• Zielgruppen
  • Suche
 

Web-Proxy

Das Rechenzentrum bietet für Rechner im Universitäts-Netz einen zentralen Web-Proxy an. Dieser Proxy funktioniert für die Protokolle http, https und ftp - also für die normalen Zugriffe mit dem Webbrowser oder bei Updates von Betriebssystemen und Programmen. Sinn des Proxys ist die Filterung von Inhalten: je nach Einstellung zur Abwehr von Malware oder zum eher anonymen Surfen.

Grundsätzlich ist die Verwendung des Proxys für Anwender freiwillig (für Server-Systeme hingegen zukünftig verbindlich). Für die verschiedenen Anwendungen bieten wir verschiedene Ausprägungen an:

Für Server (Server, Appliances, Embedded, Messgeräte, Labor-PCs):

  • "Secure": für Server-Systeme, ein sehr eingeschränkten Zugriff auf Update-Server

Für Clients (Desktops, Laptops, Smartphones):

  • "Anon":  zur Anonymisierung, Reduktion der an Server übermittelten Daten und Sperrung bekannter Tracking-Server
  • "Filter": rausfiltern von in der Universität normalerweise ungewünschten Inhalten (z.B. Pornographie, Werbung)
  • "Web": lediglich Sperrung bekannter Malware-Server

Die bei "Web" erfolgende Sperrung von Malware-Sites greift auch bei allen anderen Proxy-Ausprägungen. Die Filterung ist prinzip-bedingt nie vollständig, sondern immer ein Kompromiss

  • zwischen Nutzbarkeit und Filterung und auch
  • zwischen Realisierbarkeit / Aufwand und Filteranforderung.

Nutzung eines Proxys

Auf den folgenden Unterseiten ist beschrieben, wie Sie Betriebssysteme oder Anwendungen zur Nutzung des Proxy-Dienstes einstellen müssen (im Aufbau):

Details zu den Proxy-Servern

Weitere Informationen zum Proxy-Dienst und den -Servern haben wir auf folgenden Unterseiten zusammengestellt (im Aufbau):

  • Technik-Hintergrund
  • Filter-Einstellungen der Client-Proxies (Anon, Filter, Web)
  • Filter-Einstellungen des Server-Proxys (Secure)
  • Datenschutz im Proxy-Betrieb

Proxy als Teil der Gateway-Security

Das Angebot des Proxy-Dienstes ist Teil des Sicherheitskonzeptes für das Internet-Gateway der Universität. Die Universität betreibt am Übergang zwischen LUH-Netz (Intranet) und dem weltweiten Internet eine Firewall. Der Proxy und die Firewall sind im Zusammenhang zu betrachten:

  • Die Firewall ist nur verbindungsorientiert, auf eine Deep-Packet-Inspection wurde verzichtet. Für den Webtraffic bietet der Proxy diese inhaltliche (Layer-7-) Filterung.
  • Server sollen nur Update-Server erreichen, nicht mehr beliebige Server im Internet. Das wird (für Server teilweise transparent eingebunden) durch den Secure-Proxy erledigt.

Bisher sieht das Rechenzentrum keine Notwendigkeit für die Unterstützung weiterer Protokolle wie z.B. SIP durch spezielle Proxies, der Web-Traffic (http, https, ftp) ist ein Großteil und ein Einfallstor für Malware (Drive-By-Downloads etc.).
Allerdings gibt es eine Reihe von Diensten wie z.B. Zeit- und Upate-Server, die innerhalb des LUH-Netzes angeboten werden. Für diese Dienste ist ohne Proxy bereits kein Zugriff nach Außen nötig. Es sollten nach Möglichkeit die LUH-internen Dienste genutzt werden.