Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
[GELÖST] How to "ESET ICAP" - Brainstorming
« previous
next »
Print
Pages: [
1
]
Author
Topic: [GELÖST] How to "ESET ICAP" - Brainstorming (Read 8447 times)
Oxygen61
Sr. Member
Posts: 350
Karma: 32
Der Weg zum Erfolg hat keine Abkürzung - (Tanaka)
[GELÖST] How to "ESET ICAP" - Brainstorming
«
on:
March 17, 2018, 10:59:56 pm »
Hi Leute,
mir gehen seit dem 18.1.X Update so langsam die Probleme aus,
sodass ich mich nächste Woche an das Proxy/ICAP Thema rantrauen werde.
(endlich 2 Wochen Urlaub - yippih
) Wollte daher mal so in die Runde fragen,
wer denn das ICAP Feature von OPNsense im Zusammenhang mit dem
ESET Gateway Security (ICAP-Server)
am laufen hat?
(Gibt es Alternativen außer Clam-möchtegern-AV und Symantec Protection Engine?)
Gibt es irgendwas "
merkwürdiges
" worauf ich achten sollte,
bzgl. HTTPS Traffic / 64bit CentOS oder der allgemeinen Einrichtung?
Ich hab mir ungefähr folgenden Fahrplan ausgedacht:
1. altes apu2c4 via USB-Stick mit 64bit CentOS installieren und ersteinrichten
2. Das Teil via LACP (3 NICs) an den Switch ran und in ein eigenes VLAN stecken
(+OPNsense VLAN Interface einrichten - ist klar)
3. Transparenten SSL-Interception Proxy für die gewünschten VLAN-Interfaces der OPNsense einrichten
+ "SSL no bump sites" für bestimmte Webseiten festlegen
(Bitte keinen Streit anfangen wegen dem HTTPs aufbrechen
)
4. Proxy Settings anpassen und testen + CA cert auf die Geräte verteilen
Ab hier wird es spannend weil ich gar keine Ahnung habe auf welche Probleme ich da stoßen könnte
(wär ja sonst langweilig
)
5. ESET Gateway Security auf dem CentOS APU2 installieren und updaten
6. ICAP Proxy Forwarding auf der OPNsense einrichten, damit es auf die APU2 zeigt
7. Testen und mir böse Trojaner runterladen
8. Dokumentation
9. Fertig??
10. (optional) Es soll auf dem APU2 (CentOS) später noch Pi-Hole drauf installiert werden.
Wenn ich die Ports ändere für z.b. lighttpd sollte das passen.
An dieser Stelle sollte es das doch tatsächlich schon gewesen sein oder?
Ich würde mich freuen, wenn mir da jemand kurz erzählen könnte
auf welche Probleme ich wahrscheinlich stoßen werde?
Ich bin auch immer offen für Tutorials und Vorschläge.
Ansonsten vielen Dank schon mal im voraus und allen ein schönes Wochenende gewünscht,
Oxy
«
Last Edit: March 21, 2018, 10:03:08 pm by Oxygen61
»
Logged
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: How to "ESET ICAP" - Brainstorming
«
Reply #1 on:
March 18, 2018, 06:37:33 am »
Ich kenne das Teil nicht, aber prinzipiell musst du in der OPN nur die ICAP IP von dem Teil angeben. ClamAV wird dann halt nicht mehr verwendet, dazu brauchst du einen dedizierten ICAP der an beide AVs übergibt.
ESET hat mir letztes Jahr auf der IT-SA versprochen einen aktualisierten Port für FreeBSD dieses Jahr zu veröffentlichen. Wenn die das hin bekommen wirds auch ein Plugin geben
Aber geh das auf jeden Fall mit dem Produkt an, es schadet nicht eine Referenz zu haben wenn jemand unbedingt kommerziellen AV Support benötigt.
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
fabian
Hero Member
Posts: 2769
Karma: 200
OPNsense Contributor (Language, VPN, Proxy, etc.)
Re: How to "ESET ICAP" - Brainstorming
«
Reply #2 on:
March 18, 2018, 08:21:51 am »
Der Server-Entwickler muss sich da mal einmischen:
eine ICAP-URL sieht wie folgt aus:
icap://icap-host:port/service
Das der host benötigt wird ist glaube ich klar, ":" + Portnummer ist optional und hinten der Dienst ist wieder verpflichtend. Wie der Dienst heißt, musst du aus der Konfiguration oder Dokumentation des Herstellers nehmen.
Anmerkung zu Squid 4 (noch nicht veröffentlichte version): Squid 4 kann anscheinend auch "icaps://".
Logged
Oxygen61
Sr. Member
Posts: 350
Karma: 32
Der Weg zum Erfolg hat keine Abkürzung - (Tanaka)
Re: How to "ESET ICAP" - Brainstorming
«
Reply #3 on:
March 18, 2018, 08:32:46 pm »
Hi ihr beiden,
danke für den Input.
