Wechseln zu:Navigation, Suche
Wiki

AV/KB/HTTP Proxy: Unterschied zwischen den Versionen

Aus Securepoint Wiki
Keine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
{{DISPLAYTITLE:HTTP-Proxy und Securepoint Antivirus}}
<templatestyles src="Vorlage:Styles.css" />
== Informationen ==
Letze Anpassung: 29.06.2018
<br>
Bemerkung:
<br>
Vorherige Versionen:
<br>
----


== Einleitung ==
<div class="unsichtbar">
Unser Securepoint Antivirus Pro prüft regelmäßig, ob neue Updates vorhanden sind. Dabei wird dies auf einem Updateserver geprüft und dann von Update-Mirrors heruntergeladen.
{{#vardefine: sp-wiki-lang | {{#switch: {{int:edit}}
Ist ein Windows-Client direkt mit dem Internet verbunden stellt dieses kein Problem dar, da es keine Regeln gibt, die Webseitenaufrufe reglementieren.
|Edit=en
|Modifier=fr
|Bearbeiten
|#default=de
}} }}
{{var|display| HTTP-Proxy und Securepoint Antivirus
| HTTP Proxy and Securepoint Antivirus}}
{{var|1| Konfiguration einer UTM bei Verwendung eines HHTP-Proxys und Securepoint Antivirus Pro
| Configuration of a UTM when using a HHTP proxy and Securepoint Antivirus Pro}}
+2| Letzte Anpassung:
| Last update:}}
{{var|3| Einleitung
| Preamble}}
{{var|4| Securepoint Antivirus Pro prüft regelmäßig auf einem Updateserver, ob neue Updates vorhanden sind. Die Updates selbst werden dann von Update-Mirrors heruntergeladen.
| Securepoint Antivirus Pro regularly checks an update server for new updates. The updates themselves are then downloaded by update mirrors.}}


In einer Netzwerkumgebung können diese fehlenden Regeln aber schnell negative Auswirkungen haben, so dass es ratsam ist, den Datenverkehr über den Portfilter und die Proxys zu filtern, so Schadsoftware so wenig Angriffsfläche wie möglich zu bieten und sich auszubreiten.
{{var|5| Ist ein Windows-Client direkt mit dem Internet verbunden stellt dieses kein Problem dar, da es dann normalerweise keine Regeln gibt, die Webseitenaufrufe reglementieren.<br>
In einer Netzwerkumgebung verfügen Arbeitsplatzrechner in der Regel nicht über einen direkten Zugang zum Internet, sondern der Datenverkehr wird über Portfilter und Proxys gefiltert um Schadsoftware so wenig Angriffsfläche wie möglich zu bieten.
| If a Windows client is directly connected to the Internet, this does not pose a problem, since there are usually no rules that regulate web page views.
In a network environment, workstations usually do not have direct access to the Internet, but the data traffic is filtered via port filters and proxies in order to provide as little attack surface as possible for malware.}}


Eine gute Firewallkonfiguration zeichnet sich dadurch aus, dass jeder Client nur die Freigaben bekommt, die er auch wirklich benötigt. Das bedeutet für die meisten Benutzer, die auf Webseiten im Internet zugreifen, dass dieser Zugriff über den HTTP-Proxy geschiet, so dass Webseitenaufrufe über den Webfilter geregelt und die Datenpakete auf Viren gescannt werden.  
{{var|6| Eine gute Firewallkonfiguration zeichnet sich dadurch aus, dass jeder Client nur die Freigaben bekommt, die er auch wirklich benötigt.
| A good firewall configuration is characterized by the fact that each client only gets the shares it really needs.}}
{{var|7| In der folgenden Dokumentation stellen wir drei Szenarien dar, die das Antivirus Pro Update über den HTTP-Proxy einer Securepoint NextGen UTM-Firewall und den Webfilter zulassen.
| In the following documentation we present three scenarios that allow the Antivirus Pro Update via the HTTP proxy of a Securepoint NextGen UTM firewall and the web filter.}}
{{var|8| Szenario 1: Standard Proxy ohne Authentifizierung
| Scenario 1: Standard proxy without authentication}}
{{var|9| Webfilter
| Webfilter}}
{{var|10| In diesem Fall wird der HTTP-Proxy im [[Neu/UTM/APP/HTTP_Proxy#Transparenter_Modus|transparenten Modus]] genutzt.<br>
Im [[UTM/APP/Webfilter|'''Webfilter''']] werden nur die für die Kommunikation benötigten Webseiten freigegeben werden. Hier wird ein neuer [[UTM/APP/Webfilter#Regelsatz_hinzuf.C3.BCgen|Regelsatz hinzugefügt,]] der die Update-Server für Securepoint AntiVirus Pro freigibt. Diese werden unter {{Menu | Anwendungen|Webfilter}} {{Button | + Regelsatz hinzufügen}} folgendermaßen eingetragen:
| In this case, the HTTP proxy is used in [[Neu/UTM/APP/HTTP_Proxy#Transparenter_Modus|transparent Mode]].
In [[UTM/APP/Webfilter|''''Webfilter''']] only the web pages required for communication will be released. A [[UTM/APP/Webfilter#Regelsatz_hinzuf.C3.BCgen| new  ruleset]] will be added here to release the update servers for Securepoint AntiVirus Pro. These are entered under {{Menu | Applications|Webfilter}} {{Button | Add ruleset}} as follows:}}


In der folgenden Dokumentation stellen wir drei Szenarien dar, die das Antivirus Pro Update über den HTTP-Proxy und den Webfilter zulassen, wenn in den Client Einstellungen die UTM als Proxy eingetragen wird, diese also nicht als transparenter Proxy dazwischen steht.  
{{var|11| {{b|Name|Anw=UTM}} Frei wählbarer Regel-Name
| {{b|Name|Anw=UTM}}}} Freely definable rule name
{{var|12| {{b|Keine passende Regel gefunden:|Anw=UTM}} {{Button| blockieren|dr}}
| {{b|No matching rule found:|Anw=UTM}} {{Button|block|dr}}}}
{{var|13| Im Abschnitt {{Kasten|Regeln|grau}}
| In section {{Kasten|Rules|grau}}}}
{{var|14| + URL hinzufügen
| + Add URL}}
{{var|15| Zu beachten sind die Wildcards <code>*.</code>{{r|Syntax????}} im [[UTM/APP/Regex|Regex-Format]].
| Note the wildcards <code>*.</code>{{r|Syntax??????}} in [[UTM/APP/Regex|Regex-Format]].}}
{{var|16| Dieser Regelsatz muss gespeichert werden.<br>
Damit der Regelsatz angewendet wird, muss der Regelsatz einem Profil zugeordnet werden, daß den entsprechenden Rechner beinhaltet!
| This rule set must be saved.<br>
For the rule set to be applied, the rule set must be assigned to a profile that contains the corresponding computer!}}
{{var|17| Virenscanner der UTM
| Virus scanner of the UTM}}
{{var|18| Der Virenscanner des HTTP-Proxys überprüft die Pakete, die durch den Proxy geleitet werden.
| The virus scanner of the HTTP proxy checks the packages that are routed through the proxy.}}
{{var|19| Damit der Download von Updates ohne Probleme funktioniert, müssen im Virenscanner  Ausnahmen im [[UTM/APP/Regex|Regex-Format]] erstellt werden.<br>
Im Menü {{Menu|Anwendungen|HTTP-Proxy}} {{Reiter|Virenscanner|Anw=UTM}} Abschnitt {{Kasten|Webseiten-Whitelist|grau}} wird eine Regel mit {{Button | + Regex}} hinzugefügt:
| In order for the download of updates to work without problems, exceptions in [[UTM/APP/Regex|Regex-Format]]] must be created in the virus scanner.<br>
In the menu {{Menu|Applications|HTTP-Proxy}}} {{Reiter|Virus Scanner|Anw=UTM}} Section {{{Kasten|Webpage-Whitelist|grau}}} a rule with {{Button | + Regex}} is added:}}
{{var|20| Szenario 2: Standard Proxy mit Authentifizierung
| Scenario 2: Standard proxy with authentication}}
{{var|22| Um die Sicherheit zu erhöhen, kann in der Securepoint NextGen UTM-Firewall unter {{Menu|Anwendungen|HTTP-Proxy}} im Reiter {{Reiter|Allgemein|Anw=UTM}} Abschnitt {{Kasten|Allgemein}} eine {{b|Authentifizierungsmethode|Anw=UTM}} ausgewählt werden:<br>
{{Button | Basic|dr}} , {{Button | NTLM/Kerberos|dr}} , {{Button | Radius|dr}}
| To increase security, the Securepoint NextGen UTM firewall can be configured under {{Menu|Applications|HTTP-Proxy}} in the {{Reiter|General|Anw=UTM}} tab {{Menu|Applications|HTTP-Proxy}}}. section {{Kasten|General}}} a {{b|Authentication method|App=UTM}}:<br>
{{Button | Basic|dr}} , {{Button | NTLM/Kerberos|dr}} , {{Button | Radius|dr}}}}
{{var|21| Authentifizierungsausnahme
| Authentication exception}}
{{var|23| Da sich der Securepoint Antivirus Client gegenüber dem Proxy nicht mit NTLM authentifizieren kann, werden zusätzlich '''Authentifizierungsausnahmen''' benötigt. <br>Die aufgerufenen URLs müssen auch hier wieder Ausdrücken im [[UTM/APP/Regex|Regex-Format]] definiert werden:
| Since the Securepoint antivirus client cannot authenticate itself against the proxy with NTLM, additional '''authentication exceptions'' are required. <br>The called URLs have to be defined again in [[UTM/APP/Regex|Regex-Format]]]:}}
{{var|24| Da an dieser Stelle das Protokoll HTTP oder HTTPS nicht relevant ist, fallen diese Ausdrücke etwas kürzer aus als beim Virenscanner.
| Since the HTTP or HTTPS protocol is not relevant at this point, these expressions are somewhat shorter than with the virus scanner.}}
{{var|25| Für den <u>Webfilter</u> und den <u>Virenscanner</u> werden hierbei genauso Ausnahmen konfiguriert wie im Szenario 1.
| For the <u>Webfilter</u> and the <u>Virus scanner</u> exceptions are configured as in scenario 1.}}
{{var|26| Szenario 3: Standard Proxy mit Authentifizierung über NTLM und Einsatz der SSL-Interception
| Scenario 3: Standard proxy with authentication via NTLM and use of SSL interception}}
{{var|27| SSL-Interception
| SSL-Interception}}
{{var|28| Wenn im Menü {{Menu|Anwendungen|HTTP-Proxy}} im Reiter {{Reiter| SSL-Interception|Anw=UTM}} die {{b|SSL-Interception|Anw=UTM}} {{ButtonAn|Anw=UTM}} zum Einsatz kommt, um auch die verschlüsselten Datenpakete auf Schadsoftware zu überprüfen, müssen auch hier die Server als {{Kasten |Ausnahmen für SSL-Interception}}{{ButtonAn|Anw=UTM}} hinterlegt werden.<br>
Dazu werden die selben Ausdrücke wie auch schon bei der Authentifizierungsausnahme verwendet.
| If in menu {{Menu|Applications|HTTP-Proxy}} {{Reiter| SSL-Interception|Anw=UTM}} {{B|SSL-Interception|Anw=UTM}} {{ButtonAn|Anw=UTM}} is used  to check the encrypted data packets for malware, the servers must also be stored here as {{Kasten |Exceptions for SSL-Interception}}{{ButtonAn|Anw=UTM}}}.<br>
The same expressions are used as for the authentication exception.}}
{{var|29| Für den <u>Webfilter</u> und den <u>Virenscanner</u> werden hierbei genauso Ausnahmen konfiguriert wie iin den Szenarien 1 und 2.
| For the <u>Webfilter</u> and the <u>Virus scanner</u> exceptions are configured in the same way as in scenarios 1 and 2.}}
{{var|30| Transparente SSL-Interception
| Transparent SSL Interception}}
{{var|31| Wenn im Menü {{Menu|Anwendungen|HTTP-Proxy}} im Reiter {{Reiter| Transparenter Modus|Anw=UTM}} der {{Kasten | Transparente Modus|grau}} {{ButtonAn|Anw=UTM}} aktiviert wurde, um auch die verschlüsselten Datenpakete auf Schadsoftware zu überprüfen, müssen hier die IP-Adressen der Server als Ausnahmen für die SSL-Interception hinterlegt werden.<br>
Dazu wird das gesamte Netzwerk der Update-Server freigegeben.
| If {{Menu|Applications|HTTP-Proxy}} in the {{Reiter|Transparent Mode|Anw=UTM}}  {{Kasten|Transparent Mode|grau}} {{ButtonAn|Anw=UTM}} has been activated to also check the encrypted data packets for malware, the IP addresses of the servers must be stored here as exceptions for the SSL interception.
The entire network of update servers is released for this purpose.}}
{{var|
    |
    | }}
</div>
{{DISPLAYTITLE:{{#var:display| HTTP-Proxy und Securepoint Antivirus}}}}{{Select_lang|en}}{{TOC2}}
<p>'''{{#var:1| Konfiguration bei Verwendung eines HHTP-Proxys und Securepoint Antivirus Pro}}'''</p>
<p>{{#var:2| Letzte Anpassung:}} '''06.2019'''</p>
----


===Szenario 1: Standard Proxy ohne Authentifizierung===
=== {{#var:3| Einleitung}} ===
====Webfilter====
<p>{{#var:4| Securepoint Antivirus Pro prüft regelmäßig auf einem Updateserver, ob neue Updates vorhanden sind. Die Updates selbst werden dann von Update-Mirrors heruntergeladen.}}</p>
In diesem Fall wird der HTTP-Proxy im transparenten Modus für die Systemkonten der Clients genutzt, in dem im '''Webfilter''' nur die für die Kommunikation benötigten Webseiten freigegeben werden. Diese werden folgendermaßen in einer '''Webfilterregel''' eingetragen:
<p>{{#var:5| Ist ein Windows-Client direkt mit dem Internet verbunden stellt dieses kein Problem dar, da es keine Regeln gibt, die Webseitenaufrufe reglementieren.<br>
In einer Netzwerkumgebung verfügen Arbeitsplatzrechner in der Regel nicht über einen direkten Zugang zum Internet, sondern der Datenverkehr wird über Portfilter und Proxys gefiltert um Schadsoftware so wenig Angriffsfläche wie möglich zu bieten.}}</p>


<pre>*.ikarus.at/*</pre>
<p>{{Hinweis |!|gelb}}{{#var:6| Eine gute Firewallkonfiguration zeichnet sich dadurch aus, dass jeder Client nur die Freigaben bekommt, die er auch wirklich benötigt.}}</p>
<pre>*.mailsecurity.at/*</pre>


Die Sterne vor und nach den URLs sind Wildcards.
<p>{{#var:7| In der folgenden Dokumentation stellen wir drei Szenarien dar, die das Antivirus Pro Update über den HTTP-Proxy einer Securepoint NextGen UTM-Firewall und den Webfilter zulassen.}}


Nachdem diese URLs über das URL Feld des Regelsatzes hinzugefügt wurden, werden diese auf ‘‘zulassen‘‘ geschaltet.
=== {{#var:8| Szenario 1: Standard Proxy ohne Authentifizierung}} ===
==== {{#var:9| Webfilter}} ====
<p>{{#var:10| In diesem Fall wird der HTTP-Proxy im [[Neu/UTM/APP/HTTP_Proxy#Transparenter_Modus|transparenten Modus]] genutzt.<br>
Im [[UTM/APP/Webfilter|'''Webfilter''']] werden nur die für die Kommunikation benötigten Webseiten freigegeben werden. Hier wird ein neuer [[UTM/APP/Webfilter#Regelsatz_hinzuf.C3.BCgen|Regelsatz hinzugefügt,]] der die Update-Server für Securepoint AntiVirus Pro freigibt. Diese werden unter {{Menu | Anwendungen|Webfilter}} {{Button | + Regelsatz hinzufügen}} folgendermaßen eingetragen:}}</p>
<p>{{#var:11| {{b|Name|Anw=UTM}} Frei wählbarer Regel-Name}}</p>
<p>{{#var:12| {{b|Keine passende Regel gefunden:|Anw=UTM}} {{Button| blockieren|dr}}}}</p>
<p>{{#var:13| Im Abschnitt {{Kasten|Regeln|grau}}}}<br>
<code>*.ikarus.at/*</code><br>
<code>*.mailsecurity.at/*</code></p>
<p>{{Button|{{#var:14| + URL hinzufügen}}}}</p>
<p>{{#var:15| Zu beachten sind die Wildcards <code>*.</code> im [[UTM/APP/Regex|Regex-Format]].}}


Dieser Regelsatz wird abgespeichert und in unserem Beispiel dem Profil der Netzwerkgruppe ''internal-networks'' hinzugefügt. Der Regelsatz ‘‘security‘‘ kann in diesem Profil entfernt werden, da alle anderen URLs ja durch diesem Regelsatz ohnehin nicht zugelassen werden.
<p>{{#var:16| Dieser Regelsatz muss gespeichert werden.<br>
Damit der Regelsatz auf Arbeitsplatzrechner angewendet wird, muss der Regelsatz einem Profil zugeordnet werden, daß den entsprechenden Rechner beinhaltet!}}


Das Menü für den Webfilter befindet sich unter dem Menüpunkt Anwendungen.<br>
==== {{#var:17| Virenscanner der UTM}} ====
Ebenfalls unter Anwendungen wird das Menü '''HTTP-Proxy''' aufgerufen.  
<p>{{#var:18| Der Virenscanner des HTTP-Proxys überprüft die Pakete, die durch den Proxy geleitet werden.}}</p>


Hier muss zunächst überprüft werden ob der Transparente Modus aktiviert ist und es eine Regel gibt, mit der Datenpakete, die von der Quelle ''internal-network'', mit dem Ziel ''internet'' und dem Protokoll ''HTTP'' über den Proxy leiten soll.
<p>{{#var:19| Damit der Download von Updates ohne Probleme funktioniert, müssen im Virenscanner  Ausnahmen im [[UTM/APP/Regex|Regex-Format]] erstellt werden.<br>
Im Menü {{Menu|Anwendungen|HTTP-Proxy}} {{Reiter|Virenscanner|Anw=UTM}} Abschnitt {{Kasten|Webseiten-Whitelist|grau}} wird eine Regel mit {{Button | + Regex}} hinzugefügt:}}</p>


====Virenscanner====
<code>^[^:]*://[^\.]*\.ikarus\.at/</code><br>
Der Virenscanner vom HTTP-Proxy überprüft die Pakete, welche über den Proxy gehen.
<code>^[^:]*://[^\.]*\.mailsecurity\.at/</code>


Damit der Download von Updates ohne Probleme funktioniert, müssen Ausnahmen im Virenscanner erstellt werden. Zu beachten ist an dieser Stelle, dass es sich hierbei um reguläre Ausdrücke, sogenannte Regular Expressions, handelt, bei der einige Zeichen zusätzliche Bedeutungen haben. Diese Sonderbedeutungen werden mit einem Backslash \ vor dem Zeichen entfernt. Zum Beispiel kann ein Punkt ein Platzhalter für jedes beliebige Zeichen sein. <br>
Die regulären Ausdrücke für die URLs im '''Virenscanner''' lauten folgendermaßen:


<pre>^[^:]*://[^\.]*\.ikarus\.at/</pre>
=== {{#var:20| Szenario 2: Standard Proxy mit Authentifizierung}} ===
<pre>^[^:]*://[^\.]*\.mailsecurity\.at/</pre>
{{#var:22| Um die Sicherheit zu erhöhen, kann in der Securepoint NextGen UTM-Firewall unter {{Menu|Anwendungen|HTTP-Proxy}} im Reiter {{Reiter|Allgemein|Anw=UTM}} Abschnitt {{Kasten|Allgemein}} eine {{b|Authentifizierungsmethode|Anw=UTM}} ausgewählt werden:<br>
{{Button | Basic|dr}} , {{Button | NTLM/Kerberos|dr}} , {{Button | Radius|dr}}}}<br>


===Szenario 2: Standard Proxy mit Authentifizierung ===
==== {{#var:21| Authentifizierungsausnahme}} ====
====Authentifizierungsausnahme====
<p>{{#var:23| Da sich der Securepoint Antivirus Client gegenüber dem Proxy nicht mit NTLM authentifizieren kann, werden zusätzlich '''Authentifizierungsausnahmen''' benötigt. <br>Die aufgerufenen URLs müssen auch hier wieder Ausdrücken im [[UTM/APP/Regex|Regex-Format]] definiert werden:}}<br>
Der Webfilter und Virenscanner wird hierbei genauso konfiguriert wie im Szenario 1, zusätzlich werden aber '''Authentifizierungsausnahmen''' benötigt, da sich der Securepoint Antivirus Client gegenüber dem Proxy nicht mit NTLM authentifizieren kann. Daher müssen die aufgerufenen URLs auch hier wieder definiert werden. Auch das geschieht wieder mit regulären Ausdrücken:


<pre>.*\.ikarus\.at</pre>
<code>.*\.ikarus\.at</code><br>
<pre>.*\.mailsecurity\.at</pre>
<code>.*\.mailsecurity\.at</code><br>


Da an dieser Stelle das Protokoll HTTP oder HTTPS nicht relevant ist, fallen diese Ausdrücke etwas kürzer aus als beim Virenscanner.
{{#var:24| Da an dieser Stelle das Protokoll HTTP oder HTTPS nicht relevant ist, fallen diese Ausdrücke etwas kürzer aus als beim Virenscanner.}}</p>
 
<p>{{Hinweis | {{#var:25| Für den <u>Webfilter</u> und den <u>Virenscanner</u> werden hierbei genauso Ausnahmen konfiguriert wie im Szenario 1.}}|gelb}}</p>
===Szenario 3: Standard Proxy mit Authentifizierung über NTLM und Einsatz der SSL-Interception===
====SSL-Interception====
Wenn die '''SSL-Interception''' zum Einsatz kommt, um auch die verschlüsselten Datenpakete auf Schadsoftware zu überprüfen, müssen auch hier die Server als '''Ausnahmen für SSL-Interception''' hinterlegt werden.<br>
Dazu werden die selben Ausdrücke wie auch schon bei der Authentifizierungsausnahme verwendet.  


<pre>.*\.ikarus\.at</pre>
<pre>.*\.mailsecurity\.at</pre>


Der Webfilter, Virenscanner und die Authentifizierungsausnahme wird hier genauso eingerichtet wie auch schon in den Szenarien 1 und 2.
=== {{#var:26| Szenario 3: Standard Proxy mit Authentifizierung über NTLM und Einsatz der SSL-Interception}} ===
==== {{#var:27| SSL-Interception}} ====
<p>{{#var:28| Wenn im Menü {{Menu|Anwendungen|HTTP-Proxy}} im Reiter {{Reiter| SSL-Interception|Anw=UTM}} die {{b|SSL-Interception|Anw=UTM}} {{ButtonAn|Anw=UTM}} zum Einsatz kommt, um auch die verschlüsselten Datenpakete auf Schadsoftware zu überprüfen, müssen auch hier die Server als {{Kasten |Ausnahmen für SSL-Interception}}{{ButtonAn|Anw=UTM}} hinterlegt werden.<br>
Dazu werden die selben Ausdrücke wie auch schon bei der Authentifizierungsausnahme verwendet. }}</p>
<p>
<code>.*\.ikarus\.at</code><br>
<code>.*\.mailsecurity\.at</code>
</p>
<p>{{#var:29| Der Webfilter, Virenscanner und die Authentifizierungsausnahme wird hier genauso eingerichtet wie auch schon in den Szenarien 1 und 2.}}</p>


====Transparente SSL-Interception====
==== {{#var:30| Transparente SSL-Interception}} ====
Wenn die <b>Transparente </b> SSL-Interception zum Einsatz kommt, um auch die verschlüsselten Datenpakete auf Schadsoftware zu überprüfen, müssen hier die IP-Adressen der Server als Ausnahmen für SSL-Interception hinterlegt werden.
<p>{{#var:31| Wenn im Menü {{Menu|Anwendungen|HTTP-Proxy}} im Reiter {{Reiter| Transparenter Modus|Anw=UTM}} der {{Kasten | Transparente Modus|grau}} {{ButtonAn|Anw=UTM}} aktiviert wurde, um auch die verschlüsselten Datenpakete auf Schadsoftware zu überprüfen, müssen hier die IP-Adressen der Server als Ausnahmen für die SSL-Interception hinterlegt werden.<br>
Dazu wird das gesamte Netzwerk freigegeben.
Dazu wird das gesamte Netzwerk der Update-Server freigegeben.}}</p>


<pre>.*91\.212\.136\..*</pre>
<code>.*91\.212\.136\..*</code>

Version vom 21. Juni 2019, 09:44 Uhr


+2| Letzte Anpassung: | Last update:}} 






Freely definable rule name











De.png
En.png
Fr.png

Konfiguration einer UTM bei Verwendung eines HHTP-Proxys und Securepoint Antivirus Pro

Letzte Anpassung: 06.2019

Einleitung

Securepoint Antivirus Pro prüft regelmäßig auf einem Updateserver, ob neue Updates vorhanden sind. Die Updates selbst werden dann von Update-Mirrors heruntergeladen.

Ist ein Windows-Client direkt mit dem Internet verbunden stellt dieses kein Problem dar, da es dann normalerweise keine Regeln gibt, die Webseitenaufrufe reglementieren.
In einer Netzwerkumgebung verfügen Arbeitsplatzrechner in der Regel nicht über einen direkten Zugang zum Internet, sondern der Datenverkehr wird über Portfilter und Proxys gefiltert um Schadsoftware so wenig Angriffsfläche wie möglich zu bieten.

Eine gute Firewallkonfiguration zeichnet sich dadurch aus, dass jeder Client nur die Freigaben bekommt, die er auch wirklich benötigt.

In der folgenden Dokumentation stellen wir drei Szenarien dar, die das Antivirus Pro Update über den HTTP-Proxy einer Securepoint NextGen UTM-Firewall und den Webfilter zulassen.

Szenario 1: Standard Proxy ohne Authentifizierung

Webfilter

In diesem Fall wird der HTTP-Proxy im transparenten Modus genutzt.
Im Webfilter werden nur die für die Kommunikation benötigten Webseiten freigegeben werden. Hier wird ein neuer Regelsatz hinzugefügt, der die Update-Server für Securepoint AntiVirus Pro freigibt. Diese werden unter AnwendungenWebfilter + Regelsatz hinzufügen folgendermaßen eingetragen:

Name Frei wählbarer Regel-Name

Keine passende Regel gefunden: blockieren

Im Abschnitt Regeln
*.ikarus.at/*
*.mailsecurity.at/*

+ URL hinzufügen

Zu beachten sind die Wildcards *.Syntax???? im Regex-Format.

Dieser Regelsatz muss gespeichert werden.
Damit der Regelsatz angewendet wird, muss der Regelsatz einem Profil zugeordnet werden, daß den entsprechenden Rechner beinhaltet!

Virenscanner der UTM

Der Virenscanner des HTTP-Proxys überprüft die Pakete, die durch den Proxy geleitet werden.

Damit der Download von Updates ohne Probleme funktioniert, müssen im Virenscanner Ausnahmen im Regex-Format erstellt werden.
Im Menü AnwendungenHTTP-Proxy Virenscanner Abschnitt Webseiten-Whitelist wird eine Regel mit + Regex hinzugefügt:

^[^:]*://[^\.]*\.ikarus\.at/
^[^:]*://[^\.]*\.mailsecurity\.at/


Szenario 2: Standard Proxy mit Authentifizierung

Um die Sicherheit zu erhöhen, kann in der Securepoint NextGen UTM-Firewall unter AnwendungenHTTP-Proxy im Reiter Allgemein Abschnitt Allgemein eine Authentifizierungsmethode ausgewählt werden:
Basic , NTLM/Kerberos , Radius

Authentifizierungsausnahme

Da sich der Securepoint Antivirus Client gegenüber dem Proxy nicht mit NTLM authentifizieren kann, werden zusätzlich Authentifizierungsausnahmen benötigt.
Die aufgerufenen URLs müssen auch hier wieder Ausdrücken im Regex-Format definiert werden:
.*\.ikarus\.at
.*\.mailsecurity\.at
Da an dieser Stelle das Protokoll HTTP oder HTTPS nicht relevant ist, fallen diese Ausdrücke etwas kürzer aus als beim Virenscanner.

Für den Webfilter und den Virenscanner werden hierbei genauso Ausnahmen konfiguriert wie im Szenario 1.


Szenario 3: Standard Proxy mit Authentifizierung über NTLM und Einsatz der SSL-Interception

SSL-Interception

Wenn im Menü AnwendungenHTTP-Proxy im Reiter SSL-Interception die SSL-Interception zum Einsatz kommt, um auch die verschlüsselten Datenpakete auf Schadsoftware zu überprüfen, müssen auch hier die Server als Ausnahmen für SSL-Interception hinterlegt werden.
Dazu werden die selben Ausdrücke wie auch schon bei der Authentifizierungsausnahme verwendet.

.*\.ikarus\.at
.*\.mailsecurity\.at

Für den Webfilter und den Virenscanner werden hierbei genauso Ausnahmen konfiguriert wie iin den Szenarien 1 und 2.

Transparente SSL-Interception

Wenn im Menü AnwendungenHTTP-Proxy im Reiter Transparenter Modus der Transparente Modus aktiviert wurde, um auch die verschlüsselten Datenpakete auf Schadsoftware zu überprüfen, müssen hier die IP-Adressen der Server als Ausnahmen für die SSL-Interception hinterlegt werden.
Dazu wird das gesamte Netzwerk der Update-Server freigegeben.

.*91\.212\.136\..*

Abgerufen von „https://wiki.securepoint.de/index.php?title=AV/KB/HTTP_Proxy&oldid=55816