Proxies und Proxy-Filter
Wenn ein Klient eine Anforderung an den Webserver sendet oder der Webserver antwortet, ist der erste Part einer solchen Antwort immer ein HTTP Request oder HTTP Response. Als ersten Teil des HTTP Request oder Response sendet der Klient oder der Server einen HTTP Header. Das Request Header Feld erlaubt dem Klienten zusätzliche Informationen über den Request an den Server mitzugeben. Mit der TightGate™-Firewall haben Sie die Möglichkeit, den HTTP-Header Requests einzelne Informationen zu erlauben oder zu verbieten. Damit können Sie z.B. sicherstellen, dass im HTTP-Header keine Informationen über den benutzten Server oder den benutzten User-Agent übertragen werden. Solche Informationen werden von Hackern gerne zur Vorbereitung eines gezielten Angriffs genutzt.
Um Änderungen an den Proxy-Einstellungen vorzunehmen melden Sie sich bitte als Benutzer config an und wählen dann den Menüpunkt Einstellungen>Proxies aus. Sie haben folgende Konfigurationsmöglichkeiten:
| Menüpunkt | Beschreibung |
|---|---|
| Ende | Verlassen des Menüs. |
| ——– | |
| Squid-HTTP-Proxy | Auswahl, ob der Squid-Proxy für HTTP-Anfragen verwendet werden soll. |
| Squid3-HTTP-Proxy | Auswahl, ob der Squid3-Proxy für HTTP-Anfragen angewendet werden soll |
| Erlaubte HTTP-Ports | Auswahl der HTTP-Ports, die über den HTTP-Proxy erreichbar sein sollen. |
| Erlaubte HTTPS-Ports | Auswahl der HTTPS-Ports, die über den HTTP-Proxy erreichbar sein sollen. |
| Transparenter HTTP-Proxy | Auswahl ob ein transparenter HTTP-Proxy gestartet werden soll, der alle Anfragen die auf Port 80 an beliebige Adressen gehen auf den HTTP-Proxy umleitet. Hierfür stehen die eingeschalteten Proxys (Squid, Squid3) zur Verfügung. Dieser Dienst wird nur gestartet, wenn der HTTP-Proxy gestartet ist. |
| Zugriffe protokollieren | Auswahl, ob die HTTP-Proxy Zugriffe mitprotokolliert werden sollen. |
| MIME-Header protokollieren | Angabe, ob der Squit-MIME-Header mit protokolliert werden soll. |
| HTTP-Proxy-Scanner | Auswahl, ob der Malware HTTP-Filter auf Port 3131 gestartet werden soll. Falls dieser Filter verwendet werden soll ist darauf zu achten, dass an den Klienten der Proxy-Port im Browser geändert wird. |
| HTTP-Jugendfilter-Proxy | Auswahl ob der Jugendschutz-Filter DansGuardian auf Port 3132 gestartet werden soll. Der Filter scannt den aktuellen Inhalt einer Website nach verschiedenen Methoden. Die Standard-Einstellungen sind geeignet für die Erfordernisse zum Betrieb in Schulen. Eine genauere Beschreibung des DansGuardian-Filters bekommen Sie im Internet unter: http://dansguardian.org/ Falls dieser Filter verwendet werden soll ist darauf zu achten, dass an den Klienten der Proxy-Port im Browser geändert wird. |
| HTTP-Werbefilter-Proxy | Auswahl ob der Werbefilter-Proxy auf Port 3133 gestartet werden soll. Falls dieser Filter verwendet werden soll ist darauf zu achten, dass an den Klienten der Proxy-Port im Browser geändert wird. |
| Auto-HTTP-Proxy-Port | Auswahl welcher Proxy-Port bei einer automatischen DHCP-Adressvergabe den Klienten übergeben werden soll. Der Standard-Proxy wird immer über Port 3128 (Squid2) angesprochen. Ist ein andere Filter-Proxy installiert und ausgewählt, so stehen auch diese zur Auswahl. Beim Squid3 ist der Proxy-Port 3138. |
| Auto-HTTP-Proxy-Ausnahmen | Hier können Ausnahmen definiert werden die bei der Verwendung des Auto-Proxys vom Proxy-Server ausgenommen werden. Beispiele hierfür sind lokale Server oder IP-Adressen. |
| Socks-Proxy | Auswahl ob der Socks-Proxy gestartet werden soll. |
| Erlaubte Socks-Ports | Auswahl der TCP-Ports im Internet und der DMZ, die über den Socks-Dienst zu erreichen sein sollen. |
| FTP-Proxy | Auswahl ob der FTP-Proxy gestartet werden soll. |
| Transparenter FTP-Proxy | Auswahl ob ein transparenter FTP-Proxy gestartet werden soll, der alle Anfragen, die auf Port 21 an beliebige Adressen gehen auf den FTP-Proxy umleitet. Dieser Dienst wird nur gestartet, wenn der FTP-Proxy gestartet ist. |
