Konfigurieren der HTTP-Filterung

Veröffentlicht: November 2009

Letzte Aktualisierung: Februar 2010

Betrifft: Forefront Threat Management Gateway (TMG)

In diesem Thema wird beschrieben, wie HTTP-Filter konfiguriert werden. Sie können HTTP-Filter für eingehende und ausgehende Zugriffsregeln verwenden, um die Typen von Daten und HTTP-Befehlen zu steuern, die von der Firewall durchgelassen werden sollen.

Weitere Informationen zur HTTP-Filterung finden Sie unter Planen der HTTP-Filterung.

Im den folgenden Verfahren wird beschrieben, wie Sie eine HTTP-Filterung für eine Zugriffsregel konfigurieren:

So greifen Sie auf die Regel zum Konfigurieren der HTTP-Filterung zu

  1. Klicken Sie in der Konsolenstruktur der Forefront TMG-Verwaltung auf den Knoten Firewallrichtlinie.

  2. Klicken Sie im Detailbereich mit der rechten Maustaste auf die zu ändernde Regel, und klicken Sie anschließend auf HTTP konfigurieren. Das Dialogfeld HTTP-Richtlinie für diese Regel konfigurieren wird geöffnet.

  3. Konfigurieren Sie die HTTP-Filterung den Anforderungen des Netzwerks entsprechend mithilfe der folgenden Verfahren.

noteHinweis:
Eine Beschreibung der Parameter, die Sie für die Konfiguration in diesem Verfahren benötigen, finden Sie in der „Übersicht über die HTTP-Filtereinstellungen“ unter Planen der HTTP-Filterung.

So konfigurieren Sie die Header- und URL-Blockierung

  1. Klicken Sie im Dialogfeld HTTP-Richtlinie für diese Regel konfigurieren auf die Registerkarte Allgemein.

  2. Geben Sie unter Maximale Headerlänge (Byte) die maximal zulässige Anzahl von Bytes im URL- und HTTP-Header für eine HTTP-Anforderung an, bevor diese blockiert wird.

    noteHinweis:
    Diese Einstellung gilt für alle Regeln, daher wird eine Änderung dieser Einstellung in einer Regel für alle Regeln übernommen.

  3. Deaktivieren Sie die Option Jede Nutzlastlänge zulassen, um Anforderungen zu blockieren, die die Anzahl der in Maximale Nutzlastlänge (Byte) angegebenen Bytes überschreiten.

  4. Geben Sie im Feld Maximale URL-Länge (Bytes) die maximal zulässige URL-Länge ein. Anforderungen, deren URLs diesen Wert überschreiten, werden gesperrt.

  5. Geben Sie unter Maximale Abfragelänge (Byte) die in einer Anforderung maximal zulässige Abfragelänge ein. Anforderungen, deren Abfragen diesen Wert überschreiten, werden gesperrt.

  6. Wählen Sie die Option Normalisierung überprüfen aus, um Anforderungen mit URLs zu blockieren, die nach der Normalisierung Escapezeichen enthalten.

    noteHinweis:
    Beachten Sie, dass bei der empfohlenen Verwendung der Funktion „Normalisierung überprüfen“ auch zulässige Anforderungen blockiert werden können, die ein „%“ enthalten.

  7. Wählen Sie die Option High Bit-Zeichen sperren aus, um festzulegen, dass URLs mit High Bit-Zeichen gesperrt werden.

  8. Aktivieren Sie Antworten sperren, die von Windows ausführbaren Inhalt enthalten, um festzulegen, dass Antworten mit von Windows ausführbarem Inhalt (mit MZ beginnende Antworten) blockiert werden.

HTTP-Methoden (auch bekannt als HTTP-Verben) sind die in einer Anforderungsnachricht gesendeten Anweisungen, die einen HTTP-Server über die auf der angegebenen Ressource durchzuführenden Aktionen benachrichtigen. Ein Beispiel für das methodenabhängige Blockieren stellt das Blockieren der POST-Methode dar, damit interne Clients keine Daten an eine externe Webseite übertragen können. Dies ist bei einem Szenario mit einem sicheren Netzwerk hilfreich, wenn Sie verhindern möchten, dass vertrauliche Informationen auf einer Website veröffentlicht werden. Es kann auch bei einer Webveröffentlichung verwendet werden, um böswillige Benutzer daran zu hindern, schädliches Material auf Ihrer Website zu veröffentlichen.

So konfigurieren Sie HTTP-Methoden (Verben)

  1. Klicken Sie im Dialogfeld HTTP-Richtlinie für diese Regel konfigurieren auf die Registerkarte Methoden.

  2. Wählen Sie in Geben Sie die Aktion an, die für HTTP-Methoden verwendet werden soll die Aktion aus, die für aufgeführte Methoden durchgeführt werden soll. Sie können alle Methoden zulassen, die aufgeführten Methoden blockieren und alle anderen Methoden zulassen bzw. die aufgeführten Methoden zulassen und die anderen Methoden blockieren. Es wird empfohlen, nur die ausgewählten Methoden zuzulassen, da es sich hierbei um die sicherste Konfiguration handelt.

  3. Klicken Sie auf Hinzufügen, um eine Methode hinzuzufügen. Geben Sie im Dialogfeld Methode die Methode ein, die Sie hinzufügen möchten.

  4. Wenn Sie eine vorhandene Methode löschen möchten, wählen Sie die Methode in der Liste aus und klicken dann auf Entfernen.

  5. Wenn Sie eine vorhandene Methode bearbeiten möchten, wählen Sie die Methode in der Liste aus und klicken dann auf Bearbeiten.

Sie können alle oder nur die in der Liste enthaltenen Erweiterungen zulassen. Sie können auch die in der Liste enthaltenen Erweiterungen blockieren, während Sie alle anderen zulassen. Es wird empfohlen, nur die ausgewählten Erweiterungen zuzulassen, da es sich hierbei um die sicherste Konfiguration handelt. Wenn Sie beispielsweise eine Website veröffentlichen, kann der Entwickler der Website oder der Webserveradministrator eine Liste der Erweiterungen definieren, die für die Websitefunktionalität erforderlich sind.

Ein typisches Beispiel für das Blockieren einer Erweiterung ist die Blockierung von ausführbaren Dateien (EXE).

So konfigurieren Sie die Blockierung von HTTP-Erweiterungen

  1. Klicken Sie im Dialogfeld HTTP-Richtlinie für diese Regel konfigurieren auf die Registerkarte Erweiterungen.

  2. Wählen Sie unter Für Dateiendungen durchzuführende Aktion festlegen eine Aktion aus.

  3. Aktivieren Sie Anforderungen sperren, die mehrdeutige Erweiterungen enthalten, um Anforderungen mit Erweiterungen zu blockieren, die nicht ermittelt werden können.

  4. Klicken Sie auf Hinzufügen, um eine Erweiterung hinzuzufügen. Geben Sie im Dialogfeld Erweiterung die hinzuzufügende Erweiterung ein.

  5. Wenn Sie eine vorhandene Erweiterung bearbeiten möchten, wählen Sie diese in der Liste aus und klicken dann auf Bearbeiten.

  6. Wenn Sie eine vorhandene Erweiterung löschen möchten, wählen Sie diese in der Liste aus und klicken dann auf Entfernen.

So konfigurieren Sie die Headerblockierung

  1. Klicken Sie im Dialogfeld HTTP-Richtlinie für diese Regel konfigurieren auf die Registerkarte Header.

  2. Klicken Sie auf Hinzufügen, um einen Header hinzuzufügen, der blockiert werden soll. Wählen Sie dann im Dialogfeld Header unter Suchen in entweder Anforderungsheader oder Antwortheader aus, und geben Sie den Headernamen ein. Es sind alle Header zulässig, ausgenommen die in der Liste Alle Header außer dem folgenden zulassen aufgeführten Header.

  3. Um einen Header zu bearbeiten, wählen Sie diesen in der Liste aus und klicken dann auf Bearbeiten. Um einen Header zuzulassen, der sich momentan auf der Liste der blockierten Header befindet, wählen Sie diesen aus und klicken dann auf Entfernen.

  4. Geben Sie unter Serverheader an, wie der Serverheader in der Antwort zurückgegeben wird. Der Serverheader ist ein Antwortheader, der Informationen wie den Namen der Serveranwendung und die Softwareversionsinformationen enthält, z. B. "HTTP: Server = Microsoft-IIS/6.0". Die möglichen Einstellungen sind:

    • Ursprünglichen Header senden – Der ursprüngliche Header wird in der Antwort zurückgegeben.

    • Header aus der Antwort löschen – Es wird kein Header in der Antwort zurückgegeben.

    • Header in der Antwort bearbeiten – Wenn Sie diese Option auswählen, geben Sie unter Ändern in den Wert ein, der in der Antwort angezeigt werden soll. Es wird empfohlen, den Serverheader zu ändern. Bei dem in der Antwort angezeigten Wert kann es sich um einen beliebigen Wert handeln, da der Serverheader selten von Clients verwendet wird.

  5. Geben Sie in Viaheader an, wie der Viaheader in der Anforderung weitergeleitet oder in der Antwort zurückgegeben wird. Eine Beschreibung finden Sie bei „Maximale Abfragelänge (Byte)“ unter Planen der HTTP-Filterung.

    Die möglichen Einstellungen sind:

    • Standardheader senden – Der Standardheader wird verwendet.

    • Header in der Anforderung und der Antwort bearbeiten – Der Viaheader wird durch einen geänderten Header ersetzt. Geben Sie bei Auswahl dieser Option in das Feld Ändern in den Header ein, der anstelle des Viaheaders eingetragen wird.

Basierend auf den spezifischen Signaturen im Header oder Nachrichtentext können Sie festlegen, ob Anforderungen blockiert werden sollen oder nicht.

So konfigurieren Sie blockierte Signaturen

  1. Klicken Sie im Dialogfeld HTTP-Richtlinie für diese Regel konfigurieren auf die Registerkarte Signaturen.

  2. Klicken Sie auf Hinzufügen, um eine blockierte Signatur hinzuzufügen. Geben Sie im Dialogfeld Signatur Folgendes an:

    • Geben Sie unter Suchen in an, ob die Signatur in der URL, im Nachrichtentext oder im Header der Anforderung bzw. im Nachrichtentext oder im Header der Antwort angezeigt wird.

    • Geben Sie unter HTTP-Header den Headernamen ein, wenn Sie eine Signatur vom Typ „Header“ angegeben haben.

    • Geben Sie unter Signatur die Signaturzeichenfolge ein. Eine Signatur kann eine beliebige Zeichenfolge in einem Header oder Nachrichtentext sein. Sie sollten Zeichenfolgen auswählen, die hinreichend spezifisch sind, um nur die gewünschten Anforderungen oder Antworten zu blockieren. Wenn Sie z. B. den Buchstaben "a" als Signatur hinzufügen, werden sämtliche Anforderungen oder Antworten blockiert, die ein "a" enthalten. Ebenso würde das Einbeziehen von "Mozilla" in eine Signatur die meisten Webbrowser blockieren. Eine typischere Beispielsignatur wäre "User-Agent: adatum-software-abc".

    • Geben Sie in Bytebereich Werte für Von und An an, wenn Sie als Signaturtyp „Antworttext“ und „Anforderungstext“ ausgewählt haben. Standardmäßig werden von Forefront TMG nur die ersten 100 Bytes des Anforderungs- und Antworttexts überprüft. Das Erhöhen dieses Standardwerts kann sich auf die Systemleistung auswirken.

  3. Sie können Signaturen mithilfe der Kontrollkästchen neben den Signaturnamen aktivieren oder deaktivieren. Klicken Sie auf Nur aktivierte Suchzeichenfolgen anzeigen, um nur aktivierte Signaturen aufzulisten.

  4. Wenn Sie eine blockierte Signatur ändern möchten, wählen Sie diese in der Liste Inhalte mit folgenden Signaturen blockieren aus und klicken dann auf Bearbeiten.

  5. Wenn Sie eine blockierte Signatur zulassen möchten, wählen Sie diese in der Liste Inhalte mit folgenden Signaturen blockieren aus und klicken dann auf Entfernen.

Sie können eine Signatur ermitteln, um durch das Überwachen des Netzwerkverkehrs spezifischen Datenverkehr zu blockieren.

ImportantWichtig:
Da einige Tools zur Überwachung des Netzwerkverkehrs zu einem Sicherheitsrisiko führen können, wird empfohlen, diese Tools nur in Testumgebungen und nicht in einer Produktionsumgebung zu verwenden.

So ermitteln Sie Signaturen

  1. Fügen Sie die Netzwerküberwachungsprogramme von Windows hinzu. Diese stehen im Abschnitt "Verwaltungs- und Überwachungsprogramme" der optionalen Komponenten von Windows zur Verfügung.

  2. Um den Netzwerkmonitor nach der Installation zu öffnen, klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Netzwerkmonitor. Wenn eine Meldung angezeigt wird, die Sie an das Auswählen eines Netzwerks erinnert, dann schließen Sie diese.

  3. Erweitern Sie im Dialogfeld Netzwerk auswählen den Eintrag Lokaler Computer. Wenn sich interne Clients im internen Forefront TMG-Standardnetzwerk befinden, wählen Sie Intern aus, um die von diesen Clients verwendeten Signaturen nachzuverfolgen. Dadurch können Sie nachverfolgte Signaturen zum Blockieren des Clientzugriffs auf bestimmte Internetdienste verwenden.

  4. Der Netzwerkmonitor erfasst alle Pakete des internen Netzwerks. Sie können die Ergebnisse nach dem Erfassen filtern oder einen Filter erstellen, bevor Sie mit der Erfassung beginnen. Um vor dem Start einen Filter zu erstellen, klicken Sie im Menü auf Erfassen, und wählen Sie dann Filter aus (oder drücken Sie auf F8). Wählen Sie im Dialogfeld Sammlungsfilter den Eintrag INCLUDE *ANY < - > *ANY aus, und klicken Sie dann auf Bearbeiten.

  5. Klicken Sie auf Adresse bearbeiten, und klicken Sie dann unter Hinzufügen auf Adresse. Klicken Sie im Dialogfeld Adressausdruck auf Adressen bearbeiten.

  6. Klicken Sie im Dialogfeld Adressdatenbank auf Hinzufügen, um das Dialogfeld Adressinformationen zu öffnen.

  7. Geben Sie im Dialogfeld Adressinformationen den Namen des Clientcomputers an. Geben Sie die IP-Adresse des Clientcomputers im Feld Adresse an, und wählen Sie aus der Liste Typ die IP aus. Klicken Sie auf OK und dann auf Schließen, um das Dialogfeld Adressdatenbank zu schließen.

  8. Überprüfen Sie in Adressausdruck, dass die Option Einschließen aktiviert ist. Wählen Sie in der Spalte Station 2 den soeben von Ihnen erstellten Client aus. Belassen Sie für Richtung die Standardeinstellung (beide Richtungen), wählen Sie dann in Spalte Station 1 den Forefront TMG-Computer als Ziel aus, und klicken Sie dann auf OK.

  9. Klicken Sie auf OK, um das Dialogfeld Sammlungsfilter zu schließen.

  10. Wenn zwischen den beiden Computern eine sehr große Menge an Datenverkehr anfällt, müssen Sie möglicherweise den Sammlungspuffer vergrößern. Dies erreichen Sie, indem Sie im Menü auf Erfassen klicken und Puffereinstellungen auswählen. Erhöhen Sie im Dialogfeld Sammlungspuffereinstellungen den Wert für Puffergröße. Klicken Sie auf OK.

  11. Schließen Sie auf dem Client alle Anwendungen mit Ausnahme der einen Anwendung, für die Sie eine Signatur erfassen möchten.

  12. Klicken Sie im Menü Netzwerkmonitor auf Erfassen, und wählen Sie „Starten“ aus (oder drücken Sie auf F10).

  13. Starten Sie die Anwendung auf dem Clientcomputer. Melden Sie sich z. B. bei Windows Live™ Messenger oder AOL Instant Messenger an.

  14. Klicken Sie im Menü Netzwerkmonitor auf Erfassen, und wählen Sie dann Beenden und Anzeigen aus (oder drücken Sie UMSCHALT+F11). Überprüfen Sie die erfassten Pakete. Normalerweise ist das vierte Paket (nach den Handshake-Paketen SYN, SYNACK und ACK) ein HTTP-Anforderungspaket vom Clientcomputer, das die gesuchten Informationen enthält. Möglicherweise müssen Sie jedoch auch in den nachfolgenden Paketen suchen.

  15. Doppelklicken Sie auf das Paket, um dessen Details anzuzeigen. Suchen Sie nach einer eindeutigen Signatur, die zu der Anwendung gehört, die Sie blockieren möchten. Wenn das Paket ordnungsgemäß vom Netzwerkmonitor analysiert wurde, können Sie im Detailbereich (dem mittleren Bereich) alle Header einzeln anzeigen und anklicken sowie die vollständige Signatur im Hexfensterbereich (den unteren Bereich) sehen. Andernfalls müssen Sie möglicherweise im Hexfensterbereich nach der Signatur suchen.

 
Anzeigen: