SicherheitSicherheitsmanagementSoftwareTestsVirus

Virenscanner fürs Gateway
Werkschutz

0 0 Keine Kommentare

Immer mehr Malware drängt via Webbrowser auf die PCs in Firmennetzen. Dieses Einfallstor schließen Gateway-Virenscanner. Die Virenjäger arbeiten als Proxy zwischen Clients und Internet und fangen schädlichen Programmcode ab, bevor er die PCs erreicht.

Schutzschilde

Virenscanner fürs Gateway

Eine neue Bedrohung: Seit einigen Monaten rücken Schädlinge in den Vordergrund, die mit präparierten Webseiten Sicherheitslücken der Browser ausnutzen. Schon der Aufruf eines infizierten JPEG-Bildes über den Browser reicht aus, um einen Virus in das Netzwerk einzuschleppen. Internet Professionell testet daher sechs Gateway-Scanner, die sich als Schutzschild zwischen die PCs im LAN und die Internetverbindung schalten. Das Testfeld besteht ausschließlich aus Programmen, die unter Windows 2003 Server arbeiten. F-Secure, Symantec und Trend Micro fungieren als eigenständige Proxy-Server, zusätzliche Programme sind nicht erforderlich. Kaspersky, McAfee und Panda funktionieren nur zusammen mit dem ISA Server von Microsoft, der die benötigte Proxy-Funktionalität für den Scanner bereitstellt.

Die Gesamtleistung aus Virenbehandlung, Funktionsumfang, Bedienung und Service entscheidet über Testsieger und -verlierer. Hier holt der Scanner von McAfee die meisten Punkte und wird mit knappem Vorsprung vor Kaspersky Testsieger. Kaspersky hat zwar die beste Virensuchleistung im Test, Abstriche bei Bedienung und Reporting verhindern aber ein besseres Abschneiden.


Grenzen des Filters

Virenscanner fürs Gateway

Die Kommunikation zwischen Webserver und Client-PC läuft über das Protokoll HTTP. Gateway-Scanner erkennen die IP-Datenpakete und setzen die Originaldateien der angefragen Webseite beispielsweise HTML- oder Bilddateien zusammen, da eine Virenprüfung auf Paketebene nicht möglich ist. Die Dateien werden dann an
den Virenscanner zur Prüfung übergeben. Nur wenn der Virencheck nicht fündig wird, erlaubt der Gateway-Scanner den Zugriff des Client-PCs im LAN auf die Webseite. Andernfalls wird die Übermittlung abgeblockt. Der Browser des Client-PCs zeigt in diesem Fall eine Hinweisseite mit dem Grund der Blockade an.

Der Administrator kann ganze Webseiten blocken, alternativ kann sich die Filterung auch auf einzelne Inhalte beschränken. Bestimmt ein Download-Link auf einer Webseite das Protokoll FTP zur Übertragung, so laufen die Daten ebenfalls über den Browser und müssen gescannt werden. Das gilt auch für reine FTP-Transfers mit einem zusätzlichen Client-Programm wie Filezilla. Nur Gateway-Scanner, die einen speziellen FTP-Proxy integriert haben, können diese Datenströme scannen. Alle Hersteller außer F-Secure unterstützen zwar dieses Feature, allerdings können im Test weder Panda noch Symantec hierüber eingeschleuste Viren erkennen.

Machtlos sind Gateways prinzipiell bei der Verwendung von Downloadmanagern wie Getright oder Gozilla. Der Gateway-Scanner kann die einzelnen Teile des Downloads nicht zu einer Datei zusammensetzen und sie deshalb auch nicht prüfen. Bei SSL-verschlüsselten Übertragungen über HTTPS ist der Proxy ebenfalls nicht in der Lage, den Inhalt zu prüfen. Die Verschlüsselung wird erst auf dem Client-PC im Browser aufgehoben, für den vorgeschalteten Proxy sind die Daten nicht lesbar. Umgehen kann man das Problem, indem HTTPS entweder komplett geblockt oder gezielt nur für bestimmte vertrauenswürdige Webseiten freigegeben wird.


Weniger ist oft mehr

Virenscanner fürs Gateway

Im Idealfall sollte der Scanner nur bestimmte Dateitypen beachten. GIF-Bilder etwa gelten als unbedenklich. Das Prüfen mit dem Virenscanner benötigt Rechenzeit und Arbeitsspeicher des Antiviren-Servers. Um die Performance des Gateways zu steigern, sollten Administratoren daher den Scan auf potenziell schädliche Inhalte beschränken.

