ClamAV und Squid

Eine der populärsten Techniken, ein Bot-Netz aufzubauen, ist die so genannte Drive-by-Attacke. Der Angreifer platziert dabei infizierte Inhalte auf einer Website oder einem Ad-Server und infiziert so viele (Windows-)Clients. Mit Squid als Webproxy können Sie dem vorbeugen (Abbildung 1). Squid 3.0 hat Support für ICAP (Internet Content Adaptation Protocol, [5]), was etwa so funktioniert wie Milter für Sendmail, es also erlaubt, die Filter-Verarbeitung auf einen anderen Server auszulagern. Um ICAP bei Squid zu aktivieren, verwenden Sie beim Kompilieren die passende Option:

Abbildung 1: ClamAV versperrt bei einer Proxy-Konfiguration dem User den Zugriff auf eine Webseite mit einer Testsignatur.
./configure --enable-icap-client

Das ist allerdings erst die halbe Miete, denn Sie brauchen zusätzlich noch einen ICAP-Server für ClamAV. Zurzeit gibt es nur C-ICAP, das auf Linux und BSD-Systemen läuft. Die Website zu C-ICAP verrät alle nötigen Schritte, um es zusammen mit Squid zu verwenden [6]. Wer eine kommerzielle Antiviren-Lösung sucht, sollte bei der Auswahl stets im Hinterkopf behalten, dass eine ICAP-Anbindung für den beschriebenen Zweck recht praktisch ist.

Selbst wenn Sie nun E-Mail und Web gegenüber Schädlingen abgesichert haben, bleibt immer noch der – im Übrigen sehr verbreitete – Angriff von innen.

Böse Diskette

Wenn jemand einen USB-Stick mit einer infizierten Datei mit in die Firma bringt und speichert sie auf dem Fileserver, kann sich ein Virus sehr leicht ausbreiten. Besser ist es, wenn der Fileserver selbst nach Viren scannt. Das Samba-Vscan-Modul [7] stattet den Samba-Server mit diesen Fähigkeiten aus. Bei einem Zugriff auf eine infizierte Datei, blockiert er sofort den Zugriff – so zumindest in der Theorie.

Wer eine (virtuelle) Maschine zum Virenscannen abstellen kann, sollte einen Blick auf Copfilter [8] werfen. Oder gleich IPcop verwenden, dem Copfilter als Paket beiliegt.

Infos

  1. Charly Kühnast, Daniel van Soest, "Virenscanner und Content-Filter mit Active-Directory": ADMIN 04/2009, S. 96
  2. Dag Wieers ClamAV packages: http://dag.wieers.com/rpm/packages/clamav/
  3. Virus Filtering with Postfix and ClamAV: http://www.debian-administration.org/articles/259
  4. Clam SMTP: http://memberwebs.com/stef/software/clamsmtp/
  5. ICAP: http://en.wikipedia.org/wiki/Internet_Content_Adaptation_Protocol
  6. C-ICAP-Server: http://c-icap.sourceforge.net/install.html
  7. Open Antivirus: http://www.openantivirus.org/projects.php
  8. Copfilter: http://www.copfilter.org/
  9. IPCop: http://sourceforge.net/apps/trac/ipcop/wiki

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Virenabwehr mit ClamAV


Viren und andere Schadsoftware gehen mit Spam meist Hand in Hand. Für eine wirksame Vorsorge bietet sich der Open-Source-Scanner ClamAV an, der mit Postfix Hand in Hand arbeiten kann.

Artikel der Woche

Performance-Analyse mit Collectd

Jeder Admin muss die Auslastung seiner Systeme im Blick behalten, um Flaschenhälsen vorzubeugen. Dafür braucht er Leistungsdaten wie die CPU-Auslastung oder die Speichernutzung. Der freie Daemon Collectd sammelt auf Unix-Systemen derartige Werte für Performanceanalysen und die Kapazitätsplanung.
(mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Ausgabe /2014

Was halten Sie von Zertifizierungen, die Fachkenntnisse und Fertigkeiten nachweisen?

  • Sie sind in der Praxis nutzlos
  • Sind für uns ein wichtiges Einstellungskriterium
  • Liefern einen Anhaltspunkt für die Qualifikation