Update Mcafee com o Endian

[giuliano.santos]

bom dia,

Estou implantando o Endian aqui na empresa onde trabalho e estou gostando muito da ferramenta.
Instalei a versão 2.4.1 e rodei o Endian perfeito.
Esta tudo perfeito, porem só não consigo atualizar o antivírus McAfee nos computadores da rede.
Não estou conseguindo identificar o que esta sendo barrado. Alguem já passou por isso ou saberia de alguma informação para me ajudar?

Segue resultado do log do squid quando tento atualizar o McAfee:

24/09/2015 08:49 7636 192.168.80.80 TCP_MISS/000 11150 CONNECT us.mcafee.com:443 - FIRST_UP_PARENT/content1 -

24/09/2015 08:49 7541 127.0.0.1 TCP_MISS/200 10903 CONNECT us.mcafee.com:443 - DIRECT/161.69.12.13 -

24/09/2015 08:49 393 127.0.0.1 TCP_MISS/200 476 GET http://data.hackerwatch.org/data/manife ... %5D=784534 56650a8fe35fef93b2%7C%7C%5Bhwid%5D=ce80ae6b21a67589%7C%7C%5B lang%5D=en%7C%7C%5Bbuild%5D=14600%7C%7C%5Bappdb%5D=560253FF% 7C%7C%5BVUL%5D - DIRECT/161.69.13.33 text/html

24/09/2015 08:49 587 192.168.80.80 TCP_MISS/200 627 GET http://data.hackerwatch.org/data/manife ... %5D=784534 56650a8fe35fef93b2%7C%7C%5Bhwid%5D=ce80ae6b21a67589%7C%7C%5B lang%5D=en%7C%7C%5Bbuild%5D=14600%7C%7C%5Bappdb%5D=560253FF% 7C%7C%5BVUL%5D - FIRST_UP_PARENT/content1 text/html

24/09/2015 08:49 1291 192.168.80.80 TCP_MISS/000 13301 CONNECT home.mcafee.com:443 - FIRST_UP_PARENT/content1 -

24/09/2015 08:49 994 127.0.0.1 TCP_MISS/200 12987 CONNECT home.mcafee.com:443 - DIRECT/184.24.85.138 -

24/09/2015 08:49 444 127.0.0.1 TCP_MISS/200 476 GET http://data.hackerwatch.org/data/manife ... %5D=784534 56650a8fe35fef93b2%7C%7C%5Bhwid%5D=ce80ae6b21a67589%7C%7C%5B lang%5D=en%7C%7C%5Bbuild%5D=14600%7C%7C%5Bdtime%5D=55501%7C% 7C%5Bevents%5D=0%7C%7C%5Bappdb%5D=55B113FF%7C%7C%5BVS%5D - DIRECT/161.69.13.33 text/html

24/09/2015 08:49 446 192.168.80.80 TCP_MISS/200 627 GET http://data.hackerwatch.org/data/manife ... %5D=784534 56650a8fe35fef93b2%7C%7C%5Bhwid%5D=ce80ae6b21a67589%7C%7C%5B lang%5D=en%7C%7C%5Bbuild%5D=14600%7C%7C%5Bdtime%5D=55501%7C% 7C%5Bevents%5D=0%7C%7C%5Bappdb%5D=55B113FF%7C%7C%5BVS%5D - FIRST_UP_PARENT/content1 text/html

24/09/2015 08:49 20185 127.0.0.1 TCP_MISS/200 1943 CONNECT ssl.gstatic.com:443 - DIRECT/190.98.170.162 -

24/09/2015 08:49 20394 192.168.80.80 TCP_MISS/000 2316 CONNECT ssl.gstatic.com:443 - FIRST_UP_PARENT/content1 -

24/09/2015 08:49 141 192.168.80.80 TCP_IMS_HIT/304 434 GET http://ocsp.entrust.net/MEUwQzBBMD8wPTA ... UABBQsSqZp WQuWOxHU9pAda%2B7Lf6V20AQUaJDkZ6SmU4DHhmak8fdLQ%2FuEvW0CBFHT QEQ%3D - NONE/- application/ocsp-response

