Linux (Webbrowser) HTTP-URL Firewall

[Deleted member 11691]

Hallo...

Ich muss für die Firma bis Montag einen funktionierenden Testserver zusammengebaut haben, welcher folgendes tut:
DHCP Server
IPTables NAT Routing
URL-Filter Firewall

DHCP Server und IPTables NAT Routing laufen schon perfekt. Pings sind auch ziemlich gut (nur um die 1-2 ms Verzögerung messbar). Was mir allerdings seit Freitag den Kopf zerbricht:
Wie bekomme ich eine funktionierende Firewall zum laufen (egal welche, Hauptsache mit Webinterface bzw. einfachen Command-Line Befehlen):
Funktionen sollen sein:
Erlaubt / Blockiert
Prioritäten sind absteigend sortiert. D.h. die oberste Regel überschreibt alle folgenden. Die zweitoberste überschreibt dann ebenfalls alle folgenden. etc.
1.:

• http(s)://(www.)google.com/(.*)
• http(s)://(.*)/(.*)

2.:

• http(s)://(www.)google.ch/(.*)
• http(s)://(.*)/(.*)

Ich habe auch Freund Google.de gefragt, welcher mir jedoch nichts ausspuckt. Villeicht suche ich ja auch nach den falschen Stichwörtern, dann würden auch Verweise auf Google.de mit angegebenen Stichwörtern als Lösung fungieren.

L.G. PCFreund

 

[Roger Wilco]

Du suchst einen transparenten HTTP-Proxy mit Black- bzw. Whitelist-Unterstützung oder im Zweifelsfall einen Layer7-Filter.

 

[Deleted member 11691]

Jein, indirekt. Wie mache ich so einen Proxy bzw. woher bekomme ich einen (guten, mit den oben beschriebenen Spezifikationen)?

 

[Roger Wilco]

Squid ist so ziemlich die Standardlösung für derartige Problemstellungen.

 

[TerraX]

Auf einer unserer letzten LAN-Party für ca. 320 Gäste hatte ich mal eine URL-Filter-Lösung für den Internetzugang konfiguriert, auf Basis von Squid und Dansguardian. Ich habe mal das alte interne Cofing-How-To aus 2008 rausgesucht.

Sieh Dir die Abschnitte Routing und Squid-Proxy-Filtering an. Das sollte Dir genug Anhaltspunkte geben eine entsprechende Lösung für Dich umzusetzen. AFAIK gibt es auch ein webmin-Modul für DansGuardian.

Die restlichen Teile des How-To's sind uninteressant, war nur zu faul, das raus zu pulen.

 

[Thunderbyte]

Eine "HTTP Firewall" würde ich eher als Web Application Security definieren und da zählt viel mehr dazu als bloßes URL Filtering, siehe z.B. http://www.astaro.com/de-de/loesungen/web-application-security .

Wenn das eine Übung für Dich sein soll, dann mach z.B. das vorgeschlagene. Wenn Du eine professionelle Lösung für eine derart wichtige Funktion im Unternehmen haben willst, dann schlag z.B. http://www.astaro.com/de-de/produkte/astaro-security-gateway-software-appliance vor. Schau Dir mal auf der rechten Seite die Live Demo an, dann siehst Du, wie man sowas professionell macht.

 

[Deleted member 11691]

Wenn ich diesen Proxy nun so einstelle, wie ich es möchte, muss doch jeder, der in dem Netzwerk ist, diesen Proxy im Webbrowser eintragen, oder verstehe ich das falsch? Denn das wärer purer Mist, da wir in der Firma keine, ich sage mal, Vollidioten sind. Jeder von uns weiß, wie er soetwas umgehen kann. Die "Web Application Security"-Firewall sollte natürlich schon so laufen, dass Clientseitig nichts eingetragen werden muss und auch keine weiteren Veränderungen am Client-Rechner vorgenommen werden müssen.

 

[Roger Wilco]

Deswegen ja auch „transparenter HTTP-Proxy” in der ersten Antwort.

 

[Thunderbyte]

NATÜRLICH muss clientseitig nichts eingetragen werden. Auf der anderen Seite muss klar sein, dass dann das System, das die genannte Sicherheit bieten soll, auch das GATEWAY ins Internet ist, bzw. technisch zwingend zwischen Gateway und LAN geschaltet ist.

 

[TerraX]

Wenn ich diesen Proxy nun so einstelle, wie ich es möchte, muss doch jeder, der in dem Netzwerk ist, diesen Proxy im Webbrowser eintragen, oder verstehe ich das falsch? Denn das wärer purer Mist, da wir in der Firma keine, ich sage mal, Vollidioten sind. Jeder von uns weiß, wie er soetwas umgehen kann. Die "Web Application Security"-Firewall sollte natürlich schon so laufen, dass Clientseitig nichts eingetragen werden muss und auch keine weiteren Veränderungen am Client-Rechner vorgenommen werden müssen.

