User Tools

Site Tools


de:copfilter-grundlagen-funktionsumfang_einrichtung


Copfilter-Grundlagen

Funktionsumfang und erste Einrichtung

Nachdem es ein bißchen textlastig wurde - jetzt auch mal ein paar Bilder - dann wird es etwas anschaulicher…:

Um den Copfilter nach erfolgreicher Grundinstallation für den Ersteinsatz zu konfigurieren, wählt man die entsprechenden Dienste der Reihe nach über das Copfilter-Menü aus, welches nach der Installation unter einem zusätzlichen “Reiter” auf der IPCop-Menüleiste erschienen ist.

Während dieser ersten Einrichtung wird empfohlen, die einzelnen Konfigurationsseiten nacheinander aufzurufen und vor dem Abspeichern zunächst jedesmal den Haken “Überspringe Dienste-Neustart” zu setzen. Die gesetzten Einstellungen werden dabei übernommen, die Dienste aber noch nicht aktiviert.

Das V1 und V2-Menü unterscheiden sich nur geringfügig - im Copfilter V2 ist zusätzlich der C-ICAP Filter enthalten:

Copfilter-V1-MenüCopfilter-V1-Menü
Copfilter-V1-Menü Copfilter-V2-Menü

Status

Die Status-Seite wurde schon einmal gezeigt - hier der Vollständigkeit halber nochmal in aller Schönheit (IPCop 1.4.x, Copfilter 0.85.3beta3).

Sie liefert einen umfangreichen Überblick über die installierten Copfilter-Komponenten und deren aktuellen Zustand - und noch einiges mehr.

So können hier unter anderem diverse Dokumentationen, die Virus- und SPAM-Quarantäne, der Monit Service Manager, der Whitelist- und der SPAM-Übersichts-Manager, sowie verschiedene SPAM- und Virus-Statistiken abgerufen werden.

Einige Details zum Screenshot (Copfilter V1):

  • Alle aktivierten Dienste werden mit 'monit' überwacht - Details zu den einzelnen Diensten werden über den Monit Service Manager angezeigt und kontrolliert.
  • Auf dieser Copfilter-Installation wurden unter anderem die Monit-Version 5.2.5, P3Scan 2.3.2, HAVP 0.92, SpamAssassin 3.3.1, sowie ClamAV 0.97.1 aktiviert.
  • Eingehende Emails werden unter Verwendung des POP3-Proxys gefiltert (P3Scan).
  • Auf den Einsatz von 'ProxSMTP' wurde verzichtet - ausgehende Emails werden daher nicht gefiltert.
  • 'Privoxy', 'Frox' und Imspector sind ebenfalls ausgeschaltet - es findet also keine zusätzliche HTTP- bzw. FTP-Filterung und kein Logging von Messenger-Sessions statt.
  • Über die Schaltflächen der Spalte Manuelle Kontrolle können aktivierte Dienste zu Testzwecken manuell gestartet oder gestoppt werden - dauerhafte Änderungen können dadurch nicht vorgenommen werden!

V1 Status

Ab dem Copfilter V2 (2.0.91beta1) kommt als alternative Komponente für den HTTP Filter (HAVP) der C-ICAP Filter hinzu, außerdem wurde die Status-Anzeige der einzelnen Dienste erweitert:

ON = Dienst ist aktiv.
OFF = Dienst ist beendet.
NOT ACTIVATED = Dienst ist per GUI deaktiviert.
ON ACCESS (no pid) = Sonderfall für Dienst ohne Daemon (z.B. freie F-PROT-Version) - Dienst wird nur bei Bedarf kurzzeitig gestartet.

V2 Status

E-Mail

Für die erste Einrichtung am wichtigsten und unverzichtbar - die Copfilter-Email-Adresse. An diese Email-Adresse verschickt z.B. 'monit' seine Informationen und Alarme zur Überwachung der laufenden Dienste.

