Der Web-Proxy HAVP benutzt ClamAV um Malware herausfiltern
Das WorldWideWeb ist wohl eines der größten Einfallstore für Schadware jeglicher Art. Ein zentral aufgestellter Proxy, der sämtlichen Datenverkehr scannt, schafft größere Sicherheit im Netzwerk. Neben bekannten Proxies wie etwa Squid [1] gibt es auch Spezialisten wie HAVP [2], die genau diese Scanfunktion anbieten.
Wohin im Web Mitarbeiter und Familienangehörige surfen, kann man sich kaum ausmalen, selbst in die alleroffensichtlichsten Fallen wird hineingetappt wenn nur das Angebot verlockend genug ist. Ein Klick und schon kann der Rechner verseucht sein.
Viren, Würmer, Trojaner, alle warten sie nur auf ihre Gelegenheit.
Eine Möglichkeit, sich zu schützen ist, allen Web-Traffic per Proxy durch einen Virenscanner zu schicken, Ein sehr netter Vertreter dieser Art ist der “HTTP Anti Virus Proxy”, kurz HAVP [1]. Unter Debian [5] ist er schnell per apt-get install havp installiert. Er lauscht dann auf Port 8080.
Eine andere, sehr elegante Lösung fand ich in einem HAVP-Leserbrief von Dirk Nehring [3]. Hier werden die Möglichkeiten, die HAVP und Squid bieten, kombiniert. Wir können z.B. die Authentifizierungs- und Cache-Funktionen von Squid nutzen, und haben zusätzlich die Virenerkennung von HAVP/ClamAV. Beide Proxies bilden in diesem Setup eine Kette:
Die beiden in der Abbildung zu sehenden Squids sind dabei ein einziger Server, der sich wie zwei verschiedene Proxies verhält.
Damit dieses Setup auch dann funktioniert, wenn sowohl Client als auch HAVP und Squid alle auf dem selben Rechner laufen, müssen sowohl die havp.config (von Debian) als auch die squid.conf (von Dirk Nehring [3]) angepasst werden:
# squid.conf
...
#
# Access ACLs
#
acl manager proto cache_object
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.2/32
# XXX local networks\
acl localnet src 127.0.0.1/32
...# havp.config
...
#
# Specify a parent proxy (e.g. Squid) HAVP should use.
#
# Default: NONE
PARENTPROXY 127.0.0.2
PARENTPORT 3128
...Falls ClamAV auch den “Bundestrojaner” [4] als Malware erkennt, kommt Schäubles Spionagesoftware zumindest nicht über unverschlüsseltes HTTP auf unsere Rechner.
Wie mit HTTPS umgegangen werden kann, folgt in einem späteren Artikel.
Links:
[1] http://www.squid-cache.org/
[2] http://www.server-side.de/
[3] http://www.server-side.de/ideas.htm
[4] http://de.wikipedia.org/wiki/Online-Durchsuchung