Page 1 sur 8. Historique des versions Version novembre 2003 PM Création du document. Résumé

Transcription

1 Page 1 sur 8 Squid Pacôme Massol Néotech III Cité scolaire du Butor, Sainte-Clotilde Copyright 2003 Néotech III La reproduction exacte et la distribution intégrale de ce document sont permises sur n'importe quel support d'archivage, pourvu que cette notice soit préservée. Historique des versions Version novembre 2003 PM Création du document. 1. Introduction 1.1. Généralités 1.2. Fonctionnement 2. Installation 2.1. Considérations matérielles 2.2. Paquetage 2.3. Répertoires du cache 3. Configuration 3.1. Options de fonctionnement 3.2. Les listes de contrôle d'accès (ACL) Le filtrage La mise en cache 3.3. L'authentification Création du fichier d'utilisateurs 3.4. Configuration du client 3.5. Accélérateur Web 4. Surveillance 5. SquidGard 6. Exercices 7. Lectures conseillées Résumé Dans ce chapitre, nous allons présenter quelques éléments sur l'installation et la configuration du proxy cache Squid 2.4.STABLE6. Pour me joindre : <pacome.massol@laposte.net> Ce fichier existe également au format PDF.

2 Page 2 sur 8 1. Introduction 1.1. Généralités Squid propose deux fonctionnalités principales : optimisation de la bande passante sur le lien Internet, lorsque de nombreux clients sont connectés et qu'ils visitent les mêmes sites ; contrôle et filtrage de l'accès à Internet, en se basant sur les URI [1] demandées, les horaires, les adresses IP des stations et les noms d'utilisateurs. Squid est un proxy FTP, HTTP et HTTPS (il ne gère donc pas SMTP, POP ou NNTP). Squid tourne en tâche de fond et écoute sur un port spécifique (3128 par défaut, mais il est possible d'utiliser 8080, plus habituel pour un proxy). L'éventuel module d'authentification vient se greffer dessus, ce qui fait apparaître un certain nombre de processus fils (5 par défaut) Fonctionnement Observons, tout d'abord, l'accès à un site web sans passer par un proxy : Figure 1. Accès web sans proxy Le client demande directement au serveur Web de lui envoyer une page. Si un autre client du réseau demande la même page, le serveur Web est contacté à nouveau. Avec un proxy (littéralement, proxy signifie mandataire en français), toutes les requêtes passent par un intermédiaire : Figure 2. Accès web avec proxy 1. Le client demande une page. 2. La requête est interceptée par le proxy. Celui-ci vérifie ses ACLs [2]. Si la requête est interdite, un message d'erreur (non représenté sur la figure) est envoyé au client.

3 Page 3 sur 8 3. Si la requête est autorisée, le proxy vérifie si la page est déjà dans son cache (autrement dit, si elle a été demandée récemment). Si c'est le cas, elle est envoyée directement au client sans passer par le serveur web. 4. Si la page ne figure pas dans le cache, le proxy transmet la requête au serveur désiré. 5. Le serveur retourne la page. 6. Le proxy intègre cette page dans son cache. 7. Le client reçoit la page demandée. Etant donné que tout le trafic IP passe par le proxy, celui-ci collecte des informations sur les utilisateurs, ce qui peut poser un problème de confidentialité. 2. Installation 2.1. Considérations matérielles Un proxy consomme beaucoup de ressources mémoire et CPU. Il faut donc prévoir une machine puissante, dotée d'une mémoire RAM importante et de gros disques SCSI. De plus, il ne faut pas oublier qu'un proxy, de par son rôle d'intermédiaire, est un composant essentiel de la connectivité du réseau local à Internet. Il faut donc considérer une machine fiable équipée de composants fiables et redondants (RAID en particulier). Enfin, le proxy peut conserver dans son cache des informations confidentielles. Il faut donc que l'ordinateur soit sécurisé Paquetage Un seul paquetage est nécessaire : # dpkg -l grep squid* ii squid Internet Object Cache (WWW proxy cache) Le logicie est lancé par la procédure habituelle (script dans /etc/init.d). Pour vérifier que le proxy est opérationnel, on utilise la commande netstat : # netstat -ltun grep :31 tcp : :* LISTEN udp : :* Deux ports sont utilisés : le port TCP 3128 sur lequel le proxy attend les requêtes des clients (c'est ce port que l'on configure sur les clients) ; le port UDP 3130 sur lequel le proxy attend les requêtes d'éventuels proxys voisins Répertoires du cache Squid, lors de l'installation, crée une imposant structure de répertoires afin d'organiser le cache. Ces répertoires se trouvent dans /var/spool/squid : # tree -f /var/spool/squid /var/spool/squid

