AA_guard_lettieb_sxc_1240349.jpg

© Lettieb, sxc.hu

Strenge Wache

Zeroshell-Workshop: Transparenter Proxy-Server mit Virenscanner

23.09.2013
Heterogene Netzwerke bieten Viren eine breite Angriffsfläche. Mit einem Duo aus Proxy-Server und Virenscanner weisen Sie Angriff schon am Eingangstor ab.

Zeroshell-Workshop

Teil 1 – Zeroshell aufsetzen LU 07/2013, S. 22 http://www.linux-community.de/29626
Teil 2 – Routing und WLAN-Bridge LU 08/2013, S. 38 http://www.linux-community.de/29993
Teil 3 – Firewall einrichten LU 09/2013, S. 66 http://www.linux-community.de/30220
Teil 4 -- Proxy und AV-Scanner LU 10/2013, S.**### http://www.linux-community.de/30471

Linux gilt als konzeptionell sicheres Betriebssystem, das Schädlinge kaum aus der Ruhe bringen. Viren, Trojaner, Rootkits und andere unerwünschte Begleiter auf der heimischen Festplatte gelingt es unter dem freien Betriebssystem nur selten, destruktive Aktivitäten zu entfalten.

Ganz anders sieht es dagegen aus, wenn Sie in Ihrem Heim- oder Firmennetz zusätzlich Windows-Rechner einsetzen: Diese bieten reichlich Angriffsfläche. Der administrative Aufwand, solche Computer aus der Schusslinie zu nehmen, steigt mit der Anzahl installierter Windows-PCs signifikant.

Doch es geht einfach und professionell: Statt auf jedem gefährdeten Client im Netz zeit- und arbeitsaufwendig Virenscanner, URL-Filter und weitere Zusatzsoftware zu installieren und zu pflegen, bietet es sich an, einen Zeroshell-Server als zentralen Proxy mit integriertem Scanner zu konfigurieren, der jeglichen Datenstrom untersucht und dann entsprechend weiterleitet oder blockiert.

Proxy-Server

Unter Linux hat sich Squid als Proxy-Server einen guten Namen gemacht. Er ist meistens als Caching-Proxy konfiguriert, der Webseiten zwischenspeichert und bei einem erneuten Zugriff schneller für den Client bereit stellt. Obendrein spart das Puffern Bandbreite.

Zeroshell beschreitet jedoch andere Wege: Als HTTP-Proxy kommt hier nicht Squid zum Einsatz, sondern dessen weniger bekannter Kollege HAVP [1]. Das Programm ist als transparenter Proxy konzipiert, den die Clients im Intranet nicht als solchen bemerken. Er übernimmt die Aufgabe, mithilfe des nachgeschalteten Antivirus-Programms ClamAV [2] alle Inhalte auf Integrität zu prüfen.

Konfiguration

Um auf dem Zeroshell-Rechner HAVP mit ClamAV aufzusetzen, rufen Sie die grafische Zeroshell-Oberfläche auf und wechseln in das Menü Security | HTTP Proxy. Sie gelangen in ein übersichtlich aufgebautes Fenster, das sowohl die Installation des Proxy-Servers als auch des Virenschutzes gestattet.

Zunächst definieren Sie die Schnittstelle, deren Anfragen Sie durch den Server leiten wollen. Es handelt sich hierbei um jenes Interface, das die Client-Anfragen aus dem Intranet weiterleitet. Das setzt voraus, das Sie diese Schnittstelle in Zeroshell als Gateway konfigurieren. Das erledigen Sie im Menü Setup | Network | GATEWAY.

Anschließend klicken Sie im Menü Security | HTTP Proxy unter HTTP Capturing Rules auf den Plus-Schalter. Im sich nun öffnenden Fenster geben Sie die überwachte Schnittstelle ein (Abbildung 1). Im Feld Action aktivieren Sie zusätzlich den Eintrag Capture Request. Nach Abschluss der Konfiguration sichern Sie die Einstellungen mit einem Klick auf Save.

Abbildung 1: Mit wenigen Klicks ist die Proxy-Schnittstelle definiert.

In diesem Fenster haben Sie auch die Möglichkeit, zusätzlich Quell- und Zielnetze sowie einzelne IP-Adressen einzugeben, um den Bereich der zu scannenden Clients einzuschränken. Möchten Sie den Datenverkehr zu einer Schnittstelle oder IP-Adresse von der Umleitung über den Proxy-Server ausnehmen, tragen Sie diese ebenfalls in der Liste ein, und zwar mit der Option Do not Capture Request im Feld Action.

Der Ausschluss von IP-Adressen aus bestimmten Subnetzen ist dann sinnvoll, wenn im Teilnetz oder mit der betroffenen IP-Adresse ein Webserver arbeitet, der den Zugriff auf seine Inhalte mithilfe von ACLs steuert. Würden Anfragen an diesen Webserver aus dem Intranet über den Proxy-Server geleitet, so müsste dieser alle diese Anfragen blockieren, wenn die einzelnen IP-Adressen der anfragenden Clients in den ACL-Listen hinterlegt sind.

Zeroshell zeigt die konfigurierten Regeln nach dem Sichern in Form einer Liste an. Starten Sie nun in einem weiteren Schritt den Proxy-Dienst durch Setzen eines Häkchens in der Box Enabled. Der Start des Servers nimmt dabei einige Zeit in Anspruch.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 01/2015: E-Books im Griff

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Ubuntu 14.10 und VirtualBox
Ubuntu 14.10 und VirtualBox
Tim Schürmann, 08.11.2014 18:45, 0 Kommentare

Wer Ubuntu 14.10 in einer virtuellen Maschine unter VirtualBox startet, der landet unter Umständen in einem Fenster mit Grafikmüll. Zu einem korrekt ...

Aktuelle Fragen

PCLinuxOS Version 2014.08 "FullMonty" Umstellung auf deutsch
Karl-Heinz Welz, 19.12.2014 09:55, 3 Antworten
Hallo, liebe Community, ich bin 63 Jahre alt und möchte jetzt nach Jahrzehnten Windows zu Linux...
ICEauthority
Thomas Mann, 17.12.2014 14:49, 2 Antworten
Fehlermeldung beim Start von Linux Mint: Could not update ICEauthority file / home/user/.ICEauth...
Linux einrichten
Sigrid Bölke, 10.12.2014 10:46, 5 Antworten
Hallo, liebe Community, bin hier ganz neu,also entschuldigt,wenn ich hier falsch bin. Mein Prob...
Externe USB-Festplatte mit Ext4 formatiert, USB-Stick wird nicht mehr eingebunden
Wimpy *, 02.12.2014 16:31, 0 Antworten
Hallo, ich habe die externe USB-FP, die nur für Daten-Backup benutzt wird, mit dem YaST-Partition...
Steuern mit Linux
Siegfried Markner, 01.12.2014 11:56, 2 Antworten
Welches Linux eignet sich am besten für Steuerungen.