Im Gateway-Scanner sollte sich deshalb festlegen lassen, welche Objekte zu scannen sind. Es sind verschiedene Methoden gebräuchlich, um den Dateityp zu ermitteln. Der Webserver überträgt zum Beispiel mit der Datei den Mime-Code zur Deklaration des über HTTP übertragenen Inhalts. Allerdings legt der Webserver den Mime-Code unabhängig vom tatsächlichen Inhalt der Datei fest, eine vorsätzlich falsche Klassifizierung durch Hacker ist also denkbar. Ähnlich verhält es sich mit den von Windows bekannten Dateinamenserweiterungen wie beispielsweise EXE, COM und BAT. Weder die Mime-Codierung noch die Dateinamenserweiterung sind deshalb geeignet, den Dateityp mit Sicherheit festzustellen.

Bei Desktop-Virenscannern hat sich eine eigenständige Erkennung des tatsächlichen Dateityps auf breiter Fläche bereits durchgesetzt. Im Testfeld bieten diese Funktion jedoch lediglich F-Secure und Trend Micro. Weil die eindeutige Klassifizierung schädlicher Dateitypen so schwierig ist, kann es für besonders Sicherheitsbewusste sinnvoll sein, pauschal alle Objekte im HTTP-Datenstrom auf schädlichen Code zu scannen, auch wenn dies für die Performance des Gateways nicht die optimale Lösung ist.

Vorbeugend arbeiten Inhaltsfilter, die gefährliche Bestandteile aus Webseiten entfernen. Das sind aktive Elemente wie Skripts, Java-Applets oder ActiveX-Controls. Der Haken daran ist natürlich, dass manche Webseiten ohne diese Elemente nicht mehr bedienbar sind, etwa wenn schicke Popup-Menüs mangels Skript nicht mehr funktionieren. Hier muss jeder Administrator nach Rücksprache mit den Benutzern einen Kompromiss zwischen optimaler Sicherheit und Benutzerfreundlichkeit finden.


Timeout und Cache

Virenscanner fürs Gateway

Die getesteten Gateway-Scanner halten die IP-Datenpakete einer Webseite so lange zurück, bis die Originaldateien zusammengesetzt und gecheckt wurden. Das kann bei großen Dateien zu spürbaren Verzögerungen führen, die sich in einem langsamen Seitenaufbau am Client bemerkbar machen. Unter Umständen löst der Webbrowser auf dem Client-PC dadurch sogar einen Timeout aus. Der Gateway-Scanner kann das unterbinden, indem er einzelne Datenpakete weiterreicht, auch wenn die Prüfung der Gesamtdatei noch läuft. Besonders benutzerfreundlich ist hier der Scanner von McAfee: Während der Wartezeit schickt er Statusmeldungen an den Client-Browser.

Mit einem Cache für schon geprüfte Dateien im Proxy des Gateway-Scanners können Timeouts weitgehend vermieden werden. Je mehr Anwender im LAN surfen, desto höher ist die Wahrscheinlichkeit, dass eine angeforderte Datei bereits im Cache liegt. Diese Dateien können aus dem Cache direkt auf den Client weitergeleitet werden. Bei Produkten, die auf den ISA Server aufsetzen, wie McAfee Security Shield, Kaspersky Anti-Virus und Panda Enterprisecure Antivirus, übernimmt dieser die Cache-Funktion. Häufig angeforderte Sites oder Domains können alternativ auch als sicher deklariert werden. Pakete von diesen Adressen passieren dann den Scanner ohne Prüfung. Das funktioniert ähnlich wie die bekannten Sicherheitszonen im Internet Explorer und beschleunigt die Abwicklung merklich.


Nur im Verbund sicher

Virenscanner fürs Gateway

Gateway-Virenscanner sind nur ein Baustein zum sicheren Netzwerk. Sie können nicht sämtliche Einfallstore für Schadprogramme schließen. In jedem Fall sind auf den Client-PCs zusätzliche Desktop-Antivirenprogramme anzuraten. Trotz Gateway-Scanner können sich über das Internet Schadprogramme auf den Client schleichen, zum Beispiel verschlüsselt per HTTPS, über den Webmail-Zugang eines Mitarbeiters oder einen Instant Messenger. Oft blockieren Administratoren deshalb über die Firewall Messenger-Programme diese Sperre kann aber mit HTTP-Tunneling unterlaufen werden. Auch über Disketten, CDs oder USB-Sticks können Viren ins Netz eindringen. Der Gateway-Virenscanner ist dagegen machtlos.

