Im Test: Panda Antivirus Gate-Defender
Appliance gegen Virenflut
Die meisten Antivirenprogramme beschränken sich auf das Überwachen des Mail-Verkehrs und lassen andere Übertragungswege außer acht. Panda bietet mit der Appliance "Gate-Defender" Abhilfe: Das Produkt arbeitet transparent zwischen LAN und Internet-Router oder Firewall und untersucht den Datenverkehr an zentraler Stelle.
Neben den für Antivirenlösungen "üblichen" Protokollen POP3, SMTP und IMAP4 – also Protokollen
für den Mail-Verkehr – überprüft Pandas Antivirus Gate-Defender auch Daten, die via HTML, FTP,
SOCKS und NNTP übertragen werden. Damit geht diese Lösung über den Schutz, den "klassische"
Antivirenprogramme bieten, hinaus. So kann sie beispielsweise das Herunterladen einer infizierten
Datei mittels Browser oder FTP-Client unterbinden. Im Falle eines FTP-Downloads funktioniert das
so: Der Gate-Defender cached die heruntergeladene Datei und hält das letzte Paket bis zum Ende des
Virenchecks zurück. Er gibt es nur weiter, wenn der Virenscanner nicht anschlägt. Sollte die Datei
befallen sein, so lässt das Produkt den Download fehlschlagen, indem es die letzten 20 KByte nicht
mehr zustellt.
Das Produkt wurde dafür konzipiert, in einem Unternehmensnetz zwischen dem Internet-Router
beziehungsweise der Firewall und dem LAN-Switch zu arbeiten und den ein- und ausgehenden Verkehr
auf Virenbefall zu untersuchen. Es arbeitet transparent im Netz. Um es in Betrieb zu nehmen, genügt
es, das LAN-Kabel am Switch abzuziehen, in den Gate-Defender einzustecken und ein weiteres Kabel
zwischen Defender und Router anzubringen. Eine zusätzliche Segmentierung des Netzes ist nicht
nötig. Die Lösung wird über ein webbasiertes Interface administriert, das der Administrator über
die Default-IP-Adresse 1.1.1.5 erreicht. Im Test dauerte es keine fünf Minuten, bis die Appliance
lief.
Nach dem Einbinden des Gate-Defenders ins Netz funktionierte der Internetzugang in unserem
Testnetz von Anfang an so wie zuvor. Um die Appliance endgültig in Betrieb zu nehmen, ist es nur
noch erforderlich, ihr eine IP-Adresse aus dem LAN und die Adresse des Internet-Gateways
mitzuteilen, damit sie sich Updates von Panda herunterladen kann. Das funktioniert über einen
unverschlüsselten HTTP-Zugang und zunächst ohne Passwort.
Konfiguration
Panda hat das Web-Interface übersichtlich gestaltet. Die Verwaltung erfolgt, wie bei den meisten
Appliances üblich, über eine Menüstruktur. Die Übersichtsseite "Home" zeigt eine Statistik mit den
Verbindungen, die über die einzelnen Protokolle (POP3, IMAP4, SMTP, HTTP, NNTP und FTP) liefen,
über die gefundenen Viren und über das Volumen des Datenverkehrs. "General Settings" umfasst die
LAN-Konfiguration, die Angabe der IP-Adressen, von denen aus die Appliance gewartet werden darf,
die Systemzeit und die Adresse des Konfigurations-Interfaces. Diese weicht von der LAN-IP-Adresse
der Appliance ab und kann auf Wunsch auch in einem anderen Segment liegen. An dieser Stelle lässt
sich bei Bedarf auch das Load Balancing aktivieren. Ist es eingeschaltet, teilen sich mehrere
Appliances die Arbeit und überwachen den Datenstroms gemeinsam.
