Welche bekannten Implementierungen für Virenscanner-Schnittstellen mit ICAPS-Protokoll gibt es?

Question

Welche bekannten Implementierungen für Virenscanner-Schnittstellen mit ICAPS-Protokoll gibt es?

Antwort

Verwandte Fragen

Kann man über ICAP einen Ping an einen Virenscanner senden und wie sieht die Antwort im Response aus?

Wird bei der Kommunikation mit Virenscannern via ICAP häufiger REQMOD oder RESPMOD genutzt, und gibt es Ausnahmen von dieser Methode?

Accepted Answer

Bekannte Implementierungen für eine Virenscanner-Schnittstelle mit ICAP-Protokoll sind: 1. **Symantec Protection Engine (SPE)** [Symantec Protection Engine](https://www.broadcom.com/products/cyber-security/information-protection/protection-engine) bietet eine ICAP-Schnittstelle zur Integration in Proxy-Umgebungen. 2. **Kaspersky Anti-Virus for Proxy Server** [Kaspersky Security for Internet Gateway](https://www.kaspersky.com/small-to-medium-business-security/internet-gateway) unterstützt ICAP zur Anbindung an Proxy-Server. 3. **McAfee Web Gateway** [McAfee Web Gateway](https://www.trellix.com/en-us/products/web-gateway.html) kann als ICAP-Server fungieren und Virenscans über ICAP anbieten. 4. **Sophos Web Appliance** [Sophos Web Appliance](https://www.sophos.com/en-us/products/web-appliance.aspx) unterstützt ICAP für die Kommunikation mit Proxy-Servern. 5. **Avira AntiVir WebGate** [Avira AntiVir WebGate](https://www.avira.com/en/antivir-webgate) bietet ICAP-Unterstützung für die Integration in Proxy-Umgebungen. 6. **ClamAV mit c-icap** [c-icap](http://c-icap.sourceforge.net/) ist ein Open-Source-ICAP-Server, der mit [ClamAV](https://www.clamav.net/) kombiniert werden kann, um Virenscans über ICAP bereitzustellen. Diese Lösungen werden häufig in Kombination mit Proxy-Servern wie Squid oder Blue Coat eingesetzt, um Web-Traffic auf Viren und Malware zu prüfen.

Accepted Answer

Ein klassisches „Ping“ im Sinne eines ICMP-Pings gibt es im ICAP-Protokoll nicht. ICAP (Internet Content Adaptation Protocol) ist ein Protokoll, das hauptsächlich dazu dient, HTTP-Anf... [mehr]

Accepted Answer

Ein klassisches „Ping“ im Sinne eines ICMP-Pings gibt es im ICAP-Protokoll nicht. ICAP (Internet Content Adaptation Protocol) ist ein Protokoll, das hauptsächlich dazu dient, HTTP-Anfragen oder -Antworten an externe Dienste wie Virenscanner oder Content-Filter weiterzuleiten, um diese zu modifizieren oder zu analysieren. **Möglichkeiten, einen ICAP-Server zu „pingen“:** 1. **OPTIONS-Request:** Das ICAP-Protokoll sieht den `OPTIONS`-Request vor, mit dem ein Client (z.B. ein Proxy) die Fähigkeiten und die Erreichbarkeit eines ICAP-Servers abfragen kann. Dies ist die gängige Methode, um zu prüfen, ob ein ICAP-Server (z.B. ein Virenscanner) erreichbar ist und welche Dienste er anbietet. **Beispiel für einen ICAP OPTIONS-Request:** ``` OPTIONS icap://icap-server.example.com/avscan ICAP/1.0 Host: icap-server.example.com User-Agent: MyICAPClient/1.0 ``` **Typische Response:** ``` ICAP/1.0 200 OK Methods: RESPMOD, REQMOD Service: MyAVScanner/1.2.3 ISTag: "AV123456" Options-TTL: 3600 Allow: 204 Date: Wed, 12 Jun 2024 10:00:00 GMT ``` Diese Antwort zeigt, dass der Server erreichbar ist und welche Methoden (z.B. REQMOD, RESPMOD) unterstützt werden. 2. **204 No Content:** Viele ICAP-Server unterstützen die Option, auf einen Request mit einem `204 No Content` zu antworten, wenn keine Modifikation notwendig ist. Dies kann auch als eine Art „Lebenszeichen“ interpretiert werden, ist aber kein klassischer Ping. **Fazit:** Ein dedizierter „Ping“ existiert im ICAP-Protokoll nicht, aber der `OPTIONS`-Request ist die standardisierte Methode, um die Erreichbarkeit und Fähigkeiten eines ICAP-Servers (z.B. Virenscanner) zu prüfen. Die Antwort enthält Statusinformationen und gibt Auskunft über die unterstützten Methoden und Dienste. **Weitere Informationen:** - [ICAP RFC 3507](https://datatracker.ietf.org/doc/html/rfc3507) - [Wikipedia: ICAP](https://de.wikipedia.org/wiki/Internet_Content_Adaptation_Protocol)

Accepted Answer

Für die Kommunikation mit Virenscannern via ICAP (Internet Content Adaptation Protocol) wird in der Praxis überwiegend die **RESPMOD**-Methode verwendet. Das liegt daran, dass Virenscanner i... [mehr]

Accepted Answer

Für die Kommunikation mit Virenscannern via ICAP (Internet Content Adaptation Protocol) wird in der Praxis überwiegend die **RESPMOD**-Methode verwendet. Das liegt daran, dass Virenscanner in der Regel den **Antwortinhalt** (z.B. heruntergeladene Dateien, Webseiten) auf Viren oder Malware prüfen sollen, bevor dieser an den Client ausgeliefert wird. RESPMOD (Response Modification) ist dafür konzipiert, die Serverantwort zu modifizieren oder zu prüfen. **REQMOD** (Request Modification) wird seltener für Virenscanner eingesetzt, da hier die Anfrage des Clients an den Server modifiziert oder geprüft wird – was für Virenscanner meist weniger relevant ist, da sich Viren und Malware typischerweise im Antwortinhalt befinden. **Ausnahmen:** Es gibt jedoch Szenarien, in denen auch REQMOD genutzt werden kann, z.B. wenn Uploads (Dateien, die vom Client zum Server geschickt werden) auf Viren geprüft werden sollen. In diesem Fall wird die Anfrage (mit der hochgeladenen Datei) über REQMOD an den Virenscanner geschickt. **Zusammenfassung:** - **Standardfall:** RESPMOD für das Scannen von Downloads und Webseiten. - **Ausnahme:** REQMOD für das Scannen von Uploads. Weitere Informationen zu ICAP findest du z.B. bei [RFC 3507](https://datatracker.ietf.org/doc/html/rfc3507).