heise online Logo
Anmelden
Menü
  • c't – Magazin für Computertechnik
  • iX – Magazin für professionelle Informationstechnik
  • MIT Technology Review – Das Magazin für Innovation von Heise
  • c't Fotografie - Das Magazin rund ums digitale Bild
  • Mac & i – Nachrichten, Tests, Tipps und Meinungen rund um Apple
  • Make – Kreativ mit Technik
  • Alle Magazine im Browser lesen
IT News
  • Newsticker
  • heise Developer
  • heise Netze
  • heise Open Source
  • heise Security
Online-Magazine
  • heise+
  • Telepolis
  • heise Autos
  • TechStage
  • tipps+tricks
Services
  • Stellenmarkt heise Jobs
  • Weiterbildung
  • heise Download
  • Preisvergleich
  • Whitepaper/Webcasts
  • DSL-Vergleich
  • Netzwerk-Tools
  • Spielen bei Heise
  • Loseblattwerke
  • iMonitor
  • IT-Markt
Heise Medien
  • heise Shop
  • Abo
  • Veranstaltungen
  • Arbeiten bei Heise
  • Mediadaten
  • Presse
Anzeige Go! Schule morgen
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten
heise Security Logo
  • News
    • Archiv
    • 7-Tage-News
  • Hintergrund
  • heise Security Pro
    • FAQs zu heise Security Pro
  • Events
  • Kontakt
  1. Security
  2. Hintergrund
  3. Kostenloser Antivirenproxy schützt vor Webangriffen

Kostenloser Antivirenproxy schützt vor Webangriffen

Hintergrund 11.06.2010 15:40 Uhr Daniel Bachfeld
Inhaltsverzeichnis
  1. Kostenloser Antivirenproxy schützt vor Webangriffen
  2. Kaskade
  3. Auf einer Seite lesen

Mit dem freien Proxy HAVP und kostenlosen Virenscannern für Linux verringert man das Risiko, beim Surfen mit einem Windows-PC einem Angriff zum Opfer zu fallen. Die Installation ist beileibe kein Hexenwerk.

"Vier Augen sehen mehr als zwei", sagt der Volksmund und meint damit, dass einer allein keine kritischen Aufgaben erledigen sollte. Ahnliches gilt für Virenscanner: Je mehr unterschiedliche Scanner eine Datei oder Inhalte es dem Internet untersuchen, desto größer die Wahrscheinlichkeit, eine mögliche Infektion zu entdecken. Auf Windows-Systemen ist die parallele Installation der Produkte verschiedener Hersteller allerdings keine gute Idee, weil diese sich in der Regel ins Gehege kommen und das System möglicherweise sogar unbrauchbar wird. Sinnvoller ist es, zusätzliche Virentests auszulagern und beispielsweise einen separaten Virenscanner für den Dateiserver einzusetzen. Darüber hinaus kann ein Webproxy mit integriertem Virenscanner zusätzlichen Schutz bieten, von dem alle PCs in einem Heimnetz einem kleineren Firmennetz profitieren.

HTTP Antivirus Proxy (HAVP) ist ein solcher Proxy, der von Haus aus die Einbindung mehrerer, parallel arbeitender Scanner unterstützt, darunter auch freie und für den Privatgebrauch kostenlose. Mit wenigen Befehlen sind etwa auf einem aktuellen Ubuntu-System (10.04) HAVP und weitere Scanner installiert und betriebsbereit.

Der Proxy schaltet sich in die Verbindung zwischen Webbrowser und Webserver und legt die übertragenen Daten zunächst auf der Festplatte in einer Datei ab. Anschließend übergibt HAVP deren Pfad an die konfigurierten Virencanner und wertet deren Analyse aus. Bei einem Virenfund zeigt er dem Anwender statt der Web-Seite oder des Downloads eine voreingestellte Virenwarnung an.

HAVP und der freie Virenscanner ClamAV sind in den aktuellen Versionen bereits in den Ubuntu-Repositories enthalten. Aber auch in den Paketquellen anderer Linux-Distributionen wie Debian und Mandriva sind die Pakete zu finden. In OpenSuse und Fedora fehlt das fertige HAVP-Paket, dort muss man den Quellcode selbst übersetzen und die Dateien anschließend installieren.

Zur Installation von ClamAV genügt unter Ubuntu sudo apt-get install clamav und anschließend der einmalige manuelle Aufruf sudo freshclam zum Aktualisieren der Signaturen. Damit hat man sofort aktuelle Signaturen, fortan lädt der Dienst aber automatisch einmal täglich neue Signaturen herunter. Anschließend installiert man HAVP mit sudo apt-get install havp. Ubuntu startet HAVP zwar, allerdings mit einer nicht angepassten Konfigurationsdatei. Diese öffnet man mit sudo nano /etc/havp/havp.conf. Damit HAVP über das Netz erreichbar ist und nicht nur lokal Verbindungen entgegen nimmt, muss man den Eintrag BIND_ADRESS 127.0.0.1 mit einem Hash-Zeichen auskommentieren. Durch Setzen der Option ENABLECLAMLIB true weiß HAVP, dass er den ClamAV-Scanner über die Bibliotheksfunktion nutzen kann – Scanner anderer, von HAVP unterstützter Scanner horchen entweder auf TCP-Ports oder auf Unix-Domain-Sockets.

Mit sudo /etc/init.d/havp restart übernimmt HAVP die geänderte Konfiguration. Für einen ersten Test trägt man im Webbrowser als Proxy die Adresse des Servers und als Port 8080 ein. Ein Aufruf der Testdateien auf Eicar.org sollte nun eine Warnung von HAVP im Browserfenster provozieren, dass ClamAV einen Virus entdeckt hat. Soweit so gut, leider rangiert ClamAV mit seiner Erkennungsleistung ziemlich weit hinten. Glücklicherweise unterstützt HAVP in Version 0.91 auch die für Privatanwender kostenlose Linux-Version des Scanners von AVG Technologies – und dessen Scanleistung kann sich schon eher sehen lassen.

