This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Webfilter SSL Decrypt Bug?

Hey UTM Fans.

Haben ein Problem bei einer UTM Anlage bzw. bei mehreren (aber nicht allen) nachvollziehen können. Ist SSL Decrypt & Scan aktiviert (ProxyCA ist auf Clients verteilt und Traffic wird auch aufgemacht) dann funktioniert die Downloadsperre (von zb. exe) nur teilweise.

Nachvollziehen konnten wir dies mit:

Gesperrter Download von .exe/zip -> https://www.netzmechanik.de/dl/4/winrar-x64-531d.exe
Nicht gesperrter Download von exe/zip -> https://secure.eicar.org/eicar_com.zip (dies wäre sogar ein testvirus)

Macht die UTM Unterschied bei subdomains? also sprich. domain.domain2.de wird nicht analysiert, aber domain2.de schon?

This thread was automatically locked due to age.

0 K.N. over 9 years ago

Zur Zeit kann ich es nicht nachstellen. Das Problem tritt ohne MITM nicht auf?

Der Download http://www.eicar.org/download/eicar.com wird blockiert?

Die com, würde als Fileextension und die zip als Virus erkannt werden.
Cancel
Vote Up 0 Vote Down

Cancel
0 x.cr3w over 9 years ago in reply to K.N.

Hallo K.N.

leider fang ich mit dem Begriff MITM nichts an (man in the middle?)
In unseren szenarien befinden sich sowohl exe, zip und com auf der extension blocklist.

Es werden aber nicht alle extensions blockiert/geprüft. obs ein virus ist oder nicht würde ja sowieso erst dann festgestellt werden, nachdem das ding gescannt wurde, soweit kommt es aber erst gar nicht.

lg

Sophos Platinum Partner
Sophos Certified Architect
(Ceritfied UTM Architect / Certified XG Architect)
Cancel
Vote Up 0 Vote Down

Cancel
0 K.N. over 9 years ago in reply to x.cr3w

Der Download http://www.eicar.org/download/eicar.com wird blockiert?
Cancel
Vote Up 0 Vote Down

Cancel
0 x.cr3w over 9 years ago in reply to K.N.

Nein, wird er eben nicht.

Sophos Platinum Partner
Sophos Certified Architect
(Ceritfied UTM Architect / Certified XG Architect)
Cancel
Vote Up 0 Vote Down

Cancel
0 K.N. over 9 years ago in reply to x.cr3w

Ich konnte es nicht nachstellen, wobei ich da noch nicht die von Dir genannte URL verwendete.

Mich verwirrt jetzt grad nur bei Deiner Konstellation, dass der http Download auch nicht blockiert wird?
Cancel
Vote Up 0 Vote Down

Cancel
0 x.cr3w over 9 years ago in reply to K.N.

ich weiss nicht ob ich mich schlecht ausdrücke oder du mir einfach nicht folgen kannst.

nichts desto trotz, kann man den thread schliessen. ich depp hatte decrypt an scan these categories, anstatt alles zu decrypten an. der eicar download lief aber in die categorie internet-services (oder so ähnlich).

Sophos Platinum Partner
Sophos Certified Architect
(Ceritfied UTM Architect / Certified XG Architect)
Cancel
Vote Up 0 Vote Down

Cancel
0 BAlfson over 9 years ago in reply to x.cr3w

(Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

Chill out, guys!

MfG - Bob (Bitte auf Deutsch weiterhin.)

Sophos UTM Community Moderator
Sophos Certified Architect - UTM
Sophos Certified Engineer - XG
Gold Solution Partner since 2005

MediaSoft, Inc. USA
Cancel
Vote Up 0 Vote Down

Cancel