110135
Jul 09, 2013, updated at 11:04:52 (UTC)
4192
5
0
Fortigate 80C Virus Scan
Hallo liebe Community,
ich habe vor kurzem ein Netzwerk übernommen. Bei dem Kunden wird eine Fortigate 80C eingesetzt. Leider habe ich mit diesen Geräten keinerlei Erfahrung.
Nun hat der vorherige Dienstleister zwar alles schön dokumentiert, nur funktioniert es nicht so, wie es soll....
Der Kunde hat insg. ca. 40 Rechner - unterteilt in zwei Gruppen. Die erste Gruppe (nennen wir sie Rechtsanwälte) hat uneingeschränkten Zugriff ins Internet, die andere Gruppe (Mitarbeiter) soll nur bestimmte Seiten aufrufen können.
Die Rechner werden anhand der IP-Range unterschieden - das klappt auch soweit.
Was allerdings nicht klappt ist der AV-Scan und der Webfilter. Dies greift bei keiner Gruppe.
Folgende Policies sind eingerichtet:
Wenn ich jetzt an einem der Rechner die EICAR-Testfile runterlade, dann springt der lokale Virenscanner an - aber nicht die Fortigate. Wenn ich den lokalen Scanner ausschalte, dann kann ich die EICAR-File problemlos runterladen.
Die Lizenzen der Fortigate sind noch bis Mitte 2014 gültig - daran sollte es also nicht liegen.
Unter UTM Security Profiles ist folgendes definiert:
Antivirus:
Ich denke es liegt an einer Policy. Nur leider habe ich keine Idee, wie ich diese ändern muss, damit es funktioniert und wäre für jeden Rat dankbar!
Lieben Gruß,
Florian
ich habe vor kurzem ein Netzwerk übernommen. Bei dem Kunden wird eine Fortigate 80C eingesetzt. Leider habe ich mit diesen Geräten keinerlei Erfahrung.
Nun hat der vorherige Dienstleister zwar alles schön dokumentiert, nur funktioniert es nicht so, wie es soll....
Der Kunde hat insg. ca. 40 Rechner - unterteilt in zwei Gruppen. Die erste Gruppe (nennen wir sie Rechtsanwälte) hat uneingeschränkten Zugriff ins Internet, die andere Gruppe (Mitarbeiter) soll nur bestimmte Seiten aufrufen können.
Die Rechner werden anhand der IP-Range unterschieden - das klappt auch soweit.
Was allerdings nicht klappt ist der AV-Scan und der Webfilter. Dies greift bei keiner Gruppe.
Folgende Policies sind eingerichtet:
Wenn ich jetzt an einem der Rechner die EICAR-Testfile runterlade, dann springt der lokale Virenscanner an - aber nicht die Fortigate. Wenn ich den lokalen Scanner ausschalte, dann kann ich die EICAR-File problemlos runterladen.
Die Lizenzen der Fortigate sind noch bis Mitte 2014 gültig - daran sollte es also nicht liegen.
Unter UTM Security Profiles ist folgendes definiert:
Antivirus:
- Flow-Based
- Block Connections to Botnet Servers
- HTTP, SMTP, POP3, IMAP, FTP
Ich denke es liegt an einer Policy. Nur leider habe ich keine Idee, wie ich diese ändern muss, damit es funktioniert und wäre für jeden Rat dankbar!
Lieben Gruß,
Florian
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 210932
Url: https://administrator.de/contentid/210932
Printed on: April 25, 2024 at 22:04 o'clock
5 Comments
Latest comment
Hi
Ist den in der Firewall Regel das richtige UTM Profile eingestellt ?
Bzw. ist UTM auf der Regel Aktiv ? Du kannst bei jeder Firewall Regel UTM Aktivieren und einzeln nur den Antivirus oder den Webfilter Aktivieren, Email Filter usw.
Leg dir ein UTM Webfilter Profil an in diesem Profil sperrst du dann alles bis auf die in der Web content Filter List eingetragenen Homepages.
Dieses UTM Profil musst du dann nur noch bei der Entsprechenen Firewallregel Aktivieren. Und natürlich den AV einschalten. bzw. auch ein Profil erstellen oder ein bereits erstelltes so abändern das es für dich passt.
