Avira kann auch ICAP

In der Sicherheitsarchitektur eines Unternehmens darf ein Proxy Server nicht fehlen, der die Unternehmensrichtlinie zur Kommunikation mit dem Internet durchsetzt. Sein Partner im Team ist ein Server, der die Inhalte der Kommunikation durchsucht und bewertet. Das Protokoll zwischen beiden ist das Internet Content Adaptation Protocol, kurz ICAP. Auch der deutsche Hersteller Avira GmbH hat einen solchen ICAP Server im Programm.

Trennung der Aufgaben

Die Funktionen "Durchsetzen der Richtlinie" für den Proxy einerseits und "Bewertung des Inhalts" auf dem ICAP Server andererseits sind bewusst getrennt: Das Scannen des Inhalts verursacht in der Regel eine höhere Last. Mit der Auslagerung erreicht man sofort eine Entlastung des Proxies. Andererseits kann ein Proxy Server meist auch mehrere Scanner Server nutzen: Die Last wird auf noch mehr Schultern (oder Prozessoren) verteilt. Auch ist das Gesamtsystem besser gegen Ausfall eines Server geschützt. Wirklich grosse Installationen nutzen meist zusätzlich Loadbalancer, um die Leistung der Proxy Server Farm noch weiter zu steigern.

Schadsoftware und Anderes

Eine Richtlinie im Unternehmen kann zum Beispiel sein, dass keine erkannte Schadsoftware ins interne Netz gelangen darf. Der Proxy Server sendet die Daten, die er aus dem Internet geladen hat zum Scanner und bittet ihn um die Bewertung. Der Scanner untersucht die Daten und meldet zum Beispiel, ob ein Virus gefunden wurde, oder ob die Daten nicht zu beanstanden sind. Der ist das gleiche Prinzip wie die Überprüfung einer Mail bevor sie im Postfach eines Benutzers landet.

Gute Scanner können nicht nur die Daten Scannen, sondern auch noch bewerten: Je nach Kategorie der Schadsoftware kann der Proxy dann entscheinden, was zu tun ist.

Eine schöne Funktion, die jeder Scanner beherrschen sollte ist das Trickeling: Wenn eine grosse Datenmenge zu scannen ist, meldet sich der Scanner mit einer Antwort beim einliefernden Server zurück, so dass die Verbindung nicht abreisst. Kleine Datenhäppchen werden schon zurückgegeben, solange der Scanner im Hintergrund noch arbeitet. Der Proxy weiss so, dass seine Anfrage immer noch bearbeitet wird und läuft nicht in ein Timeout.

Avira

Die Testsoftware, die ich von Avira bekommen habe, ist leicht zu installieren. Einfach das Archiv an passender Stelle entpacken. In meinem System habe ich die Dateien unter /etc/HBEDV gespeichert. Die Verzeichnisstruktur ist eindeutig und unter doc findet man eine ASCII Datei mit der kompletten Dokumentation. Für den ersten Test brauchte ich die Konfigurationsdatei aber gar nicht anpassen.

Squid

Als Proxy kan ein Squid in Version 3.3.8 zum Einsatz. Mit den Optionen

icap_enable on
icap_service service_avi_respmod respmode_precache icap://127.0.0.1:1344/service_scanner bypass=0
icap_service service_avi_reqmode reqmod_precache icap://127.0.0.1:1344/service_scanner routing=on
adaptation_service_set class_antivirus_respmod service_avi_respmod
adaptation_service_set class_antivirus_reqmod service_avi_reqmod
adaptation_access class_antivirus_respmod allow all
adaptation_access class_antivirus_reqmod allow all

lässt sich der Scanner von Avira einfach einbinden.

Testbetrieb

Als erstes muss der ICAP Server starten. Für einen Test reicht die Kommandozeile:

/opt/HBEDV/bin/av-icapd -P <Produkt-ID>

Die ID des Produktes erhält man natürlich mit der Software. Sie kann auch in der Konfigurationsdatei hinterlegt werden.

Sobald man sich überzeugt hat, dass der ICAP Server auf Port 1344/tcp seinen Dienst aufgenommen hat, kann man den Proxy Dienst starten und seinen Browser so konfigurieren, dass er diesen nutzt. Erste Tests zeigen, dass sich das Surfen im Internet nicht merklich verlangsamt.

Aber die wahre Bewährungsprobe stellt ein Virus dar, den der Proxy blockieren soll. Auf der Webseite des EICAR Vereins findet sich im Download Bereich ein Testschädling, den jeder Virenscanner erkennen sollte. Und tatsächlich, im Browser erscheint eine kaum zu übersehende Warnung:

Warnung vor der EICAR Testdatei

Die Warnung vor schädlicher Software, die von Scanner erkannt und von Proxy gestopprt wurde, kann nicht deutlicher ausfallen.

Die restlichen Funktionen, wie das Update der Virenpattern oder der Scanengine habe ich für diesen Test nicht weiter ausprobiert, weil ich von anderen Tests weiss, dass dieses funktioniert.

Fazit

Alles in allen is der av-icapd eine schöne ICAP Lösung für den Einsatz in Proxysystemen von Unternehmen. Die Installation ist einfach, und die Scanengine ist, je nach Ausbau des Scanservers, ausreichend schnell. Und dass Avira in der Spitzengruppe bei der Erkennung von Schadsoftware ist, zeigen die alljährlichen Test z. B. von AV-Comparatives.

Bitte mailen Sie mir, wenn Sie noch Fragen haben: ms@sys4.de


Comments

  1. H+BEDV

    H+BEDV (3 years, 4 months) # Reply

    Hallo Michael,

    Avira das ist doch diese Firma aus Tettnang, die den Linuxsupport komplett eingestellt hat ?!
    http://www.avira.com/en/support-for-home-knowledgebase-detail/kbid/1491

    Und ICAP ist m.E. ja sowas von 200x.

    Gruss Sebastian

Comments are closed.