Atualização Antivirus - Avast



  • Olá amigos, estou com um problema na atualização do avast aqui na empresa! Uso Squid+Squidguard e Autenticação Local, proxy não transparente. Não consigo fazer download do site do avast e nem atualizações depois de instalado!!
    Alguém poderia me dizer como faço para que ele não passe pelo squid…ou seja antes da autenticação...
    Sei que tenho que fazer uma diretiva de ACLs no Custom Options...mas ainda não obtive sucesso!
    Obrigado a quem puder me ajudar.



  • Verifique quais são os hosts que o avast conecta para realizar a atualização e depois cria uma acl liberando estes hosts. Tu pode utilizar o tcpdump pra isso ou também o wireshark no windows.



  • @sigor:

    Alguém poderia me dizer como faço para que ele não passe pelo squid…ou seja antes da autenticação...
    Sei que tenho que fazer uma diretiva de ACLs no Custom Options...mas ainda não obtive sucesso!

    Se você não quer que ele passe pelo squid, então vai ter que agir nas regras ou no alias que impede a captura do trafego em modo transparente.

    Alterar a acl só vai adiantar se o trafego estiver chegando no squid, que pelo visto, é exatamente o que você não quer.



  • Obrigado empbilly mas já coloquei vários hosts e ips na ACls e criei uma Target categories com liberação desses hosts do avast; mais não consegui. Marcello obrigado pela resposta, criei um aliases com avast.com, su.ff.avast.com, files.avast.com e vários Ips; fiz uma regra na Lan liberando esse aliases mas sem sucesso…Uso PfSense 2.3 modo não transparente! Se tiverem mais alguma idéia pra me ajudar agradeço!!



  • Ok. Se você desabilitar o proxy o avast consegue realizar o update? Quais hosts tu colocou na ACL?



  • Sim, se desabilitar o proxy normal! mas uso proxy autenticado. Na acl coloquei avast.com, .avast.com,  su.ff.avast.com, files.avast.com



  • @sigor:

    Sim, se desabilitar o proxy normal! mas uso proxy autenticado. Na acl coloquei avast.com, .avast.com,  su.ff.avast.com, files.avast.com

    Já utilizou um analisador de pacotes?



  • Ainda não!!Poderia me ajudar el algum mais simples…Não tenho muito conhecimento!!



  • @sigor:

    Ainda não!!Poderia me ajudar el algum mais simples…Não tenho muito conhecimento!!

    Vai em SERVICES, SQUID PROXY SERVER, REAL TIME, coloca o IP da máquina no "String filter" e veja o que você precisa liberar.



  • Obrigado rec.br9 pela ajuda! Aparece no Status TCP_DENIED/407 no Address aparece vários hosts… e Destination 200.157.208.232, 200.157.208.235, 200.157.208.248, 169.54.166.66, 77.234.44.33, google-analytics.com, clients1.google.com, http://s0161351.iavs9x.u.avast.com/iavs9x/ entre outros... Já coloquei  na Whitelist, no Do Not Cache, numa regra de Liberação do Target categories todos esses Ips e hosts, mas nada de liberar!!! :( :(



  • @sigor:

    Obrigado rec.br9 pela ajuda! Aparece no Status TCP_DENIED/407 no Address aparece vários hosts… e Destination 200.157.208.232, 200.157.208.235, 200.157.208.248, 169.54.166.66, 77.234.44.33, google-analytics.com, clients1.google.com, http://s0161351.iavs9x.u.avast.com/iavs9x/ entre outros... Já coloquei  na Whitelist, no Do Not Cache, numa regra de Liberação do Target categories todos esses Ips e hosts, mas nada de liberar!!! :( :(

    Olá,

    1. vá em Firewall, Aliases e crie uma Aliases (com o tipo Host(s)) com o nome "IP_Liberados". Nesta alias IP_Liberados coloca os IPs que você listou, 1 em cada campo.

    2. Agora vá em SQUID e no campo "Bypass Proxy for These Destination IPs" coloque o "IP_Liberados", sem aspas, ou seja, esta lista vai "burlar" o proxy.

    3. Em SQUID vá na aba ACLs e no campo WhitsList coloca```
      .*.avast.com

    
    4) Agora Firewall, Rules, LAN … Adicionar ... PASS, LAN, PROTOCOL ANY, SOURCE LAN_NET, DESTINATION COLOCA SINGLE HORST OR ALIAS e no campo destination adress coloca o "IP_Liberados" (SEM ASPAS) e adiciona.
    
    Testa ai ...


  • Fiz tudo o que falou rec.br9, menos colocar no "Bypass Proxy for These Destination IPs"; pois não uso proxy transparente, e essa opção não está habilitada;(apenas para proxy transparente)!
    liberou algumas partes do Avast mais não totalmente para fazer o download e atualizações…
    São muitos IPs e toda hora aparece um com final diferente... no Log aparece assim agora:
    TCP_IMS_HIT/304 http://proxy-block:3128/squid-internal-static/icons/SN.png cbertoldi -
    TCP_DENIED_REPLY/403 http://softwarefiles a.cnet.com/s/software/15/69/96/57/avast_free_antivirus_setup_online_cnet2.exe? cbertoldi 200.157.208.243

    Também ja add esse IP nas regras...mas nada ainda!!



  • @sigor:

    Fiz tudo o que falou rec.br9, menos colocar no "Bypass Proxy for These Destination IPs"; pois não uso proxy transparente, e essa opção não está habilitada;(apenas para proxy transparente)!
    liberou algumas partes do Avast mais não totalmente para fazer o download e atualizações…
    São muitos IPs e toda hora aparece um com final diferente... no Log aparece assim agora:
    TCP_IMS_HIT/304 http://proxy-block:3128/squid-internal-static/icons/SN.png cbertoldi -
    TCP_DENIED_REPLY/403 http://softwarefiles a.cnet.com/s/software/15/69/96/57/avast_free_antivirus_setup_online_cnet2.exe? cbertoldi 200.157.208.243

    Também ja add esse IP nas regras...mas nada ainda!!

    Olá, veja que está puxando um novo domínio CNET.COM, tenta colocar no Whitelist do SQUID este domínio como está no código abaixo.

    .*\.cnet.com
    

    É um trabalho chato de fazer quando se libera uma regra, muitas vezes eu passo horas e horas para liberar um serviço.

    Se for anti-vírus pago, abre um chamado e pede uma lista de IP's.

    Att.



  • Também já coloquei e nada de liberar…antivirus Avast não é pago!!como posso fazer usando o Custom ACls no Before Auth? Será que fazendo assim eu consiga liberar?



  • Quais erros o avast mostra quando não consegue atualizar?



  • No Log esse aparece esse erro:
    TCP_DENIED_REPLY/403 http://softwarefiles a.cnet.com/s/software/15/69/96/57/avast_free_antivirus_setup_online_cnet2.exe?  cbertoldi  200.157.208.243
    Já no próprio Avast da erro de: O Conteúdo está temporariamente indisponível, por favor tente novamente mais tarde.
    Ou ao tentar baixar o avast ele da erro:
    URL: http://files.avast.com/iavs9x/avast free antivirus setup online.exe
    Acesso negado.



  • Se tu usa proxy não transparente tu deve ter o proxy configurado na máquina. Tu configurou o proxy no avast?



  • Sim empbilly, já configurei o proxy nas estações, com o GW, a porta e autenticação…!!!
    Mas ainda não consegui :-[ :-[



  • Será que os meus Bloqueios estão influenciando na hora de fazer as atualizações?? acho que não pois não pego nada sobre os bloqueios nos Logs!!!apenas o que já postei acima!!



  • Cara, se isso é algo que tu realmente necessita, sugiro que converse com alguém que possa prestar uma consultoria em squid pra ti. As vezes pelo fórum pode passar alguma coisa que não nos permite resolver teu problema.



  • Encontrei uma solução não muito bonita, mas funcional para esse problema.

    Via SQUID no meu pfSense o Avast não atualiza de jeito nenhum. Aqui uso Avast Business e opero com SQUID autenticado não transparente…

    Configurei o Avast de todas as máquinas para se conectarem diretamente à internet sem proxy e criei um alias no meu firewall com os endereços abaixo (servidoresAvast), um por linha, e criei uma regra NAT de LAN Net para servidoresAvast … funcionou tudo linda e perfeitamente, atualização de software e base de dados de vírus.

    Espero ajudar.

    ftp.avast.com
    www.avast.com
    logs.avast.com
    pop.avast.com
    deb.avast.com
    apps.avast.com
    intranet.avast.com
    ns2.avast.com
    edu.avast.com
    my.avast.com
    sip.avast.com
    upload.avast.com
    blog.avast.com
    ns3.avast.com
    vpn.avast.com
    shop.avast.com
    business.avast.com
    public.avast.com
    g.avast.com
    help.avast.com
    agent.avast.com
    aos.avast.com
    webmail.avast.com
    sites.avast.com
    support.avast.com
    video.avast.com
    geoip.avast.com
    email.avast.com
    admin.avast.com
    servidoresEmailvices.avast.com
    reports.avast.com
    mobile.avast.com
    ntp.avast.com
    svn.avast.com
    docs.avast.com
    pop3.avast.com
    h.avast.com
    files.avast.com
    system.avast.com
    tools.avast.com
    www2.avast.com
    mail.avast.com
    su.ff.avast.com
    sync.avast.com
    search.avast.com
    api.avast.com
    d.avast.com
    calendar.avast.com
    static.avast.com
    register.avast.com
    smtp.avast.com
    mx.avast.com
    m.avast.com
    free-business.avast.com
    id.avast.com
    press.avast.com
    ts.avast.com
    secure.avast.com
    download.avast.com
    avast.com
    bcons-core.ff.avast.com