M 4.226 Integration von Virenscannern in ein Sicherheitsgateway
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsbeauftragter
Verantwortlich für Umsetzung: Administrator
Schadsoftware wie Viren, Würmer und Trojaner (im Folgenden vereinfachend unter dem Begriff "Viren" zusammengefasst) können zum einen zentral auf dem Sicherheitsgateway und zum anderen verteilt auf den Arbeitsplatz-PCs und Servern (d. h. den Endsystemen von Kommunikationsbeziehungen über das Sicherheitsgateway hinweg) gefiltert werden.
Eine zentrale Filterung auf dem Sicherheitsgateway kann einen dezentralen Virenschutz nicht vollständig ersetzen, da unter Umständen Schadsoftware auch auf anderen Wegen (beispielsweise über Wechseldatenträger) auf die Systeme gelangen kann.
Eine zentrale Filterung ist derzeit in der Regel nur beim Einsatz eines Application-Level-Gateways möglich.
Filterung direkt durch das ALG
Sofern das eingesetzte ALG eine entsprechende Option anbietet ist es meist sinnvoll, die Prüfung auf Schadsoftware direkt auf dem ALG durchzuführen.
Filterung durch das Sicherheitsgateway beim Einsatz eines ALG
ALGs bieten oft eine Schnittstelle, mit denen sich Virenschutzprogramme von Drittanbietern anbinden lassen. Das Virenschutzprogramm nimmt die Daten entgegen und übergibt dem ALG eine Meldung über das Ergebnis der Virenfilterung. Das ALG verarbeitet die Daten dann in Abhängigkeit vom Ergebnis der Überprüfung.
Somit bietet sich für die Integration des Virenscanners der in der nachfolgenden Abbildung dargestellte Aufbau an, in dem der Virenscanner "neben" dem ALG in der DMZ des Sicherheitsgateway platziert wird. Bei diesem Aufbau sollten einige Punkte beachtet werden, da der Rechner mit dem Virenschutzprogramm durch diese Aufgabe besonders stark gefährdet ist:
- Der Rechner mit dem Virenschutzprogramm muss besonders sicher konfiguriert werden, beispielsweise durch eine besonders restriktive Konfiguration des Betriebssystems ("Härten"). Die Sicherheitsanforderungen sind (mindestens) genau so hoch wie an die sonstigen Komponenten des Sicherheitsgateway.
- Der Rechner muss durch entsprechende Paketfilterregeln möglichst gut vom Rest des Netzes getrennt werden. Insbesondere sollten von diesem Rechner keine ausgehenden Verbindungen, weder ins interne noch ins externe Netz, von den Paketfiltern erlaubt werden. Im Idealfall kann der Rechner direkt mit dem ALG kommunizieren, über den er den zu prüfenden Datenstrom erhält und an den er die gefilterten Daten zurück liefert. Darüber hinaus sind nur noch Verbindungen aus einem gesonderten Administrationsnetz zu dem Rechner erlaubt.
- Die regelmäßige Integritätsprüfung des Systems sollte in kurzen Abständen erfolgen.
- Eventuell sollte der Rechner mit einem host-basierten Intrusion-Detection-System ausgerüstet werden, so dass eine eventuelle Kompromittierung möglichst sofort erkannt werden kann.
- Die Administration des Rechners muss über eine entsprechend abgesicherte Verbindung erfolgen.

Abbildung: Integration einer Viren-Filterung
Filterung auf den Endgeräten (beim Einsatz eines Paketfilters)
Da Paketfilter keine Schnittstelle zu Virenfiltern besitzen, ist beim Einsatz eines einstufigen Sicherheitsgateways, das nur aus einem Paketfilter besteht normalerweise keine zentrale Virenfilterung durch das Sicherheitsgateway möglich. In diesem Fall kann der Schutz vor Schadprogrammen nur durch den Einsatz von Virenfiltern auf den Arbeitsplatzrechnern oder den jeweiligen Servern des vertrauenswürdigen Netzes (beispielsweise E-Mail-Server, Newsserver) realisiert werden.
Zum Thema Virenschutz ist außerdem Baustein B 1.6 Computer-Virenschutzkonzept zu berücksichtigen.