Application Control Sophos UTM 9

Share

"The Application Control functionality of UTM allows you to shape and block network traffic based on the type of traffic."

 Konkret gemeint ist, daß Traffic, der durch die UTM geht,
"beschleunigt" oder blockiert werden kann,  aber nicht

 

durch die Application Control einzig erlaubt wird. Wenn also eine Software wie Dropbox, Skype oder auch ein Webdienst (z.B. salesforce)  Traffic an erlaubte Ziele und Dienste senden (freigegeben durch Web Filtering z.B. HTTP und HTTPS und/oder durch Firewall Regeln), dann bildet die Application Control eine weitere Ebene diesen zu priorisieren oder zu blockieren. Das Erlauben von Anwendungen, wenn diese durch Webproxy und Firewall blockiert sind, findet in der application controll nicht statt. Sie können nur schon freigegebe Ports, vor allem http/80 und https/443 besser und feiner kontrollieren, priorisieren oder blockieren.

WPAD sollte immer konfiguriert sein, damit alle Applikcation den Sophos UTM nutzen!

Unter Web Protection -> Application Control |Network Visibility| wird die application control aktiviert. Danach ist es möglich im Dashboard auftretenden Traffic im Flow Monitor auszuwerten, pro Netzwerk-Interface oder für alle zusammen:

Flow-Monitor-Dashbaord-Sophos-UTM

Der Flow Monitor sieht dann so aus:

Flow-Monitor-Sophos-UTM

Den Traffic von zB Skype kann man hier sehen und ggf blockieren. Also mit dem Klick auf  'Block' 'Sharp' oder ''Throttle' wird jeweils eine Regel erstellt.

Bei 'Block':
Web Protection -> Application Control |Application Control Rules| wird eine neue Regel am Ende der Liste  mit dem Namen '*  blocked via Flow Monitor' erstellt. Wenn das Blockieren nicht mehr gewünscht ist, diese einfach löschen.

Bei 'Shape':
- Interfaces & Routing -> Quality of Serice (QoS) |Traffic Selectors| wird ein neuer Traffic Selector mit dem Namen  '* application selector by Flow Monitor' erstellt.
- Interfaces & Routing -> Quality of Serice (QoS) |Bandwidth Pools|wird ein neuer Bandwidth Pool mit dem Namen  '* bandwidth pool by Flow Monitor' erstellt.

Der Bandwith Pool  ist an ein Netzwerk-Interface gebunden, das muss vorher ausgewählt werden. Wenn die Bandbreitensteuerung nicht mehr gewünscht ist, einfach beide Einstellungen löschen.

Bei 'Throttle':
- Interfaces & Routing -> Quality of Serice (QoS) |Traffic Selectors| wird ein neuer Traffic Selector mit dem Namen  '* application selector by Flow Monitor' erstellt.
- Interfaces & Routing -> Quality of Serice (QoS) |Download Throttling| wird eine Download Throttling rule mit dem Namen  '* download throttling by Flow Monitor' erstellt.
Das Download Throttling ist an ein Netzwerk-Interface gebunden, das muss vorher ausgewählt werden. Wenn die Downloadbandbreitensteuerung nicht mehr gewünscht ist, einfach beide Einstellungen löschen.
Es macht Sinn macht es alle Fileshare P2P Programme zu blockieren, ehe diese im Flow Monitor auftauchen. Wer weiß welche bald ganz simpel über Port 80 Daten austauschen. Durch die Updates der Sophos UTM werden diese auch bei Änderungen des Verhalten geblock:

Hier habe ich einige rausgesucht und blockiert
Unter Web Protection -> Application Control |Application Control| 'New rule'

Block-Fileshare-Sophos-UTM

 

 

Münster AD 2013

 

Share

Leave a Reply