Avira kann auch ICAP

Abstract

In der Sicherheitsarchitektur eines Unternehmens darf ein Proxy-Server nicht fehlen, der die Unternehmensrichtlinie zur Kommunikation mit dem Internet durchsetzt. Sein Partner im Team ist ein Server, der die Inhalte der Kommunikation durchsucht und bewertet. Das Protokoll zwischen beiden ist das Internet Content Adaptation Protocol (ICAP). Auch der deutsche Hersteller Avira GmbH hat einen Virenscanner mit ICAP-Schnittstelle im Programm.

Avira hat auch einen ICAP-Server

In der Sicherheitsarchitektur eines Unternehmens darf ein Proxy-Server nicht fehlen, der die Unternehmensrichtlinie zur Kommunikation mit dem Internet durchsetzt. Sein Partner im Team ist ein Server, der die Inhalte der Kommunikation durchsucht und bewertet. Das Protokoll zwischen beiden ist das Internet Content Adaptation Protocol (ICAP). Auch der deutsche Hersteller Avira GmbH hat einen Virenscanner mit ICAP-Schnittstelle im Programm.

Trennung der Aufgaben

Die Funktionen "Durchsetzen der Richtlinie" für den Proxy einerseits und "Bewertung des Inhalts" auf dem ICAP-Server andererseits sind bewusst getrennt: Das Scannen des Inhalts verursacht in der Regel eine höhere Last. Mit der Auslagerung erreicht man sofort eine Entlastung des Proxy. Andererseits kann ein Proxy-Server meist auch mehrere Scanner-Server nutzen: Die Last wird auf noch mehr Schultern (oder Prozessoren) verteilt. Auch ist das Gesamtsystem besser gegen Ausfall eines Servers geschützt. Wirklich große Installationen nutzen meist zusätzlich Loadbalancer, um die Leistung der Proxy-Server-Farm noch weiter zu steigern.

Schadsoftware und Anderes

Eine Richtlinie im Unternehmen kann zum Beispiel fordern, dass keine erkannte Schadsoftware ins interne Netz gelangen darf. Der Proxy-Server sendet die Daten, die er aus dem Internet geladen hat, zum Scanner und bittet ihn um die Bewertung. Der Scanner untersucht die Daten und meldet das Ergebnis – ob eine Malware gefunden wurde oder ob die Daten nicht zu beanstanden sind. Das ist das gleiche Prinzip wie die Überprüfung einer E-Mail, bevor sie im Postfach eines Benutzers landet.

Gute Scanner können nicht nur Daten scannen, sondern diese auch noch kategorisieren – je nach Kategorie der Schadsoftware kann der Proxy dann entscheinden, was zu tun ist.

Eine schöne Funktion, die jeder Scanner beherrschen sollte, ist das Trickling: Wenn eine große Datenmenge zu scannen ist, meldet sich der Scanner mit einer Antwort beim einliefernden Server zurück, so dass die Verbindung nicht abreißt. Kleine Datenhäppchen werden schon zurückgegeben, solange der Scanner im Hintergrund noch arbeitet. Der Proxy weiß so, dass seine Anfrage immer noch bearbeitet wird, und läuft nicht in ein Timeout.

Avira

Die Testsoftware, die ich von Avira bekommen habe, ist leicht zu installieren. Einfach das Archiv an passender Stelle entpacken. In meinem System habe ich die Dateien unter /etc/HBEDV gespeichert. Die Verzeichnisstruktur ist eindeutig, und unter doc findet man eine ASCII-Datei mit der kompletten Dokumentation. Für den ersten Test brauchte ich die Konfigurationsdatei aber gar nicht anzupassen.

Squid

Als Proxy kam ein Squid in Version 3.3.8 zum Einsatz. Mit den Optionen

icap_enable on
icap_service service_avi_respmod respmode_precache icap://127.0.0.1:1344/service_scanner bypass=0
icap_service service_avi_reqmode reqmod_precache icap://127.0.0.1:1344/service_scanner routing=on
adaptation_service_set class_antivirus_respmod service_avi_respmod
adaptation_service_set class_antivirus_reqmod service_avi_reqmod
adaptation_access class_antivirus_respmod allow all
adaptation_access class_antivirus_reqmod allow all

lässt sich der Scanner von Avira einfach einbinden.

Testbetrieb

Zunächst muss der ICAP-Server starten. Für einen Test reicht die Kommandozeile:

/opt/HBEDV/bin/av-icapd -P <Produkt-ID>

Note

Die ID des Produkts erhält man natürlich mit der Software. Sie kann auch in der Konfigurationsdatei hinterlegt werden.

Sobald man sich überzeugt hat, dass der ICAP-Server auf Port 1344/tcp seinen Dienst aufgenommen hat, kann man den Proxy-Dienst starten und seinen Browser so konfigurieren, dass er diesen nutzt. Erste Tests zeigen, dass sich das Surfen im Internet nicht merklich verlangsamt.

Aber die wahre Bewährungsprobe stellt ein Virus dar, den der Proxy blockieren soll. Auf der Webseite des EICAR Vereins findet sich im Download-Bereich ein Testschädling, den jeder Virenscanner erkennen sollte. Und tatsächlich, im Browser erscheint eine kaum zu übersehende Warnung:

Warnung vor der EICAR Testdatei

Die Warnung vor schädlicher Software, die vom Scanner erkannt und vom Proxy gestoppt wurde, kann nicht deutlicher ausfallen.

Die restlichen Funktionen wie das Update der Virenpattern oder der Scanengine habe ich für diesen Test nicht weiter ausprobiert, weil ich von anderen Tests weiß, dass das funktioniert.

Fazit

Alles in allem ist der av-icapd eine schöne ICAP-Lösung für den Einsatz in Proxy-Systemen von Unternehmen. Die Installation ist einfach, und die Scanengine ist, je nach Ausbau des Scan-Servers, ausreichend schnell. Und dass Avira in der Spitzengruppe bei der Erkennung von Schadsoftware ist, zeigen die alljährlichen Tests z.B. von AV-Comparatives.

Michael Schwartzkopff, 10. February 2014

   avira    squid    proxy    ICAP