Nun ja, das sind Probleme die auf verschiedenen Ebenen gelöst werden müssen. Grundsätzlich ist es möglich am Gateway zu verhindern, dass HTTP-Request von internen Clients nach draußen gehen (outgoing Port 80) und damit alles über den Proxy gehen muss. Sind also die Firewall-Regeln am Gateway entsprechend gesetzt, gibt es keine einfache Möglichkeit dies zu umgehen.

Ein transparenter Proxy hat AFAIK generell ein Problem mit SSL-Verbindungen. Daher muss für SSL-Verbindungen IMHO immer ein Proxy im Browser eingetragen werden.

Damit wären wir bei dem Punkt, dass die Einstellungen bei den Clients möglichst zentral vorgenommen werden müssen. Und hier kommt es halt auf das Unternehmensumfeld an sprich Windows AD - GPOs usw.

 

[Deleted member 11691]

Ich habe die Konfiguration momentan so:

Router + Gateway
DHCP-Server + NAT
Switch
Clients

Ich muss also aus DHCP-Server ein DHCP-Server + NAT ein DHCP-Server + NAT + Gateway machen und das Masquerading per IPTables wieder deaktivieren?
Gibt es dann villeicht ein Debian Paket, welches mir so eine Gateway-Weiterleitung an eine bestimmte IP-Adresse macht mit welcher auch die Firewall funktioniert?

 

[TerraX]

Dein Problem zu beantworten ist schwierig, da ich den eindruck habe, dass du das bereits gesagte nicht korrekt verstehst und daher in Deinen Antworten keine konsistente Weiterentwicklung zu erkennen ist.

Ich skizziere mal als Ausgangspunkt eine ganz einfache Lösung, die je nach Unternehmensgröße und -Daten entsprechend zu erweitern ist (ergänzend sei auch auf die BSI-Veröffentlichungen für IT-Strukturen in Unternehmen verwiesen).

Zur Konfiguration:

ISP<->Modem/Router<->Gateway< ... >Switch< ... >weitere Server/Clients

Das Gateway übernimmt Firewallfunktionalität als auch Network Address Translation (NAT) über entsprechende Konfiguration der Netzwerk-Interfaces und IP-Tables.

Üblicherweise wird DNS und DHCP miteinander kombiniert in einem Server - DHCP hat mit NAT nix zu tun. Der Proxy (Kombi z.B. aus Squid und DansGuardian) steht quasi neben dem DNS-Server; also quasi in der logischen Reihenfolge hinter dem Gateway (auch wenn sie technisch alle gleichzeitig am selben Switch stecken). Gleichzeitig können auch Clients verbunden sein, wobei sich empfiehlt Server-Umgebung und Clients über VLAN und/oder Firewalls gegeneinander abzuschotten, um die Kommunikationsbeziehungen weitestmöglich zu kontrollieren.

Am Gateway sind z.B. entsprechende Firewall-Regeln installiert, die es nur dem DNS-Server (DNS-Forwarding für nicht lokale Adressen) und dem Proxy-Server (sowie evtl. dem Mail-Server) erlauben, direkt nach außen zu kommunizieren. Clients sollten das in dem von Dir genannten Ausgangsszenario grundsätzlich nicht dürfen.

Du solltest einen entsprechenden Netzwerkplan entwerfen, auf dieser Basis kann man Dir hier sicher besser weiterhelfen. Außerdem sind für konkrete Empfehlung zur Proxy-Auswahl/-Konfiguration weitere Infos zum Unternehmensnetzwerk/-Software erforderlich.

 

[Thunderbyte]

ISP<->Modem/Router<->Gateway< ... >Switch< ... >weitere Server/Clients

Und genau die Funktion des "Gateways" (inklusive Anbindung an Modem, DHCP, DNS, Firewall und Application Firewall, Proxy) kann z.B. ein Astaro Security Gateway (oder ein adäquates Konkurrenzprodukt) als Hardware, Software oder Virtuelle Appliance - oder ein Konkurrenzprodukt sein.

Ich würde für eine Firma, die auf das Funktionieren all dieser Services angewiesen ist, auf eine solche professionelle Lösung bestehen, da nur so SLAs und vernünftige Updates sichergestellt sind.

 

[Karl34]

Kann ich bestätigen , ist jedesmal ne Freude pur mit Astaro produkten zu arbeiten.
Nur wollen alle sparen , mesitens dann am falschen ende.
Eine Frickel Lösung hat in einer Firma nichts viel zu suchen.

Astaro ist ein gutes Produkt , welches alle Anforderungen des Thread Stellers erfüllt. Und das zu einem guten Preis/Leistungsverhältnisses.