claim.gif
Linux Magazin Linux User Easy Linux Ubuntu User International Linux Community
Erschienen in EasyLinux 08/2006   »   Ausgabe bestellen

Panda DesktopSecure vereint Virenscanner und Windows-ähnliche Firewall

Firewall wie unter Windows

Michael Stibane und Thomas Drilling


Virenscanner für Linux gibt es viele: kommerzielle und freie, Firewalls für Linux ebenso. Alle basieren auf IPTables und schützen den PC recht zuverlässig. Panda Software bringt mit DesktopSecure für Linux in Kürze ein Programm auf den Markt, das ähnlich Norton Security eine Firewall und einen Virenscanner vereint.

Da die Linux-eigene Firewall IPTables zuverlässig funktioniert und die meisten Administratoren auch mit Kernelfiltern umgehen können, haben sich bisher nur wenige Hersteller oder Programmierer freier Software ernsthaft darüber Gedanken gemacht, dem Windows-Umsteiger eine richtig einfache Desktop-Firewall im Stil von ZoneAlarm anzubieten. Genau das ist das Besondere an Panda DesktopSecure für Linux [1]: Neben dem von Windows bekannten Panda Antivirus hat die Software unter Linux eine ausgreifte Desktop-Firewall an Bord.

Linux-Firewalls

Firewalls arbeiten unter Linux auf Kernelebene: Der Kernel entscheidet anhand von Regeln für den Datenverkehr, ob er Verbindungen zulässt oder ablehnt. Da solche Regeln auf Betriebssystemkernebene arbeiten, muss der Anwender sie anhand von Protokollen und Portnummern definieren. Unter Windows dagegen legt die Personal Firewall für jedes einzelne Programm fest, ob sie der Software den Zugriff erlaubt oder nicht (Application Level Firewall). Ein Linux-Kernel kennt die installierten Anwendungen gar nicht, denn das ist auch nicht seine Aufgabe. Linux-Anwender und Administratoren müssen darum sämtliche Regeln über TCP-, ICMP-, UDP- und Portnummern formulieren, was Ein- oder Umsteiger oft überfordert.

Zwar gibt es für IPTables jede Menge grafischer Frontends, die webbasiert oder mit einer grafischen Oberfläche die Regelerstellung vereinfachen, allerdings ist dann immer noch das Wissen um Protokolle und Ports notwendig. Einzige Ausnahme unter den Linux-Firewall-Konfiguratoren ist Guarddog [2]. Das Programm listet statt der Portnummern die oft verwendeten Anwendungen auf, zum Beispiel für TCP-Port 80 den Webbrowser. Das erleichtert Einsteigern die Konfiguration. Im Hintergrund formuliert Guarddog aber weiterhin alle Firewall-Regeln via IPTables.

Mit DesktopSecure für Linux steht Linux-Anwendern und Windows-Umsteigern erstmals eine Firewall zur Verfügung, wie sie unter Windows typisch ist: anwendungsbasiert.

Kein aufgebundener Bär

Panda DesktopSecure ist ein Rundumschutz für den Linux-Desktop. Obwohl nur rund 100 Viren für Linux bekannt sind, die zudem bis heute dank der Linux-Rechteverwaltung und kaum vorhandener Infektionswege keinen ernsthaften Schaden anrichten, ist ein Virenscanner auch auf Linux-Rechern keine schlechte Investition, zumal Panda AntiVirus, wie jeder Linux-Scanner auch Windows-Partitionen überprüft. Damit schützt Panda sowohl eine auf dem gleichen Host residierende Windows-Partition als auch Windows-Adressaten von E-Mails mit Attachments sowie Daten auf Samba-Freigaben.

Panda AntiVirus erkennt Windows-Viren ebenso zuverlässig und beseitigt sie. Der ebenfalls integrierte Mail-Scanner überwacht Mailboxen im Heimatverzeichnis des Benutzers. Eine Verfahrensweise ähnlich den Outlook-Plugins unter Windows würde unter Linux wenig nutzen, da es kein Standardsoftware für den Mailempfang gibt.