Fast alle Hersteller bieten auch Programme für andere Server-Betriebssysteme wie Linux, für Firewalls wie die Checkpoint Firewall-1 oder Content-Filter wie Mimesweeper an. Nicht zuletzt gibt es etliche Appliances, die als eigenständige Server den Datenverkehr filtern. Diese nutzen Virensuch-Engines bekannter Hersteller wie Trend Micro, McAfee oder Sophos. Ein
en Überblick finden Sie auf Seite 42 im Kasten »Alternative: Appliances«.


McAfee Security Shield for Microsoft ISA Server 1.0

Virenscanner fürs Gateway

Für den Einzelplatz ist die Web-Oberfläche gedacht, die für die Konfiguration Java-Applets einsetzt. Die Gestaltung ist übersichtlich, die Grundeinstellungen sind leicht zugänglich. Alternativ klinkt sich Security Shield in die Verwaltungskonsole Epolicy Orchestrator ein. Die Konsole überwacht auch andere McAfee-Produkte wie die Virenscanner auf den Client-PCs. Der Gateway-Scanner blockt auf Wunsch Archive mit Passwort und filtert korrupte Objekte aus, die nicht dem Standard entsprechen.

Bei infizierten Webseiten erscheint im Browser der Client-PCs eine Warnung. Die Überwachung klappt sowohl bei HTTP als auch bei Downloads per FTP oder FTP over HTTP, was bei den Mitbewerbern F-Secure, Symantec oder Panda in dieser Form nicht möglich ist.

Als Manko erweist sich im Test, dass der McAfee-Scanner infizierte JPEG-Bilddateien passieren lässt. Mit einem MS-Internet-Explorer-Patch kann das Problem gelöst werden. Um Timeouts zu verhindern, reicht der Gateway-Scanner große Dateien schon vor dem Ende der Prüfung teilweise an die Clients weiter.

Fazit. Vor allem beim Funktionsumfang und der einfachen Bedienung punktet das mit 950 Euro vergleichsweise preiswerte Programm. Verbesserungspotenzial besteht bei der Virenerkennung und -behandlung. Insgesamt bietet Security Shield aber die ausgewogenste Leistung im Test.

Ranking: 80%
Hersteller: McAfee
Preis: 950 Euro


Kaspersky Anti-Virus for MS ISA Server

Virenscanner fürs Gateway

Das Programm setzt den älteren Microsoft ISA Server 2000 voraus, mit dem aktuellen ISA Server 2004 klappt die Installation nicht. Eine angepasste Version soll laut Kaspersky im dritten Quartal dieses Jahres erhältlich sein.

Die Bedienoberfläche von Kaspersky ist spartanisch und besteht aus einer Dialogbox mit mehreren Reitern, die über die Verwaltungskonsole des ISA Servers erreichbar ist.

Viele Konfigurationsoptionen gibt es bei Anti-Virus nicht, gute Funktionen bringt das Programm aber mit. Bei der Virenbehandlung spielt es seine Stärken aus. Kaspersky scannt HTTP, FTP over HTTP und Downloads per FTP-Protokoll. Der Scanner öffnet insgesamt zwölf verschiedene Archivformate, nur der F-Secure Internet Gatekeeper mit vierzehn unterstützten Formaten ist noch universeller. Für die gute Service-Note sind die stündlichen Online-Updates der Virendatenbank der Hauptgrund.

Ein Schwachpunkt ist die Log-Funktion: Das Programm erzeugt lediglich einfache Textdateien. Diese enthalten nur die wesentlichen Angaben zu Zeitpunkt und Quelle der Infektion, eine weitere Auswertung gibt es aber nicht. Insgesamt ist Kaspersky durch die Stärken bei Virenbehandlung und Service sehr empfehlenswert. Dem stehen Einschränkungen im Bedienkomfort und die nur rudimentäre Reporting-Funktion entgegen.

Fazit. Wer sich an der puristischen Ausrichtung des Programms nicht stört, erhält eine sehr gute Scan-Funktion für den mit 700 Euro niedrigsten Preis im Testfeld. Die mäßige Bedienoberfläche und die fehlende Unterstützung des Microsoft ISA 2004 Servers kosten Kaspersky den Testsieg.

Ranking: 77%
Hersteller: Kaspersky
Preis: 700 Euro


Symantec Web Security

Virenscanner fürs Gateway

Ähnlich wie die Lösung von Kaspersky glänzt der Gateway-Scanner von Symantec vor allem bei der Virenbehandlung. Eingebettete Skripts in Webseiten und die infizierten JPEG-Bilddateien sind kein Problem. Lediglich die FTP-Übertragungen lässt das Gateway passieren. Bei infizierten Archiven ist die Warnmeldung im Client-Browser sehr ausführlich und listet sämtliche infizierten Dateien im Archiv auf. Passwortgeschützte Archive blockiert der Scanner per Default. Positiv fällt auf, dass schon in der Standardeinstellung sämtliche Objekte gescannt werden.

Der Nutzer verwaltet das Programm über eine Web-Oberfläche, die optisch sehr altbacken wirkt und umständlich zu bedienen ist. So muss man zunächst das zu manipulierende Objekt auswählen, erst auf der nächsten Webseite erscheinen die Details. Die Reports als Webseiten enthalten alle wichtigen Details, wie zum Beispiel den URL oder den Dateinamen des infizierten Objekts.

Zugang zum Internet bekommen nur die Client-PCs, deren Nutzer sich mit Kennung und Passwort auf einer Login-Seite anmelden. Benutzer lassen sich zu Gruppen zusammenfassen, das vereinfacht die Verwaltung. Im Test treten mit Firefox Anmeldeprobleme auf, mit dem Internet Explorer dagegen klappt alles einwandfrei. Nach der erfolgreichen Erstanmeldung des Clients über den Internet Explorer ist auch ein Weitersurfen zum Beispiel mit Mozilla Firefox möglich.

Fazit. Symantec Web Security sichert das LAN mit der zweitbesten Virenbehandlung im Test zuverlässig ab. Bei Bedienoberfläche und Funktionsumfang kann Symantec aber nicht mit dem Testsieger von McAfee mithalten.

Ranking: 75%
Hersteller: Symantec
Preis: 1450 Euro


F-Secure Internet Gatekeeper

Virenscanner fürs Gateway

Die Prüfung des Datenverkehrs erledigt F-Secure als Proxy-Server auf dem Server mit Internetzugang. Entsprechend hält ein Cache einmal geprüfte Dateien für den schnellen Abruf bereit. Auf den Client-PCs muss im Webbrowser der Proxy-Modus aktiviert werden. Der Scanner von F-Secure wird über eine Web-Oberfläche bedient, wahlweise vom aktuellen Rechner oder einem beliebigen Rechner mit Internetzugriff aus. Diese Variante ist für Installationen ohne zentrales Management vorgesehen. Zusätzlich klinkt sich der Gatekeeper in die allgemeine F-Secure-Verwaltungskonsole ein, den Policy Manager.

Bei Funktionsumfang, Service und Bedienung kann F-Secure gut mit der Konkurrenz mithalten. Insbesondere die Web-Oberfläche ist klar strukturiert. Gelungen ist auch die Statusseite mit allen Eckdaten und Infektionsmeldungen. Der Haken des Programms ist die eingeschränkte Protokoll-Unterstützung. Im Test findet es zwar in Webseiten eingebettete Skripts, muss aber sowohl bei den präparierten JPEG-Bilddateien als auch dem Download per FTP over HTTP passen. FTP-Übertragungen untersucht der Scanner gar nicht.

Fazit. Bedienung und Service können sich sehen lassen. Wenn man FTP-Downloads mit Hilfe einer Firewall separat sperrt, sichert der Scanner LANs gegen Browser-Angriffe gut ab. Berücksichtigt man den eigenen Proxy-Server, ist Gatekeeper mit 950 Euro ausgesprochen preisgünstig.

