HAVP – Ein freier Antivirenproxy

Wer in seinem heimischen oder Firmen- Rechnernetz Windowsrechner einsetzt, macht sich vermehrt Gedanken um den (Viren-)Schutz dieser. Da ein Virenscanner oft nicht jeden (neuen) Virus gleich erkennt, wäre es schön, mehrere Scanner parallel laufen lassen zu können. Dies ist auf einem Windowssystem nicht immer möglich, da sich die Scanner oft gegenseitig ins Gehege kommen. Hier setzen Antiviren-Proxys an. In diesem Artikel möchte ich einen etwas unbekannteren Proxy vorstellen: HAVP.

HAVP (HTTP ANTIVIRUS PROXY) ist ein freier Antiviren-Proxy für Linux. Er zeichnet sich vor allem durch eine einfache und schnelle Installation/Konfiguration und die Einbindung mehrerer Virenscanner (parallel laufend) aus. Zu den weiteren Features gehören:

Scannt den kompletten Traffic
Ist verwendbar mit Squid oder anderen Proxys
Läuft als Deamon

Ein Nachteil derzeit:

HTTPS-Verbindungen werden nicht gescannt

Die Installation und Konfiguration ist bei Heise gut beschrieben. Man findet dort auch einen Screenshot, wie eine geblockte Seite dargestellt wird.

Ist der Proxy erst einmal funktionstüchtig, hat man eine höhere Erkennungsrate bei Viren aus dem Netz. Auf eine Deinstallation des lokalen Virenscanners sollte aber verzichtet werden, da Viren z. B. auch über verseuchte USB-Sticks ins System gelangen können. Hiervor schützt ein Proxy nicht, da er nur den Netzwerktraffic scannt.

    • Marian
    • 3. Juli 2010

    > Ein Nachteil derzeit: HTTPS-Verbindungen werden nicht gescannt
    Wie kommst du auf „derzeit“? Das *kann* nicht gehen, nie.

    • Christian
    • 27. Juli 2010

    Marian :
    > Ein Nachteil derzeit: HTTPS-Verbindungen werden nicht gescannt
    Wie kommst du auf „derzeit“? Das *kann* nicht gehen, nie.

    FALSCH!
    Das kann sehr wohl gehen.
    Für den Microsoft ISA Server (welcher ebenfalls als Proxy verwendet werden kann), gibt es ebenfalls ein experimentelles Plugin.
    Im Grunde ist es ganz einfach: Die Verbindung zum öffentlichen Webserver wird vollständig vom Proxy-Dienst abgehandelt. Der Client stellt mit dem Proxy eine SSL- bzw. HTTPS-Verbindung her.
    Der Server hält also die komplette SSL-Kommunikation mit dem öffentlichen Webserver und verschlüsselt die Daten mit eigenen Zertifikaten neu, um dem Client eine gesicherte Verbindung zu geben.
    Wenn der Client also eine Seite besucht, wird das Zertifikat als nicht vertrauenswürdig klassifiziert. Es sei denn, es handelt sich um ein Windows-Netzwerk mit AD DS, wodurch man die Zertifikate des Proxy-Servers auf die Clients verteilen und damit als vertrauenswürdig einstufen kann.
    Es ist natürlich auch ohne AD DS mögich, indem man das öffentliche Zertifikat des Proxy-Servers dem Client als vertrauenswürdiges Zertifikat installiert.

    Gruß
    Christian

    • Marian
    • 29. Juli 2010

    Christian :

    Marian :
    > Ein Nachteil derzeit: HTTPS-Verbindungen werden nicht gescannt
    Wie kommst du auf „derzeit“? Das *kann* nicht gehen, nie.

    FALSCH!
    Das kann sehr wohl gehen.
    Für den Microsoft ISA Server (welcher ebenfalls als Proxy verwendet werden kann), gibt es ebenfalls ein experimentelles Plugin.
    Im Grunde ist es ganz einfach: Die Verbindung zum öffentlichen Webserver wird vollständig vom Proxy-Dienst abgehandelt. Der Client stellt mit dem Proxy eine SSL- bzw. HTTPS-Verbindung her.
    Der Server hält also die komplette SSL-Kommunikation mit dem öffentlichen Webserver und verschlüsselt die Daten mit eigenen Zertifikaten neu, um dem Client eine gesicherte Verbindung zu geben.
    Wenn der Client also eine Seite besucht, wird das Zertifikat als nicht vertrauenswürdig klassifiziert. Es sei denn, es handelt sich um ein Windows-Netzwerk mit AD DS, wodurch man die Zertifikate des Proxy-Servers auf die Clients verteilen und damit als vertrauenswürdig einstufen kann.
    Es ist natürlich auch ohne AD DS mögich, indem man das öffentliche Zertifikat des Proxy-Servers dem Client als vertrauenswürdiges Zertifikat installiert.
    Gruß
    Christian

    Dann brauchst aber noch ein Plugin für den Browser – der sendet nämlich für HTTPS-URLs einfach nur ein PASS $servername an den Proxy, und der leitet die Verbindung dann einfach durch und sieht nichts vom Inhalt.

    • Marian
    • 29. Juli 2010

    Dann brauchst aber noch ein Plugin für den Browser – der sendet nämlich für HTTPS-URLs einfach nur ein PASS $servername an den Proxy, und der leitet die Verbindung dann einfach durch und sieht nichts vom Inhalt.

    Halt – geht doch. Wenn der Proxy dann eben nicht weiterleitet sondern selber antwortet (und sein Zertifikat eben als vertrauenswürdig eingestuft ist, wie du ja schon sagtest), geht das wirklich. So weit um die Ecke hab ich nicht gedacht🙂

  1. No trackbacks yet.

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: