WG HTTPS Proxy

Netzwerk Video Software Leistungen Kontakt IT-Karriere

WatchGuard Firebox HTTPS Proxy einrichten und Import des Sicherheitszertifikat

Verwenden Sie Zertifikate für den WatchGuard HTTPS Proxy

Viele Websites verwenden sowohl HTTP als auch HTTPS, um Informationen an die Benutzer senden. Während HTTP-Datenverkehr problemlos auf Schadcode untersucht werden kann, wird der HTTPS-Datenverkehr verschlüsselt. Um den HTTPS-Datenverkehr ebenfalls auf Schadcode und Viren untersuchen zu können, muss die WatchGuard Firebox-Firewall diesen entschlüsseln und dann wieder, mit einem von einer Zertifizierungsstelle signierten Zertifikat, verschlüsseln. Diesem kann dann jeder Netzwerk-Benutzer vertrauen.

Standardmäßig verschlüsselt die XTM-Firewall den Inhalt mit einem automatisch generierten, selbst signierten Zertifikat. Benutzer ohne eine Kopie dieses Zertifikats auf dem Rechner sehen eine Zertifikat-Warnung, wenn sie auf eine sichere Website mit HTTPS verbinden. Wenn die Remote-Web-Seite ein abgelaufenes Zertifikat nutzt oder wenn das Zertifikat von einer CA (Certificate Authority) signiert ist, welches die XTM-Firewall nicht erkennt, so signiert die XTM-Firewall den Inhalt als "HTTPS Proxy: Unrecognized Certificate"  oder als "Invalid Certificate".

HTTPS Deep Inspection Vorgehensweise

  • Zertifikat für die Firebox erstellen –Interne PKI (z.B. Microsoft CA)
  • Installation des Zertifikats in den vertrauenswürdigen Zertifizierungsstellen des Clients / Browsers
  • Aktivieren von Deep Inspection im Firebox Regelwerk
  • Ausnahmen definieren –Gruppenbasiert –IP-basiert –Ziel IP-Adressen in den HTTPS Proxy Exceptions

Untersuchen von Inhalten aus externen HTTPS-Servern

Der HTTPS-Proxy untersucht den gesamten Verkehr auf TCP-Port 443. Wenn Sie anderen Netzwerk-Verkehr, wie z. B. SSL VPN oder OWA auf dem HTTPS-Port verwenden, muss die Content-Inspection dieser Anwendungen eventuell eingeschränkt angewendet werden. Um sicherzustellen, dass diese anderen Anwendungen korrekt funktionieren, müssen die entsprechenden IP-Adressen bei Bedarf der Bypass-Liste in der HTTPS Proxy-Action hinzugefügt oder in einer eigenen Policy-Regel verarbeitet werden.

Wenn Ihre Organisation bereits eine PKI (Public Key Infrastructure) mit einer vertrauenswürdigen CA einsetzt, dann können Sie ein Zertifikat, das von Ihrer Organisations-CA signiert ist, in die Firewall importieren. Falls Ihre Organisation nicht über eine PKI verfügt, wird das self-signed Zertifikat der XTM-Firewall auf jedem Client-Gerät verwendet.

Bevor Sie den HTTPS-Proxy im Policy Manager aktivieren, muss also zuerst das verwendete Zertifikat an alle HTTPS-Clients im Netzwerk verteilt werden. Sie können die Zertifikate an eine E-Mail mit entsprechenden Anweisungen anhängen, diese in einen öffentlichen Ordner stellen, oder Sie verwenden eine Netzwerk-Management-Software, um die Zertifikate automatisch zu verteilen.

