The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Прокси сервер squid с антивирусной проверкой трафика

26.10.2007 13:18

В статье представлено обобщение опыта настройки в Gentoo Linux прокси сервера Squid с антивирусной проверкой трафика ( havp + clamav) , NTLM авторизацией пользователей в домене win2000 и контролем трафика средствами Sams.

  1. Главная ссылка к новости (https://www.opennet.ru/base/net...)
  2. Проверка web-трафика Squid на вирусы при помощи ClamAV и c-icap
  3. Avira antivir-webgate антивирусная проверка трафика squid через icap
  4. Squid+Clamav через squidGuard и viralator
  5. Проверка Squid трафика на вирусы используя DrWeb
  6. OpenNews: Проверяем HTTP-трафик на лету (HAVP+ClamAV)
Лицензия: CC-BY
Тип: яз. русский / Практикум
Короткая ссылка: https://opennet.ru/12542-squid
Ключевые слова: squid, gentoo, linux, proxy, virus, windows, samba, auth, filter
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (35) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, leon55 (?), 13:33, 26/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хорошая статейка. Правда, от всего не защитит, но, как говорится, при доп. защите вполне покатит :)
    Автору респект і увага.
     
  • 1.2, grobik (?), 14:04, 26/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Чего только ни придумают, чтобы не ставить антивирусы на клиентские машины.
     
     
  • 2.8, ЩекнИтрч (?), 15:07, 26/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Ага. Надо ваще из офиса охрану снять, а клиентам - каски выдать и перцовые баллончики.
    Ты об этом?
     
     
  • 3.12, grobik (?), 15:46, 26/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Я о том, что такой подход перекроет только часть возможных каналов распространения вирусов. Для полноценной защиты нужен локальный антивирусный монитор. А при наличии такого монитора прокси с антивирусной проверкой не нужен. Или вот, начнут завтра вирусы распространяться по https, и что тогда?
     
     
  • 4.16, Protector (??), 20:51, 26/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Я о том, что такой подход перекроет только часть возможных каналов распространения
    >вирусов. Для полноценной защиты нужен локальный антивирусный монитор. А при наличии
    >такого монитора прокси с антивирусной проверкой не нужен. Или вот, начнут
    >завтра вирусы распространяться по https, и что тогда?

    Совершенно верно. Перекроет только часть. Но кто говорит о том чтобы не ставить антивирусные мониторы на клиентские станции?
    Они естественно нужны.
    И при таком подходходе, когда контент проверяется в двух местах - на прокси, потом на станции мы достигаем одного из наиболее важных аспектов безопасности - эшелонированность обороны.

     
     
  • 5.21, pavlinux (??), 00:16, 27/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    > эшелонированность обороны.

    Хе....

    А можно у всех:

    1. выдрать USB/CD/DVD/BD/HD/FLOPPY/COM/LPT и т.п. оставить монитор, клаву(бухалтерам), мышь(мэнэджерам).
       Для нужд перезаписи есть anykey_щики, Которые видут журнал, кто и что переписывал, за ними ведётся журнал на сервере, что они переписывали. Да бы знать кого иметь.  
    2. пароли на BIOS.
    3. свой SMTP/POP сервера. ПОЛНЫЙ REJECT && DENY на MAIL.RU и подобные  
    4. Сервер в сейф.
    5. Локалку на оптику. Wifi в сортир.
    6. Кому нужно ICQ, Jabber, и вообще полный интернет, загнать в DMZ на бездисковых машинах с папкой /home/user, на сервере запущенном в QEMU в режиме shapshot, для документов.

    Продолжать?!

     
     
  • 6.25, shooter (??), 10:23, 27/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    вы - теоретик.
     
     
  • 7.26, ЩекнИтрч (?), 12:25, 27/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Работатет - супер!!!
    Это просто выходит дороже в небольшой инсталляции.
    Но идея тонкого клиента - рулит.
    Я сам был скептиком, но после развертывания первой системы с фермой в сейфе и терминалами у юзеров - в полном восторге от резульата!
     
     
  • 8.27, pavlinux (??), 14:07, 27/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    А это уже надо считать соотношение ВАЖНОСТЬ ДАННЫХ ЦЕНУ ... текст свёрнут, показать
     
     
  • 9.30, ЩекнИтрч (?), 14:54, 27/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Многие смеются, но сдувание феном фишек с матерей или заливание фишек эпоксидкой... текст свёрнут, показать
     
     
  • 10.33, pavlinux (??), 22:52, 27/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    А выстроить цепочку криптозащиты типа Ключ от ключа для ключа с помощью кот... текст свёрнут, показать
     
     
  • 11.35, ЩекнИтрч (?), 09:46, 28/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Достаточно ключей-таблеток на всех дверях с логом посещений и открывания некотор... текст свёрнут, показать
     
  • 7.28, pavlinux (??), 14:12, 27/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    От части, но в основном реализатор имеенно так заморочек.
     

  • 1.3, Оммм (?), 14:10, 26/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Лишнее сканировать ни к чему =) джпеги - вопрос открытый.

    хочу добавить, что в quicktime (.mov) и .wmv были найдены уязвимости, так что не советую игнорировать эти расшиерния !

     
  • 1.4, vadiml (?), 14:36, 26/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Чего только ни придумают, чтобы не ставить антивирусы на клиентские машины.

    чего только не придумают, чтоб не ставить линукс на клиентские машины

     
  • 1.7, Аноним (-), 14:58, 26/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    товарищу уважение и почЁт...
     
  • 1.11, razor (??), 15:25, 26/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    статью не читал
    у мя хавп + сквид давненько успешно работают, а вот самс я б не рекомендовал. lightsquid красивше
     
     
  • 2.15, coroner (?), 17:02, 26/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    до первого логина с пробелом:)
     
     
  • 3.22, Zont (?), 00:20, 27/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Мсье, редкий извращенец?
     
  • 3.23, lightsquid (?), 01:12, 27/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    ну а кто мешает благородному дону привести логины к нужному виду
    дописав пару строчек в ip2name :)
    для чего собственно ip2name и делался :)

    а вообще то имя с пробелом в логе - это ошибка сквида
    т.к. по определению в логе записи разделены пробелом.

     

  • 1.13, leon55 (?), 16:29, 26/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я считаю, что установка фильтровщика вирусов на сквиде никоим образом не означает отказ в антивирусном ПО на клиентских машинах. Пусть будет дополнительная защита. Это разве плохо?
     
  • 1.14, Nas_tradamus (??), 16:35, 26/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хе... Я тоже самое почти год уже юзаю, только без LDAP. Автору респект.
     
  • 1.17, Аноним (17), 21:22, 26/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Тестовая эксплуатация - 2е недели.
    1/4 траффика компании.
    Результат - 0.

    А оно вообще работает?

     
     
  • 2.39, Дмитрий Ю. Карпов (?), 10:10, 29/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    > 1/4 траффика компании.

    Что произошло с четвертью трафика компании - это экономия трафика, приращение трафика или что?

     
     
  • 3.41, pavlinux (??), 00:41, 21/11/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >> 1/4 траффика компании.
    >
    >Что произошло с четвертью трафика компании - это экономия трафика, приращение трафика
    >или что?

    Это, видимо, та часть, которая проверялась, из всего трафика компании....
    Ну что сказать, в остальных 3/4 они-то, вирусы, и проскочили (закон Мерфи) :)

     

  • 1.18, dvg_lab (??), 21:30, 26/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    статью не читал, но у меня подобная конфигурация уже месяца 4 крутится, вирусы частенько попадаются причом на вполне уважаемых сайтах. антивирь на клиентах стоит есс-но. http не единственный канал распространения вирусов, это раз, и два то что не все вирусы отлавливаются бывают проскакивают.
     
  • 1.20, Аноним (20), 00:04, 27/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Если например учесть что вирус скачал юзверь с сайта на который ходит большинство юзверей компании но потом его оттуда быстро удалили. а вирь в кэше в итоге еще половина заразится. а здесь это исключается на 50 процентов.
    так что антивирь на прокси полезен и еще как.
     
  • 1.24, Аноним (20), 01:26, 27/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хмм... у меня нормально работает и один squid (аутентификация используется та же - ntlm через winbind), HAVP - парентом. Связка работает нормально, вирусы (как правило эксплойты и троян-даунлоадеры) - ловит. Единствено что на Фряхе не удается задействовать mandatory-locks, поэтому странички юзверь получает с некоторой задержкой.
     
  • 1.29, Аноним (20), 14:14, 27/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    пасибо за отзывы. связка отлично работает без вмешательств. иногда слегка косячит sams - время от времени не сбрасывает счетчики трафика пользователей. но это легко лечится.
    в общем очень доволен получившимся конфигом.

    >Хмм... у меня нормально работает и один squid (аутентификация используется та >же - ntlm через winbind), HAVP - парентом.

    для хавпа в качестве парент прокси используется тот же сквид?
    говорят, сам не проверял, что это была проблема squid и что ее исправили в след.релизе.

    дополнительные мысли и еще кое что можно найти на моем блоге:
    http://butch.blog.ru/

     
  • 1.31, Аноним (17), 16:19, 27/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А delay_pools работают в данной связке или нет?
     
     
  • 2.36, Аноним (-), 15:40, 28/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >А delay_pools работают в данной связке или нет?

    пулы отлично функиционируют

    >Как влияет проверка на вирусы на прокси сервере на скорость работы клиентов?

    вообще гвооря каскад из трех проксей сказывается на скорости, но это не так сильно заметно.
    проверка на вирусы не так сильно ухудшает положение, просто потмоу что проверяется только первый маленький кусочек получаемых файлов, при этом проверка проходит еще в процессе скачивания

     
  • 2.37, logan (??), 16:42, 28/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >А delay_pools работают в данной связке или нет?

    Нет

     
     
  • 3.38, Антон (??), 09:56, 29/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >>А delay_pools работают в данной связке или нет?
    >
    >Нет

    прошу не вносить неясность в обсуждение. в данном конфиге пулы отлично функционируют.

     

  • 1.32, Deepzor (?), 22:35, 27/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как влияет проверка на вирусы на прокси сервере на скорость работы клиентов?
     
  • 1.34, mk (?), 00:09, 28/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как вариант squid + drweb-icapd,
    на сколько мне известно, delay_pools одновременно с icap-клиентом не работают.
    На скорость проверка практически не влияет.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру