Handbuch - Univention
Handbuch - Univention
Handbuch - Univention
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
9.4 Paketfilter mit <strong>Univention</strong> Firewall<br />
9.4 Paketfilter mit <strong>Univention</strong> Firewall<br />
Die <strong>Univention</strong> Firewall integriert einen Paketfilter auf Basis von iptables in <strong>Univention</strong> Corporate Server.<br />
Dies ermöglicht die gezielte Filterung unerwünschter Dienste, die Absicherung von Rechnern während<br />
Installationsarbeiten, und stellt die Basis für komplexere Szenarien wie Firewalls oder Application Le-<br />
vel Gateways bereit. <strong>Univention</strong> Firewall ist in der standardmäßig auf allen <strong>Univention</strong> Corporate Server-<br />
Installationen enthalten.<br />
In der Grundeinstellung werden eingehende Pakete für alle Ports blockiert/abgelehnt. Jedes UCS-Paket<br />
bringt Regeln mit, die die von dem Paket benötigten Ports wieder freigeben.<br />
Die Konfiguration erfolgt im Wesentlichen über <strong>Univention</strong> Configuration Registry-Variablen.<br />
Darüber hinaus werden die im Verzeichnis /etc/security/packetfilter.d/ liegenden<br />
Konfigurations-Skripte in alphabetischer Reihenfolge ausgeführt. Standardmäßig sind alle Skripte<br />
mit zwei führenden Ziffern benannt, so dass eine einfache Festlegung der Reihenfolge möglich ist. Die<br />
Skripte müssen als ausführbar markiert sein.<br />
Nach Änderungen der Paketfilter-Einstellungen muss der Dienst univention-firewall neu gestartet wer-<br />
den.<br />
Die <strong>Univention</strong> Firewall kann durch Setzen der <strong>Univention</strong> Configuration Registry-Variable<br />
security/packetfilter/disabled auf true deaktiviert werden.<br />
9.5 Web-Proxy für Caching und Policy Management/Virenscan<br />
Die Proxy-Integration ermöglicht die Verwendung eines Web-Caches zur Verbesserung der Performance<br />
und Kontrolle des Datenverkehrs. Sie basiert auf dem bewährten Proxy-Server Squid und unterstützt die<br />
Protokolle HTTP, FTP und HTTPS.<br />
Ein Proxy-Server nimmt Anfragen nach Internetinhalten entgegen und prüft, ob diese Inhalte bereits in<br />
einem lokalen Cache vorhanden sind. Ist dies der Fall, werden die angefragten Daten aus dem lokalen<br />
Cache bereitgestellt. Sind die Daten noch nicht vorhanden, werden die Inhalte vom jeweiligen Webserver<br />
abgerufen und in den lokalen Cache eingefügt. Hierdurch können die Antwortzeiten für die Anwender<br />
sowie das Transfervolumen über den Internetzugang verringert werden.<br />
Als zusätzliche Komponente kann die Software Dansguardian installiert werden. Damit ist es möglich,<br />
dass Internetinhalte vor der Auslieferung an den Anwender überprüft und gefiltert werden, um so Dateien<br />
auf Viren zu scannen oder den Zugriff auf unerwünschte Inhalte zu unterbinden.<br />
Einige weiterführende Funktionen der Proxy-Dienste - wie etwa die Kaskadierung von Proxy-Servern oder<br />
die Einrichtung von Authentifizierung bei der Proxy-Anmeldung sind über <strong>Univention</strong> Configuration Regis-<br />
try konfigurierbar, werden aber in dieser Dokumentation nicht weitergehend beschrieben.<br />
9.5.1 Installation<br />
Der Web-Proxy kann auf jeder UCS Server-Systemrolle mit dem Paket univention-squid installiert wer-<br />
den.<br />
159