Heterogene Netzwerke bieten Viren eine breite Angriffsfläche. Mit einem Duo aus Proxy-Server und Virenscanner weisen Sie Angriff schon am Eingangstor ab.

Linux gilt als konzeptionell sicheres Betriebssystem, das Schädlinge kaum aus der Ruhe bringen. Viren, Trojaner, Rootkits und andere unerwünschte Begleiter auf der heimischen Festplatte gelingt es unter dem freien Betriebssystem nur selten, destruktive Aktivitäten zu entfalten.

Ganz anders sieht es dagegen aus, wenn Sie in Ihrem Heim- oder Firmennetz zusätzlich Windows-Rechner einsetzen: Diese bieten reichlich Angriffsfläche. Der administrative Aufwand, solche Computer aus der Schusslinie zu nehmen, steigt mit der Anzahl installierter Windows-PCs signifikant.

Doch es geht einfach und professionell: Statt auf jedem gefährdeten Client im Netz zeit- und arbeitsaufwendig Virenscanner, URL-Filter und weitere Zusatzsoftware zu installieren und zu pflegen, bietet es sich an, einen Zeroshell-Server als zentralen Proxy mit integriertem Scanner zu konfigurieren, der jeglichen Datenstrom untersucht und dann entsprechend weiterleitet oder blockiert.

Proxy-Server

Unter Linux hat sich Squid als Proxy-Server einen guten Namen gemacht. Er ist meistens als Caching-Proxy konfiguriert, der Webseiten zwischenspeichert und bei einem erneuten Zugriff schneller für den Client bereit stellt. Obendrein spart das Puffern Bandbreite.

Zeroshell beschreitet jedoch andere Wege: Als HTTP-Proxy kommt hier nicht Squid zum Einsatz, sondern dessen weniger bekannter Kollege HAVP [1]. Das Programm ist als transparenter Proxy konzipiert, den die Clients im Intranet nicht als solchen bemerken. Er übernimmt die Aufgabe, mithilfe des nachgeschalteten Antivirus-Programms ClamAV [2] alle Inhalte auf Integrität zu prüfen.

Konfiguration

Um auf dem Zeroshell-Rechner HAVP mit ClamAV aufzusetzen, rufen Sie die grafische Zeroshell-Oberfläche auf und wechseln in das Menü Security | HTTP Proxy. Sie gelangen in ein übersichtlich aufgebautes Fenster, das sowohl die Installation des Proxy-Servers als auch des Virenschutzes gestattet.

Zunächst definieren Sie die Schnittstelle, deren Anfragen Sie durch den Server leiten wollen. Es handelt sich hierbei um jenes Interface, das die Client-Anfragen aus dem Intranet weiterleitet. Das setzt voraus, das Sie diese Schnittstelle in Zeroshell als Gateway konfigurieren. Das erledigen Sie im Menü Setup | Network | GATEWAY.

Anschließend klicken Sie im Menü Security | HTTP Proxy unter HTTP Capturing Rules auf den Plus-Schalter. Im sich nun öffnenden Fenster geben Sie die überwachte Schnittstelle ein (Abbildung 1). Im Feld Action aktivieren Sie zusätzlich den Eintrag Capture Request. Nach Abschluss der Konfiguration sichern Sie die Einstellungen mit einem Klick auf Save.

Abbildung 1: Mit wenigen Klicks ist die Proxy-Schnittstelle definiert.

In diesem Fenster haben Sie auch die Möglichkeit, zusätzlich Quell- und Zielnetze sowie einzelne IP-Adressen einzugeben, um den Bereich der zu scannenden Clients einzuschränken. Möchten Sie den Datenverkehr zu einer Schnittstelle oder IP-Adresse von der Umleitung über den Proxy-Server ausnehmen, tragen Sie diese ebenfalls in der Liste ein, und zwar mit der Option Do not Capture Request im Feld Action.

Der Ausschluss von IP-Adressen aus bestimmten Subnetzen ist dann sinnvoll, wenn im Teilnetz oder mit der betroffenen IP-Adresse ein Webserver arbeitet, der den Zugriff auf seine Inhalte mithilfe von ACLs steuert. Würden Anfragen an diesen Webserver aus dem Intranet über den Proxy-Server geleitet, so müsste dieser alle diese Anfragen blockieren, wenn die einzelnen IP-Adressen der anfragenden Clients in den ACL-Listen hinterlegt sind.

Zeroshell zeigt die konfigurierten Regeln nach dem Sichern in Form einer Liste an. Starten Sie nun in einem weiteren Schritt den Proxy-Dienst durch Setzen eines Häkchens in der Box Enabled. Der Start des Servers nimmt dabei einige Zeit in Anspruch.

Warteschleife

Im Test blieb der Jetway-PC beim Start des Proxys zunächst in einer Schleife hängen. Eine Prüfung der Log-Dateien – Sie erreichen diese in der Konfiguration über die Schaltflächen Proxy Log und AntiVirus Log — ergab, dass ClamAV nicht in der Lage war, die Signaturdatenbank beim Start des Proxys automatisch auf den aktuellen Stand zu bringen, da es deren Quelle im Internet nicht erreichte.

In diesem Fall sollten Sie zunächst prüfen, ob die Konfiguration des Netzwerks korrekt ist, denn zum Update von ClamAV ist ein funktionierender Internetzugang Pflicht. Klappt trotz korrekter Konfiguration kein Zugriff auf den voreingestellten Server, stellen Sie im rechten Bereich der Konfiguration im Feld Country of the Mirror einen anderen Spiegel-Server ein, der die Virensignaturen liefert. Im Test gelang es schließlich, den deutschen Server zu erreichen (Abbildung 2).

Abbildung 2: ClamAV bringt nach dem Start zunächst die Datenbank mit den Signaturen der bekannten Viren auf den aktuellen Stand bringen.

Im gleichen Bereich – ClamAV Antivirus Configuration – haben Sie zudem die Möglichkeit, das automatische Update zu deaktivieren (was sich nicht empfiehlt) und die tägliche Frequenz für Updates festzulegen. Zeroshell arbeitet diese Aufgaben sodann zuverlässig im Hintergrund ab.

Zusätzlich legen in diesem Bereich noch fest, ob die Antiviren-Software Bilddateien auf Viren hin untersucht. Die Software unterstützt dabei die Formate JPG, GIF und PNG, was die wichtigsten im Internet genutzten Bilddateien abdeckt.

Schwarze Liste

Neben dem reinen Prüfen auf Schadsoftware bringt Zeroshell zusätzlich einen URL-Filter mit. Er ermöglicht, unerwünschte Webseiten anhand einer Blacklist zu blockieren. Da der Filter Wildcards unterstützt, müssen Sie nicht jede zu blockierende URL einzeln in die Liste eintragen, sondern sperren bei Bedarf mit einem einzigen Eintrag ganze Adressräume.

Außerdem bietet die Software die Möglichkeit, mithilfe einer Whitelist, die Zugriff auf einzelne Webseiten gewährt, den URL-Filter zu verfeinern. Die Whitelist genießt gegenüber der Blacklist in Zeroshell eine höhere Priorität, sodass die Software – falls sie ein auf eine Website zutreffendes Muster in beiden Listen findet – den Zugriff freischaltet.

Sie erreichen den URL-Filter in den Einstellungen des Proxy-Servers unten rechts unter URL Management. Direkt nach der Installation sind beide Listen inaktiv. Sie aktivieren die gewünschte Liste mit einem Klick auf die Schaltfläche Disabled und anschließender Auswahl von Enabled.

Danach klicken Sie auf die Schaltfläche Manage und geben im Fenster Proxy BlackList die zu blockierenden Adressen ein. Sobald Sie die Liste vervollständigt haben, sichern Sie diese durch einen Klick auf Save. Der URL-Filter ist nun einsatzbereit. Analog dazu schalten Sie bei Bedarf einzelne Adressen durch einen Eintrag in der Whitelist frei (Abbildung 3).

Abbildung 3: Über die Blacklist sperren Sie den Zugriff auf unerwünschte Webseiten.

Test

Nach dem Konfigurieren sollten Sie die Funktion des Servers testen, um sicherzugehen, dass die HTTP-Anfragen aus Ihrem Intranet wirklich den Proxy-Server durchlaufen und dieser die Pakete zuverlässig überprüft.

Um den URL-Filter zu testen, rufen Sie dazu aus Ihrem LAN eine der per Blacklist gesperrten Webseiten auf. HAVP blendet dann eine schlichte Seite mit dem dezenten Hinweis ein, dass die URL blockiert ist (Abbildung 4). Deutlich aufwändiger fallen Tests der Antiviren-Software aus, da Sie hierbei versehentlich Clients im Intranet kompromittieren könnten, wenn Sie den Filter nicht korrekt konfiguriert haben.

Abbildung 4: HAVP gibt eine Nachricht bei geblockten Webseiten aus.

Prüfen Sie deshalb zunächst, ob Sie das Zeroshell-System korrekt als Router oder Bridge konfiguriert haben. Insbesondere interessieren dabei die Einstellungen zur Network Address Translation (NAT) im Menü Setup | Network | NAT: Achten Sie darauf, dass die entsprechenden Ethernet-Schnittstellen, durch Sie die Pakete leiten wollen, aktiviert sind.

Anschließend prüfen Sie die Einstellung zum Standard-Gateway, um sicherzugehen, dass Sie einen Zugang zum Internet haben. Vergewissern Sie sich, dass im Konfigurationsfenster HTTP Proxy | HTTP Capturing Rules die Interfaces eingetragen und die Dienste aktiviert sind. Der Proxy-Server zeigt in diesem Fall im Feld Status den grünen Schriftzug ACTIVE an.

In einem letzten Schritt vergewissern Sie sich, dass die Signaturen der Antiviren-Software auf dem aktuellen Stand sind. Zeroshell hat nach der Installation von einem optischen Datenträger oder USB-Stick veraltete Signaturen mit an Bord, welche die Distribution nach Aktivieren des Proxys jedoch eigenständig zu aktualisieren versucht.

Ist zu dieser Zeit der Zeroshell-Rechner nicht korrekt konfiguriert und hat deshalb keinen Zugriff auf das Internet, sind die Signaturen nicht auf dem neusten Stand. Sie sollten daher in den Einstellungen des Proxys prüfen, ob ClamAV aktuell ist. Klicken Sie dazu auf die Schaltfläche Proxy Log und wählen Sie oben mittig im Feld Section die Option freshclam.

Der Log Viewer präsentiert nun alle zum Update der Virensignaturen nötigen Informationen. Finden Sie hier im unteren Bereich der Liste eine Zeile mit dem Beginn Database updated …, so befinden sich Ihre Signaturen auf dem aktuellen Stand.

Stimmen alle Voraussetzungen, steht einem Test nichts mehr entgegen. Rufen Sie dazu von einem Client im LAN die URL http://meineipadresse.de/html/testvirus.php auf. Hier finden Sie Archive, die mit einem Testvirus infiziert sind. Ein Klick auf eine der Dateien resultiert bei aktivem ClamAV-Scanner anstelle des Downloads in einer schlichten Meldung vom Proxy, dass das Herunterladen der Datei nicht erlaubt ist (Abbildung 5).

Abbildung 5: Das Duo HAVP/ClamAV hat hier ein Virus blockiert.

Zusätzlich besteht die Möglichkeit, zentral auf dem Zeroshell-System alle wegen Virenbefalls blockierten Seitenaufrufe aus dem Intranet anzusehen. Dazu klicken Sie im Fenster mit den Einstellungen des Proxy-Servers oben rechts auf die Schaltfläche AntiVirus Log.

Im Log Viewer zeigt Ihnen Zeroshell nun alle von ClamAV entdeckte Schadsoftware ebenso wie die IP-Adresse der aufrufenden Arbeitsstation, die gesuchte URL und die Uhrzeit. Das ermöglicht, den Filter durch sorgfältiges Studieren der Log-Daten detaillierter zu justieren (Abbildung 6).

Abbildung 6: Die Logdatei zeigt alle problematischen Daten an.

Fazit

Insbesondere in heterogenen Umgebungen geht von Schadsoftware eine hohe Gefahr aus. Zeroshell bietet hier dank des freien Proxys HAVP und der ebenfalls freien Antiviren-Software ClamAV einen wirkungsvollen Schutz. Der Server ermöglicht darüber hinaus die Option, den Aufruf unerwünschter Webseiten zu blockieren.

Im Test arbeitete das Duo HAVP/ClamAV mit geringen Latenzzeiten, was den Schutz stark frequentierter Intranets mittlerer Größe erlaubt, ohne dass sich der Zugriff auf Webseiten merklich verlangsamt. Dank der grafischen Oberfläche haben Sie den Proxy und die Antiviren-Software innerhalb weniger Minuten konfiguriert.