AA_guard_lettieb_sxc_1240349.jpg

© Lettieb, sxc.hu

Zeroshell-Workshop: Transparenter Proxy-Server mit Virenscanner

Strenge Wache

Heterogene Netzwerke bieten Viren eine breite Angriffsfläche. Mit einem Duo aus Proxy-Server und Virenscanner weisen Sie Angriff schon am Eingangstor ab.

Zeroshell-Workshop

Teil 1 – Zeroshell aufsetzen LU 07/2013, S. 22 http://www.linux-community.de/29626
Teil 2 – Routing und WLAN-Bridge LU 08/2013, S. 38 http://www.linux-community.de/29993
Teil 3 – Firewall einrichten LU 09/2013, S. 66 http://www.linux-community.de/30220
Teil 4 -- Proxy und AV-Scanner LU 10/2013, S.**### http://www.linux-community.de/30471

Linux gilt als konzeptionell sicheres Betriebssystem, das Schädlinge kaum aus der Ruhe bringen. Viren, Trojaner, Rootkits und andere unerwünschte Begleiter auf der heimischen Festplatte gelingt es unter dem freien Betriebssystem nur selten, destruktive Aktivitäten zu entfalten.

Ganz anders sieht es dagegen aus, wenn Sie in Ihrem Heim- oder Firmennetz zusätzlich Windows-Rechner einsetzen: Diese bieten reichlich Angriffsfläche. Der administrative Aufwand, solche Computer aus der Schusslinie zu nehmen, steigt mit der Anzahl installierter Windows-PCs signifikant.

Doch es geht einfach und professionell: Statt auf jedem gefährdeten Client im Netz zeit- und arbeitsaufwendig Virenscanner, URL-Filter und weitere Zusatzsoftware zu installieren und zu pflegen, bietet es sich an, einen Zeroshell-Server als zentralen Proxy mit integriertem Scanner zu konfigurieren, der jeglichen Datenstrom untersucht und dann entsprechend weiterleitet oder blockiert.

Proxy-Server

Unter Linux hat sich Squid als Proxy-Server einen guten Namen gemacht. Er ist meistens als Caching-Proxy konfiguriert, der Webseiten zwischenspeichert und bei einem erneuten Zugriff schneller für den Client bereit stellt. Obendrein spart das Puffern Bandbreite.

Zeroshell beschreitet jedoch andere Wege: Als HTTP-Proxy kommt hier nicht Squid zum Einsatz, sondern dessen weniger bekannter Kollege HAVP [1]. Das Programm ist als transparenter Proxy konzipiert, den die Clients im Intranet nicht als solchen bemerken. Er übernimmt die Aufgabe, mithilfe des nachgeschalteten Antivirus-Programms ClamAV [2] alle Inhalte auf Integrität zu prüfen.

Konfiguration

Um auf dem Zeroshell-Rechner HAVP mit ClamAV aufzusetzen, rufen Sie die grafische Zeroshell-Oberfläche auf und wechseln in das Menü Security | HTTP Proxy. Sie gelangen in ein übersichtlich aufgebautes Fenster, das sowohl die Installation des Proxy-Servers als auch des Virenschutzes gestattet.

Zunächst definieren Sie die Schnittstelle, deren Anfragen Sie durch den Server leiten wollen. Es handelt sich hierbei um jenes Interface, das die Client-Anfragen aus dem Intranet weiterleitet. Das setzt voraus, das Sie diese Schnittstelle in Zeroshell als Gateway konfigurieren. Das erledigen Sie im Menü Setup | Network | GATEWAY.

Anschließend klicken Sie im Menü Security | HTTP Proxy unter HTTP Capturing Rules auf den Plus-Schalter. Im sich nun öffnenden Fenster geben Sie die überwachte Schnittstelle ein (Abbildung 1). Im Feld Action aktivieren Sie zusätzlich den Eintrag Capture Request. Nach Abschluss der Konfiguration sichern Sie die Einstellungen mit einem Klick auf Save.

Abbildung 1: Mit wenigen Klicks ist die Proxy-Schnittstelle definiert.

In diesem Fenster haben Sie auch die Möglichkeit, zusätzlich Quell- und Zielnetze sowie einzelne IP-Adressen einzugeben, um den Bereich der zu scannenden Clients einzuschränken. Möchten Sie den Datenverkehr zu einer Schnittstelle oder IP-Adresse von der Umleitung über den Proxy-Server ausnehmen, tragen Sie diese ebenfalls in der Liste ein, und zwar mit der Option Do not Capture Request im Feld Action.

Der Ausschluss von IP-Adressen aus bestimmten Subnetzen ist dann sinnvoll, wenn im Teilnetz oder mit der betroffenen IP-Adresse ein Webserver arbeitet, der den Zugriff auf seine Inhalte mithilfe von ACLs steuert. Würden Anfragen an diesen Webserver aus dem Intranet über den Proxy-Server geleitet, so müsste dieser alle diese Anfragen blockieren, wenn die einzelnen IP-Adressen der anfragenden Clients in den ACL-Listen hinterlegt sind.

Zeroshell zeigt die konfigurierten Regeln nach dem Sichern in Form einer Liste an. Starten Sie nun in einem weiteren Schritt den Proxy-Dienst durch Setzen eines Häkchens in der Box Enabled. Der Start des Servers nimmt dabei einige Zeit in Anspruch.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare

Infos zur Publikation

title_2016_06

Digitale Ausgabe: Preis € 5,99
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Aktuelle Fragen

Ideenwettbewerb
G.-P. Möller, 28.05.2016 10:57, 0 Antworten
Liebe User, im Rahmen eines großen Forschungsprojekts am Lehrstuhl für Technologie- und Innova...
Welche Drucker sind Linux-mint kompatibel?
Johannes Nacke, 20.05.2016 07:32, 4 Antworten
Hallo Ihr Lieben, ich bitte um mitteilung welche Drucker Kompatibel sind mit Linux-Mint. LG Joh...
MS LifeCam HD-5000 an Debian
Kay Michael, 13.04.2016 22:55, 0 Antworten
Hallo, ich versuche die oben erwähnte Cam an einem Thin Client mit Debian zu betreiben. Linux...
Import von Evolution nach KMail erzeugt nur leere Ordner
Klaus-Christian Falkner, 06.04.2016 12:57, 3 Antworten
Hallo, da ich vor einiger Zeit von Ubuntu auf Kubuntu umgestiegen bin, würde ich gerne meine E...
Sophos lässt sich nicht unter Lubuntu installieren
Chrstina Turm, 30.03.2016 20:56, 3 Antworten
Hi Leute, habe mir vor paar Tagen auf ein Notebook, das ohne Linux ausgedient hätte, Linux dr...