AA_guard_lettieb_sxc_1240349.jpg

© Lettieb, sxc.hu

Strenge Wache

Zeroshell-Workshop: Transparenter Proxy-Server mit Virenscanner

23.09.2013
Heterogene Netzwerke bieten Viren eine breite Angriffsfläche. Mit einem Duo aus Proxy-Server und Virenscanner weisen Sie Angriff schon am Eingangstor ab.

Zeroshell-Workshop

Teil 1 – Zeroshell aufsetzen LU 07/2013, S. 22 http://www.linux-community.de/29626
Teil 2 – Routing und WLAN-Bridge LU 08/2013, S. 38 http://www.linux-community.de/29993
Teil 3 – Firewall einrichten LU 09/2013, S. 66 http://www.linux-community.de/30220
Teil 4 -- Proxy und AV-Scanner LU 10/2013, S.**### http://www.linux-community.de/30471

Linux gilt als konzeptionell sicheres Betriebssystem, das Schädlinge kaum aus der Ruhe bringen. Viren, Trojaner, Rootkits und andere unerwünschte Begleiter auf der heimischen Festplatte gelingt es unter dem freien Betriebssystem nur selten, destruktive Aktivitäten zu entfalten.

Ganz anders sieht es dagegen aus, wenn Sie in Ihrem Heim- oder Firmennetz zusätzlich Windows-Rechner einsetzen: Diese bieten reichlich Angriffsfläche. Der administrative Aufwand, solche Computer aus der Schusslinie zu nehmen, steigt mit der Anzahl installierter Windows-PCs signifikant.

Doch es geht einfach und professionell: Statt auf jedem gefährdeten Client im Netz zeit- und arbeitsaufwendig Virenscanner, URL-Filter und weitere Zusatzsoftware zu installieren und zu pflegen, bietet es sich an, einen Zeroshell-Server als zentralen Proxy mit integriertem Scanner zu konfigurieren, der jeglichen Datenstrom untersucht und dann entsprechend weiterleitet oder blockiert.

Proxy-Server

Unter Linux hat sich Squid als Proxy-Server einen guten Namen gemacht. Er ist meistens als Caching-Proxy konfiguriert, der Webseiten zwischenspeichert und bei einem erneuten Zugriff schneller für den Client bereit stellt. Obendrein spart das Puffern Bandbreite.

Zeroshell beschreitet jedoch andere Wege: Als HTTP-Proxy kommt hier nicht Squid zum Einsatz, sondern dessen weniger bekannter Kollege HAVP [1]. Das Programm ist als transparenter Proxy konzipiert, den die Clients im Intranet nicht als solchen bemerken. Er übernimmt die Aufgabe, mithilfe des nachgeschalteten Antivirus-Programms ClamAV [2] alle Inhalte auf Integrität zu prüfen.

Konfiguration

Um auf dem Zeroshell-Rechner HAVP mit ClamAV aufzusetzen, rufen Sie die grafische Zeroshell-Oberfläche auf und wechseln in das Menü Security | HTTP Proxy. Sie gelangen in ein übersichtlich aufgebautes Fenster, das sowohl die Installation des Proxy-Servers als auch des Virenschutzes gestattet.

Zunächst definieren Sie die Schnittstelle, deren Anfragen Sie durch den Server leiten wollen. Es handelt sich hierbei um jenes Interface, das die Client-Anfragen aus dem Intranet weiterleitet. Das setzt voraus, das Sie diese Schnittstelle in Zeroshell als Gateway konfigurieren. Das erledigen Sie im Menü Setup | Network | GATEWAY.

Anschließend klicken Sie im Menü Security | HTTP Proxy unter HTTP Capturing Rules auf den Plus-Schalter. Im sich nun öffnenden Fenster geben Sie die überwachte Schnittstelle ein (Abbildung 1). Im Feld Action aktivieren Sie zusätzlich den Eintrag Capture Request. Nach Abschluss der Konfiguration sichern Sie die Einstellungen mit einem Klick auf Save.

Abbildung 1: Mit wenigen Klicks ist die Proxy-Schnittstelle definiert.

In diesem Fenster haben Sie auch die Möglichkeit, zusätzlich Quell- und Zielnetze sowie einzelne IP-Adressen einzugeben, um den Bereich der zu scannenden Clients einzuschränken. Möchten Sie den Datenverkehr zu einer Schnittstelle oder IP-Adresse von der Umleitung über den Proxy-Server ausnehmen, tragen Sie diese ebenfalls in der Liste ein, und zwar mit der Option Do not Capture Request im Feld Action.

Der Ausschluss von IP-Adressen aus bestimmten Subnetzen ist dann sinnvoll, wenn im Teilnetz oder mit der betroffenen IP-Adresse ein Webserver arbeitet, der den Zugriff auf seine Inhalte mithilfe von ACLs steuert. Würden Anfragen an diesen Webserver aus dem Intranet über den Proxy-Server geleitet, so müsste dieser alle diese Anfragen blockieren, wenn die einzelnen IP-Adressen der anfragenden Clients in den ACL-Listen hinterlegt sind.

Zeroshell zeigt die konfigurierten Regeln nach dem Sichern in Form einer Liste an. Starten Sie nun in einem weiteren Schritt den Proxy-Dienst durch Setzen eines Häkchens in der Box Enabled. Der Start des Servers nimmt dabei einige Zeit in Anspruch.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 11/2014: VIDEOS BEARBEITEN

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Schnell Multi-Boot-Medien mit MultiCD erstellen
Schnell Multi-Boot-Medien mit MultiCD erstellen
Tim Schürmann, 24.06.2014 12:40, 0 Kommentare

Wer mehrere nützliche Live-Systeme auf eine DVD brennen möchte, kommt mit den Startmedienerstellern der Distributionen nicht besonders weit: Diese ...

Aktuelle Fragen

Artikelsuche
Erwin Ruitenberg, 09.10.2014 07:51, 1 Antworten
Ich habe seit einige Jahre ein Dugisub LinuxUser. Dann weiß ich das irgendwann ein bestimmtes Art...
Windows 8 startet nur mit externer Festplatte
Anne La, 10.09.2014 17:25, 4 Antworten
Hallo Leute, also, ich bin auf folgendes Problem gestoßen: Ich habe Ubuntu 14.04 auf meiner...
Videoüberwachung mit Zoneminder
Heinz Becker, 10.08.2014 17:57, 0 Antworten
Hallo, ich habe den ZONEMINDER erfolgreich installiert. Das Bild erscheint jedoch nicht,...
internes Wlan und USB-Wlan-Srick
Gerhard Blobner, 04.08.2014 15:20, 2 Antworten
Hallo Linux-Forum: ich bin ein neuer Linux-User (ca. 25 Jahre Windows) und bin von WIN 8 auf Mint...
Server antwortet mit falschem Namen
oin notna, 21.07.2014 19:13, 1 Antworten
Hallo liebe Community, Ich habe mit Apache einen Server aufgesetzt. Soweit, so gut. Im Heimnet...