[GELÖST] How to "ESET ICAP" - Brainstorming

[Oxygen61]

Hi Leute,

mir gehen seit dem 18.1.X Update so langsam die Probleme aus,
sodass ich mich nächste Woche an das Proxy/ICAP Thema rantrauen werde.
(endlich 2 Wochen Urlaub - yippih  ) Wollte daher mal so in die Runde fragen,
wer denn das ICAP Feature von OPNsense im Zusammenhang mit dem
ESET Gateway Security (ICAP-Server) am laufen hat?
(Gibt es Alternativen außer Clam-möchtegern-AV und Symantec Protection Engine?)
Gibt es irgendwas "merkwürdiges" worauf ich achten sollte,
bzgl. HTTPS Traffic / 64bit CentOS oder der allgemeinen Einrichtung?

Ich hab mir ungefähr folgenden Fahrplan ausgedacht:

1. altes apu2c4 via USB-Stick mit 64bit CentOS installieren und ersteinrichten
2. Das Teil via LACP (3 NICs) an den Switch ran und in ein eigenes VLAN stecken
(+OPNsense VLAN Interface einrichten - ist klar)
3. Transparenten SSL-Interception Proxy für die gewünschten VLAN-Interfaces der OPNsense einrichten
+ "SSL no bump sites" für bestimmte Webseiten festlegen
(Bitte keinen Streit anfangen wegen dem HTTPs aufbrechen )
4. Proxy Settings anpassen und testen + CA cert auf die Geräte verteilen

Ab hier wird es spannend weil ich gar keine Ahnung habe auf welche Probleme ich da stoßen könnte
(wär ja sonst langweilig )

5. ESET Gateway Security auf dem CentOS APU2 installieren und updaten
6. ICAP Proxy Forwarding auf der OPNsense einrichten, damit es auf die APU2 zeigt
7. Testen und mir böse Trojaner runterladen
8. Dokumentation
9. Fertig??
10. (optional) Es soll auf dem APU2 (CentOS) später noch Pi-Hole drauf installiert werden.
Wenn ich die Ports ändere für z.b. lighttpd sollte das passen.

An dieser Stelle sollte es das doch tatsächlich schon gewesen sein oder?
Ich würde mich freuen, wenn mir da jemand kurz erzählen könnte
auf welche Probleme ich wahrscheinlich stoßen werde?
Ich bin auch immer offen für Tutorials und Vorschläge.

Ansonsten vielen Dank schon mal im voraus und allen ein schönes Wochenende gewünscht,
Oxy

[mimugmail]

Ich kenne das Teil nicht, aber prinzipiell musst du in der OPN nur die ICAP IP von dem Teil angeben. ClamAV wird dann halt nicht mehr verwendet, dazu brauchst du einen dedizierten ICAP der an beide AVs übergibt.

ESET hat mir letztes Jahr auf der IT-SA versprochen einen aktualisierten Port für FreeBSD dieses Jahr zu veröffentlichen. Wenn die das hin bekommen wirds auch ein Plugin geben

Aber geh das auf jeden Fall mit dem Produkt an, es schadet nicht eine Referenz zu haben wenn jemand unbedingt kommerziellen AV Support benötigt.

[fabian]

Der Server-Entwickler muss sich da mal einmischen:

eine ICAP-URL sieht wie folgt aus:

icap://icap-host:port/service

Das der host benötigt wird ist glaube ich klar, ":" + Portnummer ist optional und hinten der Dienst ist wieder verpflichtend. Wie der Dienst heißt, musst du aus der Konfiguration oder Dokumentation des Herstellers nehmen.

Anmerkung zu Squid 4 (noch nicht veröffentlichte version): Squid 4 kann anscheinend auch "icaps://".

[Oxygen61]

Hi ihr beiden,

danke für den Input.
Aber so richtig habe ich es noch nicht verstanden.

So wie ich das sehe läuft Squid3 auf der OPNsense Kiste und der ICAP Server (c-icap) und das "Modul", in diesem Fall ESET Gateway Security, auf meinem zweiten Server (APU2).

Die Kommunikation sollte dann über folgende ICAP-URL auf der OPNsense erfolgen jeweils für den Request und den Respond:
service_req icap://<IP der APU2>:1344/av_scan
service_resp icap://<IP der APU2>:1344/av_scan

Das einzige was ich finden konnte war das hier und da läuft squid3, c-icap und auch die ESET Software auf dem selben Server. In meinem Fall würde ja nur c-icap und die Software auf einen zweiten Server ausgelagert werden. Squid3 bzw. 4 bleibt dann später ja auf der OPNsense Firewall:
http://cheatsheet.logicalwebhost.com/eset-gateway-squid3-proxy-icap/

Wahrscheinlich muss man sowas einfach anfangen. Dann werde ich schon früh genug merken was nicht funktioniert. :-/

[AC]

Es gibt noch den https://www.kaspersky.de/small-to-medium-business-security/proxy-server
Ist recht einfach:
Auf Linux installieren (genau nach Anleitung) und dann mittels beider URL's anbinden, wie steht auch in der Doku vom Kaspersky Proxy Server.

[mimugmail]

Taugt der was? Was kostet der?

[Oxygen61]

Würde mich auch mal interessieren. Komisch nur, dass das gar kein eigenständiges Produkt ist, richtig?
Das ist nur Teil vom "Security for Internet Gateway"-Produkt.

