SPUVA / Web-Cockpit / Livelog / Skype

Andre · Beitrag von **Andre** » Di 23.02.2010, 11:44

Hallo

ich habe ein paar Dinge zusammengestellt, die mir hier bei den Tests aufgefallen sind:

SPUVA: Ist man im SPUVA angemeldet, hat aber den Proxy (auch transparent) aus, ist kein Aufruf von www.securepoint.de möglich

Web-Cockpit: Das Web-Cockpit verschluckt / erkennt beim Tippen einige Eingaben nicht. Teilweise muss man extra langsam tippen

Livelog: Im Livelog werden keine Verbindungen über Port 80 angezeigt, nur HTTP Verbindungen, aber dafür muss der Proxy genutzt werden (nicht immer der Fall)

Skype: Die Anwendungsblockierung von Skype funktioniert nicht, imho wär Securepoint auch der erste Hersteller, der dieses erfolgreich und beständig geschafft hätte. Darf man erfahren, wie die Anwendungsblockierung bei Skype funktionieren soll? Aus ISA Server Zeiten weiß ich noch, dass man dort mit HTTP Signaturen versucht hat zu arbeiten, allerdings recht erfolglos. Das einzig hilfreiche Mittel gegen Skype ist imho organisatorischer Natur (IT Richtlinien) und entsprechende Pflege der Benutzerberechtigungen und Software Restriktionen seitens GPO's.

Angaben ohne Gewähr und beziehen sich logischerweise auf mein System

Viele Grüße!

Beitrag von **Erik** » Fr 26.02.2010, 21:51

SPUVA: kann ich gerade nicht testen

Web-Cockpit:
Da ist ihr Client "schuld" (lies: zu langsam), da die Javascript-Engine die Eingaben nicht so schnell verarbeiten kann (AFAIK wird jedes Feld während der Eingabe validiert)

Livelog:
Stellen Sie sich bitte "???" über meinem Kopf vor

HTTP-Verbindungen können von der Firewall nur als solche dargestellt werden, wenn diese Verbindung über den Proxy läuft. In jedem anderen Fall ist das nur ein gewöhnliches Paket.

Skype:
Im Moment wird der mitgelieferte User-Agent auf die Zeichenfolge "skype" untersucht. Das ist zugegebenermaßen recht einfach gehalten.
Google ist der Meinung, dass man für eine effektive Blockierung von Skype den Zugriff auf IPs (Dotted-Quad) mittels CONNECT-Methode unterbinden muss (Klick). Wenn wir das Standardmäßig einbauen fallen mir mindestens zwei Kunden ein, die dann hier anrufen

(die missbrauchen den HTTP-Proxy für FTP-Traffic *schauder*)

Andre · Beitrag von **Andre** » Fr 26.02.2010, 23:18

Moin moin

Web-Cockpit:
Da ist ihr Client "schuld" (lies: zu langsam), da die Javascript-Engine die Eingaben nicht so schnell verarbeiten kann (AFAIK wird jedes Feld während der Eingabe validiert)

Ich sag ja, ich brauch hier was neues ;-) Nein, das kann schon sein, ich arbeite mit einem Netbook

Livelog:
Stellen Sie sich bitte "???" über meinem Kopf vor
HTTP-Verbindungen können von der Firewall nur als solche dargestellt werden, wenn diese Verbindung über den Proxy läuft. In jedem anderen Fall ist das nur ein gewöhnliches Paket.

Bei Livelog versuch ichs nochmal,möglichweise etwas unglücklich ausgedrückt ;-) ...wobei wir nichts gegenteiliges behaupten:
Rufe ich eine Webseite auf OHNE Proxy (also eine normale Verbindung über Port 80, für die Firewall nicht als HTTP erkennbar), wird diese nicht angezeigt (Filter?).
Rufe ich eine Webseite MIT Proxy auf (in diesem Fall eine HTTP Verbindung für die Firewall), wird die Verbindung angezeigt.

Hintergrund war, dass der Proxy nicht immer läuft, ich dennoch Verbindungen über Port 80 untersuchen musste und diese dann nicht angezeigt wurden. Über tcpdump hingegen schon (logisch).

Mein Problem etwas klarer? ;-)

Beitrag von **Andreas** » Mi 03.03.2010, 11:45

Rufe ich eine Webseite auf OHNE Proxy (also eine normale Verbindung über Port 80, für die Firewall nicht als HTTP erkennbar), wird diese nicht angezeigt (Filter?). Rufe ich eine Webseite MIT Proxy auf (in diesem Fall eine HTTP Verbindung für die Firewall), wird die Verbindung angezeigt.

