de

Proxy

TightGate-Pro kann mit verschiedensten Proxys zusammenarbeiten. Die nachfolgende Übersicht erläutert die Konfiguration.

MenüpunktBeschreibung
HTTP-Proxy*IPv4-Adresse(n) der HTTP-Proxy-Server, über die alle HTTP-Zugriffe in das Internet geleitet werden. Der verwendete Port muss für alle eingetragenen HTTP-Proxy-Server gleich sein und wird über eine gesonderte Menüoption festgelegt. Werden mehrere Server eingetragen, werden diese wahlweise per Rundlauf-Verfahren (Round Robin) oder in einer bestimmten Reihenfolge automatisch ange­sprochen. Dabei werden die Zugriffe nach Zugriffsgeschwindigkeit gewichtet, nicht erreichbare Server automatisch übersprungen.
Achtung: In den meisten Fällen gibt es nur Server im Netzwerk, die mit expliziter IPv4-Adresse an dieser Stelle einzutragen sind. Für den Ausnahmefall, in dem hier auflösbare DNS-Namen refe­renziert werden, muss das betreffende Netzwerk im Menüpunkt HTTP-Proxy-Netz genau spezifiziert werden. Weiterhin muss ein DNS-Server eingetragen sein, der den Proxy-Namen auflösen kann. Andernfalls ist eine korrekte Verbindung zu den jeweiligen Proxyservern nicht möglich.
HTTP-Proxy-Reihenfolge*Falls mehrere Proxy-Server eingetragen wurden, kann mit dieser Option das Auswahlverfahren festgelegt werden. Es steht das Rundlauf-Verfahren (Round-Robin) und die Ansprache nach bestimmter Reihenfolge zur Verfügung.
Hinweis: Wird nur ein Proxy-Server eingetragen, wird diese Menüoption nicht angezeigt.
HTTP-Proxy-Port*Angabe des Ports, der zum Kontakt mit den eingetragenen HTTP-Proxy-Servern zu verwenden ist. Muss für alle referenzierten HTTP-Proxy-Server gleich sein.
HTTP-Proxy-Netz*Falls ein auflösbarer DNS-Name als Proxyserver eingetragen wird, benötigt das System unbedingt die Information über die IPv4-Adressen, die sich dahinter verbergen. Die IPv4-Adresse ist Form [IP-Adresse/Valid Bits] anzugeben.
HTTP-Proxy SSL/https*Auswahl, ob die Proxys über HTTPS oder HTTP angesprochen werden.
HTTP-Proxy-Login*Sofern die Proxy-Anmeldung eine Benutzerauthentifizierung mit Benutzername und Passwort erfordert, kann hier der Benutzername hinterlegt werden.
HTTP-Proxy-Passwort*Sofern die Proxy-Anmeldung eine Benutzerauthentifizierung mit Benutzername und Passwort erfordert, kann hier das Passwort hinterlegt werden.
Aktiviere HTTP-Pipelining*HTTP-Pipelining ist eine Technik, bei der mehrere HTTP-Anfragen einem einzigen Socket übergeben werden, ohne auf eine Antwort zu warten. Besonders bei Verbindungen mit hohen Latenzzeiten, kann dies eine erhebliche Verkürzung der Seitenladezeiten bedeuten.
Das Abschalten kann helfen, wenn das Laden von HTTPS-Seiten über den Uplink-Proxy wiederholt hängt.

Hinweis: Die Konfiguration von FTP-Proxys erfolgt analog zur Konfiguration der HTTP-Proxys.

Proxy-Ausnahmen

Über den Menüpunkt Proxy > Proxy-Ausnahmen können IPv4-Adressen oder URLs von Websites hinterlegt werden, die nicht über den exter­nen Proxy geleitet werden sollen. Die Ausnahmen werden den TightGate-Pro Benutzern im Browser bei jeder Anmeldung eingetragen.

Achtung: Alle Proxy-Ausnahmen die hier eingetragen werden, müssen auch im Menü unter Netzwerk > HTTP-Server eingetragen werden.

Proxy-Filter (Webfilter)

Neben der Darstellung von Inhalten aus dem Internet bietet TightGate-Pro auch die Mög­lichkeit zur inhaltlichen Kontrolle und Beschränkung der Internetnutzung. Der Webfilter von TightGa­te-Pro arbeitet als Zwangsproxy und filtert die aus dem Internet abgerufenen Daten anhand definierbarer Kriterien. Folgende Kategorien werden dabei berücksichtigt:

  • Vordefinierte Blacklisten für URLs und Domänen
  • Manuell definierte Black- und Whitelisten für URLs und Domänen

