The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Прокси сервер Squid c E2guardian и Clamav
Тема достаточно избитая, но у E2Guardian - форка Dansguardian, появились
новые возможности, и теперь эту связку можно настроить несколько красивее.
Сразу скажу что в плане SSL трафика все стало намного лучше.

Теория.

Прокси сервер Squid хорошо работает в режиме SSL bump, раскрывая SSL соединение
и получая доступ к его содержимому. Далее он может это содержимое отдать на
проверку ICAP серверу по протоколу icap://. Еще раз поясним, что в этот момент
контент уже не шифрован, а plain.

Раньше использовали сервер C-icap с бэкендами (как правило с одним только
Clamav или другим AV) для дальнейшего сканирования. Для сканирования контента
на фразы по icap:// не было бесплатной реализации, а Dansguardian использовался
как каскадный Proxy, и не имел доступа к SSL содержимому (или я ошибаюсь,
поправьте меня).
Dansguardian заброшен с  2012 года, но нашлись люди, который сделали форк под
наименованием E2guardian. В него добавили функциональность работы в режиме ICAP сервера.

То есть теперь на текущий момент Squid может отдавать раскрытый SSL трафик
прямо в E2guardian по протоколу icap://. E2guardian  в свою очередь может
сканировать трафик по фразам, а также он унаследовал возможность отдавать его
на проверку в Clamav на вирусы. Получается достаточно красивая связка Squid
=icap://=> E2guardian => Clamav.

Сборка.

Я собираю все в Slackware64-current (просто у меня дома сейчас так). Сборка не
интересна, слакваристы сами умеют это делать, и отнимает много времени. Кому
все таки надо, вот мой build.

Итак мы получили 3 пакета:
   squid-4.6-x86_64-2.txz
   clamav-0.101.2-x86_64-2.txz
   e2guardian-5.3-x86_64-2

Я установил их в chroot /opt/SEC-server и установил туда окружение с нужными зависимостями.

Настройку описывать не буду, потому что это совет, а не инструкция. 

Предлагаю скачать готовый 64-битный chroot, он не замусорит систему.
Необходимо сгенерить и установить ключ с сертификатом и установить в etc/squid,
а также поправить etc/resolv.conf и etc/hosts. Сертификат устанавливается также
на каждую рабочую станцию в корневые центры сертификации.

Тесты.

Тесты на вирусы: https://www.eicar.org/?page_id=3950. Проверяем и SSL и
Plain ссылки.
Тест на большой файл с вирусом: bigfile
Тест на фразы Google: анонимные прокси
 
02.07.2019 , Автор: Анкх
Ключи: squid, e2guardian, clamav, proxy, ssl, traffic / Лицензия: CC-BY
Раздел:    Корень / Администратору / Сетевые сервисы / Прокси сервер Squid / ACL, ограничения трафика и пользователей

Обсуждение [ Линейный режим | Показать все | RSS ]
  • 1.1, Павел Отредиез (?), 15:50, 02/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Есть ещё пропиетарный платный icap контент-фильтр сервер Diladele Web Safety. Но я ещё не раскурил. Есть сложности в Slack.
     
  • 1.2, Павел Отредиез (?), 16:01, 02/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Управление - правка cfg &  killall -HUP e2guardian.
     
  • 1.3, Омоним (?), 09:40, 06/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Далее он может это содержимое отдать на

    проверку ICAP серверу по протоколу icap://. Еще раз поясним, что в этот момент
    контент уже не шифрован, а plain.

    А может, ведь, и по icaps:// отдавать...

     
  • 1.4, An (??), 10:59, 07/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Если имеется ladp/ad , то какую используешь аутентификацию в своей связки?
     
     
  • 2.5, werwer (?), 12:33, 07/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    гуглим pfsense + pf2ad

    P.s. forum.netgate.com/topic/120102/proxmox-ceph-zfs-pfsense-и-все-все-все

     
  • 2.6, Павел Отредиез (?), 16:25, 07/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Я бы установил Samba и ввёл в домен. А потом прикрутил бы аутентификации через pam_winbind.  Включая winbind в домен ты получишь и пользователей в системе и группы  и аутентификации.
     
