WG HTTPS Proxy

Netzwerk Video Software Leistungen Kontakt IT-Karriere

Watchguard XTM https Proxy einrichten und Import des Sicherheitszertifikat

Verwenden Sie Zertifikate für den Watchguard https Proxy

Viele Websites verwenden sowohl http als auch https, um Informationen an die Benutzer senden. Während http-Datenverkehr problemlos auf Schadcode untersucht werden kann, wird der https-Datenverkehr verschlüsselt. Um den https-Datenverkehr ebenfalls auf Schadcode und Viren untersuchen zu können, muss die Watchguard XTM-Firewall diesen entschlüsseln und dann wieder, mit einem von einer Zertifizierungsstelle signierten Zertifikat, verschlüsseln. Diesem kann dann jeder Netzwerk-Benutzer vertrauen.

Standardmäßig verschlüsselt die XTM-Firewall den Inhalt mit einem automatisch generierten, selbst signierten Zertifikat. Benutzer ohne eine Kopie dieses Zertifikats auf dem Rechner sehen eine Zertifikat-Warnung, wenn sie auf eine sichere Website mit https verbinden. Wenn die Remote-Web-Seite ein abgelaufenes Zertifikat nutzt oder wenn das Zertifikat von einer CA (Certificate Authority) signiert ist, welches die XTM-Firewall nicht erkennt, so signiert die XTM-Firewall den Inhalt als "https Proxy: Unrecognized Certificate"  oder als "Invalid Certificate".

HTTPS Deep Inspection Vorgehensweise

  • Zertifikat für die Firebox erstellen –Interne PKI (z.B. Microsoft CA)
  • Installation des Zertifikats in den vertrauenswürdigen Zertifizierungsstellen des Clients / Browsers
  • Aktivieren von Deep Inspection im Firebox Regelwerk
  • Ausnahmen definieren –Gruppenbasiert –IP-basiert –Ziel IP-Adressen in den https Proxy Exceptions

Untersuchen von Inhalten aus externen https-Servern

Der https-Proxy untersucht den gesamten Verkehr auf TCP-Port 443. Wenn Sie anderen Netzwerk-Verkehr, wie z. B. SSL VPN oder OWA auf dem https-Port verwenden, muss die Content-Inspection dieser Anwendungen eventuell eingeschränkt angewendet werden. Um sicherzustellen, dass diese anderen Anwendungen korrekt funktionieren, müssen die entsprechenden IP-Adressen bei Bedarf der Bypass-Liste in der https Proxy-Action hinzugefügt oder in einer eigenen Policy-Regel verarbeitet werden.

Wenn Ihre Organisation bereits eine PKI (Public Key Infrastructure) mit einer vertrauenswürdigen CA einsetzt, dann können Sie ein Zertifikat, das von Ihrer Organisations-CA signiert ist, in die Firewall importieren. Falls Ihre Organisation nicht über eine PKI verfügt, wird das self-signed Zertifikat der XTM-Firewall auf jedem Client-Gerät verwendet.

Bevor Sie den https-Proxy im Policy Manager aktivieren, muss also zuerst das verwendete Zertifikat an alle https-Clients im Netzwerk verteilt werden. Sie können die Zertifikate an eine E-Mail mit entsprechenden Anweisungen anhängen, diese in einen öffentlichen Ordner stellen, oder Sie verwenden eine Netzwerk-Management-Software, um die Zertifikate automatisch zu verteilen.

