Skip to content

HAVP. Un proxy antivirus para servidores Linux

Publicado por Sergio Hernando el 24 enero 2007

ClamAV es un buen producto, si por buen producto entendemos un antivirus cuya misión sea actuar de filtro perimetral en un entorno determinado.

Un filtro perimetral es aquel que existe entre el el punto de salida de una red privada y el punto de entrada a una red pública (aunque también podríamos hablar de entrada a redes de otro tipo), es decir, es aquel filtro que se instala en el perímetro de una red privada determinada, y cuyo propósito es actuar de primera línea de defensa ante ataques externos.

Para estos fines, ClamAV cumple bien con sus cometidos. Sin llegar a ser la solución perfecta para los virus entrantes, sí ofrece una capa de seguridad que puede resultar interesante, resultando ideal para filtrar los virus más conocidos y cuyo reconocimiento por firma está garantizado. ClamAV sin embargo, no es notable si hablamos de amenazas recién salidas del horno, ya que cualquier usuario de esta solución puede comprobar que los períodos de actualización de sus firmas no son, ni mucho menos, tendentes al tiempo real, pero vamos, ante un outbreak cualquier motor antivirus que no tenga heurística depende de la actualización para ser reconocido, con lo que ClamAV no es el único motor en desentaja. La heurística tampoco es garantía de nada, todo sea dicho.

En tiempos de reacción, cada fabricante cuenta su propia película, y es normal que cada fabricante sea el primero en los tiempos de respuesta que publica (no van a poner a la competencia por delante, claro). Por ejemplo, según Kaspersky Lab, y tal y como se puede apreciar en este enlace, el ranking allá por 2003 estaba encabezado por Kaspersky, seguido de Bitdefender, Virusbuster, F-Secure y F-Prot. A poco que cojamos otro ranking, veremos resultados distintos. Por ejemplo, en éste otro ranking, el mejor parado es F-Prot.

En ésta última comparativa, en la que se habla de outbreaks del primer semestre de 2005, los tiempos de reacción medios van desde las 2 horas y 37 minutos de F-Prot, a las más de 10 horas de Symantec. En definitiva, si coges 100 comparativas de tiempos de reacción, obtendrás 100 resultados distintos, pero siempre, para cualquier motor basado en firmas, existe un tiempo medio de reacción entre la publicación de una nueva muestra vírica y la reacción de los laboratorios en actualizar las bases de firmas de sus productos. Éste es el razonamiento que más nos interesa.

ClamAV no es la excepción. También tardan en actualizar sus firmas. De todos modos, pienso que combinado con otros productos, como por ejemplo Kaspersky, es una buena manera de vertebrar una arquitectura de seguridad antivirus. Y no sólo lo pienso yo, hay muchas consultoras de seguridad que comercialmente opinan lo mismo. También en Securityfocus hay referencias a esta pareja y a Astaro, que también son secundadas por la comunidad del software libre (y eso que Kaspersky no lo es)

Pues bien. Ya que tener ClamAV instalado en el perímetro no es ninguna aberración, resultando hasta frecuente encontrárselo en muchos despliegues, qué mejor que darle funcionalidades útiles para el usuario mas allá que el filtrado del correo electrónico. Una de esas muchas es ser el motor de un proxy antivirus, cuya misión es dectectar muestras de malware en navegación HTTP. Para estos propósitos surge HAVP (HTTP Antivirus Proxy), un producto libre y gratuíto, que no es ni más ni menos que un proxy HTTP preparado para integrar un antivirus para el escaneo de la actividad online.

El funcionamiento de HAVP es muy sencillo. Cada petición HTTP que los usuarios de una red realizan al exterior, es decir, navegación por la red, pasa por este proxy transparente. En caso de que la navegación apunte a una muestra de malware que ClamAV pueda reconocer como tal, HAVP mostrará una pantalla en el navegador del usuario informando de la existencia de un virus.

havp

HAVP no es un producto nuevo. Hace mucho tiempo que está disponible para todos vosotros. Si lo comento no es por anunciar la novedad, que no existe, sino por recordar que existen buenas soluciones a determinados problemas que son resulubles cómoda y fácilmente. Interesante en entornos corporativos.

ClamAV no es el único antivirus que puede ser instalado como motor de proxy antivirus. Kasperksy, del que hemos hablado antes, tiene su versión para proxy, proporcionando al usuario, según la infiormación comercial que suministran, una alta fiabilidad en términos de protección del tráfico HTTP/FTP, el filtrado de URLs y el escaneo de ficheros, comprimidos o naturales. Aunque es más frecuente que Kaspersky se instale con Squid a su lado, es posible emplear HAVP.

En estos despliegues, Kasperksy funciona bajo múltiples arquitecturas, como Red Hat Enterprise Linux Advanced Server 4, Red Hat Linux 9.0, Fedora Core 5, SuSE Linux Enterprise Server 9.0, SuSE Linux Professional 10.1, Debian GNU/Linux 3.1 con actualización (r2), Mandriva Linux 2006, e incluso las versiones 4.11, 5.4 y 6.0 de FreeBSD. Los reqisitos son Squid Proxy Server o HAVP con soporte para el protocolo ICAP, la utilidad "which", para instalar el programa y Perl versión 5.0 o superior.

Ya es el usuario el que decide. Son sólo dos opciones de las múltiples posibles. HAVP puede operar con ClamAV, Kaspersky y con F-Prot, ya que existen versiones para Linux, BSD, Solaris y servidores IBM. Los usuarios corporativos de F-Prot, al igual que los de Kaspersky, deben pasar por caja, pero os recuerdo que F-Prot tiene versiones gratuítas para usuarios domésticos, con lo que montarse un proxy antivirus en casa nos resultará gratuíto.

Cada cual que escoja el producto que más le convenza y guste. A mi me gustan las tres combinaciones :)

Be Sociable, Share!

Categoría/s → Malware

3 comentarios
  1. 24 enero 2007

    El que sabe, sabe.

    Sobre antivirus y linux, vuelvo a reconocer una vez más mi ignorancia. No puedo recomendar ninguno, a diferencia de windows.

    ¿ClamAV o F-Prot? Por historial, el segundo, pero…

    Lástima que NOD32 no tenga soluciones más completas para Linux (sólo para correo y ficheros, no para el tráfico).

    Como siempre, el problema viene en los clientes windows de la red. Ahí sí que lo tengo muy claro: NOD32.

    No estaría de más que alguien de ESET se pasase por este hilo, digo. O de cualquier otra casa antivirus.

  2. 24 enero 2007

    Maty,

    Ciertamente, las opiniones siempre gustan, y más en este campo tan poco labrado y tan dispar en opiniones.

    NOD es una excelente solución para Windows, pero en Linux no se puede contar con él. De todos modos, la defensa en Linux suele ser interesante en el servidor, a modo de filtro, ya filtre para estaciones Linux o Windows.

    Si las estaciones son Linux, cualquiera vale, ya que apenas hay malware pare Linux. Si la estaciones son Windows, hay muchas soluciones. NOD es de las que es “vox populi” que es buena, como también se habla bien de Kaspersky, e incluso de otras casas.

    Un saludo,

  3. 24 enero 2007

    Pero no me has respondido: ClamAV o F-Prot para Linux y sin coste.

    Eso del “vox populi”, tururú. A mí sólo me valen las opiniones de expertos que hayan evaluado los diferentes software, en situaciones reales. Todavía me resuenan los oídos las defensas de algunos usuarios con los antivirus, cortafuegos,… que utilizaban, como si les fuera la vida en ello.

    De ti me fío, de ahí la pregunta.

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS