Hallo
ich habe ein paar Dinge zusammengestellt, die mir hier bei den Tests aufgefallen sind:
SPUVA: Ist man im SPUVA angemeldet, hat aber den Proxy (auch transparent) aus, ist kein Aufruf von www.securepoint.de möglich
Web-Cockpit: Das Web-Cockpit verschluckt / erkennt beim Tippen einige Eingaben nicht. Teilweise muss man extra langsam tippen
Livelog: Im Livelog werden keine Verbindungen über Port 80 angezeigt, nur HTTP Verbindungen, aber dafür muss der Proxy genutzt werden (nicht immer der Fall)
Skype: Die Anwendungsblockierung von Skype funktioniert nicht, imho wär Securepoint auch der erste Hersteller, der dieses erfolgreich und beständig geschafft hätte. Darf man erfahren, wie die Anwendungsblockierung bei Skype funktionieren soll? Aus ISA Server Zeiten weiß ich noch, dass man dort mit HTTP Signaturen versucht hat zu arbeiten, allerdings recht erfolglos. Das einzig hilfreiche Mittel gegen Skype ist imho organisatorischer Natur (IT Richtlinien) und entsprechende Pflege der Benutzerberechtigungen und Software Restriktionen seitens GPO's.
Angaben ohne Gewähr und beziehen sich logischerweise auf mein System
Viele Grüße!
SPUVA / Web-Cockpit / Livelog / Skype
Moderator: Securepoint
SPUVA: kann ich gerade nicht testen
Web-Cockpit:
Da ist ihr Client "schuld" (lies: zu langsam), da die Javascript-Engine die Eingaben nicht so schnell verarbeiten kann (AFAIK wird jedes Feld während der Eingabe validiert)
Livelog:
Stellen Sie sich bitte "???" über meinem Kopf vor
HTTP-Verbindungen können von der Firewall nur als solche dargestellt werden, wenn diese Verbindung über den Proxy läuft. In jedem anderen Fall ist das nur ein gewöhnliches Paket.
Skype:
Im Moment wird der mitgelieferte User-Agent auf die Zeichenfolge "skype" untersucht. Das ist zugegebenermaßen recht einfach gehalten.
Google ist der Meinung, dass man für eine effektive Blockierung von Skype den Zugriff auf IPs (Dotted-Quad) mittels CONNECT-Methode unterbinden muss (Klick). Wenn wir das Standardmäßig einbauen fallen mir mindestens zwei Kunden ein, die dann hier anrufen (die missbrauchen den HTTP-Proxy für FTP-Traffic *schauder*)
Web-Cockpit:
Da ist ihr Client "schuld" (lies: zu langsam), da die Javascript-Engine die Eingaben nicht so schnell verarbeiten kann (AFAIK wird jedes Feld während der Eingabe validiert)
Livelog:
Stellen Sie sich bitte "???" über meinem Kopf vor
HTTP-Verbindungen können von der Firewall nur als solche dargestellt werden, wenn diese Verbindung über den Proxy läuft. In jedem anderen Fall ist das nur ein gewöhnliches Paket.
Skype:
Im Moment wird der mitgelieferte User-Agent auf die Zeichenfolge "skype" untersucht. Das ist zugegebenermaßen recht einfach gehalten.
Google ist der Meinung, dass man für eine effektive Blockierung von Skype den Zugriff auf IPs (Dotted-Quad) mittels CONNECT-Methode unterbinden muss (Klick). Wenn wir das Standardmäßig einbauen fallen mir mindestens zwei Kunden ein, die dann hier anrufen (die missbrauchen den HTTP-Proxy für FTP-Traffic *schauder*)
-
- Beiträge: 20
- Registriert: Di 13.03.2007, 13:10
- Wohnort: Hannover, Stuttgart, Schwäbisch Gmünd
- Kontaktdaten:
Moin moin
Rufe ich eine Webseite auf OHNE Proxy (also eine normale Verbindung über Port 80, für die Firewall nicht als HTTP erkennbar), wird diese nicht angezeigt (Filter?).
Rufe ich eine Webseite MIT Proxy auf (in diesem Fall eine HTTP Verbindung für die Firewall), wird die Verbindung angezeigt.
Hintergrund war, dass der Proxy nicht immer läuft, ich dennoch Verbindungen über Port 80 untersuchen musste und diese dann nicht angezeigt wurden. Über tcpdump hingegen schon (logisch).
Mein Problem etwas klarer? ;-)
Ich sag ja, ich brauch hier was neues ;-) Nein, das kann schon sein, ich arbeite mit einem NetbookWeb-Cockpit:
Da ist ihr Client "schuld" (lies: zu langsam), da die Javascript-Engine die Eingaben nicht so schnell verarbeiten kann (AFAIK wird jedes Feld während der Eingabe validiert)
Bei Livelog versuch ichs nochmal,möglichweise etwas unglücklich ausgedrückt ;-) ...wobei wir nichts gegenteiliges behaupten:Livelog:
Stellen Sie sich bitte "???" über meinem Kopf vor
HTTP-Verbindungen können von der Firewall nur als solche dargestellt werden, wenn diese Verbindung über den Proxy läuft. In jedem anderen Fall ist das nur ein gewöhnliches Paket.
Rufe ich eine Webseite auf OHNE Proxy (also eine normale Verbindung über Port 80, für die Firewall nicht als HTTP erkennbar), wird diese nicht angezeigt (Filter?).
Rufe ich eine Webseite MIT Proxy auf (in diesem Fall eine HTTP Verbindung für die Firewall), wird die Verbindung angezeigt.
Hintergrund war, dass der Proxy nicht immer läuft, ich dennoch Verbindungen über Port 80 untersuchen musste und diese dann nicht angezeigt wurden. Über tcpdump hingegen schon (logisch).
Mein Problem etwas klarer? ;-)
Das liegt daran, dass in diesem Falle schlicht und einfach kein Logeintrag erzeugt wird. Die grauen Meldungen erzeugt der http-Proxy. Wenn dieser in eine Verbindung nicht envolviert ist, erzeugt er logischerweise auch keine Logeinträge.Rufe ich eine Webseite auf OHNE Proxy (also eine normale Verbindung über Port 80, für die Firewall nicht als HTTP erkennbar), wird diese nicht angezeigt (Filter?). Rufe ich eine Webseite MIT Proxy auf (in diesem Fall eine HTTP Verbindung für die Firewall), wird die Verbindung angezeigt.
Ihnen bleibt als Alternative eine Regel:
Internal_Network -> Internet -> http -> ACCEPT
mit aktivem Logging, um einen Verbindungsaufbau zu protokollieren. Den Inhalt der Pakete können Sie sich auf der root-Konsole mit tcpdump oder snort anschauen.
Such dir einen Beruf den du liebst und du musst nie wieder arbeiten! (chinesische Weisheit)
-
- Beiträge: 20
- Registriert: Di 13.03.2007, 13:10
- Wohnort: Hannover, Stuttgart, Schwäbisch Gmünd
- Kontaktdaten:
sorry, das "diese" bezieht sich natürlich auf "die Verbindung", nicht auf "die Webseite". Natürlich wird die Webseite angezeigt, aber halt kein Logeintrag, trotz aktivem Logging in der Regel. Im Prinzip reden wir vom selben Thema ;-)Quote
Rufe ich eine Webseite auf OHNE Proxy (also eine normale Verbindung über Port 80, für die Firewall nicht als HTTP erkennbar), wird diese nicht angezeigt (Filter?). Rufe ich eine Webseite MIT Proxy auf (in diesem Fall eine HTTP Verbindung für die Firewall), wird die Verbindung angezeigt.
Das liegt daran, dass in diesem Falle schlicht und einfach kein Logeintrag erzeugt wird. Die grauen Meldungen erzeugt der http-Proxy. Wenn dieser in eine Verbindung nicht envolviert ist, erzeugt er logischerweise auch keine Logeinträge.
Auf der Konsole ist das alles kein Thema und wird wie gewünscht angezeigt, daher ja auch die Frage, ob der Log-Client Verbindungen über Port 80 herausfiltert, weil davon ausgegangen wird, dass sowieso der Proxy läuft und dieser dann die Verbindung protokolliert.
Anders ausgedrückt:
Ich nutze den Proxy in der Regel nicht und habe mich halt gewundert, wieso ich, obwohl alles funktioniert (also Regel korrekt angelegt usw...), keine Verbindungen über Port 80 loggen konnte... zeigt er einfach nicht an.
Viele Grüße!
Zuletzt geändert von Andre am Mi 03.03.2010, 12:10, insgesamt 1-mal geändert.
Könnte daran liegen, dass die Regel einfach nicht matcht. Vielleicht haben Sie weiter oben eine Regel, die "any" Richtung Internet erlaubt und schalten dann das Logging für die "http"-Regel an. Diese Regel greift aber nie, weil vorher die any-Regel steht.
Desweiteren verschickt die Firewall nur eine bestimmte Anzahl Logeinträge pro Sekunde an den Client. Dadurch können auch "Pakete" verloren gehen.
Desweiteren verschickt die Firewall nur eine bestimmte Anzahl Logeinträge pro Sekunde an den Client. Dadurch können auch "Pakete" verloren gehen.
-
- Beiträge: 20
- Registriert: Di 13.03.2007, 13:10
- Wohnort: Hannover, Stuttgart, Schwäbisch Gmünd
- Kontaktdaten:
hmm eigentlich gibt es nur folgendes:
spuva-alles -> internet -> any > kein log
spuva-andre -> internet -> default-internet > medium-log
ich bin mit "andre" angemeldet, nicht mit "alles"... ich teste das nochmal.
ich kann aber herauslesen, dass es sich um kein gewolltes verhalten handelt... das ist erstmal gut zu wissen :-)
Danke jedenfalls
spuva-alles -> internet -> any > kein log
spuva-andre -> internet -> default-internet > medium-log
ich bin mit "andre" angemeldet, nicht mit "alles"... ich teste das nochmal.
ich kann aber herauslesen, dass es sich um kein gewolltes verhalten handelt... das ist erstmal gut zu wissen :-)
Danke jedenfalls
Das ist ein Bingo, würde Hans Landa sagen (vorausgesetzt diese Regel steht vor der anderen).spuva-alles -> internet -> any > kein log
Testhalber könnte man diese Regel mal mit Log schalten. WENN eine Logging-Regel greift, dann sieht man dort, welche dies ist.
Such dir einen Beruf den du liebst und du musst nie wieder arbeiten! (chinesische Weisheit)
-
- Beiträge: 20
- Registriert: Di 13.03.2007, 13:10
- Wohnort: Hannover, Stuttgart, Schwäbisch Gmünd
- Kontaktdaten:
...aber wieso, wenn ich doch mit dem spuva benutzer "andre" angemeldet bin?Quote
spuva-alles -> internet -> any > kein log
Das ist ein Bingo, würde Hans Landa sagen (vorausgesetzt diese Regel steht vor der anderen).
Testhalber könnte man diese Regel mal mit Log schalten. WENN eine Logging-Regel greift, dann sieht man dort, welche dies ist.
die o.g. regel greift doch nur, wenn ich mit dem benutzer "alles" angemeldet bin und da ist mir bisher auch kein andere verhalten aufgefallen.