Aber so richtig habe ich es noch nicht verstanden.
So wie ich das sehe läuft Squid3 auf der OPNsense Kiste und der ICAP Server (c-icap) und das "Modul", in diesem Fall ESET Gateway Security, auf meinem zweiten Server (APU2).
Die Kommunikation sollte dann über folgende ICAP-URL auf der OPNsense erfolgen jeweils für den Request und den Respond:
service_req icap://<IP der APU2>:1344/av_scan
service_resp icap://<IP der APU2>:1344/av_scan
Das einzige was ich finden konnte war das hier und da läuft squid3, c-icap und auch die ESET Software auf dem selben Server. In meinem Fall würde ja nur c-icap und die Software auf einen zweiten Server ausgelagert werden. Squid3 bzw. 4 bleibt dann später ja auf der OPNsense Firewall:
http://cheatsheet.logicalwebhost.com/eset-gateway-squid3-proxy-icap/
Wahrscheinlich muss man sowas einfach anfangen. Dann werde ich schon früh genug merken was nicht funktioniert. :-/
«
Last Edit: March 18, 2018, 08:42:20 pm by Oxygen61
»
Logged
AC
Newbie
Posts: 23
Karma: 5
Re: How to "ESET ICAP" - Brainstorming
«
Reply #4 on:
March 19, 2018, 03:28:22 pm »
Es gibt noch den
https://www.kaspersky.de/small-to-medium-business-security/proxy-server
Ist recht einfach:
Auf Linux installieren (genau nach Anleitung) und dann mittels beider URL's anbinden, wie steht auch in der Doku vom Kaspersky Proxy Server.
Logged
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: How to "ESET ICAP" - Brainstorming
«
Reply #5 on:
March 19, 2018, 03:48:01 pm »
Taugt der was? Was kostet der?
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
Oxygen61
Sr. Member
Posts: 350
Karma: 32
Der Weg zum Erfolg hat keine Abkürzung - (Tanaka)
Re: How to "ESET ICAP" - Brainstorming
«
Reply #6 on:
March 19, 2018, 10:33:05 pm »
Würde mich auch mal interessieren. Komisch nur, dass das gar kein eigenständiges Produkt ist, richtig?
Das ist nur Teil vom "Security for Internet Gateway"-Produkt.
Außerdem macht mich das hier etwas stutzig:
64-Bit-Plattformen:
CentOS 5.7, 6.2
Wie veraltet ist bitte diese Software, dass kein CentOS 7 unterstützt wird?
Hat sich für mich ja dann eigentlich schon erledigt. Schade... :-/
Download und Doku Quelle:
https://www.kaspersky.com/small-to-medium-business-security/downloads/internet-gateway
EDIT: In der Doku steht:
"Kaspersky Anti-Virus integration with Squid 3.1.6 is not supported."
Heißt also, dass spätestens bei einem OPNsense Squid Upgrade auf Squid4, die ganze Kiste wertlos ist, wenn nicht sogar schon früher.
«
Last Edit: March 19, 2018, 10:41:57 pm by Oxygen61
»
Logged
franco
Administrator
Hero Member
Posts: 17661
Karma: 1611
Re: How to "ESET ICAP" - Brainstorming
«
Reply #7 on:
March 20, 2018, 07:18:37 am »
Die Vendor Lösungen sind *immer* für veraltete Versionen und meistens Linux. Die werden gebastelt weil mal ein OEM-Kunde gefragt hat und dann nie weiter gepflegt.
Grüsse
Franco
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: How to "ESET ICAP" - Brainstorming
«
Reply #8 on:
March 20, 2018, 03:26:11 pm »
So traurig das klingt, hat Franco da schon leider recht. Wird oft eben genau deshalb auf RedHat/CentOS gebaut, weil die mit die längsten Support Fenster haben die es gibt, bis zu 7 oder noch mehr Jahre wird da die Distri supportet, ob das Sinn macht (weil der Mist langsam schon schimmelt, weil er so alt ist), ist da meist egal
Allerdings würde ich persönlich weder Kaspersky noch ESET so wirklich übern Weg trauen
Kaspersky hat sich massiv Punkte verscherzt bei mir mit ihrem AV Gedöns, weil sie massiv Kram injected hatten bei jedem Abruf - und das bei ner reinen AV Software absichtlich ohne Internet Security Firewall Gedöns. Trotz abschalten hat man im Debugging trotzdem bei Seitenaufrufen Calls an Kaspersky Server gesehen, was richtig mies ist. Und ESET hatte uns die Firma lahmgelegt
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
AC
Newbie
Posts: 23
Karma: 5
Re: How to "ESET ICAP" - Brainstorming
«
Reply #9 on:
March 20, 2018, 04:01:55 pm »
Hallo Leute,
weil der Proxy der Opnsense kein MultiWan kann, haben wir den Proxy sowieso vorgelagert in eine LinuxVM. Darauf hatte ich den squid aus den ubuntu 16.04 repos installiert und den kaspersky dazu. Das ist der blanke Antivirus (Kein InternetSecurity Marketing-Mist), heißt: die reine Engine. Die Karre wird "for Proxies" heißen, weil das Ding die ICAP Schnittstelle mitbringt.
