Konfiguration einer UTM bei Verwendung eines HHTP-Proxys und Securepoint Antivirus Pro
Letzte Anpassung: 06.2019
Einleitung
Securepoint Antivirus Pro prüft regelmäßig auf einem Updateserver, ob neue Updates vorhanden sind. Die Updates selbst werden dann von Update-Mirrors heruntergeladen.
Ist ein Windows-Client direkt mit dem Internet verbunden stellt dieses kein Problem dar, da es dann normalerweise keine Regeln gibt, die Webseitenaufrufe reglementieren.
In einer Netzwerkumgebung verfügen Arbeitsplatzrechner in der Regel nicht über einen direkten Zugang zum Internet, sondern der Datenverkehr wird über Portfilter und Proxys gefiltert um Schadsoftware so wenig Angriffsfläche wie möglich zu bieten.
Eine gute Firewallkonfiguration zeichnet sich dadurch aus, dass jeder Client nur die Freigaben bekommt, die er auch wirklich benötigt.
In der folgenden Dokumentation stellen wir drei Szenarien dar, die das Antivirus Pro Update über den HTTP-Proxy einer Securepoint NextGen UTM-Firewall und den Webfilter zulassen.
Szenario 1: Standard Proxy ohne Authentifizierung
Webfilter
In diesem Fall wird der HTTP-Proxy im transparenten Modus genutzt.
Im Webfilter werden nur die für die Kommunikation benötigten Webseiten freigegeben werden. Hier wird ein neuer Regelsatz hinzugefügt, der die Update-Server für Securepoint AntiVirus Pro freigibt. Diese werden unter folgendermaßen eingetragen:
Name Frei wählbarer Regel-Name
Keine passende Regel gefunden:
Im Abschnitt Regeln
*.ikarus.at/*
*.mailsecurity.at/*
Zu beachten sind die Wildcards *.Syntax???? im Regex-Format.
Dieser Regelsatz muss gespeichert werden.
Damit der Regelsatz angewendet wird, muss der Regelsatz einem Profil zugeordnet werden, daß den entsprechenden Rechner beinhaltet!
Virenscanner der UTM
Der Virenscanner des HTTP-Proxys überprüft die Pakete, die durch den Proxy geleitet werden.
Damit der Download von Updates ohne Probleme funktioniert, müssen im Virenscanner Ausnahmen im Regex-Format erstellt werden.
Im Menü Virenscanner Abschnitt Webseiten-Whitelist wird eine Regel mit hinzugefügt:
^[^:]*://[^\.]*\.ikarus\.at/
^[^:]*://[^\.]*\.mailsecurity\.at/
Szenario 2: Standard Proxy mit Authentifizierung
Um die Sicherheit zu erhöhen, kann in der Securepoint NextGen UTM-Firewall unter im Reiter Allgemein Abschnitt Allgemein eine Authentifizierungsmethode ausgewählt werden:
, ,
Authentifizierungsausnahme
Da sich der Securepoint Antivirus Client gegenüber dem Proxy nicht mit NTLM authentifizieren kann, werden zusätzlich Authentifizierungsausnahmen benötigt.
Die aufgerufenen URLs müssen auch hier wieder Ausdrücken im Regex-Format definiert werden:
.*\.ikarus\.at
.*\.mailsecurity\.at
Da an dieser Stelle das Protokoll HTTP oder HTTPS nicht relevant ist, fallen diese Ausdrücke etwas kürzer aus als beim Virenscanner.
Für den Webfilter und den Virenscanner werden hierbei genauso Ausnahmen konfiguriert wie im Szenario 1.
Szenario 3: Standard Proxy mit Authentifizierung über NTLM und Einsatz der SSL-Interception
SSL-Interception
Wenn im Menü im Reiter SSL-Interception die SSL-Interception zum Einsatz kommt, um auch die verschlüsselten Datenpakete auf Schadsoftware zu überprüfen, müssen auch hier die Server als Ausnahmen für SSL-Interception hinterlegt werden.
Dazu werden die selben Ausdrücke wie auch schon bei der Authentifizierungsausnahme verwendet.
.*\.ikarus\.at
.*\.mailsecurity\.at
Für den Webfilter und den Virenscanner werden hierbei genauso Ausnahmen konfiguriert wie in den Szenarien 1 und 2.
Transparente SSL-Interception
Wenn im Menü im Reiter Transparenter Modus der Transparente Modus aktiviert wurde, um auch die verschlüsselten Datenpakete auf Schadsoftware zu überprüfen, müssen hier die IP-Adressen der Server als Ausnahmen für die SSL-Interception hinterlegt werden.
Dazu wird das gesamte Netzwerk der Update-Server freigegeben.
.*91\.212\.136\..*