Wechseln zu:Navigation, Suche
Wiki
































Freely definable rule name











De.png
En.png
Fr.png









Konfiguration einer UTM bei Verwendung eines HTTP-Proxys und Securepoint Antivirus Pro

Letzte Anpassung: 06.2023

Neu:
  • Layoutanpassung
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview
Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115


Einleitung

Securepoint Antivirus Pro prüft regelmäßig auf einem Updateserver, ob neue Updates vorhanden sind. Die Updates selbst werden dann von Update-Mirrors heruntergeladen.
Ist ein Windows-Client direkt mit dem Internet verbunden stellt dieses kein Problem dar, da es dann normalerweise keine Regeln gibt, die Webseitenaufrufe reglementieren.
In einer Netzwerkumgebung verfügen Arbeitsplatzrechner in der Regel nicht über einen direkten Zugang zum Internet, sondern der Datenverkehr wird über Portfilter und Proxys gefiltert um Schadsoftware so wenig Angriffsfläche wie möglich zu bieten.
Eine gute Firewall-Konfiguration zeichnet sich dadurch aus, dass jeder Client nur die Freigaben bekommt, die er auch wirklich benötigt.
In der folgenden Dokumentation stellen wir drei Szenarien dar, die das Antivirus Pro Update über den HTTP-Proxy einer Securepoint NextGen UTM-Firewall und den Webfilter zulassen.


Szenario 1: Standard Proxy ohne Authentifizierung

Webfilter

In diesem Fall wird der HTTP-Proxy im transparenten Modus genutzt.
Im Webfilter werden nur die für die Kommunikation benötigten Webseiten freigegeben werden. Hier wird ein neuer Regelsatz hinzugefügt, der die Update-Server für Securepoint AntiVirus Pro freigibt. Diese werden unter → Anwendungen →Webfilter Schaltfläche + Regelsatz hinzufügen folgendermaßen eingetragen:
Name Frei wählbarer Regel-Name
Keine passende Regel gefunden: blockieren
Im Abschnitt Regeln
*.ikarus.at/* *.mailsecurity.at/*
+ URL hinzufügen Zu beachten ist, dass an dieser Stelle * als Wildcard verwendet wird (kein Regex-Format!).
Dieser Regelsatz muss gespeichert werden.
Damit der Regelsatz angewendet wird, muss der Regelsatz einem Profil zugeordnet werden, dass den entsprechenden Rechner beinhaltet!


Virenscanner der UTM

Der Virenscanner des HTTP-Proxys überprüft die Pakete, die durch den Proxy geleitet werden.
Damit der Download von Updates ohne Probleme funktioniert, müssen im Virenscanner Ausnahmen im Regex-Format erstellt werden.
Im Menü → Anwendungen →HTTP-ProxyReiter Virenscanner Schaltfläche Webseiten-Whitelist wird eine Regel mit + Regex hinzugefügt:
^[^:]*://[^\.]*\.ikarus\.at/
^[^:]*://[^\.]*\.mailsecurity\.at/


Szenario 2: Standard Proxy mit Authentifizierung

Um die Sicherheit zu erhöhen, kann in der Securepoint NextGen UTM-Firewall unter → Anwendungen →HTTP-ProxyReiter Allgemein eine Authentifizierungsmethode ausgewählt werden:
Basic, NTLM/Kerberos, Radius


Authentifizierungsausnahme

Da sich der Securepoint Antivirus Client gegenüber dem Proxy nicht mit NTLM authentifizieren kann, werden zusätzlich Authentifizierungsausnahmen benötigt.
Die aufgerufenen URLs müssen auch hier wieder Ausdrücken im Regex-Format definiert werden:
.*\.ikarus\.at .*\.mailsecurity\.at
Da an dieser Stelle das Protokoll HTTP oder HTTPS nicht relevant ist, fallen diese Ausdrücke etwas kürzer aus als beim Virenscanner.

notempty
Für den Webfilter und den Virenscanner werden hierbei genauso Ausnahmen konfiguriert wie im Szenario 1.


Szenario 3: Standard Proxy mit Authentifizierung über NTLM und mit SSL-Interception

SSL-Interception

Wenn im Menü → Anwendungen →HTTP-ProxyReiter SSL-Interception die SSL-Interception zum Einsatz kommt, um auch die verschlüsselten Datenpakete auf Schadsoftware zu überprüfen, müssen auch hier die Server als Ausnahmen für SSL-Interception hinterlegt werden.
Dazu werden die selben Ausdrücke wie auch schon bei der Authentifizierungsausnahme verwendet.
.*\.ikarus\.at .*\.mailsecurity\.at
Für den Webfilter und den Virenscanner werden hierbei genauso Ausnahmen konfiguriert wie in den Szenarien 1 und 2.


Transparente SSL-Interception

Wenn im Menü → Anwendungen →HTTP-ProxyReiter Transparenter Modus der Transparente Modus aktiviert wurde, um auch die verschlüsselten Datenpakete auf Schadsoftware zu überprüfen, müssen hier die IP-Adressen der Server als Ausnahmen für die SSL-Interception hinterlegt werden.
Dazu wird das gesamte Netzwerk der Update-Server freigegeben.
.*91\.212\.136\..*