Блог ИТ склеротика. Проверка трафика при помощи DansGuardian. Установка и настройка

Страницы

Расширенный поиск в статьях блога

16 марта 2012 г.

Проверка трафика при помощи DansGuardian. Установка и настройка

Сегодня использование интернет-ресурсов стало жизненной необходимостью для большинства компаний. Это и глобальная справочно-информационная система, и способ доступа к технологиям, и транспорт для передачи данных, и, наконец, оперативное и доступное средство коммуникации.

Поскольку интернет является каналом во внешний мир, он и стал источником опасности для компаний. Именно с его помощью сегодня распространяются черви, вирусы и прочий вредоносный код. Так же, зачастую, с его же помощью происходит утечка конфиденциальных данных за пределы офиса.

 

Еще одной, не такой явной, угрозой есть нецелевое использование интернета на рабочем месте. Зачастую сотрудники используют корпоративный интернет для закачки фильмов и музыки, онлайн игр, посещение развлекательных сайтов и т.д. Кроме того, что эти действия отвлекают сотрудника от работы, ими еще и замусоривается интернет-канал, препятствуя нормальной работе офиса.

Для предотвращения заражения компьютеров внутри сети и контроля за использованием ресурсов сегодня существует огромное количество программных комплексов от разных производителей. Это и IWSS от Trend Micro, и WebSence WebSecurity Suit и многие другие. Однако, кроме всего прочего, эти продукты имеют значительный недостаток - стоимость покупки и продления. При чем, зачастую, приходится платить не только за использование самого защитного комплекса, но и за операционную систему, на которой это все будет разворачиваться.

К сожалению на сегодняшний день большинство системных администраторов не хотят или не могут полноценно использовать возможностиOpen Source решений, предпочитая закупать и разворачивать исключительно коммерческие системы.

Сейчас все эти задачи можно решить и при помощи продуктов Open Source. При этом есть возможность использовать и исключительно бесплатные решения, и коммерческие, и, кроме всего прочего, модульно подключать пропиетарные коммерческие программы.

В качестве корпоративного гейта в интернет настроим сервер на базе Ubuntu Linux с установленными на нем Squid, DansGuardian, и ClamAV.

Для начала установим Squid.

$sudo aptitude install squid3

Теперь установим и сам DansGuardian.

$sudo aptitude install dansguardian

Обратите внимание, что вместе с DansGuardian устанавливается и антивирус ClamAV.

Теперь займемся настройкой этих программ.

По умолчанию SQUID настроен корректно по умолчанию и мы его сейчас трогать не будем. Займемся исключительно DansGuardian.

Откроем на редактирование файл /etc/dansguardian/dansguardian.conf

Для того, что бы потом можно было смотреть логи хождения в интернет в файле конфигурации переменной logfileformat присвоим значение 3.

Далее раскомментируем переменную loglocation.

Все настройки в разделе Network Settings оставляем без изменений, так как они прописаны как раз для нашего случая — когда Squid установлен на том-же сервере и его настройки (в частности прослушивающийся порт) оставлены по умолчанию.

Для того, что бы включить антивирусную проверку, раскомменируем строку

contentscanner = '/etc/dansguardian/contentscanners/clamav.conf'

Сохраним файл конфигурации.

Сейчас разрешим закачку zip-архивов.

Для этого закомментируем в файле

/etc/dansguardian/lists/bannedextensionlist

строку

.zip # Windows compressed file

и в файле

/etc/dansguardian/lists/bannedmimetypelist

строку

application/zip

Для того, что бы настройки применились, нужно перезапустить DansGuardian.

$sudo service dansguardian restart

Почему-то иногда такой перезапуск не срабатывает (на Ubuntu примерно в 90% случаев). Если так и получилось, тогда последовательно делаем:

$sudo service dansguardian stop

$sudo service dansguardian start

Теперь проверим, как работает проверка на вирусы.

Откроем браузер и в его свойствах пропишем в качестве прокси сервера IP-адрес нашего сервера с DansGuardian и порт 8080.

Попробуем зайти на http://eicar.org и скачать оттуда eicar.com

eicar.com blocked

Мы сразу же увидели, что фильтрация сработала на расширение файла. Соответственно антивирус этот файл проверять не будет. Теперь попробуем скачать eicar_com.zip. Это расширение мы разрешили, соответственно блокироваться он не будет.

Тут мы уже видим, что сработала антивирусная проверка и загрузка файла заблокирована по причине его зараженности.

Теперь проверим, как работает контентная фильтрация трафика.

Откроем на редактирование файл /etc/dansguardian/lists/weightedphraselist и раскомментируем в нем строку

.Include</etc/dansguardian/lists/phraselists/gambling/weighted>

Снова перезапустим DansGuardian и попробуем из браузера открыть сайт http://www.gambling.com/

В появившемся окне видно не только то, что страница заблокирована, но и по какой именно причине это произошло.

Теперь попробуем разобраться с группами пользователей.

Для начала включим определение Ip-адресов пользователей. Для этого откроем на редактирование файл/etc/dansguardian/dansguardian.conf и раскомментируем в нем строку

authplugin = '/etc/dansguardian/authplugins/ip.conf'

изменим значение переменной filtergroups

filtergroups = 2

Теперь скопируем файл

/etc/dansguardian/dansguardianf1.conf в /etc/dansguardian/dansguardianf2.conf

$sudo cp /etc/dansguardian/dansguardian1.conf /etc/dansguardian/dansguardian2.conf

В файле /etc/dansguardian/dansguardianf2.conf изменим

weightedphraselist = '/etc/dansguardian/lists/weightedphraselist'

на

weightedphraselist = '/etc/dansguardian/lists/weightedphraselist.boss'

Теперь введем команду

$sudo cp /etc/dansguardian//lists/weightedphraselist /etc/dansguardian//lists/weightedphraselist.boss

Проследим, что бы в файле /etc/dansguardian/lists/weightedphraselist

строки

.Include</etc/dansguardian/lists/phraselists/weapons/weighted>

.Include</etc/dansguardian/lists/phraselists/weapons/weighted_portuguese>

были раскомментированы, а в /etc/dansguardian/lists/weightedphraselist.boss соответственно закоментированы.

Теперь начинаем править файл /etc/dansguardian/lists/authplugins/ipgroups

В нем нужно будет прописать строку

<IP-адрес рабочей станции>=filter2

и

192.168.0.0/255.255.255.0 = filter1

Перестартовываем DansGuardian

Проверяем как работают наши фильтры. Открываем с рабочей станции компьютера ссылку http://www.israel-weapon.com/

Страница открылась нормально.

В файле /etc/dansguardian/lists/authplugins/ipgroups закомментируем строку

<IP-адрес рабочей станции>=filter2

и перестартовываем DansGuardian

В браузере чистим кеш и снова пробуем открыть http://www.israel-weapon.com/

Видим -

Блокировка сработала

Аналогичным образом можно усложнять правила контентной фильтрации по мере необходимости.

.

Счетчик тИЦ и PR Яндекс.Метрика Msn bot last visit powered by MyPagerank.NetYahoo bot last visit powered by MyPagerank.Net ping fast  my blog, website, or RSS feed for Free