Web-Server, an den die Daten hochgeladen werden sollen, in einer bestimmten Liste befindet. In den Kriterien der Regel wird die URL.Host-Eigenschaft verwendet, um den Host-Namen des Web-Servers abzurufen, der in der Anfrage für das Hochladen angegeben wurde. Wenn die Upload-Beschränkungsliste diesen Namen enthält, werden die Kriterien verglichen und die Regel angewendet. Anschließend wird das Beschränkungsereignis ausgeführt. Die Aktion „Continue“ bewirkt, dass mit der Regelverarbeitung der nächsten Regel fortgefahren wird. Bandbreitenbeschränkungsregeln für Downloads Das nachfolgende Beispiel zeigt eine Regel, die eine Bandbreitenbeschränkungsregel für Downloads ausführen kann. Limit download speed for media types on throttling list (Download-Geschwindigkeit für Medientypen in Beschränkungslisten begrenzen) MediaType.EnsuredTypes at least one in list MediaType Throttling List –> Continue – Throttle.Server (1000) Die Regel verwendet das Ereignis Throttle.Server, um die Geschwindigkeit für Downloads auf 1000 Kbit/s zu begrenzen, wenn das herunterzuladende Web-Objekt zu einem Medientyp in einer bestimmten Liste gehört. McAfee Web Gateway 7.5.0 Produkthandbuch 401 10 Unterstützende Funktionen Bandbreitenbeschränkung In den Kriterien der Regel wird die MediaType.EnsuredTypes-Eigenschaft verwendet, um den Medientyp des Web-Objekts zu erkennen, das der Web-Server sendet. Ein Objekt kann auch zu mehreren Typen gehören. Wenn sich einer dieser Typen auf der Medientyp-Beschränkungsliste befindet, werden die Kriterien verglichen und die Regel angewendet. Anschließend wird das Beschränkungsereignis ausgeführt. Die Aktion „Continue“ bewirkt, dass mit der Regelverarbeitung der nächsten Regel fortgefahren wird. Bandbreitenbeschränkungsregeln und Regelsätze Es wird empfohlen, einen Gesamtregelsatz für Bandbreitenbeschränkungsregeln zu erstellen und zwei Regelsätze in diesen zu integrieren, einen zur Beschränkung von Uploads sowie einen weiteren zur Beschränkung von Downloads. Der integrierte Upload-Regelsatz kann dann für den Anfragezyklus und der eingebettete Download-Regelsatz für den Antwortzyklus gelten. Jeder integrierte Regelsatz kann über mehrere Beschränkungsregeln verfügen, die für verschiedene Arten von Web-Objekten gelten. Der Gesamtregelsatz für die Bandbreitenbeschränkung sollte am Anfang Ihres Regelsatzsystems platziert werden. Wenn dies nicht der Fall ist, können Regeln in anderen Regelsätzen unbeschränkte Downloads anderer Web-Objekte starten, bevor Ihre Beschränkungsregeln ausgeführt werden. Beispielsweise könnte eine Regel zur Virus- oder Malware-Filterung den Download eines Web-Objekts auslösen, das von einem Web-Server als Antwort auf eine Benutzeranfrage gesendet wurde. Das Web-Objekt muss dann vollständig auf die Appliance heruntergeladen werden, um zu überprüfen, ob es infiziert ist. Wenn sich der Regelsatz zur Bandbreitenbeschränkung hinter dem Regelsatz mit der Virus- und Malware-Filterungsregel befindet und nach dieser verarbeitet wird, wird keine Bandbreitenbeschränkung für den Download angewendet. Konfigurieren der Bandbreitenbeschränkung Sie können die Bandbreitenbeschränkung implementieren und konfigurieren, um sie an die Anforderungen Ihres Netzwerks anzupassen. Führen Sie die folgenden allgemeinen Schritte aus. Vorgehensweise 1 Erstellen Sie Listen von Web-Objekten, die von den Regeln für die Bandbreitenbeschränkung verwendet werden sollen. Sie können beispielsweise Folgendes erstellen: 402 • Eine Liste von Hosts, für die die Übertragungsgeschwindigkeit bei einem Upload von Objekten beschränkt wird • Eine Liste von Medientypen, für die die Übertragungsgeschwindigkeit beschränkt wird, wenn ein Objekt eines der betreffenden Typen auf sie heruntergeladen wird 2 Erstellen Sie einen Regelsatz für die Bandbreitenbeschränkung. 3 Erstellen Sie innerhalb dieses Regelsatzes Regeln für die Bandbreitenbeschränkung. McAfee Web Gateway 7.5.0 Produkthandbuch Unterstützende Funktionen Web-Caching 10 Sie können beispielsweise Folgendes erstellen: 4 • Eine Regel, mit der die Übertragungsgeschwindigkeit beschränkt wird, wenn Objekte auf bestimmte Hosts hochgeladen werden • Eine Regel, mit der die Übertragungsgeschwindigkeit beschränkt wird, wenn ein Objekt eines bestimmten Medientyps heruntergeladen wird Entwerfen Sie diese Regeln nach Bedarf. Sie können beispielsweise Folgendes ausführen: 5 • Konfigurieren Sie eine bestimmte Übertragungsgeschwindigkeit für das Ereignis Throttle.Client, das die Bandbreitenbeschränkung beim Hochladen von Objekten in das Web aktiviert. • Konfigurieren Sie eine bestimmte Übertragungsgeschwindigkeit für das Ereignis Throttle.Server, das die Bandbreitenbeschränkung beim Herunterladen von Objekten aus dem Web aktiviert. Speichern Sie die Änderungen. Web-Caching Ein Web-Cache wird auf der Appliance zum Speichern von Web-Objekten bereitgestellt, um schneller auf Client-Anfragen antworten zu können. Die Verwendung des Web-Caches der Appliance wird durch Regeln in einem Regelsatz gesteuert. Um herauszufinden, ob auf Ihrer Appliance ein Web-Cache-Regelsatz implementiert ist, überprüfen Sie das Regelsatzsystem auf der Registerkarte Rule Sets (Regelsätze) im übergeordneten Menü Policy (Richtlinie). Wenn keiner implementiert ist, können Sie den Bibliotheks-Regelsatz „Web Cache“ importieren. Nach dem Importieren dieses Regelsatzes können Sie diesen auf der Registerkarte Rule Sets (Regelsätze) überprüfen und für Ihr Netzwerk bearbeiten. Alternativ können Sie einen Regelsatz mit eigenen Regeln erstellen. Ein Web-Cache-Regelsatz enthält üblicherweise Regeln zum Lesen von Objekten aus dem Cache sowie zum Schreiben von Objekten in den Cache. Zusätzlich können Umgehungsregeln vorhanden sein, die Objekte vom Lesen und Schreiben ausschließen. Überprüfen der Aktivierung des Web-Cache Sie können überprüfen, ob der Web-Cache aktiviert ist. Vorgehensweise 1 Wählen Sie Configuration Appliances (Konfiguration | Appliances) aus. 2 Wählen Sie in der Appliances-Baumstruktur die Appliance aus, für die Sie die Aktivierung des Web-Cache überprüfen möchten, und klicken Sie auf Proxies (HTTP(S), FTP, ICAP, and IM) (Proxys (HTTP(S), FTP, ICAP und IM)). 3 Scrollen Sie nach unten zum Bereich Web Cache (Web-Cache), und überprüfen Sie, ob Enable Cache (Cache aktivieren) ausgewählt ist. Aktivieren Sie diese Option bei Bedarf. 4 Klicken Sie bei Bedarf auf Save Changes (Änderungen speichern). McAfee Web Gateway 7.5.0 Produkthandbuch 403 10 Unterstützende Funktionen Web-Caching Web Cache (Regelsatz) Der Regelsatz „Web Cache“ ist ein Bibliotheks-Regelsatz für Web-Caching. Bibliotheks-Regelsatz – Web Cache Criteria – Always Cycles – Requests (and IM) and responses Dieser Regelsatz enthält die folgenden untergeordneten Regelsätze: • Read from Cache • Write to Cache Read from Cache Dieser untergeordnete Regelsatz ermöglicht das Lesen von Web-Objekten aus dem Cache und verbietet dies für URLs, die sich in einer Umgehungsliste befinden. Untergeordneter Bibliotheks-Regelsatz – Read from Cache Criteria – Always Cycles – Requests (and IM) Der Regelsatz enthält die folgenden Regeln. Skip caching URLs that are in Web Cache URL Bypass List URL matches in list Web Cache URL Bypass List –> Stop Rule Set Die Regel überprüft mithilfe der Eigenschaft URL, ob sich angefragte URLs in der angegebenen Umgehungsliste befinden. Wenn dies der Fall ist, wird die Verarbeitung des Regelsatzes angehalten. Die Regel, die das Lesen aus dem Cache ermöglicht, wird dann nicht verarbeitet. Die Verarbeitung wird mit dem nächsten Regelsatz fortgesetzt. Die Regel ist standardmäßig nicht aktiviert. Enable Web Cache Always –> Continue — Enable Web Cache Die Regel wird immer verarbeitet, sofern sie nicht übersprungen wird, wenn die im Regelsatz vor der Regel platzierte Umgehungsregel gilt. Sie aktiviert den Web-Cache, sodass darin gespeicherte Objekte gelesen werden können. Die Verarbeitung wird mit dem nächsten Regelsatz fortgesetzt. Write to Cache Dieser untergeordnete Regelsatz ermöglicht das Schreiben von Web-Objekten in den Cache und verbietet dies sowohl für große Objekte als auch für URLs und Medientypen in bestimmten Umgehungslisten. Untergeordneter Bibliotheks-Regelsatz – Write to Cache Criteria – Always Cycles – Responses Der Regelsatz enthält die folgenden Regeln. 404 McAfee Web Gateway 7.5.0 Produkthandbuch Unterstützende Funktionen Nächster-Hop-Proxys 10 Skip caching URLs that are in Web Cache URL Bypass List URL matches in list Web Cache URL Bypass List –> Stop Rule Set Die Regel überprüft mithilfe der Eigenschaft URL, ob sich angefragte URLs in der angegebenen Umgehungsliste befinden. Wenn dies der Fall ist, wird die Verarbeitung des Regelsatzes angehalten. Die Regel, die das Lesen aus dem Cache ermöglicht, wird dann nicht verarbeitet. Die Verarbeitung wird mit dem nächsten Regelsatz fortgesetzt. Die Regel ist standardmäßig nicht aktiviert. Skip caching URLs that are in Web Cache URL Bypass List URL matches in list Web Cache URL Bypass List –> Stop Rule Set Die Regel überprüft mithilfe der Eigenschaft URL, ob sich angefragte URLs in der angegebenen Umgehungsliste befinden. Wenn dies der Fall ist, wird die Verarbeitung des Regelsatzes angehalten. Die Regel, die das Lesen aus dem Cache ermöglicht, wird dann nicht verarbeitet. Die Verarbeitung wird mit dem nächsten Regelsatz fortgesetzt. Die Regel ist standardmäßig nicht aktiviert. Skip caching URLs that are in Web Cache URL Bypass List URL matches in list Web Cache URL Bypass List –> Stop Rule Set Die Regel überprüft mithilfe der Eigenschaft URL, ob sich angefragte URLs in der angegebenen Umgehungsliste befinden. Wenn dies der Fall ist, wird die Verarbeitung des Regelsatzes angehalten. Die Regel, die das Lesen aus dem Cache ermöglicht, wird dann nicht verarbeitet. Die Verarbeitung wird mit dem nächsten Regelsatz fortgesetzt. Die Regel ist standardmäßig nicht aktiviert. Enable Web Cache Always –> Continue — Enable Web Cache Die Regel wird immer verarbeitet, sofern sie nicht übersprungen wird, wenn die im Regelsatz vor der Regel platzierte Umgehungsregel gilt. Sie aktiviert den Web-Cache, sodass darin gespeicherte Objekte gelesen werden können. Die Verarbeitung wird mit dem nächsten Regelsatz fortgesetzt. Nächster-Hop-Proxys Nächster-Hop-Proxys können als zusätzliche Maßnahme zum Weiterleiten von Anfragen, die von den Clients einer Appliance erhalten wurden, an ihre Ziele verwendet werden. Wenn Nächster-Hop-Proxys implementiert sind, verwendet eine Regel in einem zugehörigen Regelsatz ein Modul (auch als Engine bezeichnet) zum Aufrufen von Nächster-Hop-Proxys, die in eine Liste zur Weiterleitung von Anfragen eingegeben wurden. Beispielsweise können Sie mit internen Nächster-Hop-Proxys Anfragen weiterleiten, die über interne Ziele verfügen. IP-Adressen von internen Zielen werden dann in eine Liste eingegeben, auf der die Weiterleitungsregel basiert. Zusätzlich gibt es eine Liste interner Nächster-Hop-Proxys zur Verwendung durch die Regel. McAfee Web Gateway 7.5.0 Produkthandbuch 405 10 Unterstützende Funktionen Nächster-Hop-Proxys Ein Regelsatz mit einer Regel zur Verwendung von Nächster-Hop-Proxys wird auf der Appliance nach der Erstkonfiguration