User Tools

Site Tools


de:copfilter-grundlagen-was_ist_das


Copfilter-Grundlagen

Was ist der Copfilter?

  • Beim Copfilter handelt es sich um eine Programmsammlung - in ihrer Gesamtheit ein sogenanntes Addon - für den IPCop-Firewall-Router.
  • Der Copfilter erweitert den IPCop um Programme und Funktionen, mit deren Hilfe man Webseiten, Downloads, sowie ankommende und abgehende E-Mails auf Viren und andere Schädlinge filtern kann.
  • Wird ein Virus oder andere Schadsoftware gefunden, werden Zugriffe auf die betreffende Seite oder deren Inhalte ganz oder teilweise blockiert.
  • E-Mails werden - je nach Einstellung - in Virus- bzw. SPAM-Quarantäne-Ordner verschoben.

Komponenten

Die wesentlichen Komponenten und Funktionsmerkmale:

  • POP3-Proxy mit Viren- und SPAM-Schutz.
  • SMTP-Proxy mit Viren- und SPAM-Schutz.
  • Verwerfen/Quarantäne von Emails, abhängig von den Voreinstellungen des Spam-Levels oder wenn ein Virus gefunden wurde.
  • HTTP-Proxy mit Viren- und Werbe-Blocker.
  • FTP-Proxy mit Virenschutz.
  • ab Version 0.85.x: IMSpector - Instant Messenger Proxy mit Überwachungs-, Sperr- und Content-Filtering-Funktionen.
  • ab Version 2.0.91beta1: C-ICAP zur Content-Anpassung und Filterung, mit integriertem URLFilter.
  • Attachement Renaming-Tool - Umbenennen potentiell gefährlicher Anhänge (.pif .vbs …) bei Mails mit Anhang.
  • Mail-HTML-Cleaner - Säubern von HTML-Emails durch Entfernen gefährlicher HTML-Tags.
  • Überwachungs-Utility ('monit') der Dienste mit Mail-Funktion - wenn ein überwachter Service ausfällt, wird er automatisch neu gestartet.
  • Alle Dienste arbeiten transparent, es ist keine Client-Konfiguration nötig.

Um einen ersten Eindruck zu bekommen, hier ein Blick auf die Copfilter-Status-Seite, Version 0.85.3beta3:

Copfilter-Status

Insgesamt sind in dieser Copfilter-Installation 11 installierte Komponenten aufgelistet, beginnend mit dem Überwachungsdienst 'monit'.

Es folgen verschiedene (Proxy-)Dienste:

  • Die Filterung von POP3-, SMTP-, HTTP- und FTP-Datentransfers.
  • Der Instant Messenger Proxy
  • Der AntiSpam-Filter
  • Der installierte AntiVirus-Scanner
  • Der “Attachment Renamer”, zuständig für das “Umbenennen gefährlicher Dateianhänge” und die
  • Regelsätze für die SPAM-Filterung.

Jede Komponente wird mit Beschreibung, Dienstnamen, aktueller Versionsnummer, dem aktuellen Betriebs-Status, sowie ihrer/n Prozess-ID(s) aufgelistet und kann auf der dargestellten Status-Seite außerdem - zu Testzwecken - manuell GESTARTET oder GESTOPPT werden. Dauerhafte Änderungen können hier nicht vorgenommen werden!

Hardware

Logischerweise wird die Auslastung des IPCop umso höher, je mehr der zur Verfügung stehenden Copfilter-Dienste eingeschaltet werden.

Daher sind die Anforderungen an die für einen reibungslosen Copfilter-Betrieb notwendige Hardware-Ausstattung natürlich etwas höher als bei einem “normalen” IPCop.


Die für ein Home-LAN (4-5 User) jeweils empfohlene Hardware-Mindest-Ausstattung, je nach IPCop und Copfilter-Version:

IPCop V1 / Copfilter 0.8x (HAVP, ClamAV, URLFilter) IPCop V2 / Copfilter 2.x (C-ICAP, ClamAV, URLFilter)
PIII/700 (oder vergleichbar) PIII/1000 (oder vergleichbar)
1 GB RAM 2 GB RAM
4 GB HDD 10 GB HDD
  • :!: Vom Einsatz einer CF-Karte soll an dieser Stelle ausdrücklich abgeraten werden - durch die zwangsläufig ständig stattfindenden Schreib- / Lesezugriffe verschleißen diese Karten im Copfilter-Einsatz zu schnell.
  • :!: Es gibt natürlich Spezialisten, die den Copfilter trotzdem auf einer CF-Karte ans Laufen bekommen haben, aber empfehlenswert ist ein derartiges Vorgehen nicht.

