Проверка трафика при помощи DansGuardian. Установка и настройка
- Информация о материале
- Категория: Servers (ru)
- Опубликовано: 16.04.2011, 13:03
- Автор: Super User
- Просмотров: 2438
Сегодня использование интернет-ресурсов стало жизненной необходимостью для большинства компаний. Это и глобальная справочно-информационная система, и способ доступа к технологиям, и транспорт для передачи данных, и, наконец, оперативное и доступное средство коммуникации.
Поскольку интернет является каналом во внешний мир, он и стал источником опасности для компаний. Именно с его помощью сегодня распространяются черви, вирусы и прочий вредоносный код. Так же, зачастую, с его же помощью происходит утечка конфиденциальных данных за пределы офиса.
Еще одной, не такой явной, угрозой есть нецелевое использование интернета на рабочем месте. Зачастую сотрудники используют корпоративный интернет для закачки фильмов и музыки, онлайн игр, посещение развлекательных сайтов и т.д. Кроме того, что эти действия отвлекают сотрудника от работы, ими еще и замусоривается интернет-канал, препятствуя нормальной работе офиса.
Для предотвращения заражения компьютеров внутри сети и контроля за использованием ресурсов сегодня существует огромное количество программных комплексов от разных производителей. Это и IWSS от Trend Micro, и WebSence WebSecurity Suit и многие другие. Однако, кроме всего прочего, эти продукты имеют значительный недостаток - стоимость покупки и продления. При чем, зачастую, приходится платить не только за использование самого защитного комплекса, но и за операционную систему, на которой это все будет разворачиваться.
К сожалению на сегодняшний день большинство системных администраторов не хотят или не могут полноценно использовать возможности Open Source решений, предпочитая закупать и разворачивать исключительно коммерческие системы.
Сейчас все эти задачи можно решить и при помощи продуктов Open Source. При этом есть возможность использовать и исключительно бесплатные решения, и коммерческие, и, кроме всего прочего, модульно подключать пропиетарные коммерческие программы.
В качестве корпоративного гейта в интернет настроим сервер на базе Ubuntu Linux с установленными на нем Squid, DansGuardian, и ClamAV.
Для начала установим Squid.
$sudo aptitude install squid3
Теперь установим и сам DansGuardian.
$sudo aptitude install dansguardian
Обратите внимание, что вместе с DansGuardian устанавливается и антивирус ClamAV.
Теперь займемся настройкой этих программ.
По умолчанию SQUID настроен корректно по умолчанию и мы его сейчас трогать не будем. Займемся исключительно DansGuardian.
Откроем на редактирование файл /etc/dansguardian/dansguardian.conf
Для того, что бы потом можно было смотреть логи хождения в интернет в файле конфигурации переменной logfileformat присвоим значение 3.
Далее раскомментируем переменную loglocation.
Все настройки в разделе Network Settings оставляем без изменений, так как они прописаны как раз для нашего случая — когда Squid установлен на том-же сервере и его настройки (в частности прослушивающийся порт) оставлены по умолчанию.
Для того, что бы включить антивирусную проверку, раскомменируем строку
contentscanner = '/etc/dansguardian/contentscanners/clamav.conf'
Сохраним файл конфигурации.
Сейчас разрешим закачку zip-архивов.
Для этого закомментируем в файле
/etc/dansguardian/lists/bannedextensionlist
строку
.zip # Windows compressed file
и в файле
/etc/dansguardian/lists/bannedmimetypelist
строку
application/zip
Для того, что бы настройки применились, нужно перезапустить DansGuardian.
$sudo service dansguardian restart
Почему-то иногда такой перезапуск не срабатывает (на Ubuntu примерно в 90% случаев). Если так и получилось, тогда последовательно делаем:
$sudo service dansguardian stop
$sudo service dansguardian start
Теперь проверим, как работает проверка на вирусы.
Откроем браузер и в его свойствах пропишем в качестве прокси сервера IP-адрес нашего сервера с DansGuardian и порт 8080.
Попробуем зайти на http://eicar.org и скачать оттуда eicar.com
Мы сразу же увидели, что фильтрация сработала на расширение файла. Соответственно антивирус этот файл проверять не будет. Теперь попробуем скачать eicar_com.zip. Это расширение мы разрешили, соответственно блокироваться он не будет.
Тут мы уже видим, что сработала антивирусная проверка и загрузка файла заблокирована по причине его зараженности.
Теперь проверим, как работает контентная фильтрация трафика.
Откроем на редактирование файл /etc/dansguardian/lists/weightedphraselist и раскомментируем в нем строку
.Include</etc/dansguardian/lists/phraselists/gambling/weighted>
Снова перезапустим DansGuardian и попробуем из браузера открыть сайт http://www.gambling.com/
В появившемся окне видно не только то, что страница заблокирована, но и по какой именно причине это произошло.
Теперь попробуем разобраться с группами пользователей.
Для начала включим определение Ip-адресов пользователей. Для этого откроем на редактирование файл /etc/dansguardian/dansguardian.conf и раскомментируем в нем строку
authplugin = '/etc/dansguardian/authplugins/ip.conf'
изменим значение переменной filtergroups
filtergroups = 2
Теперь скопируем файл
/etc/dansguardian/dansguardianf1.conf в /etc/dansguardian/dansguardianf2.conf
$sudo cp /etc/dansguardian/dansguardian1.conf /etc/dansguardian/dansguardian2.conf
В файле /etc/dansguardian/dansguardianf2.conf изменим
weightedphraselist = '/etc/dansguardian/lists/weightedphraselist'
на
weightedphraselist = '/etc/dansguardian/lists/weightedphraselist.boss'
Теперь введем команду
$sudo cp /etc/dansguardian//lists/weightedphraselist /etc/dansguardian//lists/weightedphraselist.boss
Проследим, что бы в файле /etc/dansguardian/lists/weightedphraselist
строки
.Include</etc/dansguardian/lists/phraselists/weapons/weighted>
.Include</etc/dansguardian/lists/phraselists/weapons/weighted_portuguese>
были раскомментированы, а в /etc/dansguardian/lists/weightedphraselist.boss соответственно закоментированы.
Теперь начинаем править файл /etc/dansguardian/lists/authplugins/ipgroups
В нем нужно будет прописать строку
<IP-адрес рабочей станции>=filter2
и
192.168.0.0/255.255.255.0 = filter1
Перестартовываем DansGuardian
Проверяем как работают наши фильтры. Открываем с рабочей станции компьютера ссылку http://www.israel-weapon.com/
Страница открылась нормально.
В файле /etc/dansguardian/lists/authplugins/ipgroups закомментируем строку
<IP-адрес рабочей станции>=filter2
и перестартовываем DansGuardian
В браузере чистим кеш и снова пробуем открыть http://www.israel-weapon.com/
Видим -
Блокировка сработала
Аналогичным образом можно усложнять правила контентной фильтрации по мере необходимости.