nicht implementiert. Sie können einen Regelsatz aus der Bibliothek importieren und entsprechend den Bedürfnissen Ihres Netzwerks anpassen oder einen eigenen Regelsatz erstellen. Wenn Sie den Nächster-Hop-Proxy-Regelsatz importieren, wird auch eine Liste mit Servern importiert, die als Nächster-Hop-Proxys verwendet werden können. Die Liste ist anfangs leer und muss von Ihnen gefüllt werden. Sie können auch mehrere Listen erstellen und diese Listen zum Routing in verschiedenen Situationen verwenden. Einstellungen für das Nächster-Hop-Proxy-Modul werden mit dem Bibliotheks-Regelsatz importiert. Sie können diese Einstellungen so konfigurieren, dass das Modul eine bestimmte Nächster-Hop-Proxy-Liste verwendet und der Modus zum Aufrufen der Nächster-Hop-Proxys ermittelt wird (Round-Robin oder Failover). Nächster-Hop-Proxy-Modi Wenn mehrere Server als Nächster-Hop-Proxys zum Routing von Anfragen verfügbar sind, kann das Nächster-Hop-Proxy-Modul zwei Modi verwenden, um diese aufzurufen: Round-Robin und Failover. Beim Routing einer Anfrage im Round-Robin-Modus ruft das Nächster-Hop-Proxy-Modul den Nächster-Hop-Proxy auf, der sich in der Liste neben dem zuletzt aufgerufenen Proxy befindet. Bei der nächsten Anfrage wird dies auf die gleiche Art gehandhabt, sodass irgendwann alle Server in der Liste als Nächste-Hop-Proxys verwendet wurden. Das folgende Diagramm veranschaulicht eine Nächster-Hop-Proxy-Konfiguration im Round-Robin-Modus. Abbildung 10-1 Nächster-Hop-Proxys im Round-Robin-Modus Beim Routing einer Anfrage im Failover-Modus ruft das Nächster-Hop-Proxy-Modul den ersten Nächster-Hop-Proxy in der Liste auf. Wenn dieser Nächster-Hop-Proxy nicht antwortet, wird dieser Aufruf wiederholt, bis die konfigurierte Anzahl erneuter Versuche erreicht ist. Erst danach wird versucht, den zweiten Nächster-Hop-Proxy in der Liste aufzurufen. Dieser wird auf die gleiche Weise wie der erste aufgerufen, und anschließend wird versucht, den dritten Nächster-Hop-Proxy in der Liste aufzurufen. Dies wird solange wiederholt, bis ein Nächster-Hop-Proxy antwortet oder festgestellt wird, dass alle Nächster-Hop-Proxys in der Liste nicht verfügbar sind. 406 McAfee Web Gateway 7.5.0 Produkthandbuch Unterstützende Funktionen Nächster-Hop-Proxys 10 Das folgende Diagramm veranschaulicht eine Nächster-Hop-Proxy-Konfiguration im Failover-Modus. Abbildung 10-2 Nächster-Hop-Proxys im Failover-Modus Konfigurieren von Nächster-Hop-Proxys Sie können die Verwendung von Nächster-Hop-Proxys implementieren und konfigurieren, um sie an die Anforderungen Ihres Netzwerks anzupassen. Führen Sie die folgenden allgemeinen Schritte aus. Vorgehensweise 1 Importieren Sie den Regelsatz „Next Hop Proxy“ aus der Bibliothek. 2 Überprüfen Sie die Regeln in diesem Regelsatz, und ändern Sie sie gegebenenfalls. Sie können beispielsweise Folgendes ausführen: • Bearbeiten Sie die Listen, die von der Regel für Nächster-Hop-Proxys verwendet werden. Ein gelbes Dreieck neben dem Namen einer Liste zeigt an, dass die Liste anfänglich leer ist und Sie Einträge hinzufügen müssen. • 3 Konfigurieren Sie die Einstellungen des Next Hop Proxy-Moduls. Speichern Sie die Änderungen. Hinzufügen eines Proxys am nächsten Hop zu einer Liste Mit den folgenden Schritten können Sie einen Proxy am nächsten Hop einer Liste hinzufügen. Vorgehensweise 1 Öffnen Sie das Fenster Edit Settings (Einstellungen bearbeiten), um die Einstellungen des Moduls „Next Hop Proxy“ (Proxys am nächsten Hop) anzuzeigen. 