| Pound-Proxy | Auswahl ob der Pound-Load-Balancer gestartet werden soll. Achtung: Für den Load-Balancer müssen spezielle Anpassungen manuell vorgenommen werden. Wenden Sie sich bitte dazu an der TightGate™-Firewall-Support. |
| ——– | |
| Squid-HTTP-Header filtern | Angabe, ob im Squid-Proxy die HTTP-Header gefiltert werden sollen. |
| Erlaubte Squid HTTP-Header | Sie können im HTTP-Header einzelne Informationen erlauben oder verbieten. Wenn Sie mit dem HTTP-Protokoll nicht vertraut sind, kann Ihnen folgender Request for Comments1) (RFC) über das HTTP Protokoll in der Version 1.1 weiterhelfen: http://www.ietf.org/rfc/rfc2616.txt |
| Squid3-HTTP-Header filtern | Hier können Sie auswählen od der Header gefiltert werden soll oder nicht. |
| Squid3-HTTP-Sende-Header | Hier können bestimmte HTTP-Header ausgewählt werden, die gesendet werden dürfen für die Anfrage. |
| Squid3-HTTP-Antwort-Header | Es können HTTP-Header ausgewählt werden, die für die Antwort erlaubt sind. |
| Angezeigten User-Agent einstellen | Sie können hier eintragen welcher User-Agent bei HTTP-Header-Anfragen angezeigt werden soll, wenn der Original-Header User-Agent geblockt wird. Beispiel: Tragen Sie Mozilla 1.7.6 (Linux; 32 Bit) ein, wenn Sie einen Mozilla Browser vorspiegeln möchten. |
| Benutzerauthentisierung | Wenn hier ja ausgewählt wird, so müssen sich die Benutzer am Proxy authentisieren. Die Benutzer und Passwörter werden vom Benutzer maint in der Benutzerverwaltung angelegt, es sind die selben wie für den Mail-Zugriff. |
| Weitere Proxy-Klientennetze | Weitere IP-Netze, die auf den Proxy zugreifen dürfen. Diese sind in der Form a.b.c.d oder a.b.c.d./n anzugeben. Mehrere Netze müssen durch Leerzeichen getrennt werden. Bereits zugelassen sind das interne Netz inkl. weiterer interner Netze, Zusatznetz und DMZ-Netz. ACHTUNG: Beim Anlegen weitere Netze müssen ggf. die Firewall Regeln angepasst werden, aus DMZ und Zusatznetz ist ggf. der Proxy-TCP-Port zu öffnen. |
| Cache-Größe Festplatte MB | Festlegen des Plattenplatzes in MB, den der Proxy-Cache belegen darf. ACHTUNG: Es muss ausreichend Platz auf der Partition vorhanden sein. Falls der Proxy-Cache des Fallback-Netzwerks aktiv ist, belegt dieser zusätzlich noch einmal die selbe Menge Speicherplatz! |
| Cache-Größe Hauptspeicher MB | Festlegen des Hauptspeichers in MB, den der Proxy-Cache belegen darf. ACHTUNG: Falls der Proxy-Cache des Fallback-Netzwerks aktiv ist, belegt dieser zusätzlich noch einmal die selbe Menge Hauptspeicher! |
| Max. Objekt-Größe KB | Festlegen bis zu welcher Größe in KB Objekte auf der Festplatte gespeichert werden sollen. |
| Max. Objekt-Größe Speicher KB | Festlegen bis zu welcher Größe in KB Objekte im Hauptspeicher gehalten werden sollen. |
ACHTUNG
Wenn Sie alle Einstellungen vorgenommen haben verlassen Sie das Menü. Speichern Sie nun alle Änderungen über den Menüpunkt Speichern ab und wenden Sie diese mit dem Menüpunkt Sanft Anwenden an. Erst nach dem Anwenden werden die neuen Einstellungen wirksam.
1)
RFCs sind eine durchnummerierte Serie von Dokumenten, die verschiedene tatsächliche und vorgeschlagene Gewohnheiten beschreiben, die einen Bezug zum Internet haben und von der IETF herausgegeben werden. Die Sammlung ist sowohl hinsichtlich des Themas, als auch des so genannten Status, uneinheitlich. Viele RFCs behandeln technische Festsetzungen und Übereinkommen, die Protokolle genannt werden. Protokolle sind für die Zusammenarbeit der Systeme unentbehrlich; Programme, die untereinander Daten austauschen, müssen auf einigen Übereinstimmungen hinsichtlich des Datenformates und verwandten Themen beruhen.
Die m-privacy GmbH hat auf die dort dargelegten Informationen keinen direkten Einfluss, die Angabe der URL erfolgt lediglich als Hilfe für die Benutzung.
Die m-privacy GmbH hat auf die dort dargelegten Informationen keinen direkten Einfluss, die Angabe der URL erfolgt lediglich als Hilfe für die Benutzung.