Allgemeines zum Webfilter

Die Funktionsweise des Webfilters ist ähnlich der eines Malwarefilters. Es bestehen vordefinierte Listen von unerwünschten Inhalten (Blacklisten), die unterschiedlichen Kategorien zugeordnet sind. Ist der Webfilter aktiv und Kategorien als unerwünschter Inhalt ausgewählt, so übergibt TightGate-Pro bei jeder Anfrage nach einer Webseite diese zur Prüfung vorab an den internen Webfilter. Dieser prüft, ob die Seite auf einer Liste (Blackliste) mit unerwünschten Inhalt steht. Ist dies der Fall, liefert der Webfilter statt des Inhalts der Seite einen Hinweis, dass der Zugriff auf die entsprechende Seite unterbunden wurde. Grundsätzlich erfolgt die Prüfung auf Zulässigkeit einer Seite nach dem Prinzip "Whitelist vor Blacklist". Ist eine Domäne oder URLs im System auf der Whitelist vermerkt, so wird der Zugriff immer gestattet.

Grenzen des Webfilters: Ein Inhaltsfilter ist nur so treffsicher wie seine Listen. Diese haben einen begrenzten Umfang und bedürfen der regelmäßigen Pflege. Die m-privacy GmbH bietet zwei verschiedene Listen an, die von dritter Seite gepflegt werden. Die m-privacy GmbH übernimmt daher keine Haftung für die Vollständigkeit und den Inhalt der Listen.

Exkurs zur Webfilterung von HTTPS-verschlüsselten Seiten
Im Zuge der Webfilterung können HTTPS-Verbindung auf TightGate-Pro aufgebrochen werden. Nur so ist die URL-genaue Filterung der abgerufenen Web-Inhalte auch bei HTTPS-Zugriffen möglich. Wird ein Aufbrechen von HTTPS-Verbindungen durch den in TightGate-Pro integrierten Proxyfilter nicht gewünscht, ist lediglich eine domänenbasierte Filterung verschlüsselt abgerufener Web-Inhalte möglich. Achtung: Wir empfehlen, vor Aktivierung des Leistungsmerkmals den jeweils zuständigen Datenschutzbeauftragten beziehungsweise IT-Sicherheitsbeauftragten zu konsultieren.

Konfiguration des zentralen Webfilters

Zum Anschalten und Konfigurieren des Webfilters sind folgende Schritte zu befolgen:

So geht's:

  • Anmeldung als Administrator config.
  • Den Menüpunkt Proxy > Proxy Filter auswählen und den Webfilter über die Auswahl Ja anschalten. Damit wird der Webfilter aktiviert und es stehen weitere Menüpunkte zur Verfügung.
  • Prüfen, ob die HTTPS-Verbindungen aufgebrochen werden sollen, damit die Webfilterung nicht nur Domänen, sondern auch URLs umfasst. Sofern dies der Fall ist, den Menüpunkt HTTPS-Verbindungen aufbrechen auswählen und mit Ja bestätigen.
    Hinweis: Bitte beachten Sie obenstehende Ausführungen zum Aufbrechen von HTTPS-Verbindungen und besprechen Sie diese Funktion vorab mit Ihrem internen Datenschutz- bzw. Sicherheitsbeauftragten.
    Achtung: Die Webfilterung von HTTPS-verschlüsselten Seiten kann derzeit nur dann durchgeführt werden, wenn kein vorgeschalteter HTTP-Proxy verwendet wird.
  • Ist der Webfilter aktiv und wird eine Webseite mit einem ungültigen Zertifikat aufgerufen, verweigert der Webfilter den Zugriff. Soll diese Seite bzw. Domäne dennoch erreichbar sein, so kann diese im Menüpunkt Domänen ohne Zert.-Prüf. eingetragen werden. Anschließend ignoriert der Webfilter das falsche Zertifikat.
  • Über den Menüpunkt Zugriff-Verweigert-Text lässt sich ein Individueller Text hinterlegen, der Benutzern angezeigt wird, sofern ein Zugriff verweigert wird.
    Hinweis: Hier sollte ein administrativer Kontakt, z. B. die Telefon­nummer des lokalen Helpdesks angezeigt werden. So können Benutzer irrtümlich gesperrte Seiten melden und bei Bedarf freischalten lassen.
  • Über den Menüpunkt Anzahl Filter-Gruppen, kann festgelegt werden, wie viele unterschiedliche Gruppen es für den Webfilter geben soll. Den Gruppen werden jeweils eigene Kategorien zugeordnet.
  • Im letzten Schritt sind die jeweiligen Webfiltergruppen mit Kategorien zu versehen. Zur Auswahl stehen zwei Optionen:
    a) Alles verbieten und nur die Inhalte der Whitelist erlauben (erstellt als maint unter Webseiten-Filter > Domänen freischal­ten und Webseiten-Filter > URLs freischalten; Menüpunkt Nur Weißlisten)
    b) Alles erlauben und nur unerwünschte Inhalte per Kategorie zu verbieten (Menüpunkt Kategorien (Sperrliste)).
  • Die Einstellungen im Hauptmenü Speichern und Sanft Anwenden.
  • Anmeldung als Administrator maint und Zuweisung einer Filter-Gruppe zu Benutzern oder Gruppen über dem Menüpunkt Benutzerverwaltung > Gefiltertes Web.

