Ich habe also mit überbrückten Firewalls äußerst schlechte Erfahrungen gemacht und mich daher entschieden, einen eigenständigen Proxy zu erstellen. Die PCs in der Domäne erhalten standardmäßig den Proxy und ihr Internetzugriff wird dann gefiltert. Alles gut!
Wenn dann aber jemand einen PC mitbringt, der nicht in der Domäne ist, wird er nicht über den Proxy geleitet und kann uneingeschränkt auf das Internet zugreifen. Das ist dasselbe wie beim WLAN. Geräte, die nicht in der Domäne sind, haben uneingeschränkten Internetzugang.
Mein Router ist ein Cisco 2811 und auf meinem DC läuft DHCP. Was kann ich tun, um die Übertragung aller Daten durch den Proxy zu erzwingen, sodass der gesamte Datenverkehr gefiltert wird, auch wenn die Daten nicht in der Domäne sind, die die Gruppenrichtlinie erhält?
Antwort1
was kann ich tun, um die Durchleitung aller Daten durch den Proxy zu erzwingen, sodass der gesamte Datenverkehr gefiltert wird, auch wenn die Daten nicht in der Domäne sind, die die Gruppenrichtlinie erhält?
Sie müssen entweder:
Fordern Sie Benutzer von Drittgeräten in Ihrem Netzwerk auf,Konfigurieren Sie den Proxyserver explizitin ihrem Gerät/Browser, wenn sie sich mit Ihrem Netzwerk verbinden.
Dabei handelt es sich um eine Richtlinienänderung, nicht um eine technische. Sie kann zudem eine Belastung für Ihr Supportteam darstellen, da die Benutzer im Allgemeinen nicht mit dem Vorgang zum Konfigurieren eines Proxyservers vertraut sind.
Aktivieren Sie Ihren Proxy alstransparenter Proxyindem Sie Ihr Gateway-Gerät so konfigurieren, dass ausgehender Web-Datenverkehr (HTTP) zur Filterung und Weiterleitung an Ihren Proxy weitergeleitet wird. Meiner Erfahrung nach ist dies der effektivste Ansatz, obwohl Sie ihn möglicherweise mit den oben genannten Methoden kombinieren möchten, insbesondere wenn Ihr Proxy verschiedene Filterstufen über die Benutzerauthentifizierung bereitstellt.
Es ist auch möglich, automatisierte Mechanismen zur Konfiguration von Proxyservern zu verwenden, indem eine PAC-Datei und eine automatische Proxy-Erkennung verwendet werden. Wie in den Kommentaren erwähnt, weisen diese jedoch kritische Sicherheitslücken auf und werden nicht empfohlen (Quelle).
[Wenn] jemand einen PC mitbringt, der nicht in der Domäne ist, durchläuft er nicht den Proxy und kann uneingeschränkt auf das Internet zugreifen.
Um dieses Problem zu lösen, müssen Sie den direkten und uneingeschränkten Zugriff auf das Internet in Ihrer Firewall oder Ihrem Gateway-Gerät blockieren.Ohne diese Vorsichtsmaßnahme kann der Besitzer eines nicht verwalteten Geräts sein Gerät einfach so konfigurieren, dass alle Proxy-Einstellungen, die Sie auf sein Gerät übertragen, ignoriert werden (unabhängig von der Bereitstellungsmethode) und er erhält uneingeschränkten Zugriff. Dies kann auch für Ihre Unternehmenscomputer gelten, je nachdem, welchen Grad an Einschränkung Sie per Richtlinie anwenden (können Benutzer beispielsweise ihren eigenen Browser installieren, um die durch die Gruppenrichtlinie erzwungenen Proxy-Einstellungen zu umgehen?).
Dies kann bedeuten, dass Sie ACLs erstellen, die den Zugriff auf Web-Datenverkehr (HTTP) verweigern, oder transparente Proxy-Regeln konfigurieren, um diesen Datenverkehr automatisch an Ihren Proxy-Server weiterzuleiten. Nur der Proxy-Server sollte Regeln haben, die den direkten Zugriff auf das World Wide Web erlauben.
Sie können diese Filterung auf der TCP-Ebene durchführen, indem Sie offensichtliche Web-Ports (80/443) oder alle ausgehenden Ports (am sichersten) blockieren. Alternativ haben Sie die Möglichkeit, diese Filterung auf einer höheren Ebene für jeglichen Datenverkehr durchzuführen, dersieht aus wieHTTP durch Durchführen einer Deep Packet Inspection.