Doppeldecker

Der AVG-Scanner steht unter anderem als Tarball hier http://free.avg.com/gb-en/download.prd-afl bereit. Der Befehl tar xfvz avg85flx-r812-a3371.i386.tar.gz entpackt den Tarball in das Unterverzeichnis avg85flx-r812-a3371.i386. Zur Installation wechselt man in das Verzeichnis und startet das Setup mit sudo ./install.sh. Im folgenden Dialog nickt man alle Fragen respektive Vorschläge einfach ab und startet anschließend mit sudo /etc/init.d/avgd start den AVG-Dienst. Dieser verwaltet diverse weitere Dienste, wie den auf einem TCP-Port horchenden Scan-Dienst avgscand und den einmal täglich ausgeführten Aktualisierungsdienst avgupdate. Wie schon bei ClamAV lädt man mit sudo avgupdate die aktuellen Muster einmal von Hand herunter.

Ein Aufruf des Eicar-Testvirus zeigt, ob die Scanner wie geplant arbeiten.

Anschließend muss man die Konfiguration von HAVP erneut anpassen. Mit der Option ENABLEAVG true in /etc/havp/havp.conf leitet HAVP Daten künftig auch an den AVG-Scanner weiter. Mit den Optionen AVGSERVER 127.0.0.1 und AVGPORT 54322 weiß der Proxy zudem, wohin er die Daten schicken muss. Ein Neustart von HAVP mit sudo /etc/init.d/havp restart aktiviert die neuen Einstellungen. Beim einem Aufruf der Testdateien auf Eicar.org meldet HAVP dann einen Befund durch ClamAV und AVG.

Vorherige 1 2 Nächste

Mehr zum Thema

  • Avast
  • AVG AntiVirus
  • Virenscanner

Forum bei heise online: Viren & Würmer

Teile diesen Beitrag

https://heise.de/-1015088 Drucken
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Krypto-Kampagne
Alerts! alle Alert-Meldungen

Sonicwall SMA-100

Qnap

WordPress Jupiter Theme

VMware

Anzeige
  • Mehr Nachhaltigkeit durch modernes Deployment
  • Gaia-X – die souveräne europäische Cloud
  • Chrome OS: Das bessere Betriebssystems
  • So geht intelligentes Gebäudemanagement
  • OPPO Find X5 Pro: Fotos und Videos auf professionellem Niveau
  • Mehr Flexibilität durch Infrastructure as Code
  • Zuverlässiger Zugriff dank Zero Trust
  • Wie IT zu nachhaltigem Wirtschaften beitragen kann
  • MediaMarkt: Der bessere Geschäftskunden-Service
  • Sicher entwickeln im Open-Source-Universum
Artikel

Utimaco, der Krypto-Miner und ein Disclosure-Desaster​

Auch Anbieter von Hochsicherheitslösungen sind vor Securityproblemen nicht gefeit. Man sollte sich vorbereiten, bevor man davon erfährt, sagt Jürgen Schmidt.

11 Kommentare
Aufmacher: Kommentar Welt-Passwort-Gedenktag

Kommentar: "Willkommen zum Welt-Passwort-Gedenktag"

Welt-Passwort-Tag: Jürgen Schmidt, Senior Fellow Security bei Heise, hat einen Kommentar aus einer Zukunft ohne Passwörter geschickt.

230 Kommentare
  • Passwortsicherheit – Alles, was Sie wissen müssen
  • Welt-Passwort-Tag: Zugangssicherheit im Fokus

Der Patch-Alptraum: Wenn schnell nicht schnell genug ist

Neben den überbewerteten Zero-Day-Lücken gibt es eine weniger bekannte Bedrohung durch "Beinahe-Zero-Days". Die sind weitverbreitet und brandgefährlich.

95 Kommentare

Neueste Forenbeiträge

  1. Re: WeTransfer und gefährliche Ratschläge
    Wenn ein E-Mail Absender vorgibt, noreply@wetransfer.com zu sein, gibt es zwei Header, in denen er das tun kann. Eines davon ist der From:…

    Forum:  Diverses

    daniel.ranft hat keinen Avatar
    von daniel.ranft; vor 11 Stunden
  2. Re: sudo apt-get update: Signatur abgelaufen
    Hallo Joe, vielen Dank für die Anleitung! Es hat geklappt. Viele Grüße, Michael

    Forum:  Desinfect

    Michael Stammberger hat keinen Avatar
    von Michael Stammberger; vor 14 Stunden
  3. Re: Nvidia Lüfter aus -> Grafikkarte steigt aus
    Ich wollte noch ein kleines Update schreiben. Die Karte kostet zwar nicht den Gegenwert eines normalen Arbeitsplatzrechners, sondern "nur" ca.

    Forum:  Desinfect

    maal1 hat keinen Avatar
    von maal1; Mittwoch, 11:42
News und Artikel
  • News
  • 7-Tage-News
  • News-Archiv
  • Hintergrund-Artikel
  • Alert-Meldungen
Service
  • Newsletter
  • Tools
  • Foren
  • RSS
  • mobil
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Krypto-Kampagne
  • Datenschutz
  • Cookies & Tracking
  • Impressum
  • Kontakt
  • Barriere melden
  • Mediadaten
  • 528056
  • Content Management by InterRed
  • Hosted by Plus.line
  • Copyright © 2022 Heise Medien