Resolución de la política de seguridad de Squid

La función del servidor proxy es hacer proxy a los usuarios de la red para obtener información de la red, que es una estación de retransmisión para la información de la red. Con el uso generalizado de los servidores proxy, han surgido una serie de problemas de seguridad. Dado que no hay una configuración completa y detallada de la política de control de acceso del servidor proxy, el usuario puede acceder a muchos sitios web ilegales pornográficos y reaccionarios a través del servidor proxy a voluntad, y estos comportamientos a menudo son difíciles de rastrear, lo que supone un gran inconveniente para el trabajo de administración. . La siguiente es una breve introducción a la política de seguridad del servidor proxy Squid comúnmente utilizado en Linux. Se espera que lo ayude en su trabajo.

Control de acceso de clientes

Con la función Control de acceso, puede controlar el almacenamiento en caché, el acceso a sitios específicos o un grupo de sitios, etc., según los intervalos de tiempo específicos durante el acceso. El control de acceso de Squid tiene dos elementos: elementos de ACL y listas de acceso. Al usar estos métodos, el administrador del sistema puede definir la política de control de acceso del servidor proxy de manera estricta y clara. Aquí hay algunos ejemplos:

◆ Permitir que se reenvíen las direcciones IP privadas de un segmento de red

acl me src 172.16.0.0/255.255.0.0

http_access allow all

La regla anterior permite que la IP del segmento de red 172.16.0.0 sea reenviada, pero tenga en cuenta que debe agregar "ld_; http_access deny all" al final del archivo de configuración, lo que indica que todas las reglas anteriores no coinciden y rechazan todos los paquetes. ? /p >

◆ Permitir que las máquinas de la lista accedan a Internet

acl clients src 10.0.0.124/24 192.168.10.15/24

acl guests src " /etc /squid /guest "

acl all src 0.0.0.0/0.0.0.0

http_access permite a los clientes

http_access permite a los invitados

http_access deny all

Si permite que todos los clientes en el segmento de red 10.0.0.124/24 y 192.168.10.15/24 accedan al servidor proxy y permitan que los clientes enumerados en el archivo /etc /squid /guest accedan al servidor proxy, excepto este Los clientes externos denegarán el acceso al servidor proxy local. El contenido del archivo " /etc /squid /guest " es:

172.168.10.3/24

210.113.24.8/16

10.0.1.24/25

◆ Limitar el período de acceso

acl allclient src 0.0.0.0/0.0.0.0

administrador de acl 192.168.10.0/24

acl common_time time MTWH 8 : 30-20: 30

acl manage_time time F 13: 00-18: 00

Las reglas anteriores permiten que todos los usuarios estén dentro del tiempo especificado (de lunes a jueves a las 8:30) Para las 20:30) el acceso al servidor proxy, solo permite que usuarios específicos (administrador del sistema, su segmento de red: 192.168.10.0/24) accedan al servidor proxy el viernes por la tarde, y el otro rechazará el acceso al servidor proxy el viernes por la tarde.

◆ Bloqueo de sitios

Squid puede bloquear ciertos sitios o sitios con ciertas palabras. Utilice las siguientes reglas:

acl sexip src " /usr /local /squid /etc /sexip "

acl sexdn dstdomain " /usr /local /squid /etc /sexdn "

acl sexurl url_regex " /usr /local /squid /etc /sexurl "

acl sextag urlpath_regex " /usr /local /squid /etc /sextag "

Http_access deny sexdn

http_access deny sexip

http_access deny sexurl

http_access deny sextag

El código anterior tiene dos partes, que indican respectivamente: el registro de sexip es ilegal La dirección IP 133.3.103.6; sexdn registra el dominio ilegal sex.abc.com; exurl registra las URL ilegales; el sextag registra las palabras ilegales y mdash; erótico. En la práctica, no es necesario que enumere todos los sitios o palabras que deben bloquearse, puede guardarlos primero en un archivo. La ACL leerá la información requerida del archivo para bloquear los sitios prohibidos.

◆ Configuración de CONNECT

Hay algunos usuarios que acceden a algunos sitios insalubres a través del software del agente secundario, que SCONNECT puede rechazar en el elemento CONNECT. Primero configure el puerto seguro:

acl SSL_ports port 443 563

acl Safe_ports port 80 # http

acl Safe_ports port 21 # ftp

acl Safe_ports port 443 563 # https, snews

acl Safe_ports port 70 # gopher

acl Safe_ports port 210 # wais

acl Safe_ports port 1025-65535 # puertos no registrados

Acl Safe_ports port 280 # http-mgmt

acl Safe_ports port 488 # gss-http

acl Safe_ports port 591 # filemaker

acl Safe_ports port 777 # multiling http

acl CONNECT método CONNECT

Entonces se rechazará el puerto no seguro a través de CONNECT, usando el siguiente comando:

http_access deny CONNECT! SSL_ports

Último re-squid Edición:

# /squid /bin /squid -k reconfigure

por " tail /squid /logs /access.log -f | El comando grep CONNECT " verá que las computadoras con puertos no seguros que usan CONNECT para acceder a Internet son rechazadas.

Administrar los puertos del servidor proxy

Nadie quiere usar su propio servidor como servidor proxy; al mismo tiempo, los servidores proxy se pueden usar fácilmente como un trampolín para atacar a otros. Por lo tanto, el software del servidor proxy Squid no puede proporcionar servicios a voluntad, solo necesita agregar " http_port 192.168.0.254:3128" en el squid.conf correspondiente para lograr este objetivo. Los usuarios que ingresen desde otras interfaces no podrán usar el servicio proxy.

Siga los registros de Squid

Los administradores de red de Linux deben intentar registrar todos los registros, lo que registrará todas las excepciones. La forma más fácil es mirar a través del navegador. Squid proporciona un programa cgi, el nombre del archivo es cachemgr.cgi, Squid se puede usar después de copiarlo en el directorio cgi-bin del servidor Apache.

mv /usr/lib/squid/cachemgr.cgi /home /httpd /cgi-bin

Monitoreo de squid a través de apache, modificando el archivo de configuración /etc/http/conf/http.conf , agregue lo siguiente:

< Ubicación /cgi-bin/cachemgr.cgi>

AuthType Basic

AuthNamw " Squid admin "

AuthUserFile /usr/local/squid/etc/squid.pwd

requiere un usuario válido

< /Ubicación > Genere archivos de contraseña:

cd /usr /local /squid /etc

htpasswd -c squid.pwd squidadmin

chown apache: apche squid.pwd

Reinicie squid y http. Para ver la información provista por Cache Manager, por favor En la barra de direcciones del navegador, escriba " http: //nombre del servidor " o " dirección IP /cgi-bin /cachemgr.cgi ". Primero, vea la interfaz de autenticación del usuario. Después de la autenticación, ingrese la interfaz de inicio de sesión, ingrese la dirección del servidor proxy y el número de puerto, y haga clic en "Continuar" para ingresar a la interfaz de trabajo como se muestra en la Figura 1.

Listado de HAVP para Squid Proxy Server

HAVP es un servidor proxy de filtrado de virus de Linux de código abierto escrito en C ++. HAVP se usa generalmente junto con Squid, que utiliza la biblioteca de virus antivirus ClamAV para mejorar la capacidad de Squid para protegerse contra los virus.

pasos de configuración HAVP :.

1 extraer primero
Archivo

#gunzip havp-0.70.tar.gz

# Cd /havp-0.70

2. Modifique el archivo de configuración havp /default.h

#define SCANTEMPFILE " /tmp/virus/havp-0.70 /Defina el directorio temporal de escaneo /

# define MAXSCANTEMPFILELENGTH 200 /directorio temporal del archivo longitud /

#define ACCESSLOG " /var/log/havp/access.txt" /access log file /

#define ERRORLOG " /var/log/havp/error.txt" /error log file /

#define KEEPBACKBUFFER 50005 /loopback buffer size /

#define MAXRECV 50000 /return buffer buffer size /

#define USER nobody /HAVP process user /

… …

3. Modifique el archivo clamav-config.h del archivo ClamAV y configure la opción SCANBUFF en " MAXRECV &" Pequeño

4.Compile el archivo

#. /Configure; make; make install

5.Inicie HAVP

# /usr /local /Bin /havp

Vea la página a través del sitio web: http://www.eicar.org/anti_virus_test_file.htm Los resultados son normales. Sin embargo, HAVP solo puede detectar y filtrar el virus del protocolo HTTP, pero no puede implementarse para otros protocolos como HTTPS y FTP.