ESET Gateway Security for Linux als Upstream Proxy für SQUID

Der SQUID Proxy-Server ist ein beliebtes Programm um den Internetzugang in Firmen zu kanalisieren und kontrollieren. Squid bietet die Möglichkeit Zugänge nach Benutzern einzuschränken oder Webseiten zu sperren. Jedoch fehlt dem Proxyserver die Möglichkeit den Internetverkehr auf Viren zu prüfen. Hier setze ich mit ESET Gateway Security für Linux/BSD/Solaris als Lösung an.

Proxy Chaining

Die Idee hinter dieser Lösung steckt darin für den Benutzer eine nicht sichtbare Verkettung der Dienste zu erstellen und den Internetverkehr bereits am Gateway auf Viren zu prüfen. Das Proxy Chaining mit ESET Gateway Security als Upstreamproxy ermöglich Ressourcen zu sparen da die Software auf der gleichen Maschine mit SQUID installiert wird. Als Grundlage dient ein aktuelles Debian unter XEN:


Installation Debian & Squid

Neben einer Debian-Server-Standard-Installation (fixe IP, gehärteter SSH-Zugang) wird der SQUID-Server installiert und nach eigenen Bedürfnissen angepasst.
Auf die Einzelheiten einer SQUID-Installation wird in diesem How-To nicht eingegangen.

Anmerkungen zur Installation

In diesem Beispiel ist SQUID und ESET Gateway Security auf der IP 192.168.200.10 installiert, das Netzwerk ist 192.168.200.0/24.

Installation ESET Gateway Security for Linux

Die komplette Installation von ESET Gateway Security erfolgt als root. Daher empfiehlt es sich vor der Installation per “su” zum Root des Systems zu werden. An erster Stelle wird das auf http://www.eset.com/de/download/business/detail/family/54/?installer=offline#offline,80 heruntergeladene BIN-File auf den Server kopiert.

Ich verwende WinSCP um die Datei auf den Server zu bringen:


Vor der Installation sollte

apt-get install ed libc6-i386 libssl-dev

ausgeführt und installiert werden.

Basisinstallation und Grundkonfiguration

Nachdem Kopiervorgang wird auf dem Server die BIN-Datei gestartet und ESET Gateway Security installiert:


Das Software End-User License Agreement das angezeigt wird kann “q” beendet werden.
Die Frage ob das Agreement angenommen wird mit “y” beantworten:


Nach Belieben kann die Samples Submission bejaht oder verneint werden.
Hier können verdächtige Dateien zur Analyse an ESET übertragen werden:


Als Nächstes erstelle ich einen Symlink für das Konfigurationsverzeichnis nach /etc/eset via:

ln –s /etc/opt/eset/esets /etc/eset

Im nächsten Schritt wird das Lizenzfile nach /etc/eset/license kopiert. Das Lizenzfile wird am besten mit der BIN-Datei per WinSCP hochgeladen. Im nächsten Schritt wird der ESETS Daemon neugestartet:

/etc/init.d/esets stop && /etc/init.d/esets start

Der Weg über den Parameter “restart” ist hier nicht ausreichend. Danach erfolgt die Grundkonfiguration von ESET Gateway Security Linux.
Zum Start des Konfigurationsprogramms

/opt/eset/esets/sbin/esets_setup

ausführen. Zur Einrichtung stellt das Install-Script ein paar Fragen an den Benutzer:


“Do you want to see commands, which will be executed during installation? (y/n, default=y)” mit “y” beantworten.
Für die geplante Konfiguration wird Punkt 1) HTTP gewählt. In diesem Schritt wird Upstream-Proxy für SQUID eingerichtet:


Mit “4” wird das Konfigurationsprogramm beendet. Die vorgeschlagene Anpassung der IP-Tables-Regeln ist in diesem
Fall nicht nötig das dies vom SQUID erledigt wird.

Um ESET Gateway Security per http konfigurieren zu können wird der Webserver in der Datei /etc/eset/esets.cfg editiert:

nano /etc/eset/esets.cfg

Im Abschnitt [wwwi] werden die Parameter angepaßt:

[wwwi]

# Settings for ESETS Web Interface configuration module
# agent_enabled = yes/no
# Enables operation of the esets_wwwi.

agent_enabled = yes

# listen_addr = “address”
# Address (IP or name) where esets_wwwi listens for HTTPS client connections.
# If set to 0.0.0.0 then esets_wwwi listens on all available network interfaces.

listen_addr = “192.168.200.10”

# listen_port = port

# TCP port where esets_wwwi listens for HTTPS client connections.
# You may have to open this port in your firewall.

listen_port = 60080

# username and password needed for accessing the interface (required)

username = “admin”

password = “passwort”

Mit den, für das System, angepassten, neuen Einstellungen wird der ESETS Dienst neugestartet:

/etc/init.d/esets stop && /etc/init.d/esets start

Konfiguration per Weboberfläche

Ab jetzt kann das System per Weboberfläche konfiguriert werden:


Zur Anmeldung im Konfigfile hinterlegte Anmeldedaten verwenden und am System anmelden:


 

 

Unter Configuration/Global/Update Options werden zuerst die Benutzerdaten um Updates zu laden hinterlegt:


 

Auf Spezialfunktionen wie das Anlegen eines Update-Mirrors wird in dieser Anleitung nicht eingegangen.
Mit Klick auf “Save Changes” und anschliessend auf “Apply Changes” werden die Einstellungen gespeichert.

Über Control/Update können die Einstellungen mit dem Start eines manuellen Updates geprüft werden:


Updates mit “Status 0” wurden erfolgreich heruntergeladen.

Unter Configuration/HTTP werden die Einstellungen zum Scannen des http-Verkehrs eingestellt.
Die hier gezeigten Einstellungen sind eine Empfehlung können und sollten individuell anpasst werden:


Die Optionen “Potentially unsafe apps” und “Potentially unwantet apps” sollten aktiviert sein um
den Schutz vor unsicheren Anwendungen wie Trojanern etc. zu erhöhen.

SQUID.conf

 

nano /etc/squid3/squid.conf

Dort werden folgende Einstellungen eingetragen:

acl internetzugriff src 192.168.200.0/24 #netzwerk der zugreifenden rechner
cache_peer 192.168.200.10 parent 8080 0 no-query no-delay default
cache_peer_access 192.168.200.10 allow internetzugriff

Um die Einstellungen zu aktivieren muß der SQUID-Dienst neugestartet warden:

/etc/init.d/squid3 restart

Test der Installation

Zum Testen von ESET Gateway Security lade ich auf www.eicar.com das Virustestfile:


Bei richtiger Konfiguration wird der Downloadversuch so quitiert:


Somit ist der Konfigurationsvorgang zum Prüfen des http-Verkehrs mittels Proxy-Chaining unter SQUID mit ESET Gateway Security abgeschlossen.

Voodoo:

Mit einem transparent konfiguriertem Squid kann der Internetverkehr aller Clients ohne die Aktivierung des Proxys in den Browsereinstellungen geprüft werden.

In dem hier aufgezeigten Bespiel verwenden wir einen Squid-Server samt ESET Gateway Security als transparenten Proxy auf einem Rechner mit nur 1er Netzwerkkarte.
Im ersten Schritt werden die Iptables mit diesem Script hierfür anpasst:

#!/bin/sh

# Squid server IP

SQUID_SERVER=”192.168.200.10″

# Interface connected to Internet

INTERNET=”eth0″

# Address connected to LAN

LOCAL=”192.168.200.0/22″

# Squid port

SQUID_PORT=”3128″

# Clean old firewall

iptables -F

iptables -X

iptables -t nat -F

iptables -t nat -X

iptables -t mangle -F

iptables -t mangle -X

# Enable Forwarding

echo 1 > /proc/sys/net/ipv4/ip_forward

# Setting default filter policy

iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT

# Unlimited access to loop back

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT

# Allow UDP, DNS and Passive FTP

iptables -A INPUT -i $INTERNET -m state –state ESTABLISHED,RELATED -j ACCEPT

# set this system as a router for Rest of LAN iptables -t nat -A POSTROUTING -o $INTERNET -j MASQUERADE iptables -A FORWARD -s $LOCAL -j ACCEPT