24/09/2015 08:49 320 192.168.80.80 TCP_OFFLINE_HIT/200 11272 GET http://download.mcafee.com/molbin/iss-l ... mindex/en- us/amindex.cab - NONE/- text/plain

24/09/2015 08:49 25 192.168.80.80 TCP_OFFLINE_HIT/200 229645 GET http://download.mcafee.com/molbin/iss-l ... ontent/000 00000/002384/amupdate.dat - NONE/- text/plain

24/09/2015 08:49 945 192.168.80.80 TCP_MISS/000 3199 CONNECT cloud.gti.mcafee.com:443 - FIRST_UP_PARENT/content1 -

24/09/2015 08:49 689 127.0.0.1 TCP_MISS/200 2938 CONNECT cloud.gti.mcafee.com:443 - DIRECT/8.18.25.17 -

[Lizalfo]

Quais as configurações de acesso que vc usou na sua rede?
Tem alguma porta liberada no firewall?
Vc usa proxy transparente? O proxy é autenticado? O anti-virus está setado com as configurações de proxy?

Não estou muito certo, mas olhando pelo log acredito fortemente que vc vai consegui resolver liberando o domínio .mcafee.com
Se for proxy autenticado, crie uma regra que fique antes das outras liberando os domínios da mcafee sem autenticação pra fazer o teste...

Grande abraço

[giuliano.santos]

Quais as configurações de acesso que vc usou na sua rede?
Tem alguma porta liberada no firewall?
Vc usa proxy transparente? O proxy é autenticado? O anti-virus está setado com as configurações de proxy?

Não estou muito certo, mas olhando pelo log acredito fortemente que vc vai consegui resolver liberando o domínio .mcafee.com
Se for proxy autenticado, crie uma regra que fique antes das outras liberando os domínios da mcafee sem autenticação pra fazer o teste...

Grande abraço

Olá Lizalfo,

O meu proxy não é transparente, não é autenticado e o meu antivírus não tem a opção de configurar o proxy.

Já liberei o domínio mcafee.com e também não resolveu.

Também já criei uma regra permitindo tudo só para testar e não foi.

Hoje eu utilizo o BrazilFW e funciona perfeitamente. Estou migrando para o Endian pois gostei mais dos recursos dele.

A unica coisa que esta pegando aqui na rede é esse problema com o antivírus McAfee.

[Lizalfo]

Olá, amigo

Liberando tudo não foi? Poxa...
Vc pode colocar aqui como ficaram suas regras de proxy?
De repente dando uma olhada fica mais fácil de achar alguma forma...

Outra pergunta:
Quando vc liberou o domínio do mcafee, vc liberou assim da forma abaixo?
.mcafee.com (com o ponto antes, pra liberar tb os subdomínios)


Grande abraço

[giuliano.santos]

Olá, amigo

Liberando tudo não foi? Poxa...
Vc pode colocar aqui como ficaram suas regras de proxy?
De repente dando uma olhada fica mais fácil de achar alguma forma...

Outra pergunta:
Quando vc liberou o domínio do mcafee, vc liberou assim da forma abaixo?
.mcafee.com (com o ponto antes, pra liberar tb os subdomínios)


Grande abraço

Eu não tinha colocado com o ponto no inicio, mais coloquei agora e não funcionou

segue anexo a tela do filtro

[Lizalfo]

Ao invés de colocar o site na whitelist do filtro de conteúdo, tenta criar uma regra diretamente nas Políticas de Acesso conforme na imagem em anexo.

[giuliano.santos]

Ao invés de colocar o site na whitelist do filtro de conteúdo, tenta criar uma regra diretamente nas Políticas de Acesso conforme na imagem em anexo.

Também não funcionou 

Para testar eu desativei o Proxy e liberei as portas 80 e 443 no firewall. Também ativei o LOG dessas portas para ver as conexões.
Com isso consegui atualizar o antivírus só que não consegui identificar o problema ainda.

Agora sei que realmente o problema esta no proxy, só não sei como resolve-lo.

segue o log do firewall:
Firewall 2015-09-25 15:51:56 OUTGOINGFW:ALLOW:1 TCP (br0) 192.168.80.80:62773 -> 200.221.2.85:80 (eth1) +
Firewall 2015-09-25 15:51:56 OUTGOINGFW:ALLOW:1 TCP (br0) 192.168.80.80:62774 -> 200.221.2.85:80 (eth1) +
Firewall 2015-09-25 15:51:56 OUTGOINGFW:ALLOW:1 TCP (br0) 192.168.80.80:62775 -> 200.221.2.85:80 (eth1) +
Firewall 2015-09-25 15:51:56 OUTGOINGFW:ALLOW:1 TCP (br0) 192.168.80.80:62776 -> 200.221.2.85:80 (eth1) +
Firewall 2015-09-25 15:51:56 OUTGOINGFW:ALLOW:1 TCP (br0) 192.168.80.80:62777 -> 200.221.2.85:80 (eth1) +
Firewall 2015-09-25 15:51:56 OUTGOINGFW:ALLOW:1 TCP (br0) 192.168.80.80:62778 -> 200.221.2.85:80 (eth1) +
Firewall 2015-09-25 15:51:56 OUTGOINGFW:ALLOW:1 TCP (br0) 192.168.80.80:62779 -> 173.193.67.11:80 (eth1) +
Firewall 2015-09-25 15:51:56 OUTGOINGFW:ALLOW:1 TCP (br0) 192.168.80.80:62780 -> 200.221.2.85:80 (eth1) +
Firewall 2015-09-25 15:51:56 OUTGOINGFW:ALLOW:1 TCP (br0) 192.168.80.80:62781 -> 200.221.2.85:80 (eth1) +
Firewall 2015-09-25 15:51:56 OUTGOINGFW:ALLOW:1 TCP (br0) 192.168.80.80:62782 -> 200.221.2.85:80 (eth1) +
Firewall 2015-09-25 15:51:56 OUTGOINGFW:ALLOW:1 TCP (br0) 192.168.80.80:62783 -> 200.221.2.85:80 (eth1) +
Firewall 2015-09-25 15:51:56 OUTGOINGFW:ALLOW:2 TCP (br0) 192.168.80.80:62784 -> 23.220.52.128:443 (eth1) +
Firewall 2015-09-25 15:51:56 OUTGOINGFW:ALLOW:2 TCP (br0) 192.168.80.80:62785 -> 23.220.52.128:443 (eth1) +
Firewall 2015-09-25 15:51:56 OUTGOINGFW:ALLOW:1 TCP (br0) 192.168.80.80:62786 -> 199.96.57.6:80 (eth1) +
Firewall 2015-09-25 15:51:56 OUTGOINGFW:ALLOW:1 TCP (br0) 192.168.80.80:62787 -> 190.98.170.168:80 (eth1) +
Firewall 2015-09-25 15:51:56 OUTGOINGFW:ALLOW:2 TCP (br0) 192.168.80.80:62788 -> 23.220.52.128:443 (eth1) +
Firewall 2015-09-25 15:51:56 OUTGOINGFW:ALLOW:1 TCP (br0) 192.168.80.80:62789 -> 199.96.57.6:80 (eth1) +
Firewall 2015-09-25 15:51:57 OUTGOINGFW:ALLOW:1 TCP (br0) 192.168.80.80:62790 -> 190.98.131.42:80 (eth1) +
Firewall 2015-09-25 15:51:57 OUTGOINGFW:ALLOW:1 TCP (br0) 192.168.80.80:62791 -> 216.58.222.2:80 (eth1) +
Firewall 2015-09-25 15:51:57 OUTGOINGFW:ALLOW:1 TCP (br0) 192.168.80.80:62792 -> 216.58.222.2:80 (eth1) +
Firewall 2015-09-25 15:51:57 OUTGOINGFW:ALLOW:1 TCP (br0) 192.168.80.80:62793 -> 64.74.232.39:80 (eth1) +
Firewall 2015-09-25 15:51:57 OUTGOINGFW:ALLOW:1 TCP (br0) 192.168.80.80:62794 -> 64.74.232.39:80 (eth1) +
Firewall 2015-09-25 15:51:57 OUTGOINGFW:ALLOW:1 TCP (br0) 192.168.80.80:62795 -> 64.74.232.39:80 (eth1) +
Firewall 2015-09-25 15:51:57 OUTGOINGFW:ALLOW:1 TCP (br0) 192.168.80.80:62796 -> 64.74.232.39:80 (eth1) +
Firewall 2015-09-25 15:51:57 OUTGOINGFW:ALLOW:1 TCP (br0) 192.168.80.80:62797 -> 216.58.222.2:80 (eth1) +
Firewall 2015-09-25 15:51:57 OUTGOINGFW:ALLOW:1 TCP (br0) 192.168.80.80:62798 -> 54.175.61.141:80 (eth1) +
Firewall 2015-09-25 15:51:57 OUTGOINGFW:ALLOW:2 TCP (br0) 192.168.80.80:62799 -> 31.13.73.1:443 (eth1) +
Firewall 2015-09-25 15:51:57 OUTGOINGFW:ALLOW:1 TCP (br0) 192.168.80.80:62800 -> 54.175.61.141:80 (eth1) +
Firewall 2015-09-25 15:51:57 OUTGOINGFW:ALLOW:2 TCP (br0) 192.168.80.80:62801 -> 31.13.73.1:443 (eth1) +
Firewall 2015-09-25 15:51:57 OUTGOINGFW:ALLOW:1 TCP (br0) 192.168.80.80:62802 -> 63.219.254.67:80 (eth1) +
Firewall 2015-09-25 15:51:57 OUTGOINGFW:ALLOW:1 TCP (br0) 192.168.80.80:62803 -> 63.219.254.67:80 (eth1) +
Firewall 2015-09-25 15:51:57 OUTGOINGFW:ALLOW:2 TCP (br0) 192.168.80.80:62804 -> 23.220.33.105:443 (eth1) +
Firewall 2015-09-25 15:51:58 OUTGOINGFW:ALLOW:1 TCP (br0) 192.168.80.80:62805 -> 63.219.254.67:80 (eth1) +
Firewall 2015-09-25 15:51:58 OUTGOINGFW:ALLOW:1 TCP (br0) 192.168.80.80:62806 -> 200.147.68.8:80 (eth1) +
Firewall 2015-09-25 15:51:58 OUTGOINGFW:ALLOW:1 TCP (br0) 192.168.80.80:62807 -> 200.221.2.83:80 (eth1) +
Firewall 2015-09-25 15:51:58 OUTGOINGFW:ALLOW:1 TCP (br0) 192.168.80.80:62808 -> 200.147.15.205:80 (eth1) +
Firewall 2015-09-25 15:51:58 OUTGOINGFW:ALLOW:1 TCP (br0) 192.168.80.80:62809 -> 200.221.2.85:80 (eth1) +
Firewall 2015-09-25 15:51:58 OUTGOINGFW:ALLOW:1 TCP (br0) 192.168.80.80:62810 -> 200.147.15.208:80 (eth1) +
Firewall 2015-09-25 15:51:58 OUTGOINGFW:ALLOW:1 TCP (br0) 192.168.80.80:62811 -> 200.147.15.208:80 (eth1) +
Firewall 2015-09-25 15:51:58 OUTGOINGFW:ALLOW:1 TCP (br0) 192.168.80.80:62812 -> 200.147.15.208:80 (eth1) +
Firewall 2015-09-25 15:51:58 OUTGOINGFW:ALLOW:1 TCP (br0) 192.168.80.80:62813 -> 200.147.15.208:80 (eth1) +
Firewall 2015-09-25 15:51:58 OUTGOINGFW:ALLOW:1 TCP (br0) 192.168.80.80:62814 -> 200.147.15.208:80 (eth1) +
Firewall 2015-09-25 15:51:58 OUTGOINGFW:ALLOW:1 TCP (br0) 192.168.80.80:62815 -> 200.147.3.204:80 (eth1) +
Firewall 2015-09-25 15:51:58 OUTGOINGFW:ALLOW:1 TCP (br0) 192.168.80.80:62816 -> 200.147.35.204:80 (eth1) +
Firewall 2015-09-25 15:51:58 OUTGOINGFW:ALLOW:1 TCP (br0) 192.168.80.80:62817 -> 200.221.2.85:80 (eth1) +
Firewall 2015-09-25 15:51:58 OUTGOINGFW:ALLOW:2 TCP (br0) 192.168.80.80:62818 -> 190.98.130.145:443 (eth1) +
Firewall 2015-09-25 15:51:58 OUTGOINGFW:ALLOW:2 TCP (br0) 192.168.80.80:62819 -> 190.98.130.145:443 (eth1) +
Firewall 2015-09-25 15:51:58 OUTGOINGFW:ALLOW:2 TCP (br0) 192.168.80.80:62820 -> 190.98.130.145:443 (eth1) +
Firewall 2015-09-25 15:51:58 OUTGOINGFW:ALLOW:2 TCP (br0) 192.168.80.80:62821 -> 190.98.130.145:443 (eth1) +
Firewall 2015-09-25 15:51:59 OUTGOINGFW:ALLOW:2 TCP (br0) 192.168.80.80:62822 -> 190.98.130.145:443 (eth1) +