2 Wählen Sie unter Next Hop Proxy Server (Proxy-Server am nächsten Hop) aus der List of next-hop proxy servers (Liste der Proxy-Server am nächsten Hop) eine entsprechende Liste aus, und klicken Sie auf Edit (Bearbeiten). Daraufhin öffnet sich das Fenster Edit List (Next Hop Proxy Server) (Liste bearbeiten (Proxy-Server am nächsten Hop). McAfee Web Gateway 7.5.0 Produkthandbuch 407 10 Unterstützende Funktionen Nächster-Hop-Proxys 3 Klicken Sie unter List content (Listeninhalt) auf das Symbol Hinzufügen. Daraufhin öffnet sich das Fenster Add Next Hop Proxy (Proxy am nächsten Hop hinzufügen). 4 Konfigurieren Sie je nach Bedarf die Einstellungen für einen Proxy am nächsten Hop. 5 Klicken Sie in allen noch geöffneten Fenstern auf OK. 6 Klicken Sie auf Save Changes (Änderungen speichern). Der Proxy am nächsten Hop wird nun der ausgewählten Liste hinzugefügt. Siehe auch Einstellungen für „Add Next Hop Proxy“ (Proxy am nächsten Hop hinzufügen) auf Seite 413 Konfigurieren des Moduls „Next Hop Proxy“ Sie können das Modul „Next Hop Proxy“ konfigurieren, um zu ändern, wie Anfragen mithilfe von Nächster-Hop-Proxys an das Web weitergeleitet werden. Vorgehensweise 1 Wählen Sie Policy | Rule Sets (Richtlinie | Regelsätze) aus. 2 Wählen Sie in der Regelsatz-Baumstruktur den Regelsatz für Nächster-Hop-Proxys aus. Wenn Sie den Bibliotheks-Regelsatz für diese Funktion implementiert haben, ist dies der Regelsatz Next Hop Proxy. Nun werden die Regeln des Regelsatzes im Einstellungsbereich angezeigt. 3 Achten Sie darauf, dass Show details (Details anzeigen) ausgewählt ist. 4 Suchen Sie nach der Regel, die das Modul „Next Hop Proxy“ aufruft. Im Bibliotheks-Regelsatz ist dies die Regel Use internal proxy for internal host. 5 Klicken Sie im Regelereignis auf den Namen der Einstellungen. Im Bibliotheks-Regelsatz lautet dieser Name Internal Proxy. Daraufhin öffnet sich das Fenster Edit Settings (Einstellungen bearbeiten). Es enthält die Einstellungen für das Modul „Next Hop Proxy“. 6 Konfigurieren Sie diese Einstellungen nach Bedarf. 7 Klicken Sie auf OK, um das Fenster zu schließen. 8 Klicken Sie auf Save Changes (Änderungen speichern). Siehe auch Next Hop Proxy (Regelsatz) auf Seite 415 Proxys am nächsten Hop für SOCKS-Datenverkehr Auf einem Proxy am nächsten Hop kann eingestellt werden, dass Web-Datenverkehr über das SOCKS-Protokoll weitergeleitet wird. Bei diesem Protokoll erfolgt der Web-Datenverkehr außerdem auch über ein eingebettetes Protokoll, das Web Gateway erkennen kann. Wenn es sich bei diesem eingebetteten Protokoll um HTTP oder HTTPS handelt, kann der Web-Datenverkehr entsprechend den konfigurierten Regeln gefiltert werden. 408 McAfee Web Gateway 7.5.0 Produkthandbuch Unterstützende Funktionen Nächster-Hop-Proxys 10 Für die Weiterleitung von Web-Datenverkehr können die Versionen 4 und 5 des SOCKS-Protokolls verwendet werden. Die SOCKS-Version wird beim Einrichten eines Proxys am nächsten Hop festgelegt. Standardmäßig wird für den ausgehenden Datenverkehr die gleiche Version verwendet, die für den eingehenden Datenverkehr festgelegt ist. Konfigurieren eines Proxys am nächsten Hop für SOCKS-Datenverkehr Wenn Sie einen Proxy am nächsten Hop für den SOCKS-Datenverkehr konfigurieren möchten, betreiben Sie Web Gateway als SOCKS-Proxy, und implementieren Sie die passenden Regelsätze zum Aktivieren eines Proxys am nächsten Hop sowie zum Filtern des Datenverkehrs. Aufgaben • Aktivieren eines SOCKS-Proxys auf Seite 409 Durch entsprechende Konfiguration der Proxy-Einstellungen kann Web Gateway als SOCKS-Proxy betrieben werden. • Konfigurieren eines Regelsatzes für einen Proxy am nächsten Hop für den SOCKSDatenverkehr auf Seite 409 Zum Konfigurieren eines Regelsatzes für den SOCKS-Datenverkehr müssen Sie die Kriterien des Bibliotheks-Regelsatzes „Next Hop Proxy“ bearbeiten und eine Regel hinzufügen, mit der ein Proxy am nächsten Hop über das SOCKS-Protokoll aktiviert wird. • Konfigurieren des Regelsatzes „SOCKS Proxy“ auf Seite 410 Zum Filtern von Datenverkehr, der über das SOCKS-Protokoll an Proxys am nächsten Hop weitergeleitet wird, ist eine Einstellung erforderlich, die Sie im Regelsatz „SOCKS Proxy“ konfigurieren können. Aktivieren eines SOCKS-Proxys Durch entsprechende Konfiguration der Proxy-Einstellungen kann Web Gateway als SOCKS-Proxy betrieben werden. Vorgehensweise 1 Wählen Sie Configuration | Appliances (Konfiguration | Appliances) aus. 2 Wählen Sie in der Appliances-Struktur die Web Gateway-Appliance aus, die Sie für den Betrieb als SOCKS-Proxy konfigurieren möchten, und klicken Sie anschließend auf Proxies (Proxys). 3 Führen Sie einen Bildlauf nach unten bis zum Bereich SOCKS Proxy (SOCKS-Proxy) durch, und wählen Sie die Option Enable SOCKS proxy (SOCKS-Proxy aktivieren) aus. 4 Klicken Sie auf Save Changes (Änderungen speichern). Konfigurieren eines Regelsatzes für einen Proxy am nächsten Hop für den SOCKSDatenverkehr Zum Konfigurieren eines Regelsatzes für den SOCKS-Datenverkehr müssen Sie die Kriterien des Bibliotheks-Regelsatzes „Next Hop Proxy“ bearbeiten und eine Regel hinzufügen, mit der ein Proxy am nächsten Hop über das SOCKS-Protokoll aktiviert wird. Vorgehensweise 1 Importieren Sie den Bibliotheks-Regelsatz Next Hop Proxy aus der Bibliothek. 2 Verschieben Sie den Regelsatz in der Regelsatz-Baumstruktur nach oben, und zwar direkt hinter den Regelsatz, den Sie für die Authentifizierung von Benutzern verwenden, z. B. Explicit Proxy Authentication and Authorization. 3 Ersetzen Sie das Regelsatzkriterium Always durch Connection.Protocol equals "SOCKS". McAfee Web Gateway 7.5.0 Produkthandbuch 409 10 Unterstützende Funktionen Nächster-Hop-Proxys 4 Fügen Sie eine Regel zum Aktivieren eines Proxys am nächsten Hop hinzu. a Konfigurieren Sie die Regelkriterien so, dass die Regel auf bestimmte Anfragen angewendet wird. Sie können als Regelkriterium z. B. Client.IP matches in list Client IP verwenden, damit die Regel nur auf Anfragen von Clients angewendet wird, deren IP-Adresse sich in einer bestimmten Liste befindet. b Legen Sie als Regelaktion Continue fest. c Legen Sie als Regelereignis Enable Next Hop Proxy fest. d Konfigurieren Sie die Einstellungen des Regelereignisses. • Fügen Sie einen Proxy am nächsten Hop zur Liste der Proxys am nächsten Hop hinzu. Geben Sie beim Hinzufügen des Proxys am nächsten Hop die erforderlichen SOCKS-Parameter an. • 5 Konfigurieren Sie weiteren Optionen nach Bedarf. Klicken Sie auf Save Changes (Änderungen speichern). Sie können dem Regelsatz „Next Hop Proxy“ weitere Regeln hinzufügen und bei jedem Einrichten eines neuen Proxys am nächsten Hop andere Kriterien verwenden. Siehe auch Next Hop Proxy (Regelsatz) auf Seite 415 Hinzufügen eines Proxys am nächsten Hop zu einer Liste auf Seite 407 Einstellungen für „Add Next Hop Proxy“ (Proxy am nächsten Hop hinzufügen) auf Seite 413 Regeln zum Aktivieren von Proxys am nächsten Hop für SOCKS-Datenverkehr auf Seite 411 Konfigurieren des Regelsatzes „SOCKS Proxy“ Zum Filtern von Datenverkehr, der über das SOCKS-Protokoll an Proxys am nächsten Hop weitergeleitet wird, ist eine Einstellung erforderlich, die Sie im Regelsatz „SOCKS Proxy“ konfigurieren können. Vorgehensweise 1 Importieren Sie den Regelsatz SOCKS Proxy aus der Bibliothek. Dieser befindet sich in der Kategorie Common Rules (Allgemeine Regeln). 2 Platzieren Sie den Regelsatz in der Regelsatz-Baumstruktur direkt hinter dem Regelsatz Next Hop Proxy. 3 Klicken Sie im untergeordneten Regelsatz Protocol Detection des Regelsatzes SOCKS Proxy auf die Einstellungen des Moduls Protocol Detector (Protokollerkennung). Standardmäßig tragen diese Einstellungen den Namen Default (Standard). Daraufhin öffnet sich das Fenster Edit Settings (Einstellungen bearbeiten). 