Funktionsweise des Web- und Mail-Schutz

Der Web- und Mail-Schutz ist technisch gesehen ein transparenter Netzwerk Proxy, der den Netzwerkverkehr filtert, der durch ihn hindurch geleitet wird. Zustzlich zu dem Proxy-Prozess im Userspace (com.avast.proxy) existiert ein Kernel Modul (com.avast.PacketForwarder), welches die Umleitung des Netzwerkverkehrs zum Proxy bernimmt.

proxy_scheme.png


Hierbei ist zu beachten, dass diese Funktionsweise, die smtlichen geprften Web- und Mailverkehr (HTTP, POP3, IMAP und die verschlsselten Varianten dieser Protokolle) durch den Proxy filtert, andere Software zur Analyse von Netzwerkverkehr ber die genannten Protokolle unbrauchbar macht.


SSL/TLS Prfung in den avast! Versionen ber 7.0.37943


Der Proxy kann sichere Verbindungen (HTTPS, IMAPS, POP3S) prfen, wenn es in den Einstellungen konfiguriert wurde. Der Prfvorgang luft wie folgt ab:



  • Whrend der Installation generiert avast! zwei Zertifikate fr SSL Zertifizierungsstellen (CA). Eines nennt sich avast! trusted CA und das andere avast! untrusted CA. Das "trusted"-Zertifikat wird in den Zertifikatsspeicher des Systems eingefgt.
  • Beim Aufbau einer sicheren Verbindung fhrt der Proxy den SSL-Handshake mit dem Zielserver durch, prft das SSL Zertifikat des Servers und sendet ein selbst-erstelltes Zertifikat, signiert entweder mit dem "trusted" oder "untrusted" CA Zertifikat. Abgelaufene, zurckgezogene oder nicht gltige Zertikate werden nicht signiert und die Verbindung stattdessen abgebrochen.


Die Signierung der selbst-erstellten Zertifikate findet nach folgenden Regeln statt:

  • Verifizierte Zertifikate werden mit dem mit dem "trusted" CA Zertifikate signiert.
  • Zertifikate, bei denen der Ausgeber nicht gefunden werden werden konnte oder selbst-signierte Zertifikate werden mit dem "untrusted" CA Zertifikat signiert.
  • Abgelaufene, zurckgezogene oder nicht gltige Zertikate werden nicht signiert und die Verbindung stattdessen abgebrochen.



Dieser Ansatz ist sicher und vollstndig transparent gegenber Anwendungen, die den Zertifkatsspeicher des Systems benutzen (System Root Keychain) als ihren Zertifikatsspeicher nutzen. Anwendungen, die ihren eigenen Zertifikatsspeicher nutzen, wie z.B. Mozilla Firefox oder Thunderbird, mssen separat behandelt werden. Fr Firefox und Thunderwird bedeutet das, dass das avast! trusted CA Zertifikat aus dem System Zertifikatsspeicher exportiert und in Firefox/Thunderbird importiert werden muss.


Hierbei ist zu beachten, dass Anwendungen, die einen hart-codierten Zertifikatsspeicher nutzen, wie z.B. Dropbox, nicht funktionieren, wenn die Prfung von SSL Verbindungen aktiviert ist, ausser wenn die URLs, die diese Anwendungen nutzen (im Fall von Dropbox client.dropbox.com) sich auf der Ausnahmeliste in den avast! Einstellungen befinden.


Testen der Schutz-Module


Um die Schutz-Module zu testen, kann ein Testvirus verwendet werden, der absolut harmlos ist. Die EICAR Testdatei ist die bekannteste Variante. Sie wird nicht nur von avast! entdeckt, sondern von fast allen Antiviren-Programmen.


Bitte beachten, dass es notwendig ist den Dateisystem-Schutz vorbergehend zu deaktivieren, wenn man mit der Testdatei arbeitet.


Testen des Web-Schutz


Um den Web-Schutz zu prfen, einfach auf der EICAR Download Seite die Links zum Download nutzen. avast! sollte alle EICAR Proben ber HTTP blockieren. Wenn die Prfung verschlsselter Verbindungen aktiviert ist, sollte die Probe beim Download ber HTTPS auch entdeckt werden.


Um die Blockierung von URLs zu testen, bitte die folgende Adresse besuchen: http://www.avast.com/eng/test-url-blocker.html


Testen des Mail-Schutz


Um den Mail-Schutz zu prfen, die EICAR Testdatei einfach zur eigenen Mail Adresse senden. Der Mail-Schutz sollte dies nicht blockieren, da ausgehende Nachrichten (SMTP) nicht geprft werden.


Fr Mailserver, die eigene Antivirenprfungen vornehmen, kann man die EICAR Datei komprimiert mit DIET (ein Packer aus alten DOS Zeiten) nutzen. Diese Datei sollte die meisten Mailserver passieren (inklusive Gmail), aber von avast! als Malware erkannt werden.

Technische Untersttzung

Fr Untersttzung bitte in ein neues Thema in diesem Forum erstellen.

Das Forum wird von den Entwicklern beobachtet.