Funktionsweise des Web- und Mail-Schutz

Der Web- und Mail-Schutz ist technisch gesehen ein transparenter Netzwerk Proxy, der den Netzwerkverkehr filtert, der durch ihn hindurch geleitet wird. Zusätzlich zu dem Proxy-Prozess im Userspace (com.avast.proxy) existiert ein Kernel Modul (com.avast.PacketForwarder), welches die Umleitung des Netzwerkverkehrs zum Proxy übernimmt.

proxy_scheme.png


Hierbei ist zu beachten, dass diese Funktionsweise, die sämtlichen geprüften Web- und Mailverkehr (HTTP, POP3, IMAP und die verschlüsselten Varianten dieser Protokolle) durch den Proxy filtert, andere Software zur Analyse von Netzwerkverkehr über die genannten Protokolle unbrauchbar macht.


SSL/TLS Prüfung in den avast! Versionen über 7.0.37943


Der Proxy kann sichere Verbindungen (HTTPS, IMAPS, POP3S) prüfen, wenn es in den Einstellungen konfiguriert wurde. Der Prüfvorgang läuft wie folgt ab:



  • Während der Installation generiert avast! zwei Zertifikate für SSL Zertifizierungsstellen (CA). Eines nennt sich avast! trusted CA und das andere avast! untrusted CA. Das "trusted"-Zertifikat wird in den Zertifikatsspeicher des Systems eingefügt.
  • Beim Aufbau einer sicheren Verbindung führt der Proxy den SSL-Handshake mit dem Zielserver durch, prüft das SSL Zertifikat des Servers und sendet ein selbst-erstelltes Zertifikat, signiert entweder mit dem "trusted" oder "untrusted" CA Zertifikat. Abgelaufene, zurückgezogene oder nicht gültige Zertikate werden nicht signiert und die Verbindung stattdessen abgebrochen.


Die Signierung der selbst-erstellten Zertifikate findet nach folgenden Regeln statt:

  • Verifizierte Zertifikate werden mit dem mit dem "trusted" CA Zertifikate signiert.
  • Zertifikate, bei denen der Ausgeber nicht gefunden werden werden konnte oder selbst-signierte Zertifikate werden mit dem "untrusted" CA Zertifikat signiert.
  • Abgelaufene, zurückgezogene oder nicht gültige Zertikate werden nicht signiert und die Verbindung stattdessen abgebrochen.



Dieser Ansatz ist sicher und vollständig transparent gegenüber Anwendungen, die den Zertifkatsspeicher des Systems benutzen (System Root Keychain) als ihren Zertifikatsspeicher nutzen. Anwendungen, die ihren eigenen Zertifikatsspeicher nutzen, wie z.B. Mozilla Firefox oder Thunderbird, müssen separat behandelt werden. Für Firefox und Thunderwird bedeutet das, dass das avast! trusted CA Zertifikat aus dem System Zertifikatsspeicher exportiert und in Firefox/Thunderbird importiert werden muss.


Hierbei ist zu beachten, dass Anwendungen, die einen hart-codierten Zertifikatsspeicher nutzen, wie z.B. Dropbox, nicht funktionieren, wenn die Prüfung von SSL Verbindungen aktiviert ist, ausser wenn die URLs, die diese Anwendungen nutzen (im Fall von Dropbox client.dropbox.com) sich auf der Ausnahmeliste in den avast! Einstellungen befinden.


Testen der Schutz-Module


Um die Schutz-Module zu testen, kann ein Testvirus verwendet werden, der absolut harmlos ist. Die EICAR Testdatei ist die bekannteste Variante. Sie wird nicht nur von avast! entdeckt, sondern von fast allen Antiviren-Programmen.


Bitte beachten, dass es notwendig ist den Dateisystem-Schutz vorübergehend zu deaktivieren, wenn man mit der Testdatei arbeitet.


Testen des Web-Schutz


Um den Web-Schutz zu prüfen, einfach auf der EICAR Download Seite die Links zum Download nutzen. avast! sollte alle EICAR Proben über HTTP blockieren. Wenn die Prüfung verschlüsselter Verbindungen aktiviert ist, sollte die Probe beim Download über HTTPS auch entdeckt werden.


Um die Blockierung von URLs zu testen, bitte die folgende Adresse besuchen: http://www.avast.com/eng/test-url-blocker.html


Testen des Mail-Schutz


Um den Mail-Schutz zu prüfen, die EICAR Testdatei einfach zur eigenen Mail Adresse senden. Der Mail-Schutz sollte dies nicht blockieren, da ausgehende Nachrichten (SMTP) nicht geprüft werden.


Für Mailserver, die eigene Antivirenprüfungen vornehmen, kann man die EICAR Datei komprimiert mit DIET (ein Packer aus alten DOS Zeiten) nutzen. Diese Datei sollte die meisten Mailserver passieren (inklusive Gmail), aber von avast! als Malware erkannt werden.

Technische Unterstützung

Für Unterstützung bitte in ein neues Thema in diesem Forum erstellen.

Das Forum wird von den Entwicklern beobachtet.