Neben Panda AntiVirus spendiert der Hersteller seiner Suite jetzt eine Firewall, die bisher unter Linux ihresgleichen sucht. Einmal installiert, klemmt sich DesktopSecure in das Panel des jeweiligen Desktops (Gnome oder KDE). Sobald der Anwender ein Programm aufruft, das auf das Internet zugreifen möchte, meldet sich DesktopSecure- mit einem Dialog, in dem der Anwender dem Programm den Zugriff explizit erlauben oder verweigern kann. Gut versteckt in der vierten Dialogebene steht dem Fachmann aber trotzdem die Möglichkeit zum Hantieren mit Protokollen und Ports zur Verfügung: Damit ist auch das Erstellen eigener Firewall-Regeln möglich.

DesktopSecure installieren

Für die Installation von Panda DesktopSecure benötigen Sie eine aktuelle GTK-Version, einen Compiler, sowie Kernel-Header und -Quellen. Panda Software gibt offiziell an, dass sich das Programm problemlos unter Suse Linux, Fedora, Debian und Ubuntu installieren lässt. Mit Ubuntu gab es im Test auch keine Probleme.

Laden Sie sich zuerst die 83 MByte große Installationsdatei von [3] in Ihr Homeverzeichnis herunter. Das ist eine ganze Menge -- bedenkt man, dass andere Antivirenprogramme nur ein Viertel davon benötigen und es bereits eine gute Firewall für Linux gibt.

Öffnen Sie über [Alt-F2] und Eingabe von konsole ein Terminalfenster und geben Sie dann der Datei Ausführungsrechte:

chmod +x DesktopSecure_BETA.sh

Starten Sie die Installation mit den folgenden Befehlen als Benutzer root:

$ su
Password: (Root-Passwort eingeben)
# ./DesktopSecure_BETA.sh

Ubuntu-Benutzer verwenden in der ersten Zeile nicht den Befehl su, sondern sudo su und geben ihr eigenes Passwort ein. Suse-Anweder geben sux statt su ein.

Der Installer selbst ist eine GTK-Anwendung und beschränkt sich auf Auswahl der Sprache (Spanisch oder Englisch), Bestätigen der Lizenz und vier Klicks auf die Weiter-Schaltfläche.

Dabei lädt und installiert der Installer im Hintergrund die erforderlichen Kernelmodule, kopiert die eigentliche Anwendung nach /opt/panda und modifiziert zusätzlich die zugehörigen Startskripte, damit DesktopSecure beim nächsten Start automatisch zur Verfügung steht. Außerdem legt der Installer entsprechende Verknüpfungen auf dem Desktop an.

Zum Abschluss der Installation müssen Sie Ihr System neu booten oder die grafische Oberfläche per Logout und Wiederanmeldung neu starten.

Updates

Nach dem Neustart finden Sie das kleine Panda-Icon im Systemabschnitt der Kontrollleiste. Öffnen Sie das Konfigurationsmenü mit Hilfe des Kontextmenüeintrags Open Panda DesktopSecure (Rechtsklick auf das Panda-Icon).

Das Hauptfenster des Programms ist übersichtlich. Links finden Sie die Hauptpunkte Status, Scan, Settings, Report und Services. Der Statusbildschirm zeigt eine Zusammenfassung des Systemzustands und informiert über eventuell notwendige Aktionen. In der rechten oberen Ecke des Dialogs befindet sich ein Hilfebutton, der entweder die knapp gehaltene lokale Dokumentation im Hilfebrowser anzeigt oder zur Panda-Webseite im Browser verzweigt. Hier haben Sie unter anderem direkten Zugriff auf die Viren-Enzyklopädie.

Ihre erste Aktion sollte jetzt ein Update des Programms sein. Klicken Sie dazu links auf Settings und im Hauptbereich auf Configure automatic updates. Tragen Sie in das Feld Benutzername die Zeichenkette CCF224KAGW und bei Passwort 2FJCX87N ein. Diese Werte sind für die Linux-Beta immer gleich und auf der Panda-Webseite dokumentiert. Sorgen Sie dafür, dass die Internetverbindung steht, bevor Sie auf die Check-Schaltfläche klicken. Danach können Sie im Statusbereich das Update auslösen, und DesktopSecure lädt ca. 8 MByte an Daten herunter (Abbildung 1).

Abb. 1: Vor der Aktualisierung müssen Sie Benutzername und Passwort unter "Settings" einstellen.

Virenscanner

Hinter Scan in der linken Iconleiste verbirgt sich der Virenscanner, den Sie auf vier verschiedene Weisen bedienen können.

Der Scan selbst benötigt recht lange und lastet den Prozessor zu 100 % aus (Abbildung 2). Unser Testscan für zwei Partitionen mit Ubuntu und Windows 2000 zu je 4 GByte lief geschlagene 42 Minuten. Dabei fand DesktopSecure einen Virus auf der Windows-Partition, den ein Konkurrenzprodukt übersehen hatte. Leider besteht bei Verwendung dieser beiden Menüpunkte keine Möglichkeit, einzelne Verzeichnisse oder Mountpunkte abzuwählen, um Zeit zu sparen.

Abb. 2: Der Virenscanner braucht viel Rechenleistung -- nebenher zu arbeiten, ist kaum möglich.

Wichtig für die Einrichtung des Virenscanners ist der Button Settings. Er öffnet einen zusätzlichen Dialog, mit dem Sie zum Beispiel die Archivtypen festlegen, die DesktopSecure entpackt und durchsucht. Mit weiteren Optionen legen Sie fest, welche Aktion das Programm bei gefundenen Viren ausführt (Desinfektion, Ignorieren, Löschen) und welche Verzeichnisse und Dateiendungen vom Scan auszuschließen sind. Auf dem Schluss-Tab können Sie noch eine Mailadresse definieren, an die DesktopSecure Warnungen sendet.

Firewall

Was Panda-Software mit der integrierten Firewall produziert hat, kann man als echte Überraschung bezeichnen. Erstmals wurde das Konzept der anwendungsbasierten Firewall auf Linux übertragen, und Windows-Umsteiger brauchen sich nicht mehr in die Tiefen des TCP/IP-Protokolls abseilen, um den Rechner zu schützen.

Sobald ein Programm versucht, auf das Netzwerk zuzugreifen, klappt aus dem Icon in der Kontrollleiste eine Benachrichtigung. Hier können Sie den Zugriff erlauben oder ablehnen. Weiterhin ist es möglich, den Zugriff für diese Anwendung dauerhaft zu erlauben.

Unter Ubuntu 5.10 funktionierte das für Firefox und Evolution problemlos (Abbildung 3). Starten Sie jedoch ein Programm von der Konsole, erkennt das die Firewall nicht. Gleiches gilt für grafische Frontends von Konsolenanwendungen wie Synaptic.

Abb. 3: Der Panda hat was zu sagen: Im unteren Bereich der Meldung legen Sie das Verhalten fest.

Die Einstellungen der Firewall sind in der grafischen Oberfläche sehr gut versteckt. Klicken Sie links auf Settings und dann auf Configure the permanent protection. Im folgenden Dialog finden Sie ganz unten den Eintrag Configure the firewall protection. Damit sind Sie erst einmal an der richtigen Stelle. Ein zweites Dialogfenster zeigt im Tab Adapters die einzelnen Netzwerkgeräte mit zugeordneten Zonen. Für die Netzwerkkarte hat DesktopSecure automatisch die Internetzone hinterlegt -- das bedeutet, das Programm geht davon aus, dass Sie über die Netzwerkkarte die Verdindung ins Internet aufnehmen, z. B. über einen DSL-Router. Zur Verfügung steht außerdem die Local-Network-Zone.

Auf dem Access-Tab können Sie im oberen Bereich die Berechtigungen der einzelnen Programme festlegen. Die automatische Zuordnung ist standardmäßig aktiviert, und DesktopSecure trägt die von Ihnen gestarteten Anwendungen ohne Nachfrage ein. Erst bei deaktivierter Option fragt das Programm bei jedem Zugriff um Erlaubnis. Im unteren Bereich können Sie manuell einzelne Programme hinzufügen oder entfernen (Abbildung 4). Wie Sie auf dem Access-Tab die erweiterten Firewall-Regeln mit Ports und Protokollen festlegen, beschreibt der Kasten Firewall-Regeln für Profis.

Abb. 4: Ist ein einzelnes Programm der Liste markiert, stehen auch erweiterte Einstellungen unter "Advanced" zur Verfügung.

Weitere Features

In der linken Iconleiste finden Sie noch zwei weitere Einträge. Der Report liefert eine Zusammenfassung des letzten Virenscans als Tortengrafik. Darunter lässt sich dieselbe Darstellung auch für die gescannten Mails anzeigen. Der detaillierte Report listet alle Aktivitäten auf. Sie können das Log auch nach Stichworten durchsuchen, filtern und sortieren. Per Exportfunktion erzeugen Sie eine CSV-Datei, die sich mit jeder Tabellenkalkulation oder Datenbank einlesen lässt. Der letzte Punkt links, Services, bietet Ihnen Zugriff auf weiterführende Onlineangebote. Sie können unter anderem den Onlinesupport bemühen oder verdächtige Dateien an Panda Software senden. Weiterhin ist dort der Zugriff auf den Downloadbereich möglich.

Bärenstark

Panda Software beschreitet mit DesktopSecure für Linux neue Wege bei der Firewall. Während der Virenscanner kaum von den bekannten Standards abweicht und zuverlässig seinen Dienst versieht, ist die Firewall bisher einzigartig. Die Software erleichtert Umsteigern von Windows damit das Leben gewaltig. Laut einer Pressemitteilung von Panda Software wird das Programm für den Privatgebrauch kostenfrei sein.

In der finalen Version sollten aber für den Administrator Erleichterungen in Form von nachvollziehbaren Fehlerprotokollen integriert sein. Auch die Überwachung der Konsolenprogramme wie ping fehlt noch. Im Alltagsbetrieb waren die periodisch erscheinenden Meldungen der Software unangenehm, da sie sich nur manuell wegklicken lassen und nicht nach definierbarer Zeit automatisch verschwinden.

Fazit: Panda DesktopSecure ist ein durchdachtes Programm, das schon im Betastadium gute Dienste leistet. (hge)

Firewall-Regeln für Profis

Für die folgenden Schritte benötigen Sie das Root-Passwort. Ubuntu-Anwender müssen dieses vorher setzen: Öffnen Sie ein Terminalfenster und geben Sie dort die beiden Befehle sudo su und passwd ein. Danach geben Sie zweimal das neue Root-Passwort ein. Nach der Erfolgsmeldung schließen Sie das Terminalfenster.

  1. Um manuell Firewall-Regeln zu erzeugen, klicken Sie links auf Settings und geben das Root-Passwort ein.
  1. Klicken Sie im Hauptfenster auf Configure the permanent protection und dann auf Configure firewall protection. Jetzt sind Sie im Firewall-Dialog.
  1. Im unteren Teil Advanced connection rules klicken Sie auf Settings. Dann erscheint eine (anfangs leere) Liste der vorhandenen Regeln.
  1. Im Drop-down-Menü wechseln Sie zwischen Benutzerregeln und vordefinierten Regeln. Mit dem Button Add new rule rufen Sie den Dialog für das Anlegen einer neuen Regel auf.
  1. Angenommen, Sie betreiben auf Ihrem PC einen Apache-Server, da Sie Ihre Webseite auf dem eigenen PC hosten. In diesem Fall müssen Sie eingehende Verbindungen auf Port 80 (http) erlauben. Im Dialog für die neue Regel geben Sie im General-Tab einen Namen für die Regel ein, zum Beispiel Apache-Server. Darunter wählen Sie aus dem Drop-down-Menü Allow connection. Überprüfen Sie, ob die richtige Netzwerkkarte voreingestellt ist.
  1. Auf dem Karteireiter Protocols and Ports legen Sie jetzt detaillierte Einstellungen fest. Das Protokoll ist TCP, die Communication direction ist Inbound: Es handelt sich um eingehende Anfragen der Besucher Ihrer Webseite. Als lokalen Port legen Sie 80 (www) fest. Die Verbindung darf von allen Remote-Ports (All) der Besucher erfolgen.
  1. Auf dem letzten Tab Zones legen Sie noch fest, aus welcher Zone Besucher der Webseite kommen dürfen. Sie können hier per IP-Adresse einzelne PCs oder das lokale Netz zulassen. Sollen alle Besucher Ihre Seite sehen, ist All die richtige Einstellung.
  1. Nach Klick auf OK ist diese Regel gespeichert und wird in der Übersicht angezeigt. Schließen Sie jetzt alle Dialoge; Verbindungen zum lokalen Webserver werden ab sofort akzeptiert.

