How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server
Securepoint Security System
Version 2007nx
How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server Securepoint Version 2007nx
Seite 2
Inhaltsverzeichnis
HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server ............................................................. 3
1 Konfiguration der Radius Authentifizierung auf einem Windows 2003 Server ......................................................... 4
1.1 Einrichten Internetauthentifizierungsdienst (IAS) ................................................................................................ 4
2 Konfiguration der Radius Authentifizierung auf der Securepoint Security Appliance .............................................. 10
2.1 Erstellen von Netzwerkobjekten........................................................................................................................ 10
2.2 Erstellen von Firewall-Regeln............................................................................................................................ 11
2.3 HTTP-Proxy konfigurieren ................................................................................................................................ 12
2.4 Browser konfigurieren ...................................................................................................................................... 14
How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server Securepoint Version 2007nx
Seite 3
HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server
Das Remote Authentication Dial-In User Service (RADIUS) ist ein Client-Server-Protokoll, das zur Authentifizierung,
Autorisierung und zum Accounting (Triple-A-System) von Benutzern bei Einwahlverbindungen in ein Computernetzwerk dient.
Die Securepoint Security Solutions können eine Proxy-Authentifizierung über Radius durchführen. Windows bietet mit dem
Internetauthentifizierungsdienst (IAS) ein Programm, welches Radius kompatible Abfragen verarbeiten kann.
Zielsetzung: Der Proxy der Securepoint Security Appliance soll einen Windows 2003 Server zum Authentifizieren der
Proxybenutzer verwenden.
How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server Securepoint Version 2007nx
1 Konfiguration der Radius Authentifizierung auf einem Windows 2003 Server
1.1 Einrichten Internetauthentifizierungsdienst (IAS)
Gehen Sie folgendermaßen vor:
Windows bietet mit dem Internetauthentifizierungsdienst (IAS) ein Programm, das Radius kompatible Abfragen verarbeiten
kann. Dieser Dienst muss auf dem Windows Server installiert werden.
Klicken Sie unter Windows auf Systemsteuerung -> Software -> Windows Komponenten hinzufügen ->
Netzwerkdienste -> Internetauthentifizierungsdienst und führen Sie die Installation auf dem Windows Server durch.
Abb. Internetauthentifizierungsdienst unter Windows 2003 Server
Seite 4
How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server Securepoint Version 2007nx
Starten Sie die IAS Konfiguration, diese befindet sich nach der Installation unter Verwaltung.
Als erstes muss der IAS dem Active Directory bekannt gemacht werden. Dies geschieht über einen Rechtsklick auf
Internetauthentifizierungsdienst (lokal) -> Server im Active Directory registrieren.
Abb. Internetauthentifizierungsdienst (lokal)
Anschließend muss die Securepoint Appliance als neuer Radius Client angelegt werden. Führen Sie einen Rechtsklick
aus auf RADIUS-Clients -> Neu
Abb. Neuen Radius-Client anlegen
Seite 5
How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server Securepoint Version 2007nx
Der angezeigte Name ist frei wählbar. Falls ein DNS-Eintrag für die Firewall existiert, kann dieser bei der Clientadresse
angegeben werden, ansonsten muss die IP-Adresse eingetragen werden.
Abb. Radius-Client definieren
Der Gemeinsame Schlüssel, der im nächsten Schritt angegeben wird, muss später auch auf der Securepoint Security
Appliance eingetragen werden.
Abb. Gemeinsamen Schlüssel festlegen
Seite 6
How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server Securepoint Version 2007nx
Neben dem Radius-Client ist eine RAS-Richtline erforderlich. Eine vordefinierte Regel sollte bereits existieren, sie muss
lediglich bearbeitet werden. Klicken Sie auf Eigenschaften.
Für diese Richtlinie soll die RAS-Berechtigung erteilt werden. Das Profil muss bearbeitet werden. Wählen Sie den Folder
Erweitert.
Abb. RAS-Richtlinie bearbeiten
Abb. Eigenschaften festlegen Abb. Folder Erweitert wählen
Unter Erweitert muss ein Attribut erstellt werden. Klicken Sie auf Hinzufügen.
Seite 7
How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server Securepoint Version 2007nx
Geben Sie die folgenden Daten an: Name: Service-Type, Attributwert: Login.
Abb. Service-Type
Abb. Attribute Abb. Abschluss der Konfiguration
Seite 8
How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server Securepoint Version 2007nx
Die IAS-Konfiguration ist damit abgeschlossen, nun muss jedem Benutzer, welcher sich später an den Proxy anmelden
können soll, das Einwählen gestattet werden. Dies geschieht unter den Eigenschaften des Benutzers -> Einwählen.
Abb. Eigenschaften des Benutzers
Seite 9
How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server Securepoint Version 2007nx
2 Konfiguration der Radius Authentifizierung auf der Securepoint Security Appliance
2.1 Erstellen von Netzwerkobjekten
Gehen Sie folgendermaßen vor:
Wählen Sie im Securepoint Security Manager Firewall -> Netzwerkobjekte.
Auf der Securepoint müssen nun Netzwerkobjekte angelegt werden: das interne Netzwerk und das interne Firewall
Interface. Klicken Sie auf den Button Rechner und legen Sie die Objekte an.
Abb. Netzwerkobjekt Internes Netz Abb. Netzwerkobjekt Internes Interface
Abb. Netzwerkobjekte
Seite 10
How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server Securepoint Version 2007nx
2.2 Erstellen von Firewall-Regeln
Gehen Sie folgendermaßen vor:
Wählen Sie über Firewall -> den Folder Portfilter aus.
Klicken Sie auf das Icon Neu.
Für die Nutzung des Proxy ist nur eine Firewall-Regel erforderlich; dem internen Netzwerk muss gestattet werden den Proxyport
(Standard 8080, Dienst: webcache) auf dem internen Interface zu nutzen.
Abb. Firewall-Regeln anlegen
Seite 11
How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server Securepoint Version 2007nx
2.3 HTTP-Proxy konfigurieren
Gehen Sie folgendermaßen vor:
Die weiteren Einstellungen werden unter Applikationen -> HTTP Proxy vorgenommen.
Unter General kann die maximale Dowload- und Uploadgröße begrenzt sowie ein Parent Proxy angegeben werden.
In diesem Beispiel wird diese Konfiguration jedoch nicht berücksichtigt. Lediglich der Virus Scanner wird aktiviert.
Abb. HTTP-Proxy General
Seite 12
How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server Securepoint Version 2007nx
Da eine Benutzerauthentifizierung stattfinden soll, ist ein transparenter Proxy nicht angebracht. Die Benutzeranmeldung bei den
Browsern funktioniert nur, wenn der Proxy fest eingetragen ist.
Der Radius Server wird unter Authentication angegeben. Hier ist die IP vom Windows 2003 Server und der vorher
definierte Schlüssel anzugeben.
Es können weitere Einstellungen für die Inhaltsfilterung und den Virenscanner gemacht werden.
Erläuterungen zu diesen Konfigurationen finden Sie im Handbuch zur Securepoint 2007.
Abb. HTTP-Proxy General
Seite 13
How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server Securepoint Version 2007nx
Seite 14
2.4 Browser konfigurieren
Gehen Sie folgendermaßen vor:
Nachdem die Einstellungen übernommen und das Regelwerk gespeichert/aktualisiert worden sind, kann die Firewall als
Proxy im Browser eingetragen werden.
Beim Internet Explorer befinden sich die Proxyeinstellungen unter Extras -> Internetoptionen -> Verbindungen -> Lan
Einstellungen -> Proxyserver
Beim Mozilla Firefox befinden sich die Proxyeinstellungen unter Extras -> Einstellungen -> Erweitert -> Netzwerk ->
Einstellungen