Erstellen eines HTTPS-Proxy im WatchGuard Policy Manager

  • Öffnen Sie den WatchGuard Poliy-Manager ihrer Firebox Firewall
  • Wählen Sie "Edit" > "Add Policy". Das "Add Policies"-Dialogfeld erscheint.
  • Erweitern Sie die "Proxies" Kategorie und wählen Sie den "HTTPS-Proxy"-Eintrag.
  • Klicken Sie auf "Add". Die "New Policy Properties"-Dialogbox erscheint.
  • Wählen Sie die Registerkarte "Properties".
  • Klicken Sie auf View / Edit Proxy-Taste. Die "HTTPS Proxy Action Configuration" öffnet sich
  • In der "Content Inspection" Kategorie (standardmäßig ausgewählt), aktivieren Sie "Enable deep inspection of HTTPS content"
  • Wählen Sie die HTTP-Proxy-Action, die Sie zur Inspektion der HTTPS Inhalten verwenden möchten, oder erstellen Sie eine neue HTTP-Proxy-Action für diese HTTPS-Richtlinie.
  • Wählen Sie die gewünschten Optionen für die OCSP-Überprüfung des Zertifikats. (Am besten erst mal leer lassen, wenn man nicht genau weiß um was es geht)
  • In die Bypass-Liste, geben Sie die IP-Adressen von Websites und Anwendungen ein, für die Sie nicht möchten, dass der Verkehr kontrollieret wird.
  • Klicken Sie zweimal auf "OK"
  • Klicken Sie auf "Close"
  • Im Policy Manager entfernen Sie das Häkchen "Enable" in allen, mit dieser neuen Regel kollidierenden, HTTPS-Filtern, so dass diese nicht zum Tragen kommen

Exportieren des  HTTPS-Proxy Zertifikats

Dieser Vorgang exportiert ein HTTPS-Proxy Zertifikat von Ihrer XTM-Firewall im PEM-Format.

  • Öffnen Sie den WatchGuard System Manager und verbinden Sie mit Ihrer XTM-Firewall
  • Öffnen Sie den Firebox System Manager
  • Wählen Sie View > Certificates.
  • Wählen Sie das "HTTPS Proxy Authority" CA-Zertifikat aus der Liste und klicken Sie auf Export.
  • Geben einen Namen ein (Standard: selfsignedCA.pem) und wählen Sie einen für alle Benutzer zugänglichen Speicherort um das Zertifikat zu speichern.
  • Kopieren Sie das gespeicherte Zertifikat bei Bedarf auf die Client-Rechner

Importieren von Zertifikaten auf Client-Geräte

Um Zertifikate, die Sie auf der XTM-Firewall installiert haben, mit Client-Geräten zu verwenden, müssen Sie die Zertifikate mit Firebox System Manager exportieren und dann die Zertifikate auf jedem Client importieren. Dies kann über die Zertifikatsverwaltung lokal eingerichtet werde, per Gruppenrichtlinie im Active Directory verteilt werden.

Zertifikat auf Windows Arbeitsstation installieren

Sie müssen als Administrator angemeldet sein, um diese Schritte ausführen zu können. Sie können das Firebox HTTPS-Proxy-Zertifikat importieren, um es auf dem eigenen Computer verwenden zu können. Durch das Importieren wird das Zertifikat im richtigen Zertifikatordner platziert.

  • Öffnen Sie die Zertifikatverwaltung, indem Sie auf die Schaltfläche "Start" klicken, certmgr.msc in das Feld Suche eingeben und dann die EINGABETASTE drücken.‌ Wenn Sie aufgefordert werden, ein Administratorkennwort oder eine Bestätigung einzugeben, geben Sie das Kennwort bzw. die Bestätigung ein.
  • Erweitern Sie auf den Ordner "Vertrauenswürdige Stammzertifizierungsstellen", und klicken Sie mit der rechten Maustaste auf "Zertifikate" klicken Sie auf "Alle Aufgaben"->"Importieren.
  • Klicken Sie auf Weiter, und "Durchsuchen". Wenn Sie im Zertifikatimport-Assistenten auf "Durchsuchen" klicken, werden standardmäßig nur X.509-Zertifikate angezeigt. Möchten Sie einen anderen Zertifikattyp importieren, müssen Sie diesen im Dialogfeld "Öffnen" auswählen. Wählen Sie hier aus Ihrem öffentlichen Ordner das selfsignedCA.pem Zertifikat.