4 Wählen Sie unter Protocol Detector Options (Protokollerkennungsoptionen) die Option Determine next-hop proxy after receiving embedded data (Proxy am nächsten Hop nach Erhalt eingebetteter Daten ermitteln) aus. 5 Klicken Sie auf OK, um das Fenster zu schließen. 6 Klicken Sie auf Save Changes (Änderungen speichern). Weitere Informationen zum Regelsatz „SOCKS Proxy“ finden Sie im Kapitel Proxys. 410 McAfee Web Gateway 7.5.0 Produkthandbuch Unterstützende Funktionen Nächster-Hop-Proxys 10 Siehe auch Einstellungen für „Protocol Detector“ auf Seite 414 Regeln zum Aktivieren von Proxys am nächsten Hop für SOCKSDatenverkehr Sie können dem Regelsatz „Next Hop Proxy“ Regeln hinzufügen und dabei verschiedene Kriterien für die Einrichtung eines Proxys am nächsten Hop verwenden. Mit der folgenden Regel können Sie einen Proxy am nächsten Hop für eine Anfrage aktivieren, die von einem Web Gateway-Client mit einer IP-Adresse von einer bestimmten Liste empfangen wurde. Name Enable next-hop proxy for SOCKS traffic if received from listed client (Proxy am nächsten Hop für SOCKS-Datenverkehr von einem aufgelisteten Client aktivieren) Criteria (Kriterium) Client.IP matches in list Client IPs Action (Aktion) –> Continue Enable Next Hop Proxy<SOCKS Next Hop Proxy> Die Regel überprüft mithilfe der Eigenschaft Client.IP, ob die IP-Adresse eines Clients, von dem eine Anfrage empfangen wurde, in der Liste enthalten ist. In diesem Fall aktiviert ein Ereignis einen Proxy am nächsten Hop für diesen Datenverkehr. Das Ereignis wird mit bestimmten Einstellungen ausgeführt, die Sie konfigurieren können, um beispielsweise die zu verwendende Version des SOCKS-Protokolls anzugeben. Die nächste Regel aktiviert einen Proxy am nächsten Hop, wenn unter dem SOCKS-Protokoll ein HTTP-Protokoll eingebettet ist. Name Enable next-hop proxy for SOCKS traffic with embedded HTTP protocol (Proxy am nächsten Hop für SOCKS-Datenverkehr mit eingebettetem HTTP-Protokoll aktivieren) Criteria (Kriterium) ProtocolDetector.DetectedProtocol<Default> equals "HTTP" Action (Aktion) –> Continue Enable Next Hop Proxy<Embedded Protocol HTTP Next Hop Proxy> Die Regel überprüft mithilfe der Eigenschaft ProtocolDetector.DetectedProtocol<, ob es sich beim eingebetteten Protokoll um ein HTTP-Protokoll handelt. In diesem Fall aktiviert ein Ereignis einen Proxy am nächsten Hop für diesen Datenverkehr. Das Ereignis wird mit bestimmten Einstellungen ausgeführt, die Sie konfigurieren können, um beispielsweise die zu verwendende Version des SOCKS-Protokolls anzugeben. Bei Verwendung dieser Regel müssen Sie auch die Option Determine next-hop proxy after receiving embedded data (Proxy am nächsten Hop nach Empfang der eingebetteten Daten ermitteln) in den Einstellungen für das Modul „Protocol Detector“ (oder Engine) aktivieren. Die nächste Regel aktiviert einen Proxy am nächsten Hop, wenn unter dem SOCKS-Protokoll ein HTTPS-Protokoll eingebettet ist. Name Enable next-hop proxy for SOCKS traffic with embedded HTTPS protocol (Proxy am nächsten Hop für SOCKS-Datenverkehr mit eingebettetem HTTPS-Protokoll aktivieren) McAfee Web Gateway 7.5.0 Produkthandbuch 411 10 Unterstützende Funktionen Nächster-Hop-Proxys Criteria (Kriterium) Action (Aktion) ProtocolDetector.DetectedProtocol<Default> equals "HTTPS" –> Continue Enable Next Hop Proxy<Embedded Protocol HTTPS Next Hop Proxy> Die Regel überprüft mithilfe der Eigenschaft ProtocolDetector.DetectedProtocol<, ob es sich beim eingebetteten Protokoll um ein HTTP-Protokoll handelt. In diesem Fall aktiviert ein Ereignis einen Proxy am nächsten Hop für diesen Datenverkehr. Das Ereignis wird mit bestimmten Einstellungen ausgeführt, die Sie konfigurieren können, um beispielsweise die zu verwendende Version des SOCKS-Protokolls anzugeben. Bei Verwendung dieser Regel müssen Sie auch die Option Determine next-hop proxy after receiving embedded data (Proxy am nächsten Hop nach Empfang der eingebetteten Daten ermitteln) in den Einstellungen für das Modul „Protocol Detector“ (oder Engine) aktivieren. Die nächste Regel aktiviert einen Proxy am nächsten Hop für alle unter dem SOCKS-Protokoll eingebetteten Protokolle. Name Enable next-hop proxy for SOCKS traffic with any embedded protocol (Proxy am nächsten Hop für SOCKS-Datenverkehr mit eingebettetem Protokoll aktivieren) Criteria (Kriterium) Connection.Protocol.Parent equals " SOCKS" Action (Aktion) –> Continue Enable Next Hop Proxy<Embedded Protocol Next Hop Proxy> Die Regel überprüft mithilfe der Eigenschaft Connection.Protocol.Parent, ob das SOCKS-Protokoll in einer Anfrage zur Weiterleitung von SOCKS-Datenverkehr an das Internet als übergeordnetes Protokoll angegeben ist. Wenn SOCKS als übergeordnetes Protokoll angegeben ist, bedeutet das, dass es auch ein eingebettetes Protokoll geben muss. In diesem Fall aktiviert ein Ereignis einen Proxy am nächsten Hop für diesen Datenverkehr. Das Ereignis wird mit bestimmten Einstellungen ausgeführt, die Sie konfigurieren können, um beispielsweise die zu verwendende Version des SOCKS-Protokolls anzugeben. Die nächste Regel ist der vorhergehenden Regel sehr ähnlich. Sie aktiviert einen Proxy am nächsten Hop für Datenverkehr unter dem SOCKS-Protokoll oder Datenverkehr, der direkt unter dem HTTP-Protokoll ausgeführt wird, ohne in das SOCKS-Protokoll eingebettet zu sein. Name Enable next-hop proxy for SOCKS traffic with any embedded protocol (Proxy am nächsten Hop für SOCKS-Datenverkehr mit eingebettetem Protokoll aktivieren) Criteria (Kriterium) Action (Aktion) Connection.Protocol.Parent equals " SOCKS" –> Continue OR Connection.Protocol equals "HTTP" Enable Next Hop Proxy<Embedded Protocol Next Hop Proxy> Siehe auch Einstellungen für „Protocol Detector“ auf Seite 414 412 McAfee Web Gateway 7.5.0 Produkthandbuch Unterstützende Funktionen Nächster-Hop-Proxys 10 Einstellungen für Nächster-Hop-Proxy Mit den Einstellungen des Nächster-Hop-Proxys werden Nächster-Hop-Proxys konfiguriert, über die Anfragen, die auf der Appliance eingegangen sind, an das Web weitergeleitet werden sollen. Nächster-Hop-Proxy-Server Einstellungen für Nächster-Hop-Proxys Tabelle 10-5 Nächster-Hop-Proxy-Server Option Definition List of next-hop proxy servers (Liste der Nächster-Hop-Proxy-Server) Zeigt eine Liste zur Auswahl einer Nächster-Hop-Proxy-Serverliste. Round robin (Round-Robin) Bei Auswahl dieser Option verwendet das Nächster-Hop-Proxy-Modul den Nächster-Hop-Proxy nach dem zuletzt verwendeten Proxy aus der Liste. Wenn das Ende der Liste erreicht wird, wird erneut der erste Nächster-Hop-Proxy in der Liste ausgewählt. Fail over (Failover) Bei Auswahl dieser Option versucht das Nächster-Hop-Proxy-Modul zuerst, den ersten Nächster-Hop-Proxy in der Liste zu verwenden. Wenn der erste Proxy am nächsten Hop nicht reagiert, wird die Verbindungsherstellung so lange wiederholt, bis die konfigurierte Höchstanzahl von erneuten Versuchen erreicht ist. Dann wird versucht, den zweiten Proxy am nächsten Hop in der Liste zu verwenden usw., bis ein Server reagiert oder ermittelt wird, dass kein Proxy verfügbar ist. Einstellungen für „Add Next Hop Proxy“ (Proxy am nächsten Hop hinzufügen) In den Einstellungen für „Add Next Hop Proxy“ (Proxy am nächsten Hop hinzufügen) können Sie einen Proxy am nächsten Hop konfigurieren, der einer Liste von Proxys am nächsten Hop hinzugefügt wird. Next Hop Proxy Definition (Definition des Proxys am nächsten Hop) Einstellungen für das K