Erstellen eines https-Proxy im Watchguard Policy Manager

  • Öffnen Sie den Watchguard Poliy-Magaer ihrer XTM Firewall
  • Wählen Sie "Edit" > "Add Policy". Das "Add Policies"-Dialogfeld erscheint.
  • Erweitern Sie die "Proxies" Kategorie und wählen Sie den "https-Proxy"-Eintrag.
  • Klicken Sie auf "Add". Die "New Policy Properties"-Dialogbox erscheint.
  • Wählen Sie die Registerkarte "Properties".
  • Klicken Sie auf View / Edit Proxy-Taste. Die "HTTPS Proxy Action Configuration" öffnet sich
  • In der "Content Inspection" Kategorie (standardmäßig ausgewählt), aktivieren Sie "Enable deep inspection of HTTPS content"
  • Wählen Sie die http-Proxy-Action, die Sie zur Inspektion der https Inhalten verwenden möchten, oder erstellen Sie eine neue http-Proxy-Action für diese https-Richtlinie.
  • Wählen Sie die gewünschten Optionen für die OCSP-Überprüfung des Zertifikats. (Am besten erst mal leer lassen, wenn man nicht genau weiß um was es geht)
  • In die Bypass-Liste, geben Sie die IP-Adressen von Websites und Anwendungen ein, für die Sie nicht möchten, dass der Verkehr kontrollieret wird.
  • Klicken Sie zweimal auf "OK"
  • Klicken Sie auf "Close"
  • Im Policy Manager entfernen Sie das Häkchen "Enable" in allen, mit dieser neuen Regel kollidierenden, https-Filtern, so dass diese nicht zum Tragen kommen

Exportieren des  https-Proxy Zertifikats

Dieser Vorgang exportiert ein https-Proxy Zertifikat von Ihrer XTM-Firewall im PEM-Format.

  • Öffnen Sie den Watchguard System Manager und verbinden Sie mit Ihrer XTM-Firewall
  • Öffnen Sie den Firebox System Manager
  • Wählen Sie View > Certificates.
  • Wählen Sie das "https Proxy Authority" CA-Zertifikat aus der Liste und klicken Sie auf Export.
  • Geben einen Namen ein (Standard: selfsignedCA.pem) und wählen Sie einen für alle Benutzer zugänglichen Speicherort um das Zertifikat zu speichern.
  • Kopieren Sie das gespeicherte Zertifikat bei Bedarf auf die Client-Rechner

Importieren von Zertifikaten auf Client-Geräte

Um Zertifikate, die Sie auf der XTM-Firewall installiert haben, mit Client-Geräten zu verwenden, müssen Sie die Zertifikate mit Firebox System Manager exportieren und dann die Zertifikate auf jedem Client importieren. Dies kann über die Zertifikatsverwaltung lokal eingerichtet werde, per Gruppenrichtlinie im Active Directory verteilt werden.

Zertifikat auf Windows Arbeitsstation installieren

Sie müssen als Administrator angemeldet sein, um diese Schritte ausführen zu können. Sie können das Firebox https-Proxy-Zertifikat importieren, um es auf dem eigenen Computer verwenden zu können. Durch das Importieren wird das Zertifikat im richtigen Zertifikatordner platziert.

  • Öffnen Sie die Zertifikatverwaltung, indem Sie auf die Schaltfläche "Start" klicken, certmgr.msc in das Feld Suche eingeben und dann die EINGABETASTE drücken.‌ Wenn Sie aufgefordert werden, ein Administratorkennwort oder eine Bestätigung einzugeben, geben Sie das Kennwort bzw. die Bestätigung ein.
  • Erweitern Sie auf den Ordner "Vertrauenswürdige Stammzertifizierungsstellen", und klicken Sie mit der rechten Maustaste auf "Zertifikate" klicken Sie auf "Alle Aufgaben"->"Importieren.
  • Klicken Sie auf Weiter, und "Durchsuchen". Wenn Sie im Zertifikatimport-Assistenten auf "Durchsuchen" klicken, werden standardmäßig nur X.509-Zertifikate angezeigt. Möchten Sie einen anderen Zertifikattyp importieren, müssen Sie diesen im Dialogfeld "Öffnen" auswählen. Wählen Sie hier aus Ihrem öffentlichen Ordner das selfsignedCA.pem Zertifikat.

Verwenden der ADS Gruppenrichtlinie zum Verteilen des Firebox Zertifikats

Zertifikate sind wichtige Anmeldeinformationen. Administratoren möchten deshalb nicht, dass Benutzer selbst entscheiden können, welche Zertifikate vertrauenswürdig sind und welche nicht. In den meisten Fällen sollte die Entscheidung, ob einem bestimmten Zertifikat vertraut wird oder nicht, von Administratoren oder Personen getroffen werden.

Das Verteilen des Zertifikats an Clients ist mithilfe der ADS Gruppenrichtlinie möglich.

Sie müssen Domänen-Admin sein um dieses Verfahren ausführen zu können. Weitere Informationen finden Sie unter Implementieren der rollenbasierten Verwaltung.

So fügen Sie das Zertifikat dem Speicher vertrauenswürdiger Stammzertifizierungsstellen Ihrer Domäne hinzu:

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Gruppenrichtlinienverwaltung.
  2. Doppelklicken Sie in der Konsolenstruktur der Gesamtstruktur und Domäne, die das zu bearbeitende Gruppenrichtlinienobjekt (Group Policy Object, GPO) Standarddomänenrichtlinie enthält, auf Gruppenrichtlinienobjekte.
  3. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt Standarddomänenrichtlinie, und klicken Sie dann auf Bearbeiten.
  4. Wechseln Sie in der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) nacheinander zu Computerkonfiguration, Windows-Einstellungen und Sicherheitseinstellungen, und klicken Sie dann auf Richtlinien öffentlicher Schlüssel.
  5. Klicken Sie mit der rechten Maustaste auf den Speicher Vertrauenswürdige Stammzertifizierungsstellen.
  6. Klicken Sie auf Importieren, und folgen Sie den Schritten des Zertifikatimport-Assistenten, um die Zertifikate zu importieren.
  7. Öffnen Sie unter Richtlinie für öffentliche Schlüssel die Eigenschaften des Zertifikatdienstclient - Automatische Registrierung, ändern Sie das Konfigurationsmodell auf "Aktiviert" und klicken Sie auf OK.
  8. Öffnen Sie unter Richtlinie für öffentliche Schlüssel die Eigenschaften der Einstellungen für die Überprüfung des Zertifikatpfades, setzen Sie den Haken bei "Diese Richtlinieneinstellungen definieren" und klicken und klicken Sie auf OK.

Die Gruppenrichtlinie wird beim nächsten Start der Arbeitsstationen aktiv.

Beachten Sie, dass einige Programme (wie z.B. Mozilla Firefox) ihr eigenes Zertifikatssystem mitbringen. Sollen solche Programme mit dem Watchguard https Proxy genutzt werden, muss das Zertifikat dort zusätzlich installiert werden.
- Firefox: „Erweitert“ -> „Verschlüsselung“->„Zertifikate anzeigen“->„Zertifizierungsstellen“ ->„Importieren“ -> "Öffnen" -> „Dieser CA vertrauen, um Websites zu identifizieren.“
- Opera:  „Erweitert“ -> „Sicherheit" ->„Zertifikate verwalten“, -> „Zertifizierungsstellen“. ->„Importieren“ -> "Öffnen" -> „Installieren“ -> „Sind Sie sicher, dass Sie diesem Aussteller vertrauen möchten?“ (OK):

Zertifikat auf Android Systemen installieren

So installieren Sie ein das Zertifikat aus dem internen Speicher Ihres Android Gerätes:

  • Kopieren Sie das selfsignedCA.pem Zertifikat von Ihrem Computer in das Stammverzeichnis des internen Speichers Ihres Android-Gerätes, also nicht in ein Unterverzeichnis.
  • Benennen Sie das Zertifikat von selfsignedCA.PEM nach selfsignedCA.CRT um.
  • Tippen Sie auf dem Startbildschirm oder dem Menü-Bildschirm auf das Symbol "Einstellungen" .
  • Wechseln Sie zu Persönlich > Sicherheit > Berechtigungsspeicher > Von USB-Speicher installieren.
  • Es werden jetzt ausschließlich noch nicht installierte Zertifikate angezeigt. Berühren Sie den Dateinamen des zu installierenden selfsignedCA.CRT-Zertifikats.
  • Geben Sie nach Aufforderung das Passwort des Berechtigungsspeichers ein und berühren Sie OK.
  • Geben Sie einen Namen für das Zertifikat ein und berühren Sie OK.
  • Falls Sie noch kein Muster, keine PIN oder kein Passwort für Ihr Gerät festgelegt haben, werden Sie jetzt dazu aufgefordert. Möglicherweise hat Ihr Systemadministrator vorab festgelegt, welche Art von Sperre zu verwenden ist.

