Seite 1 von 1

Wie lauten sämtliche Endungen möglicher Update-Dateien

Verfasst: Do 18.07.2019, 00:14
von Schmitti
Servus,

ich möchte einen Proxy mit Squid aufsetzen, der für ein lokales Netzwerk sämtliche Update-Dateien für SP AV Pro zwischenspeichert. Dafür benötige ich aber - neben den Server-FQDNs sämtlicher Update-Server (stehen m. E. im Wiki) - die Dateiendungen der Dateien, die während des Update-Prozesses potenziell heruntergeladen werden.

Zum Update-Vorgang selbst (für mein Verständnis): Wenn ich das richtig analysiert habe, dann prüft SP AV Pro in kurzen Zeitabständen, ob sich die Seriennummern der jeweiligen Datenversionen (SPAM, Virensignaturen etc.) verändert haben- ähnlich wie bei einem DNS-Eintrag in einer Zonendatei. Damit wird festgestellt, ob es neue Updates zum Download gibt. Sofern eine Veränderung festgestellt wird, beginnt erst der eigentliche Updateprozess. Richtig?

Ich würde mich sehr über eine zeitnahe Rückmeldung freuen.

Viele Grüße

Schmitti

Re: Wie lauten sämtliche Endungen möglicher Update-Dateien

Verfasst: Do 18.07.2019, 06:18
von merlin
Servus,

also hier gibt es die URL-Whitelist, die für den SecurepointAV im HTTP-Proxy der UTM verwendet werden soll:
https://wiki.securepoint.de/AV/KB/HTTP_Proxy

*.ikarus.at/*
*.mailsecurity.at/*

bzw.

^[^:]*://[^\.]*\.ikarus\.at/
^[^:]*://[^\.]*\.mailsecurity\.at/

Gruß
Rolf

Re: Wie lauten sämtliche Endungen möglicher Update-Dateien

Verfasst: Do 18.07.2019, 10:10
von Schmitti
Grüß Dich, Rolf,

ja, die Domänen und die notwendigen Regex-Einträge kenne ich. Die helfen mir aber nicht weiter. Ich benötige - zusammengefasst - folgende Infos:

- Sämtliche Endungen der Dateien, die während des Updateprozesses heruntergeladen werden (könnten)
- Am besten eine Zusammenfassung, wie der Updateprozess vonstatten geht (inkrementell oder z. B. immer die aktuelle vdb-Datei im Ganzen, welche aber vielleicht etwas groß ist)
- Alles, was sonst noch dazu interessant zu wissen wäre

Mir geht es darum, die Dateien, die im Zuge des Updatevorgangs heruntergeladen werden, im Proxy zwischenzuspeichern, damit sie nicht von jedem Client im Netzwerk einzeln aus dem Internet heruntergeladen werden müssen.

Re: Wie lauten sämtliche Endungen möglicher Update-Dateien

Verfasst: Fr 19.07.2019, 09:54
von Schmitti
Hallo, an alle,

gestern konnte ich zufällig die Logs einer Firewall beobachten, während ein Update gezogen wurde.

Die Endungen für differenzielle Updates lauten - wer hätte es gedacht - .diff.

Im Folgenden, verallgemeinert, die Dateien, die heruntergeladen wurden:

- *.mailsecurity.at/updates/antispam*.diff
- *.mailsecurity.at/updates/t3sigs*.diff

Bei letzterer Datei sollte es sich um das Update der Virensignaturen handeln.

Würde mich weiterhin über Tipps und Hinweise sowie über Dateiendungen bzw. Dateinamen etc. freuen. Das würde mit Sicherheit dem einen oder anderen ITler, der - wie ich - mal eben 25 Clients auf ein Mal installieren und vor allem updaten muss, obwohl die Internetbandbreite unterirdisch langsam ist, helfen.

Grüße

Schmitti

Re: Wie lauten sämtliche Endungen möglicher Update-Dateien

Verfasst: Fr 19.07.2019, 23:25
von Schmitti
Hallo nochmal,

wie es scheint, komme ich der Lösung sehr nahe.

####### STOP! #######
Bevor Ihr weiterlest, möchte ich auf Folgendes hinweisen:
Dies ist nur ein Bericht. Er stellt keine Anleitung zum blinden Nachmachen, geschweige denn zum produktiven Einsatz beim Kunden, dar! Wer meinen Ausführungen folgen will, darf dies selbstverständlich gerne auf eigene Gefahr tun!
###### WEITER ######

Ich habe versuchshalber eine UTM aufgesetzt und darin den Proxy aktiviert; sogar mit SSL-Interception, wobei ich aber glaube, dass das gar nicht nötig ist, da Updates offenbar - und zum Glück - nur via http heruntergeladen zu werden scheinen.

Um den Proxy auch als Cache für die Update-Dateien der Software nutzen zu können, muss die UTM "gehackt" werden. ;-) Also habe ich zunächst mittels Tastenkombination

Code: Alles auswählen

Strg+Alt+a
die versteckten Einstellungen freigeschaltet und über die Templates in der Datei /etc/squid.conf (Squid ist der auf der UTM eingesetzte Proxy-Dienst) eine Zeile mit folgendem Code hinzugefügt:

Code: Alles auswählen

refresh_pattern -i mirrorcdn\.mailsecurity\.at\/updates\/.*    4320    100%    43200   reload-into-ims
(Der Code wurde von mir entsprechend der offiziellen Anleitung von der offiziellen Squid-Anleitung zum Cachen von Antivirus-Updates erstellt. Wer gerne wissen möchte, was dieser Code bedeutet, dem sei folgendes Handbuch ans Herz gelegt: Siehe Seite 76.)

Dann habe ich einen PC an die UTM angeschlossen und erfolgreich (nach anfänglichen Fehlern und einer entsprechenden Analyse) eine Silent-Installation von SP AV Pro via Proxy und mit aktivierter SSL-Interception realisieren können. Die darauf folgenden ersten Updates konnten problemfrei geladen werden. So weit, so gut.

Was ich nun noch testen muss, ist, ob andere Geräte ihre Updates aus dem Web-Cache der UTM beziehen werden, oder ob dennoch sämtliche Updates "frisch" heruntergeladen werden.

So weit, so gut.

Vielleicht hat ja der Eine oder Andere Gefallen an meiner Idee gefunden und möchte sein Wissen einbringen. Wäre doch sicherlich für alle sinnvoll, die Securepoint Antivirus Pro auch im größeren Umfeld mit einer eher langsamen Internetverbindung einsetzen möchten.

Viele tüftlerische Grüße

Schmitti