Außerdem werden Update-Informationen und Benachrichtigungen der installierten Viren-Scanner hierin gesendet.

Email

Durch einen Klick auf die Schaltfläche

Speichern ohne Neustart

werden die vorgenommenen Einstellungen übernommen.

Hier ist - noch - kein Dienste-Neustart vorgesehen…

Für den Mail-Versand wird sendEmail eingesetzt, kommt es dabei zu Problemen, findet sich hier vielleicht eine Lösung.

Überwachung

Bei der Konfiguration eines Dienstes - hier der Überwachungsdienst 'monit' - muss demgegenüber darauf geachtet werden, ob nur die vorgenommenen Einstellungen gespeichert oder der Dienst außerdem neu gestartet werden soll:

Monit

Wichtige Anmerkungen hierzu:

  • Jeder Copfilter-Dienst ist nach der Erstinstallation grundsätzlich deaktiviert, da er vom Anwender noch nicht konfiguriert wurde.
  • Im obigen Beispiel wird der Überwachungsdienst 'monit' durch Setzen des Option-Schalters auf “ON” aktiviert - wirklich gestartet ist er damit aber noch nicht!
  • Gestartet wird er erst durch das Speichern der vorgenommenen Einstellungen und den Dienste-(Neu)start.
  • Möchte man umfangreichere Änderungen vornehmen, ist das Überspringen des Dienste-Neustarts möglich und während einer Erstkonfiguration auch sinnvoll, um die Konfiguration zu erleichtern und vor allem zu beschleunigen.
  • Die Aktivierung aller vorgenommenen Änderungen sollte in diesem Fall durch das Anwählen der Schaltfläche

    Alle Dienste neu starten
    auf der Copfilter-Status-Seite erfolgen.
  • Dabei werden alle Änderungen dauerhaft übernommen und aktiviert, sowie alle Copfilter-Dienste in einem Arbeitsschritt neu gestartet.
  • Es wird daher empfohlen, während der Erstkonfiguration und nach jedem Copfilter-Update - mit einem eventuellen Restore der vorher gesicherten Einstellungen - die Einstellungen sämtlicher Copfilter-Konfigurationsseiten nacheinander ohne Neustart der jeweiligen Seite abzuspeichern und erst zum Schluss einen kompletten Copfilter-Neustart durchzuführen.
  • Warum?
  • Damit wird sichergestellt, dass eventuell neu eingeführte Optionen und Schalter von Anfang an mit ihren jeweiligen Werten in die Konfigurations-Dateien geschrieben werden.

POP3 Filter

Als nächstes sollte der POP3-Scanner (P3Scan) für das Filtern von eingehenden Mails aktiviert und konfiguriert werden:

P3Scan

Um eingehende Mails auf Viren zu überprüfen, müssen die Optionen “Aktiviere P3Scan zum eingehenden Filtern…” und “Stoppe Viren-Mail und sende stattdessen einen Viren-Hinweis” eingeschaltet werden.

Spätestens auf dieser Copfilter-Konfigurations-Seite sollte man innehalten und vorher einen Blick in die Dokumentationen geworfen haben!

Noch ein paar Anmerkungen:

  • Es ist auf dieser und auf den noch folgenden Seiten nicht ratsam, alles und jede zur Verfügung stehende Funktion auf ON zu stellen!
  • Im Gegenteil…
  • Wichtiger ist eine sorgfältige Auswahl und Abwägung der gewünschten Funktionen: man kann den Copfilter auch totkonfigurieren!
  • Das sinnentnehmende Studium der jeweiligen Seiten-Hinweise, der Dokumentation und einer passenden Einstiegslektüre wird dringend empfohlen!
  • Die hier in den Screenshots dargestellten Einstellungen können, müssen aber nicht als Anhaltspunkte für eine erste Inbetriebnahme dienen!