4 Page 4 sur 8 -- /var/spool/squid/00 -- /var/spool/squid/00/00 -- /var/spool/squid/00/00/ /var/spool/squid/00/00/ /var/spool/squid/00/00/ Configuration Toute la configuration de Squid se passe dans le fichier /etc/squid.conf. La plupart des options par défaut ne sont pas à changer (vous pouvez alors laisser le # pour conserver les options par défaut) Options de fonctionnement Voici la significaiton des principales options : http_port : le port que vous souhaitez utiliser. Par défaut, Squid utilise le port 3128, mais on peut le changer (par 8080 par exemple). maximum_object_size : taille maximale d'un objet sauvegardé dans le cache (4 Mo par défaut). cache_mem : correspond au cache dans la mémoire RAM. Par défaut, squid utilise 8 Mo mais cette taille doit être la plus grande possible afin d'améliorer les performances (considérez 1/3 de la mémoire que vous réservez à Squid). Il faut aussi régler cache_swap_low et cache_swap_high qui sont les valeurs limites de remplissage du cache mémoire. Par défaut les valeurs sont 90 % et 95 %. Lorsque la valeur de 95 % est atteinte le cache disque se vide jusqu'à 90 %. Les valeurs par défauts sont correctes dans la plupart des cas. cache_dir : indique le volume du cache. Si vous avez plusieurs disques, utilisez plusieurs fois cette ligne : cache_dir ufs /cache (cache de 100 Mo) cache_dir ufs /cache (cache de 200 Mo) cache_access_log ; cache_log ; cache_store_log : indiquent l'endroit où se trouvent les logs. debug_options ALL,1 : niveau de debug. Indiquez 9 pour avoir tous les logs à la place de 1. Attention cela donne de gros fichiers. ftp_user : à utiliser pour indiquer un mot de passe valide aux serveurs ftp anonymes qui demandent une authentification (en général, on donne une adresse valide dans notre domaine). reply_body_max_size : taille maximale des réponses. Peut être utilisé pour limiter le download. request_body_max_size : Par défaut cette valeur est à 1 Mo. Ce qui limite la possibilité d'uploader un fichier à travers Squid. visible_hostname : indiquez ici le nom de votre serveur proxy. cache_mgr : définit le nom de l'administrateur à faire apparaître sur les messages d'erreur. error_directory : pour avoir les messages d'erreurs en français, indiquez /usr/lib/squid/errors/french Les listes de contrôle d'accès (ACL) Une ACL est une règle qui est appliquée à chaque paquet IP traité par le proxy. Cette règle sera valide ou non valide. Suivant le cas, on acceptera ou on refusera le paquet.

5 Page 5 sur 8 Le format général de déclaration d'une ACL est le suivant : acl <aclname> <acltype> <string> <[string2]>... acl est un mot clé. aclname est un nom donné par l'administrateur pour identifier l'acl. acltype peut prendre différentes valeurs, dont celles-ci parmi les plus importantes : src (pour la source) : adresse IP du client sous la forme adresse/masque. On peut aussi donner une plage d'adresse sous la forme adresse_ip_debut-adresse_ip_fin. dst (pour la destination) : idem que pour src, mais on vise l'adresse IP de l'ordinateur cible. srcdomain : le domaine du client. dstdomain : le domaine de destination. url_regex : expression régulière pour chercher une chaîne contenue dans l'url (on peut utiliser les jokers). urlpath_regex : expression régulière pour chercher une chaîne dans le chemin de l'url (on peut utiliser les jokers). time : accepter ou refuser des paquets suivant l'heure Le filtrage Pour filter, une ACL doit être utilisée avec la directive http_access, dont la syntaxe est la suivante : http_access allow deny [!]aclname http_access est un mot-clé. Ensuite, on indique allow ou deny pour spécifier si, lorsque l'acl est valide, on accepte ou on bloque les paquets. Le! sert à considérer l'inverse de l'acl. Exemple 1 : On souhaite autoriser les machines du réseau local ( ) à utiliser le proxy (par défaut, ce n'est pas le cas!) : acl reso_local src /16 http_access allow reso_local [...] http_access deny all # doit toujours être la dernière règle! Exemple 2 : On souhaite autoriser les connexions tous les jours entre 12:00 et 14:00 pour les machines /24 : acl ip_acl src /24 acl time_acl time 12:00-14:00 http_access allow ip_acl time_acl [...] http_access deny all # doit toujours être la dernière règle! Exemple 3 : On souhaite empêcher tous les utilisateurs du réseau de se connecter aux sites du domaine pirates.com : acl destin dstdomain.pirates.com

6 Page 6 sur 8 http_access deny destin [...] http_access deny all # doit toujours être la dernière règle! La mise en cache Il est possible d'empêcher la mise en cache de certaines pages (afin de pas avoir les données d'un formulaire par exemple). Dans ce cas, on combine une ACL avec la directive no_cache. Par exemple, on refuse de garder les pages dynamiques : acl QUERY urlpath_regex cgi-bin \? \.cgi \.pl \.php3.\.php4.\.php \.asp \.jsp no_cache deny QUERY 3.3. L'authentification Nous avons vu comment empêcher ou autoriser une machine à utiliser le proxy. Nous voyons ici, une méthode pour autoriser des utilisateurs particuliers à utiliser le proxy. Différentes méthodes peuvent être mises en oeuvre : pwnam : via le fichier /etc/passwd ; ldap : via un annuaire LDAP ; smb : via Samba ou un contrôleur de domaine NT ; ncsa : via un fichier d'utilisateurs locaux. Nous présentons ici la méthode par le fichier d'utilisateurs locaux Création du fichier d'utilisateurs Nous utilisons la commande htpasswd fournie avec le paquetage apache-common : # htpasswd -bc /etc/squid.users <nom de l'utilisateur> <mot de passe> Par exemple : # touch /etc/squid.users (pour créer le fichier) # htpasswd -b /etc/squid.users toto toto Adding password for user toto Ensuite, il faut faire deux modifications dans le fichier squid.conf. D'abord, rechercher la ligne qui commence par authenticate_program, la décommenter et la configurer comme suit : authenticate_program /usr/lib/squid/ncsa_auth /etc/squid.users Ensuite, il faut ajouter une ACL : acl autorise proxy_auth REQUIRED Enfin, il faut utiliser l'acl avec une directive http_access : http_access deny!autorise http_access allow localhost http_access allow reso_local # And finally deny all other access to this proxy http_access deny all La directive refuse les utilisateurs qui ne respectent pas l'acl nommée "autorise" (et donc, qui ne sont

7 Page 7 sur 8 pas identifiés) Configuration du client Des configurations doivent être réalisées sur le client afin que celui-ci passe par le proxy. Par exemple, avec Mozilla : Figure 3. Configuration du proxy dans Mozilla Note : il est possible de définir un proxy transparent, ne nécessitant donc pas de configuration sur le client. Il faut installer le proxy sur la passerelle par défaut du réseau. Puis rediriger toutes les requêtes vers le proxy grâce à une règle iptables (voir lectures conseillées) Accélérateur Web À partir de la version 2, squid dispose d'un mode HTTP-accelerator. Il s'agit en fait d'un cache inversé qui va stocker les données envoyées par l'utilisateur vers le serveur web. Il faut pour cela mettre dans le fichier squid.conf les lignes suivantes : http_port 8080 httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on On pourrait également installer un cache DNS sur notre machine Squid. 4. Surveillance Il faut surveiller les fichiers dans /var/log/squid à savoir access.log, cache.log et store.log. 5. SquidGard

8 Page 8 sur 8 SquidGard est un produit complémentaire à Squid. Il étend grandement les possibilités de filtrage, en particulier pour tout ce qui concerne les contenus, fonctionnalité primordiale dans un environnement scolaire. 6. Exercices 1. Donnez l'acl et la directive http_access pour les règles suivantes : Empêchez les machines d'adresses /8 de franchir le proxy Empêchez d'atteindre les machines du domaine danger.com Autorisez les connexions du lundi au vendredi de 8:00 à 17:00 Empêchez d'atteindre les sites web dont l'url contient le mot warez idem, mais quel que soit le protocole 2. Installez et configurez le proxy en activant le contrôle d'authentification. Vous prendrez soin de créer au moins une ACL autorisant les machines de votre réseau à se connecter. Vous configurerez les messages d'erreur en français et l' de l'administrateur. 7. Lectures conseillées Le guide de configuration. Un document réalisé par Christian Caleca : Consultez le site de Squidguard pour approfondir. [1] Uniform Resource Identifier [2] Access Control Lists ou Listes de Contrôle d'accès).