# unlimited access to LAN

iptables -A INPUT -s $LOCAL -j ACCEPT

iptables -A OUTPUT -s $LOCAL -j ACCEPT

# DNAT port 80 request comming from LAN systems to squid 3128 ($SQUID_PORT) aka transparent proxy iptables -t nat -A PREROUTING -s $LOCAL -p tcp –dport 80 -j DNAT –to $SQUID_SERVER:$SQUID_PORT

# if it is same system

iptables -t nat -A PREROUTING -i $INTERNET -p tcp –dport 80 -j REDIRECT –to-port $SQUID_PORT

# DROP everything and Log it

iptables -A INPUT -j LOG

iptables -A INPUT -j DROP

 

Nach Anpassung und Test im System dieses Script beim Start automatisch aktivieren. In der Squid.Conf ist auch eine weitere Anpassung nötig:

#transparentproxy

http_port 192.168.200.10:3128 transparent
http_port 80 vhost

Auch hier gilt:

    /etc/init.d/squid3 restart

 

Abschließend sind noch die Routingeinträge an diesem Rechner anzupassen und am DHCP-Server das Gateway für die Clients auf den Squid-Server umstellen.
Die hier beschriebene Lösung stellt einen Lösungsvorschlag dar und kann auf individuelle Bedürfnisse angepasst werden.

Viel Freude mit ESET Gateway Security und SQUID

 

 

 


Achten Sie auf Ihren Virenschutz!

Ihr Computer ist potenziell ständig unter Angriff von schädlichen Programmen aus dem Internet. Verschiedene Programme bieten Schutz vor diesen Angriffen – und je besser die Software auf Ihr System und Ihre Bedürfnisse abgestimmt ist, desto sicherer sind Ihre Daten.

Sicherheitssoftware gibt es nicht nur für einzelne Rechner (PC und Mac) und komplette Netzwerke, die Sie bei manchen Optionen sogar mit Remote-Admin-Lösungen verwalten (lassen) können, sondern auch für mobile Endgeräte. So können Sie sicher sein, dass Ihr Unternehmen auch dann vor Malware geschützt ist, wenn Ihre Mitarbeiter über Smartphones auf Ihr Netzwerk zugreifen. Dieses Einfalltor für schädliche Software wird nämlich häufig übersehen, dabei sind gerade die Endgeräte des Außendienst ein echtes Sicherheitsrisiko für Unternehmen.

Bei der Auswahl des Anti-Virus-Programms bzw. der Sicherheitssoftware gibt es verschiedene Aspekte zu beachten. Die Software muss nicht nur zum Rechner bzw. zum System passen, wichtig ist auch, wie viel Ressourcen das Programm benötigt. Auf gut Deutsch: Verlangsamt sich ihr Rechner, wenn der Virenschutz im Hintergrund wacht?

Daneben unterscheiden sich die Sicherheits-Programme in ihrer Reaktionsgeschwindigkeit und Genauigkeit. Manche sind zwar schnell im Erkennen von Bedrohungen, sind aber sozusagen „überempfindlich“ und betrachten auch vollkommen harmlose Daten als Bedrohung. Das bedeutet natürlich Abstriche im Bereich Zuverlässigkeit.
Wir empfehlen Ihnen die schnell und unmerkbar arbeitende Sicherheits- und Anti-Viren-Software von ESET und beraten Sie gerne genauer zur Auswahl und Installation der passenden Produkte.