Wir setzen hier schon den Eset auf den Clients ein (das neue Management ist nicht so knorke) aber die Engine läuft sehr gut. Weil der auf den Clients läuft, kommt der mir nicht auf den Proxy
Logged
Oxygen61
Sr. Member
Posts: 350
Karma: 32
Der Weg zum Erfolg hat keine Abkürzung - (Tanaka)
Re: How to "ESET ICAP" - Brainstorming
«
Reply #10 on:
March 20, 2018, 09:57:18 pm »
Das klingt ja eher nich so aufbauend. Ihr sollt mir doch Mut machen Leute.
Kaspersky hat halt sehr gute Erkennungsraten. Seitdem ich meiner Mutter aber erklären musste, dass Kaspersky durch SSL-Interception und diesem Web-Injection Müll ihr Facebook zerschossen wird, "durfte" ich es dann doch auch ganz freiwillig entfernen. Alleine das man dafür ein eigenes Deinstallationstool braucht ist schon die Härte... aber gut .. ist am Thema vorbei.
Ich kann mich also entscheiden zwischen
"ClamAV"
, mit der wahrscheinlich schlechtesten Erkennungsrate überhaupt und wahnsinnig schlechten False/Positive Werten laut Meinungsumfragen in diversen Foren und Tests
oder
"Symantec Protection Engine"
, wo zu mindestens die Dokumentation up-to-date ist.
Das ist doch schon mal was.
Oder
"ESET Gateway Security"
, wo soweit ich das sehe zu mindestens noch gepatcht wird...
Man ist das traurig. Dabei will ich doch nur einen zentralen Web-Antivirus.
Ich werde einfach mal beide Firmen ganz simpel anschreiben. Mal kucken wer sich besser verkauft.
«
Last Edit: March 20, 2018, 10:01:51 pm by Oxygen61
»
Logged
AC
Newbie
Posts: 23
Karma: 5
Re: How to "ESET ICAP" - Brainstorming
«
Reply #11 on:
March 21, 2018, 08:18:03 am »
Was spricht denn gegen den Kaspersky?
Gute Performance, gute Erkennungraten.
Unterstützung für
Cent-Os 7
ist:
https://support.kaspersky.com/13200
Das Kaspersky
squid v3.1.6
nicht unterstützt, liegt wohl einfach
an dem Bug den squid in dieser einen Version hat
, der
ab squid v3.1.7
gefixt
ist, was wohl seit 2010 der fall ist, wenn ich den Bugreport aufmache:
https://bugs.squid-cache.org/show_bug.cgi?id=3011
Aktuell
hab ich
squid v3.5.x
auf meinem 64 bit Ubuntu 16.04
PS: Kaspersky Anti-Virus 5.5 for Proxy Server ist ein eigenes Produkt. Im Grunde der Linux AV mit ICAP Protkoll.
Hier nochmal die Systemvorraussetzungen: Beachte,
CentOS 5.7 und 6.2
tauchen unter der
32 bit Spalte
auf,
CentOS 7
bei der
64 bit Spalte
https://support.kaspersky.com/proxy5?level=3#requirements
«
Last Edit: March 21, 2018, 08:31:28 am by AC
»
Logged
Oxygen61
Sr. Member
Posts: 350
Karma: 32
Der Weg zum Erfolg hat keine Abkürzung - (Tanaka)
Re: How to "ESET ICAP" - Brainstorming
«
Reply #12 on:
March 21, 2018, 10:02:55 pm »
Man könnte jetzt über Datenschutz philosophieren, aber das ist auch das einzige was man gegen Kaspersky sagen kann, wenn man das "Internet Security" weglässt. Der Teil ist/war echt mist... Hab sowas noch nie erlebt, dass das halbe Internet nicht mehr benutzbar war durch SSL-Interception und Web-Injection.. aber gut, war ja auch die Internet Security Version.
Unterstützung für Cent-Os 7 --> Das ist natürlich richtig cool und auch 64bit, dass macht Symantec schonmal nicht. Da ist das .rpm plötzlich nur für 32bit Systeme empfohlen.
Danke Leute. Ich glaub damit weiß ich im Grunde wo es hingehen soll!
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
[GELÖST] How to "ESET ICAP" - Brainstorming