Problembehandlung Probleme mit https Content Inspection

Die Firebox oder XTM-Firewall erzeugt Log-Meldungen, wenn es ein Problem mit einem Zertifikat für https Content Inspection erkannt wird. Wir empfehlen die https-spezifischen Log-Nachrichten im Traffic Monitor zu lesen, um weitere Informationen zu erhalten.

Gepanet GmbH bietet Watchguard Gold Partner Support

Watchguard Gold Partner SupportWir bieten neben der Beratung und dem Verkauf von WatchGuard Firebox Firewalls auch einen umfassenden WatchGuard Dienstleistungsservice in Deutschland, Österreich und der Schweiz an. Ob WatchGuard Vorkonfiguration, WatchGuard Installation und Einrichtung, Vor-Ort-Service, oder spontane Remote-Hilfe, wir sind Ihr zertifizierter WatchGuard Support mit schneller Reaktion.

Mit unserem umfangreichen Schulungs-Angebot zum Thema „IT-Sicherheit“ bereiten wir IT-Profis auf mögliche Gefahren und Angriffe im Web vor und bieten zahlreiche bewährte Lösungsmodelle an. Die Kurse fangen mit der Grundkonfiguration der WatchGuard Firewalls und der Fireware XTM an und führen bis ins Detail mit erweiterten Funktionen wie Multi-WAN, VLAN, FireCluster, AD-Authentifizierung, Managementserver und VPN. Die Kurse bestehen aus Theorie-Teilen gemischt mit „Hands-On“ Elementen die das vermittelte Wissen in der Pracis vertiefen. Alle WatchGuard Schulungen und Workshops, führten wir auch ganz individuell, mit von Ihnen vorgegebenen Zielen, in Ihren eigenen Räumen durch. Wir stellen dazu nach Absprache auch WatchGuard XTM oder XCS Produkte für Hands-On-Training und die erforderliche Präsentationstechnik zur Verfügung. Im Rahmen der Workshops kann individuell auf Ihre bestehende oder geplante Netzwerk-Infrastruktur eingegangen werden. Viele Kunden haben bereits eine ein- bis dreitägige Individual-Schulung gebucht, bei der dann die neu gekaufte WatchGuard XTM Infrastruktur für den Produktivbetrieb vorbereitet und in Betrieb genommen wurde. (Natürlich auch für Watchguard Geräte, die nicht bei uns gekauft wurden.)

Watchguard Firewall   Beschreibung
Watchguard Firebox T10
Watchguard Firebox T10-W
Watchguard Firebox T10-D

Watchguard Firebox T10

Die Watchguard Firebox T10 sichert remote Netzwerke, die bisher keine ausreichende Sicherheit hatten. Ideal für kleine Büros / Home Office und Filialen mit bis zu 15 Benutzer. Die Firebox T10-W unterstützt Wireless, die T10-D aDSL / vDSL.
Watchguard Firebox T30 T30-W
Watchguard Firebox T50 T50-W

Watchguard Firebox T30 25 Benutzer
Watchguard Firebox T50  40 Benutzer
Firebox T30-W / T50-W: WLAN 802.11 a/g/n/ac.
kleine Büros / Home Office / Einzelhandel
Watchguard Firebox M270

Watchguard Firebox M300

Watchguard Firebox M400

Watchguard Firebox M440

Watchguard Firebox M500

Watchguard Firebox M400 / M500

Watchguard Firebox M270   70 Benutzer  800 Mbps
Watchguard Firebox M300  150 Benutzer  800 Mbps
Watchguard Firebox M400  350 Benutzer 1,4 Gbps
Watchguard Firebox M500  750 Benutzer 1,7 Gbps
Watchguard Firebox M440  750 Benutzer 24+2 Ports
Watchguard Firebox M4600

Watchguard Firebox M5600

Watchguard Firebox M4600  3000 Benutzer
40Gbps FW / 9Gbps AV


Watchguard Firebox M5600  12000 Benutzer
60 Gbps FW / 12 Gbps AV

Watchguard AccessPoints
Watchguard AP100 WAP
Watchguard AP102 WAP
Watchguard AP200 WAP
Watchguard AP300 WAP

Unter WSM zentral administrierbare Watchguard WLAN Access Points mit hoher Firewall-Sicherheit.
Watchguard AP100 und Watchguard AP200. Wetterfester Watchguard AP102 für Outdoor. Watchguard AP300 mit 802.11ac
Watchguard XTMv
XTMv Small Office, Medium Office
XTMv Large Office, Datacenter

Watchguard XTMv Firwall als virtuelle Maschine

Watchguard XTMv virtuelle Firewall für VMware Hypervisor. Hohe Netzwerksicherheit und Schutz für Anwendungen und Daten.
Watchguard LiveSecurity

WatchGuard APT Blocker

WatchGuard Dimension

Watchguard LiveSecurity Service LSS Watchguard Live Security: Support und Software-Updates.
Watchguard APT Blocker: Abwehr für Advanced Persistent Threats
Watchguard Dimension: Kostenfreie Visualisierung und optionale Verwaltung über Dimension Command
Watchguard System Manager
WSM

Watchguard System Manager zentrale Verwaltung

Zentrale Verwaltung der WatchGuard Produkte. Die Konfiguration und VPN Struktur wird zentral und einfach verwaltet und verteilt. Das erspart Fehlersuche und Systempflege.
Watchguard Training, Schulung

Watchguard Support

Training, Schulung, Workshops, Consulting, Inbetriebnahme, Regeländerungen, Problembehebung, ganze einfach mit Gepanet GmbH.
Watchguard Promo
Trade-Up Programm

Trade-In Programm
Watchguard Promo Trade-Up RED instead Sie möchten ein größeres Modell? Oder einen anderen Hersteller ablösen und mit Watchguard Trade-In zur supergünstigen Firewall?

Gepanet GmbH >> Services >> Tipps und Tricks >> Watchguard https Proxy

Gepanet GmbH ist Watchguard Gold Partner

 

GepaNet GmbH: Ihr IT-Systemhaus für Netzwerke, e-Security, Firewallsysteme

E-Mail: vertrieb@gepanet.com
Telefon: +49 8382 9479 825
Fax: +49 8382 9479 826
Anschrift: D-88142 Wasserburg, Wiesenstraße 12

Wir beliefern Unternehmer (BGB §14/1) und Behörden in ganz Europa. Wir liefern nicht an Verbraucher (BGB §13). Änderungen und Irrtümer vorbehalten. Modelle, Preise und Lieferfähigkeit können sich täglich ändern. Preise verstehen sich zuzüglich der Versand- und Frachtkosten sowie der gesetzlichen MwSt. Für alle Aufträge gelten ausschließlich unsere AGB. Zusatzinformationen, Datenblätter und AGB senden wir Ihnen gerne zu.
Netzwerk-Vor-Ort-Betreuung im Bodensee Gebiet, Süddeutschland, Baden-Württemberg, Bayern, Allgäu, Vorarlberg, Schwaben, Appenzell, Augsburg, Arbon, Bad Waldsee, Biberach, Bludenz, Bregenz, Dornbirn, Feldkirch, Friedrichshafen, Freiburg, Füssen, Götzis, Günzburg, Heidenheim, Hohenems, Illertissen, Immenstaad, Immenstadt, Isny, Kaufbeuren, Kempten, Kißlegg, Konstanz, Landsberg, Laupheim, Lauterach, Leutkirch, Lindau, Lustenau, Markdorf, Marktoberdorf, Mengen, Memmingen, Mindelheim, Oberstaufen, Oberstdorf, Pfronten, Pfullendorf, Rankweil, Ravensburg, Reutlingen, Romanshorn, Salem, Saulgau, Sigmaringen, Simmerberg, Sonthofen, St. Gallen, St. Margrethen, Tettnang, Tübingen, Tuttlingen, Überlingen, Ulm, Wangen und Weingarten.

AGB        Lieferung     Datenschutzerklärung     Impressum
Home Nach oben