Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Webproxy und Profile

Hallo Leute,

nachdem wir nun über eine woche mit v7.305 fahren gibt es natürlich es etwas Optimierungsbedarf im Webproxy. Exceptions sind zwar schön aber eben nciht für alles zu gebrauchen - wir werden wohl Profile verwenden müssen.

Greifen Exceptions trotz Verwendung von Profilen?

MfG, Steffen


This thread was automatically locked due to age.
Parents
  • Aloha zum zweiten,

    habe jetzt mal auf meiner Spiel-Astaro mit Profilen gespielt. Zur besseren Pflege habe ich für alles, was uns ermöglicht ist, separate "Filter Actions" definiert:

    - Allowed Sites with Dual AV
    - Blocked Sites with Dual AV
    - Blocked Categories (Sales) with Dual AV
    - Blocked Categories (Others) with Dual AV

    Für jede Action gibt es ein ebensolches "Filter Assignment" und dann entsprechend zum Testen zwei Profile, die sich in den geblockten Kategorien unterscheiden.

    Der Fallback verwendet die unter "Web Security"/"HTTP" gemachten Einstellungen.

    Würde für AV auch eine Filterzuordnung genügen?

    -- Nachtrag --
    Wir verwenden den Webproxy im transparenten Modus.

    Einzelne "Filter Assignments" und entsprechende Reihenfolgen in den Profilen haben nicht funktioniert. Somit muss/müsste man für jedes Profil ggf. alles manuell nachpflegen.

    Mal sehen, wie wir das realisieren. Notfalls müssen die Profile mit der Zeit "wachsen".
    -- /Nachtrag --

    Besten Dank schonmal, Steffen
  • Also bei einem Lan-Segment und einem Proxymodus
    nützen dir 2 Profile garnichts,
    da zuerst nach QuellIP und dem Proxymodus unterschieden wird.
    Sobald das passende Profil gefunden wurde, werden nur noch die Filter geprüft.
    Es wird nicht mehr geprüft ob der Clients über ein 2tes oder 30es Profil doch die Site aufrufen kann.

    Gregor Kemter
  • Hi Gregor,

    wir nutzen unsere ASG und ASL gebrückt und mit transparentem Webproxy.

    HTTP-Profile auf einem LAN im transparenten Modus für verschiedene LAN-Segmente funktionieren - Full ACK. Auch das nach der Reihenfolge abgeabreitet wird bis ein Profil passt, ist mir klar. Und wenn gar nichts greift dann wird auf das unter "Fallback" hinterlegte zurückgegriffen.

    Allerdings funktionierte es nicht, meinen zwei Profilen mehrere "Filter Assignment" zuzuweisen. Bei meinem Versuch hatte ich als oberstes das Blocken entsprechend Dateierweiterung, sorry hatte ich vergessen aufzulisten.

    Jeder Aufruf einer Website brachte im Log nur die Anwendung des Objekts zum Blocken der Dateierweiterungen. Webseiten wurden trotzdem angezeigt, obwohl ich die Zuordnungen ebenfalls im Profil angehakt hatte.

    Ich hatte auf ein Funktionieren gehofft, damit isch die Pflege einfacher gestlaten lässt. So muss ich halt ggf. alles in jeder "Filter Action" pflegen.

    So long, Steffen.
  • Gregor und Steffen,

    Hoffentllich habe ich diese Frage in https://community.sophos.com/products/unified-threat-management/astaroorg/f/55/t/43882 gut geantwortet.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hi,

    habe gestern erstmal 7.3890 BETA auf meiner ASL installiert und werde, wenn ich so weit bin, nochmal ein oder zwei Profile mit mehreren Assignments/Actions definieren und testen.

    Daheim habe ich zur Zeit keine Internetverbindung für ein paar Tage. Ich werde aber auch zu Hause die 380er BETA installieren und damit spielen und testen.

    Auf unserer ASG werde ich wohl jetzt erstmal ein Profil machen, dass ich bis in alle Ecken definiere und das nur für spezielle IP-Adressen griefen soll. Für den Rest des LANs muss die Defaulteinstellung als Fallback herhalten.

    So long, Steffen
  • Saludos,

    habe hier jetzt auf meiner Testkiste v7.402 am Laufen an einer separaten Leitung.

    Da ich nur einen Client zum Testen an der SW-ASG nutzen kann, muss ich mit verschiedenen IPs hantieren... Diese Trennung funktioniert und es werden die richtigen Profile gezogen.