Virenscanner

In der Standard-Installation enthält der Copfilter nur den ClamAV-Virenscanner - alle POP3-, SMTP-, FTP- und HTTP-Zugriffe können damit überwacht werden (IMAP wird nicht unterstützt).

Er kann aber - in Abstufungen - um den F-PROT und den AVG-Scanner erweitert werden.

In den freien Versionen scannen F-PROT und AVG alle ankommenden und abgehenden Mails - darüber hinausgehende Funktionserweiterungen benötigen entsprechende F-PROT- bzw. AVG-Lizenzen.

Die AntiVirus- und AntiSpam-Signaturen aller installierten und aktiven Scanner werden darüber hinaus regelmäßig aktualisiert.

Alle anderen Bestandteile sind Open-Source-Software.

Der Copfilter arbeitet dabei transparent.

Das heißt, die angeschlossenen Rechner bekommen von seiner Tätigkeit erst dann Kenntnis, wenn zum Beispiel der Download einer Datei wegen eines - mutmaßlich - enthaltenen Virus gestoppt wird. Oder: bestimmte Mails kommen nicht mehr komplett an - es sind nur noch Benachrichtigungen über geblockte Viren- oder SPAM-Mails im Postfach zu finden.

Im Falle eines durch HAVP oder C-ICAP und ClamAV geblockten Virus-Downloads sieht das dann zum Beispiel so aus - der Zugriff auf die gewünschte Datei wird verhindert:

HAVP: Zugriff verweigertC-ICAP: Zugriff verweigert
HAVP C-ICAP

Wer im übrigen das Design der HTML-Sperrseiten vom HAVP oder C-ICAP anpassen möchte: die zugehörigen HAVP-Vorlagen findet man in /var/log/copfilter/default/opt/havp/etc/templates/, die vom C-ICAP unter /var/log/copfilter/default/opt/c_icap/etc/templates/.

Mutmaßliche SPAM- und Viren-Mails werden ebenfalls geblockt und, wenn gewünscht, in der Copfilter-“Quarantäne” gespeichert (s.u.).

Der Anwender erhält in jedem Fall lediglich eine Benachrichtigung per Email.

Scannertests

Ob die Email-Filterung der installierten Virenscanner einwandfrei funktioniert, kann am einfachsten über die Testbuttons der Copfilter-Tests & Logs-Seite getestet werden:

Sende Test-Mails

Bei korrekter Funktion wird man kurz danach durch eine Email an die auf der Email-Seite angegebene Mail-Adresse über die vom Copfilter geblockten Virenmails informiert:

Copfilter hat einen Virus in einer an Sie gesendeten Mail gefunden (POP3)!
Anstatt der verseuchten Mail erhalten Sie diesen Hinweis.

Virus-Name: Eicar-Test-Signature (gefunden durch ClamAV)
Anhang: eicar.com…
1)

Wenn diese Option entsprechend konfiguriert wurde, kann man die jetzt in “Quarantäne” befindlichen Mails über die Copfilter-Status-Seite administrieren, das heißt zum Beispiel löschen oder - ohne Anhänge - neu versenden.

Ein Klick auf den Virus Quarantaene-Button (Rot: es befinden sich mutmaßliche “Treffer” in der Quarantaene, Grün: Quarantaene ist leer)…
Quarantaene

…führt zur Quarantaene-Verwaltung:
Quarantaene-Inhalt

Testseiten, auf denen man die Funktionsfähigkeit der Scanner durch den Download von ungefährlichen Testviren testen kann, finden sich unter:

Whitelist-/Blacklist/SPAM-Manager

Darüber hinaus beinhaltet der Copfilter ein Whitelist- und Blacklist-Management - per WebGUI oder auch per Mail steuerbar. Hier kann entschieden werden, von welchen Email-Adressen, Domainen oder Sub-Domainen Emails akzeptiert bzw. von welchen der Empfang verworfen werden soll (Accept/Discard Mail):

White/Blacklist-Management

Im SPAM Übersichts Manager kann angegeben werden, an welche Email-Adresse(n) der SPAM Digest verschickt werden soll:

SPAM Übersichts Manager

Dies ist allerdings nur ein kleiner Ausschnitt der enthaltenen Funktionen, erstmal muss der Copfilter natürlich sauber installiert werden.

Wie man dies macht und was dabei zu beachten ist, soll auf den nächsten Seiten erklärt werden.

1)
Mehr Details hierzu stehen unter anderem in der sendEmail-Testanleitung.
de/copfilter-grundlagen-was_ist_das.txt · Last modified: 2016/12/04 12:52 by fischerm