Außerdem macht mich das hier etwas stutzig:
64-Bit-Plattformen:
CentOS 5.7, 6.2

Wie veraltet ist bitte diese Software, dass kein CentOS 7 unterstützt wird?
Hat sich für mich ja dann eigentlich schon erledigt. Schade... :-/

Download und Doku Quelle: https://www.kaspersky.com/small-to-medium-business-security/downloads/internet-gateway

EDIT: In der Doku steht: "Kaspersky Anti-Virus integration with Squid 3.1.6 is not supported."
Heißt also, dass spätestens bei einem OPNsense Squid Upgrade auf Squid4, die ganze Kiste wertlos ist, wenn nicht sogar schon früher.

[franco]

Die Vendor Lösungen sind *immer* für veraltete Versionen und meistens Linux. Die werden gebastelt weil mal ein OEM-Kunde gefragt hat und dann nie weiter gepflegt.


Grüsse
Franco

[JeGr]

So traurig das klingt, hat Franco da schon leider recht. Wird oft eben genau deshalb auf RedHat/CentOS gebaut, weil die mit die längsten Support Fenster haben die es gibt, bis zu 7 oder noch mehr Jahre wird da die Distri supportet, ob das Sinn macht (weil der Mist langsam schon schimmelt, weil er so alt ist), ist da meist egal

Allerdings würde ich persönlich weder Kaspersky noch ESET so wirklich übern Weg trauen Kaspersky hat sich massiv Punkte verscherzt bei mir mit ihrem AV Gedöns, weil sie massiv Kram injected hatten bei jedem Abruf - und das bei ner reinen AV Software absichtlich ohne Internet Security Firewall Gedöns. Trotz abschalten hat man im Debugging trotzdem bei Seitenaufrufen Calls an Kaspersky Server gesehen, was richtig mies ist. Und ESET hatte uns die Firma lahmgelegt

[AC]

Hallo Leute,
weil der Proxy der Opnsense kein MultiWan kann, haben wir den Proxy sowieso vorgelagert in eine LinuxVM. Darauf hatte ich den squid aus den ubuntu 16.04 repos installiert und den kaspersky dazu. Das ist der blanke Antivirus (Kein InternetSecurity Marketing-Mist), heißt: die reine Engine. Die Karre wird "for Proxies" heißen, weil das Ding die ICAP Schnittstelle mitbringt.
Wir setzen hier schon den Eset auf den Clients ein (das neue Management ist nicht so knorke) aber die Engine läuft sehr gut. Weil der auf den Clients läuft, kommt der mir nicht auf den Proxy

[Oxygen61]

Das klingt ja eher nich so aufbauend. Ihr sollt mir doch Mut machen Leute.

Kaspersky hat halt sehr gute Erkennungsraten. Seitdem ich meiner Mutter aber erklären musste, dass Kaspersky durch SSL-Interception und diesem Web-Injection Müll ihr Facebook zerschossen wird, "durfte" ich es dann doch auch ganz freiwillig entfernen. Alleine das man dafür ein eigenes Deinstallationstool braucht ist schon die Härte... aber gut .. ist am Thema vorbei.

Ich kann mich also entscheiden zwischen "ClamAV", mit der wahrscheinlich schlechtesten Erkennungsrate überhaupt und wahnsinnig schlechten False/Positive Werten laut Meinungsumfragen in diversen Foren und Tests

oder "Symantec Protection Engine", wo zu mindestens die Dokumentation up-to-date ist.
Das ist doch schon mal was.

Oder "ESET Gateway Security", wo soweit ich das sehe zu mindestens noch gepatcht wird...

Man ist das traurig. Dabei will ich doch nur einen zentralen Web-Antivirus.

Ich werde einfach mal beide Firmen ganz simpel anschreiben. Mal kucken wer sich besser verkauft.

[AC]

Was spricht denn gegen den Kaspersky?

Gute Performance, gute Erkennungraten.

Unterstützung für Cent-Os 7 ist: https://support.kaspersky.com/13200
Das Kaspersky squid v3.1.6 nicht unterstützt, liegt wohl einfach an dem Bug den squid in dieser einen Version hat, der ab squid v3.1.7 gefixt ist, was wohl seit 2010 der fall ist, wenn ich den Bugreport aufmache: https://bugs.squid-cache.org/show_bug.cgi?id=3011
Aktuell hab ich squid v3.5.x auf meinem 64 bit Ubuntu 16.04

PS: Kaspersky Anti-Virus 5.5 for Proxy Server ist ein eigenes Produkt. Im Grunde der Linux AV mit ICAP Protkoll.

Hier nochmal die Systemvorraussetzungen: Beachte, CentOS 5.7 und 6.2 tauchen unter der 32 bit Spalte auf, CentOS 7 bei der 64 bit Spalte
https://support.kaspersky.com/proxy5?level=3#requirements

[Oxygen61]

Man könnte jetzt über Datenschutz philosophieren, aber das ist auch das einzige was man gegen Kaspersky sagen kann, wenn man das "Internet Security" weglässt. Der Teil ist/war echt mist... Hab sowas noch nie erlebt, dass das halbe Internet nicht mehr benutzbar war durch SSL-Interception und Web-Injection.. aber gut, war ja auch die Internet Security Version.

Unterstützung für Cent-Os 7 --> Das ist natürlich richtig cool und auch 64bit, dass macht Symantec schonmal nicht. Da ist das .rpm plötzlich nur für 32bit Systeme empfohlen.

Danke Leute. Ich glaub damit weiß ich im Grunde wo es hingehen soll!