Das liegt daran, dass in diesem Falle schlicht und einfach kein Logeintrag erzeugt wird. Die grauen Meldungen erzeugt der http-Proxy. Wenn dieser in eine Verbindung nicht envolviert ist, erzeugt er logischerweise auch keine Logeinträge.

Ihnen bleibt als Alternative eine Regel:

Internal_Network -> Internet -> http -> ACCEPT

mit aktivem Logging, um einen Verbindungsaufbau zu protokollieren. Den Inhalt der Pakete können Sie sich auf der root-Konsole mit tcpdump oder snort anschauen.

Andre · Beitrag von **Andre** » Mi 03.03.2010, 12:05

Quote
Rufe ich eine Webseite auf OHNE Proxy (also eine normale Verbindung über Port 80, für die Firewall nicht als HTTP erkennbar), wird diese nicht angezeigt (Filter?). Rufe ich eine Webseite MIT Proxy auf (in diesem Fall eine HTTP Verbindung für die Firewall), wird die Verbindung angezeigt.

Das liegt daran, dass in diesem Falle schlicht und einfach kein Logeintrag erzeugt wird. Die grauen Meldungen erzeugt der http-Proxy. Wenn dieser in eine Verbindung nicht envolviert ist, erzeugt er logischerweise auch keine Logeinträge.

sorry, das "diese" bezieht sich natürlich auf "die Verbindung", nicht auf "die Webseite". Natürlich wird die Webseite angezeigt, aber halt kein Logeintrag, trotz aktivem Logging in der Regel. Im Prinzip reden wir vom selben Thema ;-)

Auf der Konsole ist das alles kein Thema und wird wie gewünscht angezeigt, daher ja auch die Frage, ob der Log-Client Verbindungen über Port 80 herausfiltert, weil davon ausgegangen wird, dass sowieso der Proxy läuft und dieser dann die Verbindung protokolliert.

Anders ausgedrückt:
Ich nutze den Proxy in der Regel nicht und habe mich halt gewundert, wieso ich, obwohl alles funktioniert (also Regel korrekt angelegt usw...), keine Verbindungen über Port 80 loggen konnte... zeigt er einfach nicht an.

Viele Grüße!

Beitrag von **Erik** » Mi 03.03.2010, 12:19

Könnte daran liegen, dass die Regel einfach nicht matcht. Vielleicht haben Sie weiter oben eine Regel, die "any" Richtung Internet erlaubt und schalten dann das Logging für die "http"-Regel an. Diese Regel greift aber nie, weil vorher die any-Regel steht.
Desweiteren verschickt die Firewall nur eine bestimmte Anzahl Logeinträge pro Sekunde an den Client. Dadurch können auch "Pakete" verloren gehen.

Andre · Beitrag von **Andre** » Mi 03.03.2010, 13:45

hmm eigentlich gibt es nur folgendes:
spuva-alles -> internet -> any > kein log
spuva-andre -> internet -> default-internet > medium-log

ich bin mit "andre" angemeldet, nicht mit "alles"... ich teste das nochmal.
ich kann aber herauslesen, dass es sich um kein gewolltes verhalten handelt... das ist erstmal gut zu wissen :-)

Danke jedenfalls

Beitrag von **Andreas** » Mi 03.03.2010, 15:11

spuva-alles -> internet -> any > kein log

Das ist ein Bingo, würde Hans Landa sagen (vorausgesetzt diese Regel steht vor der anderen).

Testhalber könnte man diese Regel mal mit Log schalten. WENN eine Logging-Regel greift, dann sieht man dort, welche dies ist.

Andre · Beitrag von **Andre** » Mi 03.03.2010, 19:42

Quote
spuva-alles -> internet -> any > kein log

Das ist ein Bingo, würde Hans Landa sagen (vorausgesetzt diese Regel steht vor der anderen).

Testhalber könnte man diese Regel mal mit Log schalten. WENN eine Logging-Regel greift, dann sieht man dort, welche dies ist.

...aber wieso, wenn ich doch mit dem spuva benutzer "andre" angemeldet bin?
die o.g. regel greift doch nur, wenn ich mit dem benutzer "alles" angemeldet bin und da ist mir bisher auch kein andere verhalten aufgefallen.