[marceloleaes]

Parece que existe uma ferramenta para fazer com que ele autentique, outra solução abordada é liberar os dominios:

.amiuptodate.com
.hackerwatch.org
.mcafee.com
.mcafeefamilyprotection.com
.mcafeehelp.com
.siteadvisor.com
.trustedsource.org
.webtrendslive.com

No campo de politica de acesso do Endian para que estes dominios não sofram mais pedido de autenticação.

http://service-home.mcafee.com/FAQDocum ... d=TS100291


Você não utiliza o ePO ai ? acho que seria melhor de gerenciar.

[giuliano.santos]

Parece que existe uma ferramenta para fazer com que ele autentique, outra solução abordada é liberar os dominios:

.amiuptodate.com
.hackerwatch.org
.mcafee.com
.mcafeefamilyprotection.com
.mcafeehelp.com
.siteadvisor.com
.trustedsource.org
.webtrendslive.com

No campo de politica de acesso do Endian para que estes dominios não sofram mais pedido de autenticação.

http://service-home.mcafee.com/FAQDocum ... d=TS100291


Você não utiliza o ePO ai ? acho que seria melhor de gerenciar.

Olá Marcelo,
Não utilizo ePO aqui.
Tentei a dica que você me passou e também não deu certo.
Estou quase formatando o servidor e colocando a versão 2.5.1 para testar.

A unica coisa ruim é que já esta tudo configurado, QoS, Firewall, Proxy... Só esse pau com o antivírus

[marceloleaes]

Cara, a culpa não é do Endian e sim o Mcafee que não trabalha com autenticação de proxy.

Abre um chamado com eles e pede solução para o problema. Afinal tu pagou e tem direito a isto.

Reinstalar o Endian não vai resolver o teu problema.

[giuliano.santos]

Cara, a culpa não é do Endian e sim o Mcafee que não trabalha com autenticação de proxy.

Abre um chamado com eles e pede solução para o problema. Afinal tu pagou e tem direito a isto.

Reinstalar o Endian não vai resolver o teu problema.

Mais em ambiente de produção estou usando o BrazilFW e esta funcionando certinho. Só no Endian que não estou conseguindo fazer funcionar.

[marceloleaes]

Outra coisa que pode ajudar é colocar os dominios citados na lista de exclusão de proxy do navegador, porque as vezes a aplicação é tão burra que mesmo com a saida liberada ela insiste em sair pelo proxy. Utiliza como base o script de proxy pro IE que tem aqui no forum e adiciona os dominios deles seguido de ponto e virgula.

[marceloleaes]

O BFW não dropa HTTPS, por isto funciona.

[giuliano.santos]

consegui resolver o problema executando o MSCPRXFIX.exe da McAfee.
Se mais alguem tiver esse problema segue o link com as instruções da McAfee de como resolve-lo.
http://service-home.mcafee.com/FAQDocum ... d=TS100291