Projektarbeit für Unternehmen

Neuer Bereich: Projektarbeit für Unternehmen

Häufig vergeben mittelständige Unternehmen und Selbständige den Bereich der Netzwerkbetreuung in ihrer Firma an einen externen Partner. Als erfahrene Netzwerkbetreuer und mit Kontakten in Bereich Hardware und Software können wir Ihnen direkte Lösungen bieten und Projekte initiieren. Gerne richten wir Ihnen Ihr Netzwerk und Ihre individuellen Arbeitsplätze ein, installieren die gewünschte Software.

Beim Change- oder Renewalprozess prüfen wir den vorhandenen Workflow und analysieren bestehende Prozesse. Somit kann Ihr Unternehmen gesamtheitlich neue Systeme einführen und dabei werden Kosten gespart und Prozesse optimiert.

Wir sind sehr darauf bedacht, dass beim erneuern etablierter Systeme der Workflow Ihrer Firma beibehalten wird und Änderungen mit dem Personal abgeklärt werden. Idealerweise arbeitet unsere Netzwerkoptimierung im Hintergrund des Systems, während Sie mit denen Ihnen bekannten Prozessen weiterarbeiten können.

Somit können Sie sich auf Ihr Kerngeschäft konzentrieren und damit Zeit und Kosten sparen.

Der Jahresrückblick 2012

Heute ist der letzte Tag des Jahres 2012. Der ideale Zeitpunkt das Geschehene Revue passieren zu lassen. Zum 1.1.2012 wurde aus einem Nebengewerbe die Vollzeitunternehmung lachenmair.info – IT consulting. Durch etwas Vorlauf und Projekte aus dem Dezember 2011 ging der Januar gleich entsprechend los und war mit Terminen voll. Direkt daran schlossen sich Folgeaufträge und die ersten Anfragen von Neukunden trafen ein. Die Firma begann Fahrt aufzunehmen.

Schnell kristallisierte sich heraus sich als Fullserviceprovider für kleine Unternehmen und Privatkunden aufzustellen eine fruchtbare Idee ist. So fanden sich zügig neben Privatkunden auch die ersten Unternehmen als Neukunden ein. Durch diese Idee zählen folgende Themen zu den Kompetenzen die ich anbiete:

  • Netzwerkbetreuung und Systemadministration
  • Homepageerstellung und Online Marketing
  • Verkauf von Hard- und Software

Basierend auf diesen Standbeinen konnte ich dieses Jahr einige Projekte erfolgreich abwickeln. Für manches Projekt konnte ich auch schon die ersten Freelancer und Partnerunternehmen zu buchen. Diese Partnerschaften stellten sich als sehr erfolgreich und zukunftsträchtig dar. Ich freue mich sehr auf die kommenden Projekte.

Als erfolgreich abgeschlossene Projekte kann ich diese bezeichnen:

  • Netzwerkadministration und Systembetreuung:
    Modernisierung einer Arztpraxis samt Austausch von 6 Arbeitsplätzen samt Server.
    Anbindung an ein OPG-Röntgengerät und einem Röntgen-Folienscanner.
    Verbaut und eingesetzt wurde Folgendes:

    • HP Server und Switches
    • Lenovo Workstations
    • Microsoft Small Business Server 2011
  • Netzwerkadministration und Systembetreuung:
    Umzug eines Kunden in ein neues Gebäude. Im Zuge des Umzugs wurde am neuen
    Standort ein WLAN mit Alcatel Lucent Komponenten. Das Interessante an dieser Lösung
    ist die Nutzung eines virtuellen WLAN-Controllers und die automatische Konfiguration der
    angeschlossenen Accesspoints. Die Stromversorgung der Controller kommt von einem
    HP POE (Power over Ethernet)-Switch. Somit konnten Kosten gespart werden da an
    den Montageplätzen nur Netzwerkdosen verbaut werden mussten.
  • Homepageerstellung:
    Für eine Psychotherapeutin: www.psychotherapie-gangkofner.de
  • Homepageerstellung:
    Für einen Parkettgroßhändler: www.mega-parkett.de