Verwenden der ADS Gruppenrichtlinie zum Verteilen des Firebox Zertifikats

Zertifikate sind wichtige Anmeldeinformationen. Administratoren möchten deshalb nicht, dass Benutzer selbst entscheiden können, welche Zertifikate vertrauenswürdig sind und welche nicht. In den meisten Fällen sollte die Entscheidung, ob einem bestimmten Zertifikat vertraut wird oder nicht, von Administratoren oder Personen getroffen werden.

Das Verteilen des Zertifikats an Clients ist mithilfe der ADS Gruppenrichtlinie möglich.

Sie müssen Domänen-Admin sein um dieses Verfahren ausführen zu können. Weitere Informationen finden Sie unter Implementieren der rollenbasierten Verwaltung.

So fügen Sie das Zertifikat dem Speicher vertrauenswürdiger Stammzertifizierungsstellen Ihrer Domäne hinzu:

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Gruppenrichtlinienverwaltung.
  2. Doppelklicken Sie in der Konsolenstruktur der Gesamtstruktur und Domäne, die das zu bearbeitende Gruppenrichtlinienobjekt (Group Policy Object, GPO) Standarddomänenrichtlinie enthält, auf Gruppenrichtlinienobjekte.
  3. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt Standarddomänenrichtlinie, und klicken Sie dann auf Bearbeiten.
  4. Wechseln Sie in der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) nacheinander zu Computerkonfiguration, Windows-Einstellungen und Sicherheitseinstellungen, und klicken Sie dann auf Richtlinien öffentlicher Schlüssel.
  5. Klicken Sie mit der rechten Maustaste auf den Speicher Vertrauenswürdige Stammzertifizierungsstellen.
  6. Klicken Sie auf Importieren, und folgen Sie den Schritten des Zertifikatimport-Assistenten, um die Zertifikate zu importieren.
  7. Öffnen Sie unter Richtlinie für öffentliche Schlüssel die Eigenschaften des Zertifikatdienstclient - Automatische Registrierung, ändern Sie das Konfigurationsmodell auf "Aktiviert" und klicken Sie auf OK.
  8. Öffnen Sie unter Richtlinie für öffentliche Schlüssel die Eigenschaften der Einstellungen für die Überprüfung des Zertifikatpfades, setzen Sie den Haken bei "Diese Richtlinieneinstellungen definieren" und klicken und klicken Sie auf OK.

Die Gruppenrichtlinie wird beim nächsten Start der Arbeitsstationen aktiv.

Beachten Sie, dass einige Programme (wie z.B. Mozilla Firefox) ihr eigenes Zertifikatssystem mitbringen. Sollen solche Programme mit dem WatchGuard HTTPS Proxy genutzt werden, muss das Zertifikat dort zusätzlich installiert werden.
- Firefox: „Erweitert“ -> „Verschlüsselung“->„Zertifikate anzeigen“->„Zertifizierungsstellen“ ->„Importieren“ -> "Öffnen" -> „Dieser CA vertrauen, um Websites zu identifizieren.“
- Opera:  „Erweitert“ -> „Sicherheit" ->„Zertifikate verwalten“, -> „Zertifizierungsstellen“. ->„Importieren“ -> "Öffnen" -> „Installieren“ -> „Sind Sie sicher, dass Sie diesem Aussteller vertrauen möchten?“ (OK):

Zertifikat auf Android Systemen installieren

So installieren Sie ein das Zertifikat aus dem internen Speicher Ihres Android Gerätes:

  • Kopieren Sie das selfsignedCA.pem Zertifikat von Ihrem Computer in das Stammverzeichnis des internen Speichers Ihres Android-Gerätes, also nicht in ein Unterverzeichnis.
  • Benennen Sie das Zertifikat von selfsignedCA.PEM nach selfsignedCA.CRT um.
  • Tippen Sie auf dem Startbildschirm oder dem Menü-Bildschirm auf das Symbol "Einstellungen" .
  • Wechseln Sie zu Persönlich > Sicherheit > Berechtigungsspeicher > Von USB-Speicher installieren.
  • Es werden jetzt ausschließlich noch nicht installierte Zertifikate angezeigt. Berühren Sie den Dateinamen des zu installierenden selfsignedCA.CRT-Zertifikats.
  • Geben Sie nach Aufforderung das Passwort des Berechtigungsspeichers ein und berühren Sie OK.
  • Geben Sie einen Namen für das Zertifikat ein und berühren Sie OK.
  • Falls Sie noch kein Muster, keine PIN oder kein Passwort für Ihr Gerät festgelegt haben, werden Sie jetzt dazu aufgefordert. Möglicherweise hat Ihr Systemadministrator vorab festgelegt, welche Art von Sperre zu verwenden ist.

Problembehandlung Probleme mit HTTPS Content Inspection

Die Firebox oder XTM-Firewall erzeugt Log-Meldungen, wenn es ein Problem mit einem Zertifikat für HTTPS Content Inspection erkannt wird. Wir empfehlen die HTTPS-spezifischen Log-Nachrichten im Traffic Monitor zu lesen, um weitere Informationen zu erhalten.

GepaNet GmbH bietet WatchGuard Gold Partner Support

Watchguard Gold Partner SupportWir bieten neben der Beratung und dem Verkauf von WatchGuard Firebox Firewalls auch einen umfassenden WatchGuard Dienstleistungsservice in Deutschland, Österreich und der Schweiz an. Ob WatchGuard Vorkonfiguration, WatchGuard Installation und Einrichtung, Vor-Ort-Service, oder spontane Remote-Hilfe, wir sind Ihr zertifizierter WatchGuard Support mit schneller Reaktion.

Mit unserem umfangreichen Schulungs-Angebot zum Thema „IT-Sicherheit“ bereiten wir IT-Profis auf mögliche Gefahren und Angriffe im Web vor und bieten zahlreiche bewährte Lösungsmodelle an. Die Kurse fangen mit der Grundkonfiguration der WatchGuard Firewalls und der Fireware an und führen bis ins Detail mit erweiterten Funktionen wie Multi-WAN, VLAN, FireCluster, AD-Authentifizierung, Managementserver und VPN. Die Kurse bestehen aus Theorie-Teilen gemischt mit „Hands-On“ Elementen die das vermittelte Wissen in der Pracis vertiefen. Alle WatchGuard Schulungen und Workshops, führten wir auch ganz individuell, mit von Ihnen vorgegebenen Zielen, in Ihren eigenen Räumen durch. Wir stellen dazu nach Absprache auch WatchGuard Firebox Produkte für Hands-On-Training und die erforderliche Präsentationstechnik zur Verfügung. Im Rahmen der Workshops kann individuell auf Ihre bestehende oder geplante Netzwerk-Infrastruktur eingegangen werden. Viele Kunden haben bereits eine ein- bis dreitägige Individual-Schulung gebucht, bei der dann die neu gekaufte WatchGuard Firebox Infrastruktur für den Produktivbetrieb vorbereitet und in Betrieb genommen wurde. (Natürlich auch für WatchGuard Geräte, die nicht bei uns gekauft wurden.)

WatchGuard Firewall   Beschreibung
WatchGuard Firebox T20 -W
WatchGuard Firebox T40 -W

WatchGuard Firebox T20   5 Benutzer 154 Mbps UTM
WatchGuard Firebox T40  20 Benutzer 300 Mbps UTM

Die -W Modelle unterstützen Wireless 802.11 a/b/g/n

WatchGuard Firebox T80

WatchGuard Firebox T80  50 Benutzer 631 Gbps UTM

optionaler SFP+ Moduleinschub für 10GbE

WatchGuard Firebox M270
WatchGuard Firebox M370

WatchGuard Firebox M470
WatchGuard Firebox M570
WatchGuard Firebox M670

Watcguard Firebox M270 M370

WatchGuard Firebox M270    70 Benutzer  1,6 Gbps UTM
WatchGuard Firebox M370  200 Benutzer  2,6 Gbps UTM
WatchGuard Firebox M470  400 Benutzer  3,1 Gbps UTM
WatchGuard Firebox M570  750 Benutzer  4,4 Gbps UTM
WatchGuard Firebox M670 1000 Benutzer  5,4 Gbps UTM
WatchGuard Firebox M290
WatchGuard Firebox M390
WatchGuard Firebox M590
WatchGuard Firebox M690
WatchGuard Firebox M290 M390 WatchGuard Firebox M290    75 Benutzer  1,1 Gbps UTM
WatchGuard Firebox M390  250 Benutzer  2,4 Gbps UTM
WatchGuard Firebox M590  500 Benutzer  3,3 Gbps UTM
WatchGuard Firebox M690  850 Benutzer  4,6 Gbps UTM
WatchGuard Firebox M4800

WatchGuard Firebox M5800

Watchguard Firebox M4800 M5800

WatchGuard Firebox M4800  2500 Benutzer
50Gbps FW
WatchGuard Firebox M5600  10000 Benutzer
60 Gbps FW
WatchGuard FireboxV
WatchGuard Firebox Cloud

Watchguard FireboxVals virtuelle MaschineWatchguard FireboxCloud für AWS und Azure

WatchGuard FireboxV virtuelle Firewall für VMware, MS Hyper-V oder KVM Hypervisor.
WatchGuard Firebox Cloud für Ihre AWS und Azure Cloud.
WatchGuard  WiFi 5 APs

WatchGuard AP1255
WatchGuard AP225W
WatchGuard AP325
WatchGuard AP420
 

Watchguard AP 125 AP325 AP420

Unter WSM zentral administrierbare WatchGuard WLAN Access Points mit hoher Firewall-Sicherheit.
WatchGuard AP125, AP225W, AP325, AP420: die sichersten 802.11ac Wave2 AccessPoints.
WatchGuard WiFi 6 APs

WatchGuard AP130
WatchGuard AP330
WatchGuard AP430CR

Unter WatchGuard Cloud zentral administrierbare WatchGuard WLAN Access Points mit hoher Firewall-Sicherheit.
WatchGuard AP130, AP330, AP430CR: die schnellsten und sichersten WiFi 6 AccessPoints.
WatchGuard Promo
Trade-Up Programm

Trade-In Programm
Watchguard Promo Trade-Up Trade-In, RED instead Sie möchten ein größeres Modell? Oder einen anderen Hersteller wie Fortinet, Sophos, Sonicwall,... ablösen und mit WatchGuard Trade-In zur supergünstigen Firewall?
GepaNet WatchGuard Dienstleistungen
WatchGuard Schulung
WatchGuard Training

WatchGuard Certified Training Partner (WCTP): Training, Schulung, Einrichtungs-Workshops, Zertifizierungs-Kurse mit zugelassenen WatchGuard Trainern.

Training, Schulung, Einrichtungs-Workshops, Zertifizierungs-Kurse mit zugelassenen WatchGuard Trainern. WatchGuard Certified Training Partner (WCTP)
WatchGuard Support

Watchguard Support, Firebox Support

Sicherheitsberatung, Inbetriebnahme, Regeländerungen und Problembehebung durch ausgebildete, technische WatchGuard-Supporter
Managed Security Service
MSS
P

Watchguard zentrale Verwaltung und Administration durch Gepanet GmbH

Zentrale Verwaltung durch GepaNet MSSP. Administration, Regeländerungen, Pflege der VPN Struktur, Installation von Security Hotfixes, Update Service, Logging, Log-Auswertung, Reporterstellung, Backup, Restore, Hardwareservice, usw.
WatchGuard Subscription Services
WatchGuard FireCluster Watchguard FireCluster, High Availability Hochverfügbarkeit durch zweite Cluster-Firewall mit HA-Promo.
WatchGuard Lizenzen Watchguard LiveSecurity Service LSS, Watchguard Subscriptions WatchGuard Subscription Services; Standard Support, Basic Security Suite, Total Security Suite und Software-Updates.
WatchGuard APT Blocker Watchguard APT-Blocker WatchGuard APT: Abwehr von Advanced Persistent Threats und unbekannter Malware.
WatchGuard Mobile Security Watchguard Mobile Security Mobile Security: Schutz für Android und iOS.
WatchGuard Dimension Watchguard Dimension Command WatchGuard Dimension: Visualisierung und optionale Verwaltung über Dimension Command.
WatchGuard TDR Watchguard TDR, Thead Detection and Response TDR: Bedrohungsanalyse und Abwehrkorrelation zwischen Firewall und Endpoints.
WatchGuard DNSwatch

Watchguard DNSwatch

DNSWatch verringert Infektionen durch Schadsoftware, indem bösartige DNS-Anforderungen blockiert werden.
WatchGuard AccessPortal Watchguard Access Portal Zentraler Zugangspunkt für gehostete Anwendungen und sicherer, clientloser Zugriff auf interne Ressourcen.
WatchGuard IntelligentAV Watchguard Intelligent AV Signaturlose Anti-Malware mit künstlicher Intelligenz zur automatischen Erkennung von Zero-Day-Schadsoftware.
WatchGuard AuthPoint Multifaktor Authentifizierung: Push, OTP oder QR-Code.
WatchGuard System
Manager (WSM
)

Watchguard System Manager zentrale Verwaltung

Zentrale Firewall-Verwaltung. Die Konfiguration und VPN Struktur wird zentral, einfach verwaltet und verteilt.
Panda Security 100% Malware Erkennung und Beseitigung.
WatchGuard Endpoint Security WatchGuard Endpoint Security: Schützt Sie vor jedem endpoint Angriff von bekannter und unbekannter Malware.

GepaNet GmbH >> Services >> Tipps und Tricks >> WatchGuard https Proxy

Gepanet GmbH ist Watchguard Gold Partner

 

GepaNet GmbH: Ihr IT-Systemhaus für Netzwerke, e-Security, Firewallsysteme

E-Mail: vertrieb@gepanet.com
Telefon: +49 8382 9479 825
Anschrift: D-88142 Wasserburg, Wiesenstraße 12

Wir beliefern Unternehmer (BGB §14/1) und Behörden in ganz Europa. Wir liefern nicht an Verbraucher (BGB §13). Änderungen und Irrtümer vorbehalten. Modelle, Preise und Lieferfähigkeit können sich täglich ändern. Preise verstehen sich zuzüglich der Versand- und Frachtkosten sowie der gesetzlichen MwSt. Für alle Aufträge gelten ausschließlich unsere AGB. Zusatzinformationen, Datenblätter und AGB senden wir Ihnen gerne zu.
Netzwerk-Vor-Ort-Betreuung im Bodensee Gebiet, Süddeutschland, Baden-Württemberg, Bayern, Allgäu, Vorarlberg, Schwaben, Appenzell, Augsburg, Arbon, Bad Waldsee, Biberach, Bludenz, Bregenz, Dornbirn, Feldkirch, Friedrichshafen, Freiburg, Füssen, Götzis, Günzburg, Heidenheim, Hohenems, Illertissen, Immenstaad, Immenstadt, Isny, Kaufbeuren, Kempten, Kißlegg, Konstanz, Landsberg, Laupheim, Lauterach, Leutkirch, Lindau, Lustenau, Markdorf, Marktoberdorf, Mengen, Memmingen, Mindelheim, Oberstaufen, Oberstdorf, Pfronten, Pfullendorf, Rankweil, Ravensburg, Reutlingen, Romanshorn, Salem, Saulgau, Sigmaringen, Simmerberg, Sonthofen, St. Gallen, St. Margrethen, Tettnang, Tübingen, Tuttlingen, Überlingen, Ulm, Wangen und Weingarten.

AGB        Lieferung     Datenschutzerklärung     Impressum
Home Nach oben