Proxy, C-ICAP, CalmAV - Antivirus Protection funktioniert nicht

[crally]

Hallo zusammen,

ich probiere mich gerade an dem Antivirus Schutz über Proxy.
Leider bisher ohne Erfolg. Ein downloaden der EICAR Test Dateien ist immer problemlos möglich.

Ich möchte erstmal nur http Verbindungen versuchen. Dazu hab ich mehrere Anleitungen gelesen oder angeschaut und x-mal mit meinen Einstellungen verglichen.

Proxy-Einstellungen:

- Proxy aktiviert
- Transparenten Modus aktiviert
- lokalen Zwischenspeicher aktiviert
- C-ICAP aktiviert
- Proxy Interface = Alle lokalen Interfaces


C-ICAP-Einstellungen:

- C-ICAP aktiviert
- Zugangsprotokollierung aktiviert
- c-icap mit dem localen squid verwenden aktiviert
- CalmAV aktiviert


CalmAV-Einstellungen:

- CalmAV Dienst aktiviert
- Freshcalm aktiviert
- TCP-Port aktiviert

Im Reiter "Signatures" wird mir nichts angezeigt. Im Reiter "Version" steht aber "Gesamtanzahl an Signaturen
7065888"


NAT-Einstellungen:


OPNSense hab ich auch mal neugestartet.



Das Einzige, was mir auffiel steht im Cache Log des Web Proxy:

Code Select Expand

| FATAL: pinger: Unable to open any ICMP sockets.
| pinger: Unable to start ICMPv6 pinger.
| Open icmp_sock: (1) Operation not permitted
| pinger: Unable to start ICMP pinger.
| Open icmp_sock: (1) Operation not permitted
| pinger: Initialising ICMP pinger ...


Ansonsten dürfte ich eigtl. nichts übersehen haben oder dergleichen.

[mimugmail]

Kannst du von intern Mal mit curl testen. Die meisten Browser versuchen gleich HTTPS, egal ob du mit oder ohne s angibst

[crally]

Mit curl bekomme ich eine ,,http 301" Meldung (Moved permanently)

Mit wget kann ich die Dateien runterladen.

[lenny]

Ja, auf der Eicar Testseite bist du per https unterwegs. wenn du dann nur http Proxy anhast und dort nach Viren suchst, findet er nichts, auch wenn du auf der HP http herunterladen willst.
Stellst du nun auch den Proxy auf SSL Injection und lässt die SNI infos aus, wird er den Eicar Virus erkennen.

Allerdings funktioniert dann vieles (zu vieles) andere nicht mehr, wenn du die ssl Injection aktiv hast.

[crally]

Jo stimmt. Habs im Log gesehen. Hab dem test-client mal den 443-Port gesperrt und gesehen, dass er trotz "wget http://www.eicar.org/download/eicar.com" eine https Verbindung aufbauen will.

Also die ssl Verbindungen über den Proxy zu leiten erscheint mir schon sehr schwierig. Da werden sicherlich hunderte Verbindungen nicht mehr ordentlich funktionieren.

Also ist der Virenscanner ohne SSL Injection eigentlich unbrauchbar. Schade :( ... und Danke :)

Super community und der Rest der OPNSense gefällt mir bisher auch sehr gut :)

[lenny]

tatsächlich leider ja, mit SSL Injection wirst du dir viele Probleme enfangen und musst einige Clients am Proxy vorbeileiten.
Ich wollte/will das auch nicht so ganz wahr haben...Aber Kosten/Nutzen ist da tatsächlich gar nicht so gut. Leider.
Erst musste ich die ganzen Handys und Smart Tv Geräte am Proxy vorbeileiten, weil die Apps nicht funktionierten...
Später merkt man, dass die NAS oder das Windowsupdate nicht mehr funktionieren.