Interview mit dem Hersteller

Easylinux: Was sind die herausragenden Features von DesktopSecure für Linux, wovon hat der Anwender den größten Nutzen?

Markus Mertes: Sicherlich ist die anwendungsbasierte, leistungsfähige Firewall ein Highlight, da hier auch weniger versierte Nutzer in der Lage sind, sinnvolle Berechtigungen zu vergeben. Generell kann man sagen, dass die Integration der leistungsfähigen Module zum Schutz vor Viren, Würmern, Trojanern, Dialern, Spyware, Jokes und Hackern unter einer einfach zu bedienenden Oberfläche den größten Nutzen für den Anwender darstellt. Die einzelnen Module sind aufeinander abgestimmt und bilden so einen wirkungsvollen Schutzschild gegen alle Bedrohungen aus dem Internet. Das detaillierte Reporting und die Möglichkeit, Reports zu exportieren, verschaffen dem User zusätzlich auf Knopfdruck einen Überblick über die aktuelle Bedrohungssituation und liefern umfangreiche Informationen zu den aufgelaufenen Angriffsversuchen.

Easylinux: Was verstehen Sie unter "Intrusion Prevention"?

Markus Mertes : Ein Intrusion Prevention System ist in der Lage, unbekannte Bedrohungen und Angreifer anhand von vordefinierten Regeln und bereits bekannten Verhaltensmustern zu identifizieren und die Ausführung des schadhaften Codes zu blocken. So werden Ausbreitung und Infektion unterbunden und die Zeit überbrückt, die Hersteller von traditionellen Sicherheitslösungen immer benötigen werden, um Gegenmaßnahmen zu programmieren. Beispielsweise könnte ein Implementierungsfehler einer vorhandenen Software einem potentiellen Angreifer die Möglichkeit bieten, sich Root-Zugang zu verschaffen.

Das Intrusion Prevention System erkennt diesen Angriffsversuch und ist (im Gegensatz zum Intrusion Detection System, das den Angriff nur feststellt und nicht handelt) in der Lage, den Zugriff wirkungsvoll zu unterbinden. Gerade das Blocken dieser bis dato noch nicht bekannten Angriffsszenarien / Angriffstechniken stellt eine erhebliche Verbesserung des Schutzlevels dar.

Easylinux: Anwendungen, die im Terminal ausgeführt werden sowie deren grafische Frontends (z.B. Synaptic als Frontend für apt-get), werden von der Firewall nicht als Zugriff auf das Netz erkannt, ändert sich das noch?

Markus Mertes: Dieser Effekt ist uns nicht bekannt. Wenn wir weitere Details erhalten, können wir das Problem reporten, damit es gefixt werden kann. Ein Reporting ist auch direkt an beta@pandasoftware.com in englischer oder spanischer Sprache möglich.

Markus Mertes ist Marketing-Direktor von Panda Software Deutschland

Infos
[1] Panda Software: http://www.pandasoftware.com/
[2] Guarddog: http://www.simonzone.com/software/guarddog/
[3] Panda DesktopSecure Download: http://www.pandasoftware.com/download/beta

Dieser Online-Artikel kann Links enthalten, die auf nicht mehr vorhandene Seiten verweisen. Wir ändern solche "broken links" nur in wenigen Ausnahmefällen. Der Online-Artikel soll möglichst unverändert der gedruckten Fassung entsprechen.

Druckerfreundliche Version | Feedback zu dieser Seite | Datenschutz | © 2021 COMPUTEC MEDIA GmbH | Last modified: 2008-11-05 17:01

[Linux-Magazin] [LinuxUser] [Linux-Community]