Ranking: 73%
Hersteller: F-Secure
Preis: 950 Euro


Panda Enterprisecure Antivirus

Virenscanner fürs Gateway

Der Gateway-Scanner von Panda Software ist nur als Teil der Gesamtlösung Enterprisecure Antivirus zu haben. Die Software wird bequem über die Verwaltungskonsole installiert, die alle MS-ISA-Server im Netzwerk anzeigt. Lediglich bei der Installation auf der älteren Version ISA Server 2000 sind in der Verwaltungskonsole einige Regeln von Hand anzulegen. Die Bedienoberfläche und die große Zahl an Konfigurationsoptionen sind die Stärken des Programms. Zudem sind die Standard-Eins
tellungen sinnvoll gewählt so werden auch Dateien ohne Namenserweiterung gescannt. Die Protokollfunktion ist nicht aussagekräftig genug. Sie zeigt nur, welcher Schädling am ISA Server auftrat, aber nicht, bei welcher Aktion. So weiß der Administrator nicht, ob es um einen Download oder einen Schädling in einer Webseite geht, und kann nicht entsprechend reagieren.

Bei der Virenbehandlung beschränkt sich Enterprisecure auf das HTTP-Protokoll. FTP-Übertragungen, auch Übertragungen per FTP over HTTP, bleiben ungeprüft. Dadurch sind entscheidende Einfallstore für Viren offen. Die manipulierten JPEG-Dateien bringen den Panda-Scanner nicht in Verlegenheit, sie werden zuverlässig blockiert. Dafür übersieht der Scanner als einziges Produkt im Test zwei in eine Webseite eingebettete VB-Skript-Viren.

Fazit. Mit einfacher Bedienung und gutem Service kann Panda Antivirus punkten. Der Aussetzer bei zwei VB-Skript-Viren und die fehlende FTP-Unterstützung verhindern eine bessere Bewertung bei der Virenbehandlung.

Ranking: 70%
Hersteller: Panda Software
Preis: 1100 Euro


Trend Micro Interscan Viruswall for SMB

Virenscanner fürs Gateway

Die Interscan Viruswall kommt ohne ISA Server aus und installiert sich als Web-Proxy auf dem Server. Die gefällige Web-Oberfläche ist zwar sehr übersichtlich, muss aber auch nicht viele Optionen präsentieren. Hier wäre etwa eine Filterung der Dateien nach Mime-Typen oder eine Entfernung von eingebetteten Skripts oder ActiveX-Controls sinnvoll. Die Virenbehandlung selbst ist gut, sie erfasst neben Skripts in Webseiten auch Downloads per FTP und FTP over HTTP. Die Viruswall erkennt die manipulierten JPEG-Dateien nicht und leitet sie zum Client durch. Als Benachrichtigung bietet Trend Micro nur E-Mails. Die Protokoll-Funktion nennt Datum und den betroffenen Client-PC, nähere Angaben zum infizierten Objekt fehlen.

Die schlechte Note beim Service geht vor allem auf die längsten Update-Zyklen für die Virendatenbank im Testfeld zurück. Nur alle zwei bis drei Tage sind die regelmäßigen Updates verfügbar. Für kritische Virenausbrüche liefert Trend Micro wie alle anderen Hersteller auch Zwischen-Updates. Bei der Virenbehandlung und der Bedienung liegt Trend Micro Interscan Viruswall im Mittelfeld. Die Position in der Gesamtwertung ist nicht besser, weil die Update-Zyklen zu lang sind und der Funktionsumfang vergleichsweise gering ist.

Fazit. Mit einem Preis von 1500 Euro ist Viruswall die teuerste Lösung im Test. Beim Preisvergleich mit McAfee, Kaspersky und Panda ist allerdings zu berücksichtigen, dass Trend Micro keinen zusätzlichen ISA Server benötigt.

Ranking: 67%
Hersteller: Trend Micro
Preis: 1500 Euro


Testsieger

Virenscanner fürs Gateway

Empfehlung der Redaktion

Security Shield von McAfee liefert die insgesamt ausgewogenste Gesamtleistung im Testfeld. Besonders die guten Reportfunktionen und die umfangreichen Filteroptionen überzeugen. Die übersichtliche Struktur der Bedienoberfläche ist ein weiterer Pluspunkt.

Budget-Empfehlung

F-Secure Internet Gatekeeper verfügt über einen integrierten Proxy und ist mit 950 Euro vergleichsweise preiswert, da kein Microsoft ISA Server erforderlich ist. Eingebette Skripts und Webseiten-Downloads werden sich kontrolliert.