Antivirus mit squid3-dev Package



  • Hallo zusammen,

    ich habe die 2.1.5-RELEASE (amd64)  Version von PfSense installiert mit den Paketen Snort,  squid3-dev (3.3.10 pkg 2.2.6), squidGuard-squid3 (1.4_4 pkg v.1.9.5) und anderen Paketen.
    Mit den Paketen habe ich einen transparenten HTTP und HTTPS Proxyserver mit Contentfilter. Das funktioniert auch so einwandfrei.

    So wie ich das sehe, ist bei dem Paket squid3-dev der Virenscanner mit dabei. Der Dienst c-icap und clamd sind dabei gestartet.
    Wenn ich unter Services - Proxy Server auf dem Tab Antivirus auf Enable setze kommt immer der Fehler:

    ICAP Protokoll Fehler.

    Das System antwortete: [No Error]

    Das heißt, dass etwas mit der ICAP Kommunikation nicht stimmt.

    Mögliche Probleme sind:

    Der ICAP Server ist nicht erreichbar.

    Die Antwort des ICAP Servers war ungültig.

    Wie ich in anderen Foren gelesen habe, kann man den bypass auf 1 setzen unter Services- Proxy Server- General - Custom ACLS (Before_Auth)

    icap_service service_req reqmod_precache bypass=1 icap://127.0.0.1:1344/squidclamav
    icap_service service_resp respmod_precache bypass=1 icap://127.0.0.1:1344/squidclamav

    Aber dann wird auch der Testvirus nicht erkannt.

    Warum funktioniert der Virenscanner nicht?



  • Du könntest als Übergangslösung bzw. als Alternative HAVP verwenden.

    HTTPS Proxyserver, MITM?



  • Wenn ich den Transparent HTTP Proxy von Squid ausschalte und dabei den HTTP Proxy von HAVP auf Proxy mode Transparent setze, erkennt er die Viren. Aber mit dem HTTPS komem ich nicht weiter. HTTPS Webseiten werden erst gar nicht geöffnet.
    Gibt es irgendwo gute Anleitungen, Beispiele, wie man das einrichtet?



  • Ähm, ich glaube Du hast da ein wenig einen config Murks.

    HAVP ist Parent von Squid, squid brauchst Du nicht deaktivieren.



  • Sobald ich den HAVP als Parent for Squid einrichte, funktioniert das Internet gar nicht mehr. Dann kommt im Browser immer Zeitüberschreitung.
    Ich bin mir nicht sicher, ob das hier stimmt bei Proxy server: General settings - Custom Settings:

    never_direct allow all;cache_peer 127.0.0.1 parent 3125 0 name=havp no-query no-digest no-netdb-exchange default;;redirect_program /usr/pbi/squidguard-squid3-amd64/bin/squidGuard -c /usr/pbi/squidguard-squid3-amd64/etc/squidGuard/squidGuard.conf;redirector_bypass off;url_rewrite_children 5

    und bei Custom ACLS (Before_Auth) ssl_bump server-first all

    ssl_bump server-first all



  • Gibt es eigentlich eine funktionierende Kombi aus Virenscanner, Contentfilter und Proxyserver (transparent), HTTP + HTTPS?

    Irgendwie funktioniert das mit PfSense nicht. Hab es heute nochmals neu aufgesetzt, immer noch das gleiche Problem.



  • Puh, endlich geschafft. Jetzt hab ich das, was ich schon immer einrichten wollte:
    Transparenter Proxyserver mit Contentfilter (HTTPS) und Antivirus (nur HTTP).

    Benötigte Pakete:
    HAVP antivirus  squid3-dev  squidGuard-squid3

    Einstellungen
    Bei Antivirus:
    Proxy mode Transparent
    Proxy port 3125
    Parent proxy IP Adresse des PfSense PC's inkl. Port (192.168.3.1:3128)

    Bei Proxyserver:
    Proxy port 3128
    Transparent HTTP proxy ja
    HTTPS/SSL interception ja
    CA Das Zertifikat halt

    Integrations
    acl all src 0.0.0.0/0.0.0.0;cache_peer_access 127.0.0.1 allow all;redirect_program /usr/pbi/squidguard-squid3-amd64/bin/squidGuard -c /usr/pbi/squidguard-squid3-amd64/etc/squidGuard/squidGuard.conf;redirector_bypass off;url_rewrite_children 5

    Custom ACLS (Before_Auth)
    ssl_bump server-first all

    NAT (wichtig!)
    Interface LAN
    Protocol TCP
    Destination port range  80 - 80
    Redirect target port 3125
    NAT reflection Enable (NAT + Proxy)
    )

    Nun funktioniert es! Der Eintrag mit NAT war das entscheidene



  • Hi,

    also ich hab bis heute den squidguard nicht zum laufen gebracht.
    Sobald ich ssl interception aktiv habe, funkt weder der HAVP (auch nicht HTTP) noch squidguard. (bei squidguard wird zwar gefiltert aber ich bekomme nicht mehr die eigenen HAVP Meldungen, sondern nur mehr sgerror.php)

    Thanx.-



  • @webstor:

    (bei squidguard wird zwar gefiltert aber ich bekomme nicht mehr die eigenen HAVP Meldungen, sondern nur mehr sgerror.php)

    Das ist ja auch normal…
    Der SquidGuard läuft als Erweiterung von Squid. HAVP ist danach (parrent).
    Ruf mal die Eicar Test Seite auf, dann sollte der HAVP einschreiten, sonst stimmt was nicht.
    Ähnlich muss es auch sein, wenn der Sever nicht antwortet, dann kommen die HAVP Meldungen.



  • @Heinerlutscher:

    Puh, endlich geschafft. Jetzt hab ich das, was ich schon immer einrichten wollte:
    Transparenter Proxyserver mit Contentfilter (HTTPS) und Antivirus (nur HTTP).

    Bei Proxyserver:
    Proxy port 3128
    Transparent HTTP proxy ja
    HTTPS/SSL interception ja
    CA Das Zertifikat halt

    Das interessiert mich: Wie bekommst du das mit dem CA Trust hin?
    Hier sollte ja eigentlich eine Warnung auf jedem Client kommen. Für den sieht das ja nach einer Man in the Middle Attacke aus.
    Bei Mobilen Clients scheitere ich da komplett.



  • Er importiert das CA File auf den Clients.  ;)



  • Aber sobald HAVP Parent ist, geht der traffic beim SSL-Bump ja an ihm vorbei.


Log in to reply