Mittels "Access Control" vergeben die Systemverantwortlichen ein Zugriffspasswort und aktivieren
einen Auto-Logout, der inaktive Verbindungen zum Web-Interface nach einiger Zeit unterbricht. "
Protocol Settings" ermöglicht es dem Administrator, für die zu überwachenden Protokolle alternative
Ports anzugeben, falls der Verkehr nicht über die Standard-Ports laufen soll. Das statische Routing
lässt sich unter "Route Table" angeben, und unter "Trusted Sites" legt der Administrator Adressen
und Subnetze fest, die Daten ohne Überprüfung verschicken dürfen. Interessanter wird es unter "
Antivirus Settings". Hier führt der Verantwortliche bei Bedarf manuelle Pattern-Updates durch und
definiert die zu scannenden Protokolle sowie die maximale Größe zu scannender Dateien: Die größte
Angabe, die die Appliance akzeptiert, beträgt 500.000 KByte. Darüber hinaus lassen sich Extension-
und Content-Filter setzen, beispielsweise um das Scannen von in Webseiten eingebundenen Bildern zu
unterbinden. Zum Absichern des Mail-Verkehrs ist es außerdem möglich, verdächtige Dateien und
Partially Encoded Files zu verwerfen. Abgesehen davon lässt sich eine maximale Scan-Dauer pro Datei
festlegen.
"Alert Settings" erlaubt es, E-Mail-Adressen einzugeben, die Alarmmeldungen empfangen sollen.
Das System unterstützt auch SMTP-Server, die eine Authentifizierung verlangen.
Mittels "Customize Alerts" können die Administratoren die Alert-Mails ihren Anforderungen
anpassen. Damit lassen sich beispielsweise Alerts erzeugen, die genau den Anforderungen des
Kundenunternehmens entsprechen. "Subscriptions" dient zur Angabe des Lizenzschlüssels, und "
Automatic Updates" regelt das Einspielen von Aktualisierungen der Systemsoftware. Updates der
Antiviren-Pattern werden automatisch installiert. Sind allerdings Updates der Systemsoftware
fällig, wird der Administrator zwar informiert, er muss die Installation aber manuell anstoßen.
Über "Log Files" sehen die Systemverwalter die Log-Dateien ein, konfigurieren einen externen
Log-Server oder löschen vorhandene Logs. "System Maintenance" dient schließlich zum Neustarten der
Appliance und der Anwendung. Hier findet sich auch eine Diagnose-Funktion, die ausführliche
Log-Dateien für den Support bei Panda erstellt. Darüber hinaus lässt sich an dieser Stelle die
Konfiguration des Systems sichern und zurückspielen.
Im Test
Nach der Inbetriebnahme war die Appliance zunächst nicht in der Lage, Pattern-Updates von Panda
herunterzuladen. Die Fehlersuche gestaltete sich schwierig, da das Produkt weder über ein Ping-
noch ein NS-Lookup-Tool zur Diagnose der Netzwerkkonfiguration verfügt. Wir mussten deshalb davon
ausgehen, dass die Konfiguration mit IP-Adresse, Gateway und DNS-Server korrekt war, und dass der
Fehler irgendwo zwischen Appliance und Update-Server lag. In den FAQs des Herstellers fand sich
schließlich der entscheidende Hinweis: Die Appliance benötigt für Online-Updates die Ports 25, 80
und 8003. Port 8003 aber war in unserer Firewall verschlossen. Nach dem Öffnen dieses Ports
funktionierten die Updates sofort.
Zum Testen der Antiviren-Funktionalität griffen wir per Browser auf Testseiten wie www.eicon.org
zu und verschickten eine große Zahl von Mails, die mit aktuellen Viren gespickt waren. Wir
orientierten uns dabei an den Listen auf www.wildlist.org.
Beim Test kam es zu keinen Überraschungen: Die Mails wurden gereinigt und alle Vorgänge
erschienen wie erwartet in den Log-Dateien. Hier finden sich beispielsweise auch Hinweise auf
Mails, die wegen ihrer Größe nicht gescannt werden können. Auch die täglichen automatischen Updates
der Antiviren-Pattern funktionierten problemlos. Das gleiche galt für das Blockieren des letzten
Pakets beim FTP-Download infizierter Dateien.
Fazit
Pandas Gate-Defender ist ein leistungsfähiges und einfach zu bedienenden Werkzeug zum Schutz
eines Unternehmensnetzes. Es bietet ein Schutzniveau, das über dasjenige üblicher Antivirenlösungen
hinausgeht.
Nach Angaben des Herstellers benötigt ein Unternehmen je eine Appliance pro 500 Arbeitsplätze.
Der Preis für eine 100-Benutzerlizenz beträgt 7500 Euro.
Info: Panda Software Tel.: 02065/9610 Web: www.panda-software.de
Lesen Sie mehr zum Thema
