Die SSL Interception mit Virenfilterung ist ja eine gute Sache, hat nur den Haken, dass man eine wirklich potente Hardware benötigt, oder sehr gute Filter die nur dann den Virencheck machen, wenn benötigt.
Securepoint geht ja den Weg diese "Du brauchst nicht nachschauen" Filter über Webfilter abzubilden.
Eigentlich eine gute Idee, aber mit der Umsetzung klappt es nicht so einfach.
Mal ein kurzer Hinweis, wie ich funktionierendes SSL-Interception mit Webfiltern hinbekommen habe.
1. Ganz normal SSL-Interception aufsetzen, wie in WIKI Beschrieben.
2. Einen Passenden Webfilter konfigurieren, wo alles auf grün steht, was keinen AV-Check benötigt (SP Whitelist: an), ich hab auch noch die Update server drinn.
Ganz wichtig: Keine Passende Regel: blockieren, Kategorie nicht auflösbar: Blockieren
Es ist so, der Proxy frägt den Webfilter ab, ob er den Antivirus verwenden soll. Überall da wo abgelehnt kommt, da wird Viren gecheckt.
Überall da wo grün, also erlaubt kommt, da wird der Virencheck nicht ausgeführt.
Wenn ich allerdings jetzt den Schalter "Webfilter ausführen" auf an hab, dann brauch ich keinen Virenschutz mehr. Dann darf ich ja sowieso nicht auf diese Seite.
Also muß ich mich hier entscheiden, Entweder verwende ich den Webfilter für Zugangsbeschränkungen, oder für Virencheck :-( !!!!!!
Ich gehe mal davon aus, dass es genau das ist, was bei den meisten Installationen eingestellt ist, die die Webfilter basierte Interception verwenden.
(es könnte sein, dass die Doku etwas verbesserungswürdig ist ?)
Dann ist da noch was.
Ich hab eine URL "eicar.org" als Verboten hinzugefügt.
leider ist eicar.org bei SecurePoint als "White" gelistet. Aber speziell in diesem Fall, ist das nicht so wirklich prickelnd, weil da kann ich ja gar nicht testen ob das funktioniert.
-------------------
Ich würde mir wünschen, dass bei der Proxy/SSL-Interception/ Webfilter basiert, noch eine Einstellung da währe, die mir erlaubt für das Viren Filtern, einen bestimmten Webfilter zu verwenden.
Ich würd mir wünschen bestimmte Seiten, wie Eicar, oder auch bestimmte AntiViren Hersteller die diesen Service anbieten, aus der "WHITE" Liste auszunehmen, damit ich das auch vernünftig testen kann.
Und natürlich würde ich mir wünschen "beide" Funktionalitäten" also Virenprüfung und auch Blocklisten zur Verfügung zu haben.
SSL Interception mit Webfilter
Moderator: Securepoint
-
probait IT-Service
- Beiträge: 1
- Registriert: Do 16.04.2020, 13:25
Hi,
fuer Wunsche und Anregungen haben wir die Securepoint Wunschbox. https://www.securepoint.de/support-service/wunschbox.html
Zum Thema Proxy/ TP
Besser waere es vielleicht, primaer den festen Proxy zu verwenden. Dort sind Sie flexibler und koennen gezielt Ausnahmen fuer die SSL-Interception definieren, der Rest geht durch den Scanner. Auch ist der feste Proxy minimal schneller.
Der Transparente Proxy eignet sich gut, um Gastnetzwerke ohne großen Aufwand zu schuetzen ohne Clients entsprechend konfigurieren zu muessen. Oder als letzte Barriere. Leider ergibt sich dabei immer das Risiko, das etwas bricht. Das kann auch beim festen Proxy passieren, ist da aber einfacher zu loesen.
Bei der Verwendung des festen Proxy braucht es nicht direkt potente Hardware, und auch ohne SSL-Interception kann der Webfilter bereits auch fuer HTTPS seinen Job tun. (Was beim TP so nicht geht) Falls man dagegen auch bei HTTPS nach Viren scannen moechte, braucht es etwas potentere Hardware, je nach Internetanschluss. Aber auch hier kann man ueber SSL-Interception-Ausnahmen fuer harte Faelle wie Videostreams usw. anlegen.
Bei Maschinen mit mindestens 2 CPU-Kernen ließe sich auch die Anzahl der Threads fuer den Proxy erhoehen, um ein angenehmes Surferlebniss ueber den Proxy zu ermoeglichen.
Persoehnlich nutze ich privat einen Intel Atom (N3150) mit 8GB DDR3 SDRAM im Dual Channel. Das ist mit der RC100/ RC200 G3 vergleichbar. Mit meiner 100MBit VDSL-Leitung habe ich hier trotz SSL-Interception keinerlei Probleme mit dem Durchsatz ueber den Proxy. (Problemfaelle wie Videostreams natuerlich ausgenommen) Habe 16 HTTP-Proxy-Threads aktiv und man merkt kaum eine Verzoegerung beim Seitenaufbau.
Das Problem mit dem webfilterbasiertem Transparenten Proxy ist, das hier die Vereinfachung der Nutzung eine große Rolle spielt. Denn wenn die gewuenschten Ausnahmen im Webfilter stehen, wird der Transparente Proxy mit SSL-Interception dann entsprechend die Verbindung aufbrechen, diese scannen und dann neu verschluesseln. (Wenn wir wie gewuenscht vorgehen) Handelt es sich bei dem Datenpaket um Fremdprotokolle, funktionieren einige Applikationen nicht mehr, die Port 443 verwenden. Oder die Applikation wird sehen, das ein Man-in-the-Middle-Angriff statt gefunden hat. Beides fuer viele Nutzer schwer/ umstaendlich zu loesen. Auch wuerde dieses Vorgehen dem Prinzip des Webfilter widersprechen. (Ja oder Nein) Deswegen besser den festen Proxy verwenden.
Was die Ausnahmen angeht: Bringen Sie diese in die passende Reihenfolge. Dann sollte die Regel greifen.
fuer Wunsche und Anregungen haben wir die Securepoint Wunschbox. https://www.securepoint.de/support-service/wunschbox.html
Zum Thema Proxy/ TP
Besser waere es vielleicht, primaer den festen Proxy zu verwenden. Dort sind Sie flexibler und koennen gezielt Ausnahmen fuer die SSL-Interception definieren, der Rest geht durch den Scanner. Auch ist der feste Proxy minimal schneller.
Der Transparente Proxy eignet sich gut, um Gastnetzwerke ohne großen Aufwand zu schuetzen ohne Clients entsprechend konfigurieren zu muessen. Oder als letzte Barriere. Leider ergibt sich dabei immer das Risiko, das etwas bricht. Das kann auch beim festen Proxy passieren, ist da aber einfacher zu loesen.
Bei der Verwendung des festen Proxy braucht es nicht direkt potente Hardware, und auch ohne SSL-Interception kann der Webfilter bereits auch fuer HTTPS seinen Job tun. (Was beim TP so nicht geht) Falls man dagegen auch bei HTTPS nach Viren scannen moechte, braucht es etwas potentere Hardware, je nach Internetanschluss. Aber auch hier kann man ueber SSL-Interception-Ausnahmen fuer harte Faelle wie Videostreams usw. anlegen.
Bei Maschinen mit mindestens 2 CPU-Kernen ließe sich auch die Anzahl der Threads fuer den Proxy erhoehen, um ein angenehmes Surferlebniss ueber den Proxy zu ermoeglichen.
Persoehnlich nutze ich privat einen Intel Atom (N3150) mit 8GB DDR3 SDRAM im Dual Channel. Das ist mit der RC100/ RC200 G3 vergleichbar. Mit meiner 100MBit VDSL-Leitung habe ich hier trotz SSL-Interception keinerlei Probleme mit dem Durchsatz ueber den Proxy. (Problemfaelle wie Videostreams natuerlich ausgenommen) Habe 16 HTTP-Proxy-Threads aktiv und man merkt kaum eine Verzoegerung beim Seitenaufbau.
Das Problem mit dem webfilterbasiertem Transparenten Proxy ist, das hier die Vereinfachung der Nutzung eine große Rolle spielt. Denn wenn die gewuenschten Ausnahmen im Webfilter stehen, wird der Transparente Proxy mit SSL-Interception dann entsprechend die Verbindung aufbrechen, diese scannen und dann neu verschluesseln. (Wenn wir wie gewuenscht vorgehen) Handelt es sich bei dem Datenpaket um Fremdprotokolle, funktionieren einige Applikationen nicht mehr, die Port 443 verwenden. Oder die Applikation wird sehen, das ein Man-in-the-Middle-Angriff statt gefunden hat. Beides fuer viele Nutzer schwer/ umstaendlich zu loesen. Auch wuerde dieses Vorgehen dem Prinzip des Webfilter widersprechen. (Ja oder Nein) Deswegen besser den festen Proxy verwenden.
Was die Ausnahmen angeht: Bringen Sie diese in die passende Reihenfolge. Dann sollte die Regel greifen.
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de