none
Malware Scan für FTP über den Web Proxy Client RRS feed

  • Frage

  • Hallo,

    der Web Proxy Client benutzt doch standardmäßig FTP over HTTP oder? Das bedeutet, dass standardmäßig der Malwarescan dafür aktiviert ist (wenn er generell aktiviert ist)? Oder funktioniert FTP standardmäßig per Web Proxy Client nicht (in den Standard Webzugriffsregeln ist ja kein FTP over HTTP Protokoll definiert sondern nur HTTP und HTTPS). Ich werde aus den Quellen die ich dazu gefunden habe nicht so 100% schlau (z.B. http://www.carbonwind.net/blog/post/Forefront-TMG-2010-Using-malware-inspection-and-URL-filtering-for-FTP-on-access-rules.aspx - hier wird eine separate Regel für FTP over HTTP angelegt zum Malware Scan)

    Danke und Gruß


    Donnerstag, 27. Oktober 2011 15:07

Antworten

  • Hallo Marc,

    habe das jetzt mal testen können.

    Wenn ich nur die Default-Regeln habe (nach Ausführen des Assisten für Webzugriffe), dann habe ich ja nur Regeln für HTTP und HTTPS. Wenn ich nun mit einem Client via Browser auf eine FTP-Site zugreifen möchte funktioniert dies nicht (Fehlercode: 502 Proxyfehler. Die angegebene URL wurde von Forefront TMG abgelehnt. (12202)) und auf der TMG Seite auch ein Deny (Protkoll FTP über HTTP). Wenn ich FTP über HTTP zur Standardregel hinzufüge funktionert der Zugriff und bei Malwareüberprüfungsergebnisse im Log steht "Keine Verletzung festgestellt", d.h. er scannt den Content (oder?).

    Gruß

    • Als Antwort markiert Patrick Böhm Dienstag, 8. November 2011 14:22
    Dienstag, 8. November 2011 13:18
  • Hi,

    jau, konnte ich nachvollziehen. ftp.adobe.com kommt auch die Meldung "Keine Verletzung festgestellt". Bei Seiten die von der Malwarepruefung ausgeschlossen sind kommt die Meldung "zugelassen".
    bBi HTTP Webseiten kommt auch die Meldung "Keine verletzung festgestellt", sprich es sieht gut aus, so wie Adrian das schreibt


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    • Als Antwort markiert Patrick Böhm Dienstag, 8. November 2011 14:22
    Dienstag, 8. November 2011 14:06
    Moderator

Alle Antworten

  • Hi,

    ist etwas anders: Der Webproxy Client verwendet gar nichts sondern erlaubt nur Zugriffe. Saemtlicher Traffic, welcher durch das vordefinierte HTTP Protokoll laeuft, wird durch den Webproxyfilter gehandelt, da an das HTTP Protokoll der Webproxyfilter gebunden ist. FTP Traffic welcher von einem Webproxy Client initiiert wird, funktioniert nur FTP Download aber kein FTP Upload. Das geht dann erst mit dem SecureNAT oder TMG Client.

    Du kannst also den Trick von Adrian entsprechend verwenden, wenn das Deine primaere Frage war um Malware Inspection ueber das HTTP over FTP Protokoll zu verwenden


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Donnerstag, 27. Oktober 2011 15:32
    Moderator
  • Hallo Marc,

    so ganz verstehe ich es dann immer noch nicht. Laut http://technet.microsoft.com/en-us/library/ee796231.aspx#t4t4e4t heisst es "Web Proxy client FTP requests are passed over HTTP, and do not allow any action that would change the content or structure of the FTP server. Therefore you cannot use FTP upload from a Web Proxy client, and only FTP downloads are supported."

    Mal von den Einschränkungen abgesehen, funktionieren dann FTP Anfragen von Web Proxy Clients per default über die normalen Webzugriffsrichtlinien (ohne dedizierte FTP Regel) und werden auf Malware gescannt?

    Wann benötige ich denn den Weg von Adrian? Hat FTP over HTTP die genannten Einschränkungen nicht mehr oder nur eine reinrassige FTP Regel?

    Danke und Gruß
    Patrick

    Donnerstag, 27. Oktober 2011 19:03
  • Marc? Bitte antworte doch nochmal :)
    Montag, 31. Oktober 2011 06:24
  • Hi,

    FTP Anfragen ueber den Webproxy Client werden ueber den Webproxyfilter und das HTTP Protokoll gehandelt, so dass Du kein zusaetzliches Protokoll FTP oder FTP ueber HTTP einrichten musst.
    Ueber das reine HTTP Protokoll gibt es dann AFAIK auch kein Malware Scan fuer FTp, so dass man den Trick von Adrian anwenden muss, auch wenn ich das selbst noch nie persoenlich gemacht habe.


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    • Als Antwort vorgeschlagen Alex PituliceModerator Mittwoch, 2. November 2011 14:15
    • Als Antwort markiert Patrick Böhm Donnerstag, 3. November 2011 06:41
    • Tag als Antwort aufgehoben Patrick Böhm Donnerstag, 3. November 2011 07:19
    • Nicht als Antwort vorgeschlagen Patrick Böhm Dienstag, 8. November 2011 13:19
    Montag, 31. Oktober 2011 19:03
    Moderator
  • Hallo Patrick,

     

    Hat die Antwort von Marc deine Situation abgeklärt? Können wir den Thread schließen?

     

    Viele Grüße,

    Alex

    Mittwoch, 2. November 2011 14:15
    Moderator
  • Hallo Alex,

    ich habs jetzt nicht verifizieren können und Marc war sich ja auch nicht 100% sicher aber er wird schon recht haben also kann schließe ich den Thread.

    Gruß
    Patrick

    /e: Rückgängig gemacht


    Donnerstag, 3. November 2011 06:41
  • Hi,

    solltest Du erst mal verifizieren, ehe wir meine Antwort als "Antwort" markieren. Ich konnte es aus zeitlichen Gruenden noch nicht ausprobieren


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Donnerstag, 3. November 2011 07:05
    Moderator
  • Hallo Marc,

    habe das jetzt mal testen können.

    Wenn ich nur die Default-Regeln habe (nach Ausführen des Assisten für Webzugriffe), dann habe ich ja nur Regeln für HTTP und HTTPS. Wenn ich nun mit einem Client via Browser auf eine FTP-Site zugreifen möchte funktioniert dies nicht (Fehlercode: 502 Proxyfehler. Die angegebene URL wurde von Forefront TMG abgelehnt. (12202)) und auf der TMG Seite auch ein Deny (Protkoll FTP über HTTP). Wenn ich FTP über HTTP zur Standardregel hinzufüge funktionert der Zugriff und bei Malwareüberprüfungsergebnisse im Log steht "Keine Verletzung festgestellt", d.h. er scannt den Content (oder?).

    Gruß

    • Als Antwort markiert Patrick Böhm Dienstag, 8. November 2011 14:22
    Dienstag, 8. November 2011 13:18
  • Hi,

    jau, konnte ich nachvollziehen. ftp.adobe.com kommt auch die Meldung "Keine Verletzung festgestellt". Bei Seiten die von der Malwarepruefung ausgeschlossen sind kommt die Meldung "zugelassen".
    bBi HTTP Webseiten kommt auch die Meldung "Keine verletzung festgestellt", sprich es sieht gut aus, so wie Adrian das schreibt


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    • Als Antwort markiert Patrick Böhm Dienstag, 8. November 2011 14:22
    Dienstag, 8. November 2011 14:06
    Moderator
  • Dann haben wir das ja geklärt bekommen :-)

    Danke und Gruß

    Dienstag, 8. November 2011 14:22