    Aber es funktioniert immer noch nicht mit mehreren Filter Assignments in einem Proxy Profil. Jedem Filter Assignments ist natürlich jeweils nur eine Filter Action zugeordnet - AV, blocking, extensions usw.

    Habe jetzt mal in der Action fürs Blockieren von ULRs astaro.de reingepackt. Im Profil sind die Assignments zZt. so angeordnet:

    1. Blocked Extensions >> iso, zip, wma, wmv, wmf, exe, bat, com, pif...
    2. Allowed URLs         >> leer
    3. Blocked URLs         >> astaro.de
    4. Blocked Cats         >> einige
    5. AV-Scanning

    Ich bin/war halt der Meinung, dass ein Web-Request von oben nach unten abgeprüft wird, bis was passendes gefunden wurde - analog den PFRs. Aber wenn ich eben www.astaro.de ansurfe, dann steht im Log nur die Referenz von diesem Profil und von den Blocked Extensions.

    Entweder will ich zu viel oder ich habe einen Fehler in meiner Denkweise. Hat jemand von euch so eine Kosntellation funktionierend am Laufen? Egal ob IPs aus einem Netz oder nicht...

    So long, Steffen
  • Die Assignments in einem Profil beziehen sich nicht auf den Inhalt der aufgerufen Site sondern auf denjenigen der diese Site aufruft.
    Bedeutet: wenn du bei Filter Assignments das Feld User/Group leer lässt, dann gilt das für jeden User. (Womit bei dir Blocked Extensions greift)
    Wenn du eine Windowsdomain im Backend hast, dann kann man das elegant mit AD-Gruppen lösen.


    Gregor Kemter
  • da habe ich dann auch gleich mal eine frage zu den exceptions..

    ich habe für mich (meine kinder sollen das nicht) eine execption angelegt:

    skip these checks:

    Extension blocking ist ein haken drin...

    ebenso in URL Filter.

    in : For these source hosts/networks:

    meine ip von meiner maschine

    warum kann ich dann z.b. keine .exe datein downloaden ? obwohl in der exception klar gesagt wurde das er sie skippen soll ?

    habe ich was verpasst ? oder grundsätzlich etwas falsch verstanden ?

    danke für eure hilfe...
  • Kannst Du uns die Linien im Paketfilter zeigen? Auch Bilder von der 'Proxy Profiles' Lasche und der Edit von Deiner 'Filter Assignment'?

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • linien im paketfilter ?[:S]

    proxy profile habe ich im moment noch keine.
    auch keine filter assignments, ausser default bei filter actions.

    muss ich die haben ?
  • Paketfilter Live Log wollte ich sagen aber das wäre auch falsch... kannst Du die Linien aus dem 'HTTP Access live log' uns zeigen?

    Und, ein Bild Deiner Exception, bitte.

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • Paketfilter Live Log wollte ich sagen aber das wäre auch falsch... kannst Du die Linien aus dem 'HTTP Access live log' uns zeigen?

    Und, ein Bild Deiner Exception, bitte.

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • Hi fw115,

    Bob meint die Zeilen (Lines = Linien) aus'm Log *g*.

    Ich habe im engl. Thread https://community.sophos.com/products/unified-threat-management/astaroorg/f/55/t/43882 mal noch ein paar Screenshots hochgeladen.

    @Gregor
    Die Assignments in einem Profil beziehen sich nicht auf den Inhalt der aufgerufen Site sondern auf denjenigen der diese Site aufruft...


    Ja, ist mir bewusst. Da es für alle gilt, ist auch kein User angegeben. Warte, mir dämmerts... Im Profil lege ich die Netze fest und dort eben für diverse User diverse Assignments mit entsprechenden Actions? Wenn dem so ist, bin ich doch mit meinem gewollten Ziel auch richtig, zumindest theoretisch.

    Ein definiertes Netz(segment) in dem für alle User mehrere Assignments/Actions gelten. Was ich mit einzelnen Assignments wollte, war ein Erleichterung zur Administration der Actions und ich mir meine Profile eben zusammen klicke... Denn ich kann ja immer nur eine Action auswählen pro Assignment.

    Ich hoffe, wir behalten noch den Überblick *g*. Vielleicht mach ich mal ein Bild von meinem Wunsch...

    Bis demnächst, Steffen