aldebaran Hannover
Softwareentwicklung & IT-Lösungen Hannover

aldebaran Knowhow

Virenscanner für Linux-Server - Eine Recherche

Ein zentralisierter Virenschutz auf dem Server eines Netzwerkes hat klare Vorteile gegenüber dem Einsatz von Antivirensoftware auf den einzelnen Clients. Virenscanner auf dem Client kosten mehr Geld, das Einspielen von Updates kostet viel Zeit, und die Software ist nicht immer kompatibel mit allen Programmen. Wie lässt sich ein Netzwerk, in dessen Mitte ein Linux-Server steht, wirkungsvoll zentral vor Viren schützen? Dieser Artikel zeigt das Ergebnis einer Produkt-Recherche.
Stand: 16.4.2004.

Zurück zur Übersicht

Inhaltverzeichnis

  1. Lösungsvorschlag
    1.1 Beschreibung
    1.2 Einrichtung
    1.3 Organisatorische Fragen
    1.4 Kosten
  2. Bedrohungsszenario
  3. Technische Hintergrundinformationen
  4. Produktauswahl
    4.1 Kriterien
    4.2 Anforderungen
    4.3 In Frage kommende Produkte
    4.4 Testergebnisse
    4.5 Weitere untersuchte Produkte
  5. Quellen und URLs

1 Lösungsvorschlag

1.1 Beschreibung

Es wird ein zentraler Virenscanner auf dem Server eingerichtet. Die lokalen Virenscanner werden entfernt bzw. deaktiviert.

Der zentrale Virenscanner wird regelmäßig automatisch aktualisiert. Er scannt die Systemdateien regelmäßig, die Dateien auf den Samba-Laufwerken (Netzlaufwerken) bei jedem Zugriff. Zusätzlich wird der Datenstrom des Proxyservers Squid untersucht, und es werden alle Mailanhänge des Mailservers Sendmail untersucht.

Beim Virenverdacht wird der weitere Zugriff auf die betroffenen Dateien gesperrt bzw. der Download abgebrochen bzw. der Mailanhang entfernt. Entsprechende Informationen gehen an den Administrator.

Die Dienste IRC/Chat und Instant Messaging (IM) werden deaktiviert.

1.2 Einrichtung und Administration

Das ausgewählte Virusprogramm wird auf dem Server installiert. Durch die Schnittstellen werden weitere Dienste an den Scanner angeschlossen:

  • vscan (On-Access-Scanning für Samba 2.2/3.x)
  • squidguard (On-Access-Scanning für Squid)
  • AMaViS (On-Access-Scanning für Sendmail)

Auf dem Server müssen folgende Aufgaben regelmäßig erledigt werden:

  • 1 x täglich Suche nach neuen Virussignaturen/Updates
  • 1 x täglich Scan aller Dateien (Systemdateien und SAMBA-Dateien)

Diese Arbeiten werden über einen zeitgesteuerten cron-Job abgearbeitet.

Administrative Arbeiten:

  • 1 x täglich bzw. öfter Kontrolle der Mailbox, an die Virusmeldungen versandt werden

nach Bedarf bzw. bei Befall:

  • Überprüfung des Scan-Protokolls
  • manueller Start des Scannens
  • manueller Start des Updates
  • Scannen von Arbeitsstationen von CD (z.B. Knoppicillin)
1.3 Organisatorische Fragen

Es muss festgelegt werden, in wessen Mailbox Virenmeldungen des Scanners einlaufen und wer sich um die administrativen Arbeiten kümmert. Beim (vermuteten) Befall durch einen Virus: Die Alarmwege müssen festgelegt und dokumentiert werden.

Es muss beschrieben werden, wie Nutzer/innen sich zu Datenträgern und Downloads zu verhalten haben: heruntergeladene Dateien dürfen nur auf dem Server gespeichert werden; Datenträger müssen an einer bestimmten Station getrennt gescannt werden.

1.4 Kosten

Wir schlagen vor, den Virenscanner F-Prot zu verwenden. Dafür entstehen zur Zeit Kosten von 354 EUR (inkl 1 Jahr Virenupdates), für jedes weitere Jahr fallen erneut 354 EUR an.

2 Bedrohungsszenario

Das Szenario geht davon aus, dass wir folgende Daten scannen/schützen müssen:

  • Dateien in den Samba-Freigaben auf einem Linuxserver (20 Benutzer)
  • System-Dateien des Linux-Servers selbst
  • Dateianhänge in Mails an und vom Kunden (über den Mailserver unter sendmail, bis zu 50 Mailboxen)
  • Dateien aus Internet-Downloads (http, ftp)

Damit bleiben folgende Angriffswege offen

  1. Angriff auf den lokalen (Windows32-)Rechner über lokal per Datenträger (CD, Diskette) als Datei eingeschleppte Schadprogramme.
    Mögliche Abhilfe 1: einen PC als Scan-PC einsetzen, auf dem ein lokales Scan-Programm läuft. Problem: dies verlangt Aufwand und klare Regeln für den Benutzer.
    Mögliche Abhilfe 2: auf den Clients wird zusätzlich auch noch eine Software installiert. Problem: es müssen mehrere Produkte gewartet werden, evtl. wieder Probleme auf dem Client wie mit Norton.
  2. Angriff auf einen lokalen Rechner über anderweitig heruntergeladene und ausgeführte Programmdateien. Beurteilung: dürfte recht selten sein (z.B. Download über Chat oder IM).
    Mögliche Abhilfe: Nutzen dieser Dienste ganz ausschalten oder Download nur über Serverablage erlauben.

In beiden Fällen wäre das Worst-Case-Szenario, dass der lokale Rechner komplett neu aufgebaut werden muss. Die Server-Dateien wären geschützt, weil sie dauerhaft (d.h. bei jedem Zugriff) überwacht werden.

 

3 Technische Hintergrundinformationen

Der Aufbau der Viren-Schutzprogramme gliedert sich in drei mögliche Teile:

  1. Virenscanner-Engine: das eigentliche Herzstück des Schutzes. Alle marktüblichen Programme können per Hand gestartet werden, dabei können i.d.R. auch Optionen angegeben werden. Der Scanner sollte möglichst a ktuell und online mit Aktualisierungen versehen werden können und sollte viele Virenarten sicher erkennen.
  2. Wächter-Programm: ein Programm, welches alle bzw. bestimmte Datei-Systemzugriffe abfängt und durch den Scanner prüfen lässt. Die Integration des Wächters kann technologisch sehr unterschiedlich erfolgen und erfordert i.d.R. Handarbeit bei der Einrichtung oder sogar Einkompilierung in den Kernel. Problematisch ist dabei die notwendige Änderung des Kernels, was ein Kernel-Update umständlicher macht. Wir raten deswegen von einer entsprechenden Installation ab. Wächter können trotzdem für bestimmte Dienste eingerichtet werden, bei einigen gibt es auch definierte (und damit erlaubte) Schnittstellen.
  3. Daemon: ein Programm, welches die Vienscanner-Engine und ihre Hilfsdateien im Speicher hält und Anfragen an den Scanner weiterleitet. Sinnvoll, weil ansonsten die Scan-Engine immer wieder geladen werden muss.

Die Umsetzungsalternativen auf dem Server sind wie folgt:

  1. Getrenntes Scannen von Mail und Dateien und anderen Diensten
    Es gibt für jeden Dienst ein eigenes Scanprogramm. Der Nachteil an dieser Lösung ist, dass auch mehrere Programme administriert werden müssen. Eventuell können die Virusdefinitionsdateien und die Updatemechanismen von allen (Teil-)Programmen genutzt werden, vorausgesetzt, sie kommen vom gleichen Hersteller. Diese Lösung ist auch deutlich teurer.
  2. Verwenden einer Scan-Engine für alle Dienste
    Es wird nur ein (zentraler) Scanner eingesetzt. Das hat den großen Vorteil, dass die Aktualisierung nur an einer Stelle erfolgen muss. Dabei muss der Scanner für die Dienste die richtigen Schnittstellen nutzen. Im Falle von Mailservern ist das z.B. Amavis, Exiscan oder Mailscanner, für Squid (Proxyserver) gibt es Squid-Guard.

Beim Dateisystem selbst wird es problematisch, weil für eine vollständige Überwachung ALLER Dateisystemzugriffe eine Anpassung oder Erweiterung des Kernels notwendig ist.

Immerhin gibt zumindest für Samba eine definierte Schnittstelle (vscan), die man hier ausnutzen kann, diese wird aber nicht von allen Scannern unterstützt. Außerdem würden dann alle Dateien, die an Samba vorbei auf den Server kommen, nicht gescannt (z.B. per ftp unter Linux).

Generell ist bei der zweiten Alternative das Problem, dass relativ viel Handarbeit notwendig sein kann; dafür ist sie wesentlich flexibler und deswegen vorzuziehen.

4 Produktauswahl

4.1 Produktauswahl - Kriterien

Die Produkte werden nach folgenden Kriterien beurteilt:

  • Preis: Zur Zeit (10/2003) bezahlt der Pilotkunde 12 EUR pro Jahr und PC für XYZ Antivirus (Name geändert). Damit wird der Rahmen auf ca. 200 EUR/Jahr gesetzt. Zu berücksichtigen ist der Preis für die Anschaffung, sowie die regelmäßigen Updatekosten. Die Basis des Preisermittlung bildet das obige Szenario.
  • Sicherstellung der Anforderungen (s.u.): Dabei muss berücksichtigt werden, dass kein Produkt ALLE Anforderungen erfüllen kann.
  • Qualität des Scannens: hier können keine absoluten Aussagen gemacht werden. Diverse Tests auf der Ebene der Desktop-Windows-Virenscanner zeigen, dass die Erkennungsqualität selbst zwischen Versionen eines Herstellers stark schwanken können. Im Grunde kann man nur eine Art Mittelwert bilden, der etwas über die technische Kompetenz des Herstellers an sich aussagt.
  • Aktualisierungsintervalle: je kürzer, desto besser. Minimal monatliche Virendefinitionsupdates. Bei allen unten aufgeführten Produkten wurden in der Vergangenheit innerhalb von Stunden neue Virusdefinitionen eingestellt.
4.2 Produktauswahl - technische Anforderungen

Anforderungen Scannen:

  • Scannen von Dateifreigaben (unter Samba) auf Linux-Servern
  • Scannen von Attachments auf Mailservern/MTA
  • Scannen nach Win/Dos Viren (optional: Linux-Viren)
  • Scannen nach Dateiviren, Makroviren, Skriptviren, Polymorphe Viren
  • Schön: Scannen auf andere Malware: ActiveX-Controls, Backdoors (Hintertürenprogramme), Trojanische Pferde
  • Scannen von Archiven - muss:
    • Einfach gepackte Archive
      • ARJ / CAB / LHA / RAR / ZIP
      • Unix-Formate: TAR
    • Mehrfach (verschachtelt) gepackte Archive
      • ARJ / CAB / LHA / RAR / ZIP
    • Selbstentpackende Archive (SFX)
      • ARJ / LHA / RAR32 / WINZIP
  • Scannen von Archiven - kann:
    • Archive: ACE und andere Unix-Formate
    • Warnung bei passwortgeschützen Archiven
    • Komprimierte Programmdateien
    • DOS (16 Bit)-Laufzeitkomprimierung
    • Diet / Ice / LzExe / PkLite / WWPack
    • Windows (32 Bit)-Laufzeitkomprimierung
      • ASPack / Neolite / PEPack / Petite
      • PKLite32 / Shrink / UPX / WWPack32
    • Eingebettete OLE-Objekte (MS Office)
    • passwortgeschützte OLE-Objekte
  • Virenfund: Datei löschen bzw. sichern; Mail-Attachment entfernen und sichern
  • Ausschluss einzelner Dateien soll möglich sein

Anforderungen Administration/Update:

  • Regelmäßiges Update von Virensignaturen/Bibliotheken, vorzugsweise automatisiert, mindestens einmal im Monat
  • schnelle Reaktion des Herstellers bei aktuellen Viren
  • vernünftiges Reporting, vorzugsweise per Textdatei, Mail und HTML
  • Meldung, falls Dateien oder Verzeichnisse mangels Rechten nicht gescannt werden können

Anforderungen Technik:

  • Scanner läuft unter Linux (Redhat 7.x, 8.x)
  • Scanner ist auf Kommandozeile zu starten, auch automatisierbar
4.3 Produktauswahl - In Frage kommende Produkte

Preis: für einen Server, eingeschlossen 1 Jahr Updates
Update: für weiteres Jahr, i.d.R. mit neuer Version
AS: Arbeitsstation, falls verfügbar

Produkt: F-Prot AntiVirus for Linux 4.0
Preis: 354
Update: 354
AS: 26
Beurteilung: Mittlere Scanleistung, gute Ausstattung, Samba-Integration mit vscan, Sendmail-Integration mit AMaViS oder Anomy (http://mailtools.anomy.net/)
www: www.f-prot.com

Produkt: Symantec Antivirus Command Line Scanner
Preis: 10,87 pro User
Update: 8,17 pro User
AS: n.a.
Beurteilung:gute Scanleistung, kein Wächter, läuft nur unter Redhat; sehr interessant: kann auch als zentrale Engine für Windows-Clients konfiguriert werden (zur Zeit die einzige Software, die das kann). Man kann wohl auch die 'nackte' Scanengine lizensieren.
www: www.symantec.de

4.4 Testergebnisse

F-Prot Antivirus for Linux 4.3.0 vom 16.10.2003

  • Installation lief ohne Probleme, aber vorgeschlagener Standardpfad (in /usr/local) entspricht nicht den Linux-Regeln. Die Installation in ein anderen Ordner ist lt. Doku möglich, war uns aber für den Test zu aufwändig.
  • erster Scan erfolgreich (mit Testvirus EICAR in verschiedenen Varianten)
  • voller Scan auf /??/ Datenverzeichnis: viele Meldungen im Protokoll, auch über Fun-Programme (z.B. WinError), Dialer und andere; merkliche Leistungseinbuße, Dauer: 99 Minuten
  • Dämon erfolgreich aktiviert, allerdings stürzte er einmal ab (evtl. wg. Einspielen der Updates)
  • Update-Funktion (muss aktiv aufgerufen werden): erfolgreich
  • Berichtswesen: es wird eine Datei neu erstellt oder ergänzt, Benachrichtigung per Mail muss selbst implementiert werden.
  • Umgehen mit Virendateien: Scanner kann Dateien nur ignorieren oder desinfizieren/löschen, aber nicht in Quarantäne nehmen.
  • Integration mit Samba: vscan-Sourcen von www.openantivirus.org herunterladen und in Samba RPM-Paket integriert; Samba aktualisiert. Vscan per Konfigurationsdatei auf Homes-Laufwerk aktiviert, Scannen beim Öffnen und schließen, Meldung beim Benutzer mit WinPopup, Verschieben von Dateien in ein Quarantäne-Verzeichnis.

    Erfahrung: klappt gut, z.B. werden auch Anhänge an Mail beim Eingang schon gescannt, weil Mailprogramm TheBat die Dateien in einem eigenen Ordner abgelegt (der Anhang hat anschließend die Größe -1Byte). Dateien werden beim Verschieben ins Q-Verzeichnis umbenannt. Das Logging erfolgt in Messages, darüber kann man auch herausbekommen, was quarantänisiert wurde.

    Nachteile: Dämon muss laufen (wie findet man das raus?) Quarantäne-Ordner nur auf physikalischem Laufwerk

    Beim längeren Test gab es erhebliche Probleme mit Notes (ließ sich wegen angeblich gesperrter Dateien nicht mehr öffnen und auch ein Logout/Login half nicht) und anderen Applikationen (behaupten, eine Datei sei geöffnet und könnte daher nicht oder nur als Kopie geöffnet werden, obwohl das ganz bestimmt nicht so ist.) Diese Probleme konnten zurückgeführt werden auf eine fehlerhafte Programmierung in vscan. Nach Korrektur des Fehlers läuft der Test ohne jedes Problem; subjektiv sind einige Dinge etwas langsamer geworden, z.B. das Einlesen der Mails.
  • Integration mit Sendmail: Läuft über AmaVis oder Anomy; je nach Installation von sendmail (mit/ohne Milter, mit/ohne procmail) verschiedene Möglichkeiten. Leider sind die oben ansprochenen Erweiterungen noch nicht im Produktivstatus. Ohne alles verlangt die Integration die Änderungen von diversen Systemdateien (z.B. sendmail.cf), was wir eigentlich nicht tun wollten.

    Kommerzielles Tool fuer Sendmail 8.10, 8.11: xamime.com

Fazit: das Programm ist brauchbar, wenn man es zusammen mit der Integration in Samba begutachtet. Das Programm muss mit einem Skript mit vernünftigen Arbeitsabläfen versehen werden (z.B. automatische Benachrichtigung per Mail, automatisches tägliches Update, etc.). der Aufwand dürfte sich in Grenzen halten.

Notiz: der kommerzielle Sendmail-Server (Advanced Server) kostet die schlappe Kleinigkeit von 1900 EUR; der enthält die McAfee-Virusscan -Engine (Olympus).

4.5 Produktauswahl - Weitere untersuchte Produkte:
(oben sind die besten Produkte)

Produkt: F-Secure Anti Virus für Linux-Server 4.51
Preis: 177
Update: 138
AS: 110
Beurteilung:gute Scanleistung (verwendet Engines von Kapersky und F-Prot), kein Wächter, relativ langsam, Sendmail-Integration mit AMaVis, braucht RH ab 7.3
www: www.f-secure.de

Produkt: Trend Micro ServerProtect for Linux 1.2
Preis: 550
Update: 165
AS: 22
Beurteilung:gute Scanleistung, bis zur Version 1.1 nur Redhat 7.2, Marktführer bei großen Firmen, eigenes binäres Kernelmodul für Wächter. Relativ teuer. Schnelle Virus-Abwehr bei den letzten größeren Angriffen.
www: http://www.trendmicro.de

Produkt: Kaspersky Anti-Virus Business Optimal 4.0
Preis: 570
Update: n.a.
AS: n.a.
Beurteilung:mittlere Scanleistung, Wächter buggy. Relativ teuer.
www: www.kaspersky.de

Produkt: RAV AntiVirus for Linux 8.1.4
Preis: 499
Update: n.a.
AS: 25
Beurteilung:gute Scanleistung, gute Ausstattung, aber Linux-Linie wird nicht weiterentwickelt, da von MS gekauft. Deswegen ausgeschieden. Ironischerweise Testsieger in der C't 18/2003.
www: www.ravantivirus.de

Produkt: Vexira Antivirus 2.0
Preis: 379 USD
Update: n.a.
AS: 35 USD
Beurteilung:keine erkennbarer Vorteil zu Mitbewerbern, keine Vergleichsdaten.
www: www.centralcommand.com

Produkt: H+BEDV AntiVir Professional Edition 2.0.7
Preis: 1413
Update: 831
AS: 138
Beurteilung: sehr schlechte Erkennung, dafür aber recht teuer.
www: www.hbedv.com

Produkt: Norman Virus Control for Linux 5.55
Preis: 439
Update: 263
AS: 59
Beurteilung: sehr schlechte Erkennung
www: www.norman.com

5 Anhang/Info und Quellen

www.linux.org - Produktübersichten

cvs.sourceforge.net - Produktübersicht

www.av-test.org - Ein Projekt der Arbeitsgruppe Wirtschaftsinformatik am Institut für Technische und Betriebliche Informationssysteme der Otto-von-Guericke-Universität Magdeburg in Computer Zusammenarbeit mit GEGA IT-Solutions GbR. In regelmäßigen Abständen führen wir Tests von Anti-Viren-Software im Auftrag der Hersteller und für Zeitschriften durch.

www.linux-sec.net

www.iceland2000.com - Installation von Symantec auf Suse 8.0 von 10/2002

www.msys.ch - Filter mit Integration von Symantec in Sendmail

c't 18/2003, 'Virenscanner für Linux'

Zurück zur Übersicht

zum Seitenanfang

Start

Leistungen & Produkte

Softwareentwicklung
IT-Lösungen
Produkte & Preise

aldebaran

über aldebaran
Kontakt & Impressum
Referenzen

Service

Kunden-Login
Knowhow
C++ Borland Builder
DSL-Anschluss
Dublettensuche
Access-Formulare
Virenscanner
Sitemap
Google
aldebaran Programmierung & IT-Lösungen GmbH
Softwareentwicklung und Programmierung
von Individualsoftware in Hannover

© aldebaran GmbH Hannover