     
  • 3.7, Павел Отредиез (?), 16:30, 07/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Я бы установил Samba и ввёл в домен. А потом прикрутил бы
    > аутентификации через pam_winbind.  Включая winbind в домен ты получишь и
    > пользователей в системе и группы  и аутентификации.

    Я не стал ы заморачивться на голый цербер или лдап. Интеграция самбы с доменом очень хороша.

     

  • 1.8, An (??), 09:24, 08/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У меня вопрос состоял в другом - какую схему аутентификацию использует автор в связки с E2guardian если имеется/используется у него домен.
     
     
  • 2.23, Павел Отредиез (?), 20:08, 29/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > У меня вопрос состоял в другом - какую схему аутентификацию использует автор
    > в связки с E2guardian если имеется/используется у него домен.

    Я не понимаю, аутентифицирует только squid,... этот вопрос я не разбирал... Был бы продакшен, я бы исследовал это, а так для домашнего прокси сервера мне не надо.

     

  • 1.9, Аноним (9), 14:27, 13/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Clamav? Шутка юмора что ли? AV, который пропускает > 25% in the wild malware.

    // b.

     
     
  • 2.14, Аноним (14), 15:25, 01/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.linux.org.ru/forum/security/14986716?lastmod=1560577806738#comment

    Базы надо ставить дополнительные!

     
  • 2.22, Павел Отредиез (?), 20:02, 29/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Clamav? Шутка юмора что ли? AV, который пропускает > 25% in the
    > wild malware.
    > // b.

    t2guardian умеет другие антивирусы, в т.ч. касперского.

     

  • 1.10, Аноним (9), 14:28, 13/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У вас ещё и Slack на сервере? Вы, батенька, вращенец.
     
  • 1.11, max (??), 12:17, 24/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Can you please create any kind of docker container or better docker-complse file for this applications ?
     
  • 1.12, XoRe (ok), 18:17, 25/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Squid, Slackware... какой сейчас год? :)
     
     
  • 2.16, macfaq (?), 18:21, 11/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    2019. И на сквид я минимум пару раз нарывался у весьма крупных ИСП.
     
     
  • 3.19, й (?), 18:24, 19/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Эти крупные ISP просто купили солюшн для фильтрации трафика, который через ICAP работает, там кроме Сквида это никто не умеет.

    Я этот солюшн разрабатывал, поэтому знаю, что они б его выкинули, если бы было, на что заменить. Со сквидом есть проблемы, и в масштабируемости, и в «угадай, какая из трёх версий будет работать». Ну не умеют ни nginx, ни HAProxy в ICAP, а у той системы архитектуру не меняли с 11 года (когда выкинули firebird, хехе).

     
  • 2.21, Павел Отредиез (?), 20:01, 29/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Squid, Slackware... какой сейчас год? :)

    Ну я же сказал, Slackware просто установил дома понастальгировать, поэтому на ней, ну и вообще люблю слакеров, поэтому для них.

     

  • 1.13, ivb (??), 10:51, 31/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А зачем SQUID, если сам e2guardian умеет SSL bump ?
     
     
  • 2.20, Павел Отредиез (?), 19:59, 29/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Простите, разве e2guardian сам умеет интернет? Честно, я не знал. Или  ему все равно нужен squid как каскад в интернет.
     
     
  • 3.25, Роман (??), 10:28, 30/09/2019 [^] [^^] [^^^] [ответить]  
  • +/
    С недавних пор - уже каскад не нужен. Но пока не умеет совсем в ipv6. Патчи от dansguardian уже не работают, новых нет.
     

  • 1.15, Аноним (15), 13:12, 02/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Оно может налету менять содержимое страниц?

    Надо чтобы перед проверкой на вири в clamav могло удалять из страниц известные вирусы.

     
     
  • 2.24, Аноним (24), 08:28, 06/09/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Очень надо сервак с поддержкой icap для измерения страниц на лету. Без него проверка ClamAV, с нормальными базами, режит почти весь runet.
     

  • 1.17, Александрр (ok), 10:59, 15/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Раз уж здесь такая тема, подскажите. Купил прокси. раньше всё работало. Сейчас оплатил опять, ничего не работает.
    Написал в поддержку, с их стороны всё работает. В чём может быть причина?
     
     
  • 2.18, XoRe (ok), 23:05, 18/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    У меня есть подозрение, что это не стёб
     


     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру