HTTP-Proxy und Securepoint Antivirus

Aus Securepoint Wiki
Wechseln zu:Navigation, Suche


+2| Letzte Anpassung: | Last update:}}






Freely definable rule name











De.png
En.png
Fr.png


Konfiguration einer UTM bei Verwendung eines HHTP-Proxys und Securepoint Antivirus Pro

Letzte Anpassung: 06.2019


Einleitung

Securepoint Antivirus Pro prüft regelmäßig auf einem Updateserver, ob neue Updates vorhanden sind. Die Updates selbst werden dann von Update-Mirrors heruntergeladen.

Ist ein Windows-Client direkt mit dem Internet verbunden stellt dieses kein Problem dar, da es dann normalerweise keine Regeln gibt, die Webseitenaufrufe reglementieren.
In einer Netzwerkumgebung verfügen Arbeitsplatzrechner in der Regel nicht über einen direkten Zugang zum Internet, sondern der Datenverkehr wird über Portfilter und Proxys gefiltert um Schadsoftware so wenig Angriffsfläche wie möglich zu bieten.

Eine gute Firewallkonfiguration zeichnet sich dadurch aus, dass jeder Client nur die Freigaben bekommt, die er auch wirklich benötigt.

In der folgenden Dokumentation stellen wir drei Szenarien dar, die das Antivirus Pro Update über den HTTP-Proxy einer Securepoint NextGen UTM-Firewall und den Webfilter zulassen.

Szenario 1: Standard Proxy ohne Authentifizierung

Webfilter

In diesem Fall wird der HTTP-Proxy im transparenten Modus genutzt.
Im Webfilter werden nur die für die Kommunikation benötigten Webseiten freigegeben werden. Hier wird ein neuer Regelsatz hinzugefügt, der die Update-Server für Securepoint AntiVirus Pro freigibt. Diese werden unter → Anwendungen →Webfilter + Regelsatz hinzufügen folgendermaßen eingetragen:

Name Frei wählbarer Regel-Name

Keine passende Regel gefunden: blockieren

Im Abschnitt Regeln
*.ikarus.at/*
*.mailsecurity.at/*

+ URL hinzufügen

Zu beachten sind die Wildcards *.Syntax???? im Regex-Format.

Dieser Regelsatz muss gespeichert werden.
Damit der Regelsatz angewendet wird, muss der Regelsatz einem Profil zugeordnet werden, daß den entsprechenden Rechner beinhaltet!

Virenscanner der UTM

Der Virenscanner des HTTP-Proxys überprüft die Pakete, die durch den Proxy geleitet werden.

Damit der Download von Updates ohne Probleme funktioniert, müssen im Virenscanner Ausnahmen im Regex-Format erstellt werden.
Im Menü → Anwendungen →HTTP-Proxy Virenscanner Abschnitt Webseiten-Whitelist wird eine Regel mit + Regex hinzugefügt:

^[^:]*://[^\.]*\.ikarus\.at/
^[^:]*://[^\.]*\.mailsecurity\.at/


Szenario 2: Standard Proxy mit Authentifizierung

Um die Sicherheit zu erhöhen, kann in der Securepoint NextGen UTM-Firewall unter → Anwendungen →HTTP-Proxy im Reiter Allgemein Abschnitt ╭╴Allgemein╶╮ eine Authentifizierungsmethode ausgewählt werden:
Basic , NTLM/Kerberos , Radius

Authentifizierungsausnahme

Da sich der Securepoint Antivirus Client gegenüber dem Proxy nicht mit NTLM authentifizieren kann, werden zusätzlich Authentifizierungsausnahmen benötigt.
Die aufgerufenen URLs müssen auch hier wieder Ausdrücken im Regex-Format definiert werden:
.*\.ikarus\.at
.*\.mailsecurity\.at
Da an dieser Stelle das Protokoll HTTP oder HTTPS nicht relevant ist, fallen diese Ausdrücke etwas kürzer aus als beim Virenscanner.

Für den Webfilter und den Virenscanner werden hierbei genauso Ausnahmen konfiguriert wie im Szenario 1. 


Szenario 3: Standard Proxy mit Authentifizierung über NTLM und Einsatz der SSL-Interception

SSL-Interception

Wenn im Menü → Anwendungen →HTTP-Proxy im Reiter SSL-Interception die SSL-Interception zum Einsatz kommt, um auch die verschlüsselten Datenpakete auf Schadsoftware zu überprüfen, müssen auch hier die Server als ╭╴Ausnahmen für SSL-Interception╶╮ hinterlegt werden.
Dazu werden die selben Ausdrücke wie auch schon bei der Authentifizierungsausnahme verwendet.

.*\.ikarus\.at
.*\.mailsecurity\.at

Für den Webfilter und den Virenscanner werden hierbei genauso Ausnahmen konfiguriert wie in den Szenarien 1 und 2.

Transparente SSL-Interception

Wenn im Menü → Anwendungen →HTTP-Proxy im Reiter Transparenter Modus der Transparente Modus aktiviert wurde, um auch die verschlüsselten Datenpakete auf Schadsoftware zu überprüfen, müssen hier die IP-Adressen der Server als Ausnahmen für die SSL-Interception hinterlegt werden.
Dazu wird das gesamte Netzwerk der Update-Server freigegeben.

.*91\.212\.136\..*