Antivirus mit squid3-dev Package

Heinerlutscher

Hallo zusammen,

ich habe die 2.1.5-RELEASE (amd64)  Version von PfSense installiert mit den Paketen Snort,  squid3-dev (3.3.10 pkg 2.2.6), squidGuard-squid3 (1.4_4 pkg v.1.9.5) und anderen Paketen.
Mit den Paketen habe ich einen transparenten HTTP und HTTPS Proxyserver mit Contentfilter. Das funktioniert auch so einwandfrei.

So wie ich das sehe, ist bei dem Paket squid3-dev der Virenscanner mit dabei. Der Dienst c-icap und clamd sind dabei gestartet.
Wenn ich unter Services - Proxy Server auf dem Tab Antivirus auf Enable setze kommt immer der Fehler:

ICAP Protokoll Fehler.

Das System antwortete: [No Error]

Das heißt, dass etwas mit der ICAP Kommunikation nicht stimmt.

Mögliche Probleme sind:

Der ICAP Server ist nicht erreichbar.

Die Antwort des ICAP Servers war ungültig.

Wie ich in anderen Foren gelesen habe, kann man den bypass auf 1 setzen unter Services- Proxy Server- General - Custom ACLS (Before_Auth)

icap_service service_req reqmod_precache bypass=1 icap://127.0.0.1:1344/squidclamav
icap_service service_resp respmod_precache bypass=1 icap://127.0.0.1:1344/squidclamav

Aber dann wird auch der Testvirus nicht erkannt.

Warum funktioniert der Virenscanner nicht?

webstor

Du könntest als Übergangslösung bzw. als Alternative HAVP verwenden.

HTTPS Proxyserver, MITM?

Heinerlutscher

Wenn ich den Transparent HTTP Proxy von Squid ausschalte und dabei den HTTP Proxy von HAVP auf Proxy mode Transparent setze, erkennt er die Viren. Aber mit dem HTTPS komem ich nicht weiter. HTTPS Webseiten werden erst gar nicht geöffnet.
Gibt es irgendwo gute Anleitungen, Beispiele, wie man das einrichtet?

webstor

Ähm, ich glaube Du hast da ein wenig einen config Murks.

HAVP ist Parent von Squid, squid brauchst Du nicht deaktivieren.

Heinerlutscher

Sobald ich den HAVP als Parent for Squid einrichte, funktioniert das Internet gar nicht mehr. Dann kommt im Browser immer Zeitüberschreitung.
Ich bin mir nicht sicher, ob das hier stimmt bei Proxy server: General settings - Custom Settings:

never_direct allow all;cache_peer 127.0.0.1 parent 3125 0 name=havp no-query no-digest no-netdb-exchange default;;redirect_program /usr/pbi/squidguard-squid3-amd64/bin/squidGuard -c /usr/pbi/squidguard-squid3-amd64/etc/squidGuard/squidGuard.conf;redirector_bypass off;url_rewrite_children 5

und bei Custom ACLS (Before_Auth) ssl_bump server-first all

ssl_bump server-first all

Heinerlutscher

Gibt es eigentlich eine funktionierende Kombi aus Virenscanner, Contentfilter und Proxyserver (transparent), HTTP + HTTPS?

Irgendwie funktioniert das mit PfSense nicht. Hab es heute nochmals neu aufgesetzt, immer noch das gleiche Problem.

Heinerlutscher

Puh, endlich geschafft. Jetzt hab ich das, was ich schon immer einrichten wollte:
Transparenter Proxyserver mit Contentfilter (HTTPS) und Antivirus (nur HTTP).

Benötigte Pakete:
HAVP antivirus  squid3-dev  squidGuard-squid3

Einstellungen
Bei Antivirus:
Proxy mode Transparent
Proxy port 3125
Parent proxy IP Adresse des PfSense PC's inkl. Port (192.168.3.1:3128)

Bei Proxyserver:
Proxy port 3128
Transparent HTTP proxy ja
HTTPS/SSL interception ja
CA Das Zertifikat halt

Integrations
acl all src 0.0.0.0/0.0.0.0;cache_peer_access 127.0.0.1 allow all;redirect_program /usr/pbi/squidguard-squid3-amd64/bin/squidGuard -c /usr/pbi/squidguard-squid3-amd64/etc/squidGuard/squidGuard.conf;redirector_bypass off;url_rewrite_children 5

Custom ACLS (Before_Auth)
ssl_bump server-first all

NAT (wichtig!)
Interface LAN
Protocol TCP
Destination port range  80 - 80
Redirect target port 3125
NAT reflection Enable (NAT + Proxy)
)

Nun funktioniert es! Der Eintrag mit NAT war das entscheidene

webstor

Hi,

also ich hab bis heute den squidguard nicht zum laufen gebracht.
Sobald ich ssl interception aktiv habe, funkt weder der HAVP (auch nicht HTTP) noch squidguard. (bei squidguard wird zwar gefiltert aber ich bekomme nicht mehr die eigenen HAVP Meldungen, sondern nur mehr sgerror.php)

Thanx.-

jhochwald

@webstor:

(bei squidguard wird zwar gefiltert aber ich bekomme nicht mehr die eigenen HAVP Meldungen, sondern nur mehr sgerror.php)

Das ist ja auch normal…
Der SquidGuard läuft als Erweiterung von Squid. HAVP ist danach (parrent).
Ruf mal die Eicar Test Seite auf, dann sollte der HAVP einschreiten, sonst stimmt was nicht.
Ähnlich muss es auch sein, wenn der Sever nicht antwortet, dann kommen die HAVP Meldungen.

jhochwald

@Heinerlutscher:

Puh, endlich geschafft. Jetzt hab ich das, was ich schon immer einrichten wollte:
Transparenter Proxyserver mit Contentfilter (HTTPS) und Antivirus (nur HTTP).

Bei Proxyserver:
Proxy port 3128
Transparent HTTP proxy ja
HTTPS/SSL interception ja
CA Das Zertifikat halt

Das interessiert mich: Wie bekommst du das mit dem CA Trust hin?
Hier sollte ja eigentlich eine Warnung auf jedem Client kommen. Für den sieht das ja nach einer Man in the Middle Attacke aus.
Bei Mobilen Clients scheitere ich da komplett.

webstor

Er importiert das CA File auf den Clients.  ;)

webstor

Aber sobald HAVP Parent ist, geht der traffic beim SSL-Bump ja an ihm vorbei.