AA_guard_lettieb_sxc_1240349.jpg

© Lettieb, sxc.hu

Zeroshell-Workshop: Transparenter Proxy-Server mit Virenscanner

Strenge Wache

Heterogene Netzwerke bieten Viren eine breite Angriffsfläche. Mit einem Duo aus Proxy-Server und Virenscanner weisen Sie Angriff schon am Eingangstor ab.

Zeroshell-Workshop

Teil 1 – Zeroshell aufsetzen LU 07/2013, S. 22 http://www.linux-community.de/29626
Teil 2 – Routing und WLAN-Bridge LU 08/2013, S. 38 http://www.linux-community.de/29993
Teil 3 – Firewall einrichten LU 09/2013, S. 66 http://www.linux-community.de/30220
Teil 4 -- Proxy und AV-Scanner LU 10/2013, S.**### http://www.linux-community.de/30471

Linux gilt als konzeptionell sicheres Betriebssystem, das Schädlinge kaum aus der Ruhe bringen. Viren, Trojaner, Rootkits und andere unerwünschte Begleiter auf der heimischen Festplatte gelingt es unter dem freien Betriebssystem nur selten, destruktive Aktivitäten zu entfalten.

Ganz anders sieht es dagegen aus, wenn Sie in Ihrem Heim- oder Firmennetz zusätzlich Windows-Rechner einsetzen: Diese bieten reichlich Angriffsfläche. Der administrative Aufwand, solche Computer aus der Schusslinie zu nehmen, steigt mit der Anzahl installierter Windows-PCs signifikant.

Doch es geht einfach und professionell: Statt auf jedem gefährdeten Client im Netz zeit- und arbeitsaufwendig Virenscanner, URL-Filter und weitere Zusatzsoftware zu installieren und zu pflegen, bietet es sich an, einen Zeroshell-Server als zentralen Proxy mit integriertem Scanner zu konfigurieren, der jeglichen Datenstrom untersucht und dann entsprechend weiterleitet oder blockiert.

Proxy-Server

Unter Linux hat sich Squid als Proxy-Server einen guten Namen gemacht. Er ist meistens als Caching-Proxy konfiguriert, der Webseiten zwischenspeichert und bei einem erneuten Zugriff schneller für den Client bereit stellt. Obendrein spart das Puffern Bandbreite.

Zeroshell beschreitet jedoch andere Wege: Als HTTP-Proxy kommt hier nicht Squid zum Einsatz, sondern dessen weniger bekannter Kollege HAVP [1]. Das Programm ist als transparenter Proxy konzipiert, den die Clients im Intranet nicht als solchen bemerken. Er übernimmt die Aufgabe, mithilfe des nachgeschalteten Antivirus-Programms ClamAV [2] alle Inhalte auf Integrität zu prüfen.

Konfiguration

Um auf dem Zeroshell-Rechner HAVP mit ClamAV aufzusetzen, rufen Sie die grafische Zeroshell-Oberfläche auf und wechseln in das Menü Security | HTTP Proxy. Sie gelangen in ein übersichtlich aufgebautes Fenster, das sowohl die Installation des Proxy-Servers als auch des Virenschutzes gestattet.

Zunächst definieren Sie die Schnittstelle, deren Anfragen Sie durch den Server leiten wollen. Es handelt sich hierbei um jenes Interface, das die Client-Anfragen aus dem Intranet weiterleitet. Das setzt voraus, das Sie diese Schnittstelle in Zeroshell als Gateway konfigurieren. Das erledigen Sie im Menü Setup | Network | GATEWAY.

Anschließend klicken Sie im Menü Security | HTTP Proxy unter HTTP Capturing Rules auf den Plus-Schalter. Im sich nun öffnenden Fenster geben Sie die überwachte Schnittstelle ein (Abbildung 1). Im Feld Action aktivieren Sie zusätzlich den Eintrag Capture Request. Nach Abschluss der Konfiguration sichern Sie die Einstellungen mit einem Klick auf Save.

Abbildung 1: Mit wenigen Klicks ist die Proxy-Schnittstelle definiert.

In diesem Fenster haben Sie auch die Möglichkeit, zusätzlich Quell- und Zielnetze sowie einzelne IP-Adressen einzugeben, um den Bereich der zu scannenden Clients einzuschränken. Möchten Sie den Datenverkehr zu einer Schnittstelle oder IP-Adresse von der Umleitung über den Proxy-Server ausnehmen, tragen Sie diese ebenfalls in der Liste ein, und zwar mit der Option Do not Capture Request im Feld Action.

Der Ausschluss von IP-Adressen aus bestimmten Subnetzen ist dann sinnvoll, wenn im Teilnetz oder mit der betroffenen IP-Adresse ein Webserver arbeitet, der den Zugriff auf seine Inhalte mithilfe von ACLs steuert. Würden Anfragen an diesen Webserver aus dem Intranet über den Proxy-Server geleitet, so müsste dieser alle diese Anfragen blockieren, wenn die einzelnen IP-Adressen der anfragenden Clients in den ACL-Listen hinterlegt sind.

Zeroshell zeigt die konfigurierten Regeln nach dem Sichern in Form einer Liste an. Starten Sie nun in einem weiteren Schritt den Proxy-Dienst durch Setzen eines Häkchens in der Box Enabled. Der Start des Servers nimmt dabei einige Zeit in Anspruch.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 09/2016: Ciao, Windows!

Digitale Ausgabe: Preis € 5,99
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

Scannen nicht möglich
Werner Hahn, 19.08.2016 22:33, 3 Antworten
Laptop DELL Latitude E6510 mit Ubuntu 16,04, Canon Pixma MG5450. Das Drucken funktioniert, Scann...
Wie kann man das berichtigen
Udo Muelle, 17.07.2016 20:39, 1 Antworten
Fehlschlag beim Holen von http://extra.linuxmint.com/dists/rosa/main/binary-i386/Packages Hash-S...
Installation Genimotion
Horst Müller, 15.07.2016 17:00, 1 Antworten
Hallo, ich kann Genimotion nicht installieren. Folgende Fehlermeldung habe ich beim Aufruf erh...
Probleme beim Hochfahren der Terastaion 5400 mit Unix-Distrib
Sheldon Cooper, 10.07.2016 09:32, 0 Antworten
Hallo ihr lieben, habe seit zwei Tagen das Problem, das das NAS (Raid5) nicht mehr sauber hoch...
Mit Firewire Videos improtieren?
Werner Hahn, 09.06.2016 11:06, 5 Antworten
Ich besitze den Camcorder Panasonic NV-GS330, bei dem die Videos in guter Qualität nur über den 4...