Konfiguration des Individuellen Webfilters

Neben der Verwendung der zentralen White- und Blacklisten lässt sich TightGate-Pro mit individuellen Einstellungen erweitern. So ist es möglich, individuell Domänen und URLs zu eigenen Black- und Whitelisten hinzuzufügen.

Das wird benötigt: → Aktivierter Proxy-Filter (Webfilter) → Zuordnung der Benutzer zum gefilterten Web

So geht's:

  • Anmeldung als Administrator maint.
  • Auswahl des Menüpunkts Webseiten-Filter. Es stehen folgende Möglichkeiten der Konfiguration zur Verfügung:
    Domänen sperren: Eingabe der Domänen, welche vom Inhaltsfilter gesperrt werden sollen. Die Domäne kann dabei auch unter Zuhilfenahme von Wildcards (*) angegeben werden. Beispiel: Die Domäne von EBAY kann für alle Länder mit www.ebay.* komplett verboten werden.
    URLs sperren: Eingabe der URL, welche gesperrt werden soll.
    Achtung: Es werden nur exakt die Seiten gesperrt, die hinterlegt werden. Diese Option ist zur Sperrung kompletter Domänen nicht geeignet.
  • Domänen freischal­ten und URLs freischalten: Diese Einstellungen funktionieren analog zur Einstellung für die Sper­rung von Domänen und definiert die Whiteliste für TightGate-Pro.
  • Die Einstellungen müssen über den Menüpunkt Anwenden aktiviert werden.

Inhaltsfilter für einzelne Benutzer umgehen

TightGate-Pro bietet die Möglichkeit, die Inhaltskontrolle für einzelne Benutzer zu umgehen. Die Umgehung des Inhaltsfilters für einzelne Benutzer oder Gruppen wird durch den Administrator maint unter dem Menüpunkt Benutzerverwaltung > Gefiltertes Web eingerichtet.

Hinweis: Ist für einen Benutzer der ungefilterte Zugriff auf das Web eingestellt, so erfolgt für diesen Benutzer keinerlei Inhaltskontrolle. Bei der Umstellung eines Benutzers von gefiltertem zu ungefiltertem Web (oder umgekehrt), muss sich dieser erneut an TightGate-Pro anmelden, damit die Einstellung aktiv wird. Ein Neustart des Browsers reicht nicht aus.

Protokollierung des Webzugriffs

TightGate-Pro bietet die Möglichkeit, Webzugriffe von Benutzern zu protokollieren. Zu Wahrung des Datenschutzes sind Anonymisierungs-, bzw. Pseudonymisierungs-Funktionen bei der Protokollierung bereits implementiert.

So geht's:

  • Anmeldung als Administrator config.
  • Sofern die Protokollierung nicht in anonymisierter Form stattfinden soll, ist unter dem Menüpunkt System-Vorgaben > Pseudomyisierung festzulegen, ob die Protokollierung den Klarnamen der Benutzer enthält oder ob stattdessen Pseudonyme verwendet werden.
  • Im nächsten Schritt ist unter dem Menüpunkt Proxy > Protokollierung die Protokollierung anzuschalten und festzulegen, ob ein anonymes oder mit Kennungen (Klarname oder Pseudonym) versehenes Proxy-Protokoll erstellt werden soll.
  • Weiterhin ist zwingend notwendig, eine Lebensdauer für das Proxy-Protokoll festzulegen, da sonst die Protokollierung nicht aktiviert wird. Die Festlegung der Protokoll-Lebensdauer erfolgt über den Menüpunkt Proxy > Protokoll-Lebensdauer und wird in Tagen angegeben. Nach Ablauf der Speicherdauer werden die Protokoll-Dateien gelöscht und können nicht rekonstruiert werden. Wird eine 0 eingetragen, findet keine Protokollierung statt.
    Hinweis: Ist die Proxy-Protokollierung abgeschaltet, wird diese Menüoption nicht angezeigt.
  • Die Einstellungen im Hauptmenü Speichern und Sanft Anwenden.

Sonderfälle bei der Proxynutzung

Folgende Sonderfälle der Proxy-Nutzung bietet TightGate-Pro:

MenüpunktBeschreibung
GnuPG-Keyserver über ProxySofern Benutzer PGP-Keys vom GnuPG-Keyserver aus dem Internet verwenden wollen, eine Verbindung aber nur über einen Proxy möglich ist, so kann hier eingestellt werden, dass alle Anfragen zum GnuPG-Server über den eingestellten Proxy erfolgen.