LG Andy
Ist den in der Firewall Regel das richtige UTM Profile eingestellt ?
Bzw. ist UTM auf der Regel Aktiv ? Du kannst bei jeder Firewall Regel UTM Aktivieren und einzeln nur den Antivirus oder den Webfilter Aktivieren, Email Filter usw.
Leg dir ein UTM Webfilter Profil an in diesem Profil sperrst du dann alles bis auf die in der Web content Filter List eingetragenen Homepages.
Dieses UTM Profil musst du dann nur noch bei der Entsprechenen Firewallregel Aktivieren. Und natürlich den AV einschalten. bzw. auch ein Profil erstellen oder ein bereits erstelltes so abändern das es für dich passt.
LG Andy
Hi,
ja - manchmal sieht man den Wald vor lauter Bäumen nicht.
Genau das war's.
Unter Policies -> Policies war zwar der AV scan ausgewählt, allerdings mit dem Profile "none". Das bringt natürlich herzlich wenig. Ich hatte immer nur auf das Icon geschaut...
Vielen lieben Dank für deine Hilfe!
Gruß,
Florian
ja - manchmal sieht man den Wald vor lauter Bäumen nicht.
Genau das war's.
Unter Policies -> Policies war zwar der AV scan ausgewählt, allerdings mit dem Profile "none". Das bringt natürlich herzlich wenig. Ich hatte immer nur auf das Icon geschaut...
Vielen lieben Dank für deine Hilfe!
Gruß,
Florian
Hi
Bitte gerne
LG Andy
Bitte gerne
LG Andy
ziemlich offtopic,
aber ich habe ein ähnliches verhalten und die gleiche Situation (Netzwerk übernommen)
wenn ich eicar per http runterlade blockt die FortiGate schön...
wenn ich allerdings über https runterladen will geht es bis auf den lokalen FortiClient...
demnach wollt ich das AV-Default profiel anpassen, aber da gibt's kein https zum anklicken...
Denkfehler meinerseits? oder muß ich woanders suchen?
Gruß & dank
aber ich habe ein ähnliches verhalten und die gleiche Situation (Netzwerk übernommen)
wenn ich eicar per http runterlade blockt die FortiGate schön...
wenn ich allerdings über https runterladen will geht es bis auf den lokalen FortiClient...
demnach wollt ich das AV-Default profiel anpassen, aber da gibt's kein https zum anklicken...
Denkfehler meinerseits? oder muß ich woanders suchen?
Gruß & dank
Zitat von @neueradmuser:
ziemlich offtopic,
aber ich habe ein ähnliches verhalten und die gleiche Situation (Netzwerk übernommen)
wenn ich eicar per http runterlade blockt die FortiGate schön...
wenn ich allerdings über https runterladen will geht es bis auf den lokalen FortiClient...
demnach wollt ich das AV-Default profiel anpassen, aber da gibt's kein https zum anklicken...
Denkfehler meinerseits? oder muß ich woanders suchen?
Gruß & dank
ziemlich offtopic,
aber ich habe ein ähnliches verhalten und die gleiche Situation (Netzwerk übernommen)
wenn ich eicar per http runterlade blockt die FortiGate schön...
wenn ich allerdings über https runterladen will geht es bis auf den lokalen FortiClient...
demnach wollt ich das AV-Default profiel anpassen, aber da gibt's kein https zum anklicken...
Denkfehler meinerseits? oder muß ich woanders suchen?
Gruß & dank
Hi
Bitte sei so lieb und mach ein eigenes Thema auf dann wird dir aucvh geholfen. Und bitte nicht vergessen welche Fortigate du betreibst und welche Firmware du am laufen hast zu erwähnen.
Bei einer 80C mit firmware 4.0 MR3 Patch 14 Gibt es unter UTM Profiles beim Antivirus einen eigenen hacken für HTTPS der Aktiv sein muss.
Rechts oben kann man die Profile wechseln bzw. neue erstellen. Das Profil muss dann natürlich auch auf der entsprechenen Regel Aktiv sein.
LG Andy