Neben diesen Projekten wurden einige kleinere Projekte abgewickelt. Für einen meiner Stammkunden
liefere ich regelmäßig Hardware für dessen Kunden und berate in IT-Fragen und erstelle Konzepte.
Viel Freude macht aber auch das Privatkundengeschäft. Hier war ich bei vielen Neukunden und konnte
viele interessante Kleinprojekte abwickeln. Angefangen von Rechnerkauf und Datenübernahme bis hin
zur Social Media Beratung im Bereich Facebook für Familien.

Dies wäre alles nicht möglich gewesen ohne starke Partnerschaften die ich  geschlossen habe. Hierzu
gehören:

  • ESET Virenschutz
    Für mich immer noch die beste Wahl für Virenscanner und mit NOD32 Antivirus,
    SmartSecurity und Mobile Security umfassender Schutz vor Viren
  • Lenovo
    Ob PC oder Notebook, Lenovo konnte mit qualitativ hochwertigen Maschinen
    überzeugen.
  • M-net
    Als Internet und Telefonieprovider  kann M-net mit einer Glasfaseranbindung kann
    M-net in Merching und Umgebung Internet mit bis zu 50 MBit für Kunden zur
    Verfügung stellen. Nicht nur für Privat- sondern auch für Geschäftskunden ist
    M-net seit Jahren eine gute Wahl. Deswegen freue ich mich umso mehr das
    ich mit meiner Firma dort Vertriebspartner werden konnte.
  • Greiner Marketing + Consulting GmbH
    Eine freudige, spannende und vorallem interessante Partnerschaft hat sich
    mit dem Team von René Greiner ergeben. Da beide Unternehmen aus
    verschiedenen Geschäftsbereichen kommen können wir unsere Skills in
    einen Topf werfen und unseren Kunden eine noch umfassendere Betreuung
    anbieten. Hier darf ich im Bereich Social Media aber auch IT Beratung tätig
    sein. Hier mein Profil beim Greinerteam

Das war jetzt mal in groben Zügen was 2012 in der Firma lachenmair.info geboten war. Ich könnte noch
stundenlang von vielen kleinen und großen Erlebnissen schreiben. Fakt ist das ich mit großer Freunde
und Neugier ins Jahr 2013 starte werde!

Hier noch ein paar Kundenrückmeldungen:

Volker Leitermeier, Merching:
“Servus Peter,
seit dem 06.12 haben wir nun das super schnelle Internet. Es hat einfach und kurz gesagt alles super geklappt. Ich hatte keine Probleme. Terminvereinbarung für den Telekom Techniker etc. alles bestens. Installation ganz einfach nur an stecken und fertig.Vielen Dank und noch ein schönes WE.”

Martina Flörchinger, Nicaragua:
“Dank der Unterstützung von Peter konnten wir vor einem Jahr eine schöne Seite für die Oecofinca aufbauen. Die Seite gefällt anderen Instituten und da ich mich mit der Hilfe von Peter in die Gestaltung von WordPress-Blogs eingearbeitet habe kann ich nun auch einer landwirtschaftlichen Uni helfen (http://flordelcafe.wordpress.com/novedades/) und ein KinderKunstprojekt (Fotos auf http://www.oecofincalatuani.com/2012/12/ein-wandbild-entsteht und http://knilda.wordpress.com/2012/10/28/artepintura/) bekommt auch bald einen Blog. Es ist wirklich schön, mit einfachen Methoden den Projekten hier zu Schwung zu verhelfen. Mit der professionellen Unterstützung von Peter fällt mir das jetzt sehr leicht.”

letzte Lieferung am Heiligabend

Bild eines Asus Notebooks samt Microsoft Office 2010 Home and BusinessBild eines Asus Notebooks samt Microsoft Office 2010 Home and Business. Zusätzlich wurde Windows 7 Professional 64 Bit installiert.