SMTP Filter

Noch etwas deutlicher wird dies bei der Konfigurationsseite für das Filtern der ausgehenden Mail:

ProxSMTP

Um ausgehende Mails auf Viren zu überprüfen, müssen die Optionen “Aktiviere ProxSMTP zum ausgehenden Filtern…” und “Stoppe Viren-Emails und sende opt. Viren-Hinweis” eingeschaltet werden.

Ausgehende Mails werden gefiltert und der Versuch, eine Viren-Mail zu versenden, durch ProxSMTP entsprechend den vorgenommenen Einstellungen geblockt:

ProxSMTP - gefilterte Email

  • Hier wird zusätzlich zu den bei P3Scan gesehenen Optionen ein eventuell verwendeter, interner Mailserver berücksichtigt - es wird wesentlich komplizierter.

HTTP Filter

Über die Konfigurationsseite der HTTP-Scanner (HAVP, privoxy) kann das Filtern sämtlicher HTTP-Netzzugriffe durch die installierten Virenscanner und durch 'privoxy' eingestellt werden.

Copfilter 2.0.91beta4, 'HAVP' ist ON, 'C-ICAP' ist OFF (siehe unten), 'privoxy' ist ON:

HAVP ON

Die Hinweis-Texte zum HAVP sollten unbedingt beachtet werden - man sollte sich des weiteren darüber im Klaren sein, dass dies keine Freifahrkarte darstellt: trotz des Einsatzes von HAVP/C-ICAP kann es immer noch vorkommen, dass man sich einen Virus einfängt!

C-ICAP Filter

Der als HAVP-Alternative einsetzbare C-ICAP-Filter - für Content- und URL-Filtering - steht erst ab der Copfilter Version 2.0.91beta1 zur Verfügung.

Auf der - sehr umfangreichen - Konfigurationsseite können die verschiedenen C-ICAP-Funktionsgruppen wie Viren-Filterung, der integrierte URLFilter mit Einbindung eigener White- und Blacklisten, sowie die externe Blacklist-Auswahl und deren zeitgesteuertes Update konfiguriert werden.

Copfilter 2.0.91beta4, 'C-ICAP ON, 'HAVP' OFF, 'privoxy' ON:

C-ICAP

Wenn C-ICAP eingesetzt wird, sollte die 'Cache-Größe im Arbeitsspeicher' für 'squid' (Parameter 'cache_mem' in '/var/ipcop/proxy/squid.conf') nicht kleiner als 32 MB gewählt werden!

Anleitungen zur Inbetriebnahme findet man in der illustrierten Beschreibung und der Dokumentation.

FTP Filter

Der FTP-Scanner (Frox)ist in seinen Einstellungen etwas genügsamer, er kennt nur ON oder OFF

Frox

Schon wieder ein paar Anmerkungen…:

  • Die Tatsache, dass z.B. 'frox' und 'monit' über das GUI anscheinend nur die Schalter ON und OFF kennen, bedeutet nicht, dass es nicht noch weitere, hier nicht sichtbare Einstellungsmöglichkeiten dieser beiden Dienste gibt!
  • Gesteuert werden beide - so wie alle anderen Copfilter-Dienste - über Konfigurationsdateien. Im Falle von 'frox' umfaßt die komplette 'frox.conf' ca. 12 KByte ASCII-Text.
  • Die für den Copfilter wichtigen Einstellungen sind für den 'frox'-Dienst in der 'frox.conf' schon vorgegeben und können hier nicht beeinflußt werden.
  • Würden alle möglichen Einstellungsparameter eines jeden Copfilter-Dienstes zur Auswahl stehen, wären die Konfigurations-Seiten völlig überladen - man käme unter Umständen erst nach wochenlangem Studium sämtlicher Dokumentationen zu einer wirklich funktionsfähigen Auswahl.

IM Proxy

Der transparente IM Proxy Imspector steht erst ab der Copfilter Version 0.85.x zur Verfügung.

  • Auf dieser Konfigurationsseite kann neben der eigentlichen Aktivierung die Überwachung der verschiedenen unterstützten Protokolle ein- bzw. ausgeschaltet werden.
  • In der Grundeinstellung werden IM Sessions der ausgewählten Protokolle über den Real Time Logviewer allerdings nur geloggt - hierzu erhält der Anwender einen entsprechenden Hinweis.
  • Der Imspector stellt weiterhin 'Content manipulation' und 'ACL filtering' zur Verfügung - dies kann über die Datei '/var/log/copfilter/default/opt/imspector/etc/imspector.conf' konfiguriert werden.


Imspector Real Time Logviewer

AntiSpam

Die 'spamassassin'-(Antispam)-Konfiguration ist etwas anspruchsvoller - die hier abgebildeten Standard-Vorgaben vom Copfilter sollten wirklich nur dann angepaßt werden, wenn man wirklich weiß, was man tut:

Antispam


Zur Funktionsweise vom SpamAssassin:

  • Jeder ankommende Email erhält vom SpamAssassin nach verschiedenen Regeln einen bestimmten Punkte-Wert, der anzeigt, wie hoch die Spamwahrscheinlichkeit eingeschätzt wird.
  • Bei Überschreiten eines einstellbaren Schwellenwertes wird die Email als Spam markiert und kann dann zum Beispiel direkt gelöscht, annahmeverweigert, in spezielle Spamordner oder Spamdateien abgelegt, oder einfach nur mit einem Warn-Betreff - für die weitere Filterung durch den Email-Client - versehen werden.
  • Beim zuschaltbaren Bayes-Filter handelt es sich um einen statistischen Filter, mit dem abhängig vom Auftreten von charakteristischen Wörtern in einer Email entschieden wird, ob es sich um eine Spam-Mail handelt oder nicht.
  • Verschiedene zuschaltbare Regeln - mit automatischer Aktualisierung - verbessern die Erkennung, gehen aber zu Lasten der Performance.

AntiVirus

Hier können die installierten Virenscanner und die seit der Version 2.0.91beta1 fest integrierten 3rd Party Signaturen konfiguriert werden:

Antivirus

Allein ClamAV kennt allerdings ca. 80 mögliche, hier nicht sichtbare Einstellungsparameter!

Anmerkung:
Und für diejenigen, die schon immer mal wissen wollten, wie F-PROT installiert wird, hier ein Screenshot dazu (freie Workstation version):

Installing F-PROT

Durch die Integration der 3rd Party Signaturen wurde die Bandbreite dieser Funktion wesentlich erweitert.
Diese Modifikation stellt zahlreiche, inoffizielle Viren-Signatur-Dateien für den zusätzlichen Einsatz mit ClamAV zur Verfügung.

Tests & Logs

Auf der Tests & Logs-Seite können grundlegende Copfilter-Funktionen der POP3-, SMTP-, HTTP- und FTP-Virenscanner getestet und verschiedene, wichtige Log-Dateien direkt eingesehen werden.

Es wird jeweils der aktuelle Inhalt der betreffenden Log-Datei angezeigt - eine Übersicht über archivierte Logs ist hier nicht möglich.

Tests und Logs


Der erste "Neustart aller Dienste"...

Hat man die Erstkonfiguration bis hierher geschafft, alle gewünschten Einstellungen vorgenommen und jedesmal einen Haken für das Überspringen des Dienste-Neustarts gesetzt, sollte man exakt jetzt wieder auf die Copfilter-Status-Seite vom Anfang wechseln.

Alle Dienste befinden sich noch im Status OFF.


Jetzt sollte man die Schaltfläche

Alle Dienste neu starten

anklicken…eine neue Seite öffnet sich…


Und je nach Browser dauert es entweder etwas - oder man kann die folgenden Meldungen nach und nach mitlesen (Copfilter 0.85.3beta3, SpamAssassin wurde nicht aktiviert):

Copfilter-Neustart

de/copfilter-grundlagen-funktionsumfang_einrichtung.txt · Last modified: 2016/12/04 12:43 by fischerm