...
| Info |
|---|
Die für Microsoft 365 (ehemals Office 365) erforderlichen URLs und IP-Adressen finden Sie auf der Hilfeseite zu Microsoft 365. |
| Info |
|---|
Einige Applikationen verwenden ausschließlich das in der Software selbst integrierte Zertifikat und ignorieren die importierte CA der Unified Firewall ("Certificate Pinning" genannt). Dieses Verfahren wird von den Betriebs-Systemen Android und iOS im Standard verwendet. Dadurch kann es bei Verwendung entsprechender Endgeräte in Verbindung mit dem HTTP(S)-Proxy zu Kommunikations-Problemen kommen. Es ist zwar grundsätzlich möglich, den Datenverkehr über ein Desktop-Objekt am HTTPS-Proxy vorbeizuleiten (siehe Schritt 2). Allerdings kann dies schnell sehr aufwendig werden. LANCOM Systems empfiehlt daher Endgeräte mit Android und iOS in einem separaten Netzwerk ohne HTTP(S)-Proxy zu betreiben. Die Kommunikation kann in diesem Fall durch den Application Filter sowie den URL-/Content Filter eingeschränkt werden. |
Voraussetzungen:
- LANCOM R&S®Unified Firewall mit LCOS FX ab Version 10.3
- Eingerichtetes und funktionsfähiges Netzwerk samt Internetzugang auf der Unified Firewall
- Bereits eingerichteter und funktionsfähiger HTTP-Proxy auf der Unified Firewall
- Web-Browser zur Konfiguration der Unified Firewall.
Es werden folgende Browser unterstützt:- Google Chrome
- Chromium
- Mozilla Firefox
...
1. Eintragen von DNS-Namen im HTTP-Proxy:
| Info |
|---|
Bei Verwendung der HTTP(S)-Proxy-Whitelist werden die Webseiten nicht durch den Proxy geprüft. Allerdings wird jeglicher Datenverkehr mit den TCP-Ports 80 und 443 weiterhin über den HTTP(S)-Proxy übertragen. Wird anderer Datenverkehr über die TCP-Ports 80 bzw. 443 getunnelt (etwa bei Fernwartungs-Anwendungen oder VPN-Clients in restriktiven Umgebungen), kann es vorkommen, dass der HTTP(S)-Proxy die Pakete nicht verarbeiten kann und diese somit nicht überträgt. Entsprechender Datenverkehr muss daher über ein Desktop-Objekt am HTTP(S)-Proxy vorbeigeleitet werden (siehe Schritt 2). |
1.1 Öffnen Sie die Konfigurations-Oberfläche der Unified Firewall im Browser und wechseln in das Menü UTM → Proxy → HTTP-Proxy-Einstellungen.
...
2. Erstellen einer separaten Firewall-Regel mit der IP-Adresse des Web-Servers:
| Info |
|---|
Durch Erstellen eines Desktop-Objektes mit einer separaten Firewall-Regel kann der Datenverkehr am HTTP(S)-Proxy vorbeigeleitet werden. Certificate-Pinning sowie weitere Mechanismen zur Absicherung der Kommunikation wie HSTS (HTTP Strict Transport Security) führen häufig dazu, dass Datenverkehr nicht über den HTTP(S)-Proxy übertragen werden kann. Dies trifft besonders auf Anwendungen zu, welche sensible Daten verarbeiten, z.B. im Gesundheitswesen oder Finanzdienstleistungen, aber auch Streaminganbieter oder Messenger-Dienste. Entsprechende Anwendungen und Webseiten können i.d.R. nur dann verwendet werden, wenn die Kommunikation am HTTP(S)-Proxy vorbeigeleitet wird. |
2.1 Öffnen Sie die Konfigurations-Oberfläche der Unified Firewall im Browser und klicken auf das Symbol zum Erstellen eines Hosts.
...
2.9 Klicken Sie auf Aktivieren, damit die vorgenommen Änderungen von der Unified Firewall umgesetzt werden.
3. Verwendung des intransparenten HTTP(S)-Proxys:
Bei Verwendung des intransparenten HTTP(S)-Proxys muss dieser in den Einstellungen der Anwendung oder im Betriebssystem des Endgerätes hinterlegt werden. Anwendungen verhalten sich bei dieser Betriebsart deutlich toleranter. Allerdings setzt dieser Modus voraus, dass die Anwendung entweder über eigene Proxy-Einstellungen verfügt oder den im Betriebssystem hinterlegten Proxy übernimmt.
Die Konfiguration des intransparenten HTTP(S)-Proxys ist in dem folgenden Knowledge Base Artikel Artikel beschrieben:
HTTP(S)-Proxy einer LANCOM R&S®Unified Firewall nur im Browser verwenden