Kostenloser Antivirenproxy schützt vor Webangriffen
Mit dem freien Proxy HAVP und kostenlosen Virenscannern für Linux verringert man das Risiko, beim Surfen mit einem Windows-PC einem Angriff zum Opfer zu fallen. Die Installation ist beileibe kein Hexenwerk.
- Daniel Bachfeld
"Vier Augen sehen mehr als zwei", sagt der Volksmund und meint damit, dass einer allein keine kritischen Aufgaben erledigen sollte. Ahnliches gilt für Virenscanner: Je mehr unterschiedliche Scanner eine Datei oder Inhalte es dem Internet untersuchen, desto größer die Wahrscheinlichkeit, eine mögliche Infektion zu entdecken. Auf Windows-Systemen ist die parallele Installation der Produkte verschiedener Hersteller allerdings keine gute Idee, weil diese sich in der Regel ins Gehege kommen und das System möglicherweise sogar unbrauchbar wird. Sinnvoller ist es, zusätzliche Virentests auszulagern und beispielsweise einen separaten Virenscanner für den Dateiserver einzusetzen. Darüber hinaus kann ein Webproxy mit integriertem Virenscanner zusätzlichen Schutz bieten, von dem alle PCs in einem Heimnetz einem kleineren Firmennetz profitieren.
HTTP Antivirus Proxy (HAVP) ist ein solcher Proxy, der von Haus aus die Einbindung mehrerer, parallel arbeitender Scanner unterstützt, darunter auch freie und für den Privatgebrauch kostenlose. Mit wenigen Befehlen sind etwa auf einem aktuellen Ubuntu-System (10.04) HAVP und weitere Scanner installiert und betriebsbereit.
Der Proxy schaltet sich in die Verbindung zwischen Webbrowser und Webserver und legt die übertragenen Daten zunächst auf der Festplatte in einer Datei ab. Anschließend übergibt HAVP deren Pfad an die konfigurierten Virencanner und wertet deren Analyse aus. Bei einem Virenfund zeigt er dem Anwender statt der Web-Seite oder des Downloads eine voreingestellte Virenwarnung an.
HAVP und der freie Virenscanner ClamAV sind in den aktuellen Versionen bereits in den Ubuntu-Repositories enthalten. Aber auch in den Paketquellen anderer Linux-Distributionen wie Debian und Mandriva sind die Pakete zu finden. In OpenSuse und Fedora fehlt das fertige HAVP-Paket, dort muss man den Quellcode selbst übersetzen und die Dateien anschließend installieren.
Zur Installation von ClamAV genügt unter Ubuntu sudo apt-get install clamav und anschließend der einmalige manuelle Aufruf sudo freshclam zum Aktualisieren der Signaturen. Damit hat man sofort aktuelle Signaturen, fortan lädt der Dienst aber automatisch einmal täglich neue Signaturen herunter. Anschließend installiert man HAVP mit sudo apt-get install havp. Ubuntu startet HAVP zwar, allerdings mit einer nicht angepassten Konfigurationsdatei. Diese öffnet man mit sudo nano /etc/havp/havp.conf. Damit HAVP über das Netz erreichbar ist und nicht nur lokal Verbindungen entgegen nimmt, muss man den Eintrag BIND_ADRESS 127.0.0.1 mit einem Hash-Zeichen auskommentieren. Durch Setzen der Option ENABLECLAMLIB true weiß HAVP, dass er den ClamAV-Scanner über die Bibliotheksfunktion nutzen kann – Scanner anderer, von HAVP unterstützter Scanner horchen entweder auf TCP-Ports oder auf Unix-Domain-Sockets.
Mit sudo /etc/init.d/havp restart übernimmt HAVP die geänderte Konfiguration. Für einen ersten Test trägt man im Webbrowser als Proxy die Adresse des Servers und als Port 8080 ein. Ein Aufruf der Testdateien auf Eicar.org sollte nun eine Warnung von HAVP im Browserfenster provozieren, dass ClamAV einen Virus entdeckt hat. Soweit so gut, leider rangiert ClamAV mit seiner Erkennungsleistung ziemlich weit hinten. Glücklicherweise unterstützt HAVP in Version 0.91 auch die für Privatanwender kostenlose Linux-Version des Scanners von AVG Technologies – und dessen Scanleistung kann sich schon eher sehen lassen.
Doppeldecker
Der AVG-Scanner steht unter anderem als Tarball hier http://free.avg.com/gb-en/download.prd-afl bereit. Der Befehl tar xfvz avg85flx-r812-a3371.i386.tar.gz entpackt den Tarball in das Unterverzeichnis avg85flx-r812-a3371.i386. Zur Installation wechselt man in das Verzeichnis und startet das Setup mit sudo ./install.sh. Im folgenden Dialog nickt man alle Fragen respektive Vorschläge einfach ab und startet anschließend mit sudo /etc/init.d/avgd start den AVG-Dienst. Dieser verwaltet diverse weitere Dienste, wie den auf einem TCP-Port horchenden Scan-Dienst avgscand und den einmal täglich ausgeführten Aktualisierungsdienst avgupdate. Wie schon bei ClamAV lädt man mit sudo avgupdate die aktuellen Muster einmal von Hand herunter.
Anschließend muss man die Konfiguration von HAVP erneut anpassen. Mit der Option ENABLEAVG true in /etc/havp/havp.conf leitet HAVP Daten künftig auch an den AVG-Scanner weiter. Mit den Optionen AVGSERVER 127.0.0.1 und AVGPORT 54322 weiß der Proxy zudem, wohin er die Daten schicken muss. Ein Neustart von HAVP mit sudo /etc/init.d/havp restart aktiviert die neuen Einstellungen. Beim einem Aufruf der Testdateien auf Eicar.org meldet HAVP dann einen Befund durch ClamAV und AVG.
