Squid et SquidGuard WORKSHOP. Damien GRILLAT Lylian LEFRANCOIS. A l attention de David DIOP. Page 1 / 26

Transcription

1 Squid et SquidGuard Damien GRILLAT Lylian LEFRANCOIS A l attention de David DIOP Page 1 / 26

2 Identification Client Projet Squid et SquidGuard Validité du document Action Date Nom Rédaction 18/03/2008 Damien GRILLAT, Lylian LEFRANCOIS Historique des modifications Date création Date application V.R. 18/03/ /03/ Evolution Création du document Diffusion (suivie en mise à jour) David DIOP Tuteur 18/03/2008 Synthèse : Page 2 / 26

3 SOMMAIRE Introduction...4 Squid Spécifications :...5 Installation de SQUID...6 Configuration de SQUID...8 SquidGuard Installation module SquidGuard dans Webmin...10 Blacklist SquidGuard Installation...13 Administration via Webmin...14 Administration via SquidGuard.conf...15 Compilation et mise à jour IPTABLES Webmin SARG CONCLUSION...26 Page 3 / 26

4 1 Introduction Ce projet a pour but de mettre en place une solution technique qui permet : d accélérer l affichage de pages WEB au travers d une faible connexion Internet. De sécuriser les postes LAN face aux menaces d attaques extérieures potentielles. Interdire l accès à certains sites WEB «pas sérieux». Nous avons choisi comme solution technique : Squid : o Fonction Cache extrêmement rapide o Gratuit o Les plugins aussi gratuits que l on peut y rajouter o Petit moins : la difficulté à le configurer SquidGuard : o Fonction filtrage d URL très rapide o Blacklists très souvent mises à jour o Gratuit o Plugin de Squid o Petit moins : la difficulté à le configurer IPTABLES : o Fonction Firewall intégrée à Linux o On peut appliquer des règles très précises Webmin : o Interface graphique d administration à distance o La plus complète VS light pour Linux o Admin IPTABLES, SQUID, SQUIDGUARD, File Manager, SSH, Networking, etc. SARG: o Module consultation de LOG Internet o Très complet et précis, notamment sites consultés, quel utilisateur (si Squid est intégré à Active Directory), taille données du trafic (page, total en fonction d un utilisateur,etc.) o Integration à Webmin aisée Page 4 / 26

5 2 Squid Un serveur Squid est un serveur mandataire (proxy en anglais) performant, capable d'utiliser les protocoles FTP, HTTP, Gopher, et HTTPS. Contrairement aux serveurs proxy classiques, un serveur Squid gère toutes les requêtes en un seul processus d'entrée/sortie, non bloquant. Un serveur mandataire est un serveur informatique qui a pour fonction de relayer des requêtes entre un poste client et un serveur. Les serveurs mandataires sont notamment utilisés pour assurer les fonctions suivantes : mémoire cache ; la journalisation des requêtes («logging») ; la sécurité du réseau local ; le filtrage et l'anonymat. Squid garde les meta données et plus particulièrement les données les plus fréquemment accédées en mémoire. Il conserve aussi en mémoire les requêtes DNS, ainsi que les requêtes ayant échouées. Les requêtes DNS sont non bloquantes. Les données mémorisées peuvent être rangées en hiérarchies ou en mailles pour utiliser moins de bande passante. 2.1 Spécifications : Proxy et cache des protocoles HTTP, HTTPS, Gopher, FTP ; Hiérarchisation du cache ; ICP, HTCP, CARP, Cache Digests ; Processus de cache transparent ; WCCP (Squid v2.3 et supérieur) ; Contrôle des accès étendu ; SNMP ; Cache les requêtes DNS. Reverse proxy cache.org/ Page 5 / 26

6 2.2 Installation de SQUID Après avoir installé notre distribution de Linux (à savoir Ubuntu Server LAMP), nous devons configurer les interfaces IP ainsi que le fichier de configuration de APT afin de pouvoir récupérer les packages de SQUID au travers du Proxy de l. Configuration des interfaces réseaux : Il faut pour cela éditer le fichier /etc/network/interfaces Commande : sudo nano /etc/network/interfaces Contenu du fichier : Ensuite, notre machine linux étant installée derrière le proxy de l Exia, nous devons configurer APT afin de pouvoir passer par le proxy et télécharger les paquets souhaités pour installer SQUID. Il suffit d éditer le fichier APT.CONF comme suit : Commande : sudo nano /etc/apt/apt.conf Contenu du fichier : Pour finir, nous configurons les options DNS de notre serveur : Commande : sudo nano /etc/resolv.conf Contenu du fichier : Page 6 / 26

7 Il faut décommenter la ligne suivante sinon le Proxy nous mettra des timeouts sur des fonctions recherches au niveau de Google, Yahoo, etc (Fonction recherche). En fait on oblige les clients à utiliser le Proxy pour tous les protocoles. Never_direct allow all L étape suivante est le téléchargement des packages de Squid v3, et leur installation, étape simple à réaliser grâce à la commande apt : Commande : sudo apt get install squid3 sudo apt get update Remarque: Si vous voulez aller piocher directement dans les dépôts commentez les lignes suivantes dans /etc/apt/sources.list Page 7 / 26

8 2.3 Configuration de SQUID Voici un schéma explicatif de la maquette que nous souhaitons mettre en place: Nous avons précédemment configuré Eth0, nous allons maintenant paramétrer ETH1 : Commande : sudo ifconfig eth broadcast netmask Tout ce qui nous reste à faire pour permettre au client XP d accéder au net se fera dans le fichier squid.conf (sudo nano /etc/squid/squid.conf). Configurer l interface d écoute de squid (port 3128 sur interface eth1) : http_port :3128 Paramétrer squid pour utiliser le proxy exia comme proxy parent (chaînage) : cache_peer parent no query default login=pass login=pass signifie que le client doit rentrer ses identifiants. Variante de cette commande : cache_peer parent no query default login=llefrancois@exia:password Le Proxy Squid utilisera ce compte pour s authentifier auprès de l ISA serveur de l. Page 8 / 26

9 Nous créons ensuite une ACL concernant tout le trafic depuis notre LAN ( ) : acl exia src /24 Nous autorisons tout le trafic HTTP concernant l ACL «exia» : http_access allow exia Le client XP est désormais capable d accéder au net, en s authentifiant avec son compte utilisateur auprès du proxy exia. Page 9 / 26

10 3 SquidGuard SquidGuard est un plugin pour Squid, qui permet de contrôler les accès sur le net : nous pouvons restreindre l accès à certains sites par le biais de blacklists sur des url, des mots clés et expressions. Tout d abord, nous devons installer berkeleydb, nécessaire au bon fonctionnement de SquidGuard (il s agit d une base de données embarquée). Commande : sudo apt get install libdb3 Nous pouvons ensuite installer le plugin SquidGuard à proprement parlé : Commande : sudo apt get install squid SquidGuard 3.1 Installation module SquidGuard dans Webmin Aller sur : et télécharger le fichier «Webminxxxx.wbm.gz» Ouvrir Webmin et uploader ce fichier : Webmin renvoi que l installation est réussie. Aller ensuite dans Servers/SquidGuard/ Page 10 / 26

11 Emplacement du fichier SquidGuard.conf (nous conseillons de le vider) Utilisateur propriétaire du processus SquidGuard Il faut aussi savoir sous quels UID/GID squidguard doit tourner. Il constituera des processus fils pour squid, c'est donc le même utilisateur que pour squid, "proxy" par défaut pour Debian. Le module est désormais disponible : Page 11 / 26

12 Créer un groupe Source : Editer ce groupe : Ici on préférera ajouter un sous réseau, on aurait pu faire bien d autres choses PS : conformément au schéma récapitulatif le bon réseau LAN serait /24 On va maintenant dans le fichier de configuration des ACL : Page 12 / 26

13 On fait Add ACL ITEM pour LAN_RIR4 : Url redirectrice : bin/squidguard.cgi?clientaddr=%a&srcclass=%s&targetclass=%t&url=%u Dans Squid il y a bien une redirection qui est apparue vers SquidGuard 3.2 Blacklist SquidGuard Installation L étape suivante concerne l installation des blacklists. Par commodité, nous avons récupéré une archive de l université de Toulouse qui maintient à jour des blacklists, disponible ici : ftp://ftp.univ tlse1.fr/pub/reseau/cache/squidguard_contrib/blacklists.tar.gz Il faut extraire tout le contenu de cette archive dans le répertoire suivant : /var/lib/squidguard/db/ Pour cela nous utilisons Webmin et l option qui permet d uploader une archive vers le serveur Squid ET de l extraire : Page 13 / 26

14 L archive maintenant décompressée, il faut paramétrer SquidGuard pour utiliser cette Blacklist. Deux moyens s offrent à nous : Par Webmin, seulement des erreurs de configuration peuvent facilement se glisse (pas d effacement des blacklists qui ne sont plus utilisées dans SquidGuard.conf, etc.) Directement sut le fichier SquidGuard.conf (c est le mieux) Administration via Webmin Dans Webmin (Servers/SquidGuard), cliquer sur Blacklists Si tout va bien, les Blacklists apparaissent : Page 14 / 26

15 Les listes sont par défaut désactivées. J active la Blacklist Agressive ( en cliquant de dessus, puis à l intérieur «enable». Une «*» apparaît maintenant Administration via SquidGuard.conf /etc/squid/squidguard.conf # Blacklist «agressive» (/var/lib/squidguard/db/agressive) destination agressive { domainlist agressive/domains urllist agressive/urls expressionlist agressive/expressions redirect // si on voulait personnaliser l interdiction } Compilation et mise à jour Attention : après la configuration de SquidGuard l accès au Net n est plus autorisé : Il faut décommenter les deux lignes suivantes dans le squid.conf Cache_effective_user proxy Cache_effective_group proxy Il faut en effet utiliser l utilisateur «proxy» pour squid, ce même user déjà utilisé par SquidGuard. Compilation des Blacklists post installation ou après l ajout d une nouvelle Blacklist dans SquidGuard.conf Sudo squidguard C all Attention des problèmes de droit et permissions sont possibles dans le dossier des databases (/var/lib/squidguard/db). Il faut en effet rendre l utilisateur Proxy du Groupe Proxy PROPRIETAIRE des databases concernées et leur(s) sous dossier(s). Page 15 / 26

16 Dans le dossier /var/lib/squidguard/ Sudo Chown R proxy:proxy db Pour toute Blacklist rajoutée au SquidGuard.conf (porn, cassis, OM, forums, etc.) il vous faudra sûrement modifier les droits sur le dossier de la Blacklist concernée (user proxy, group proxy). Attention, les problèmes de droits font planter Squid Sudo tail 20 /var/log/daemon.log Et plus précisement : Sudo tail 20 /var/log/squid/squidguard.log Résolution du problème La database «drogue» pose des problèmes d accès «Permission Denied» : En effet les.db crées n appartiennent pas à l utilisateur «Proxy» comme il devrait, mais à «root». Changeons donc les droits sur ce dossier : Page 16 / 26

17 Dans le dossier /var/lib/squidguard/ Sudo Chown R proxy:proxy db/drogue On regarde que les éléments présents dans «/var/lib/squidguard/db/drogue» soient ceux uniquement référencés dans le squidguard.conf. Ici par exemple il n y a pas de liste «expressionlist» qui existe dans le dossier Drogue. Il faut donc commenter la ligne suivante : /etc/squid/squidguard.conf # Blacklist «drogue» (/var/lib/squidguard/db/agressive) destination drogue { domainlist drogue/domains urllist drogue/urls # expressionlist drogue/expressions redirect // si on voulait personnaliser l interdiction } On redémarre Squid et tout rentre dans l ordre. Sudo /etc/init.d/squid3 restart Page 17 / 26

18 squidguard.conf # CONFIG FILE FOR SQUIDGUARD ####################################################### dbhome /var/lib/squidguard/db logdir /var/log/squid # time workhours { weekly mtwhf 08:00 19:30 date * * 01 08:00 19:30 } # # réseau source source LAN_RIR4 { ip /24 } # # Blacklist «adult» (/var/lib/squidguard/db/adult) destination adult { domainlist adult/domains urllist adult/urls expressionlist adult/expressions #redirect // si on voulait personnaliser l interdiction } # # Application des ACL acl { LAN_RIR4 { pass!adult any #bien penser à interdire adult redirect } default { pass local none redirect } } Page 18 / 26

19 > grep v ^#.* /etc/squid3/squid.conf grep v ^$ # SQUID.CONF # # Interface et port d écoute de Squid http_port :3128 # On utilise le proxy de l en proxy parent (entre nous et Internet) cache_peer parent no query default login=pass # Pas d explication trouvée pour ces lignes refresh_pattern ^ftp: % refresh_pattern ^gopher: % refresh_pattern. 0 20% # Définition des ACL standard acl all src / acl manager proto cache_object acl localhost src / acl to_localhost dst /8 acl CONNECT method CONNECT # ACL appartenant au nom Safe_ports ou SSL_ports acl SSL_ports port 443 #HTTPS ssl acl Safe_ports port 80 # HTTP acl Safe_ports port 21 # FTP acl Safe_ports port 443 # HTTPS # ACL pour notre réseau local acl LAN src /24 # Autorisations des accès HTTP au Proxy # Ces autorisations sont lues par ordre http_access allow manager localhost http_access deny manager # # on interdit tout ce qui ne correspond http_access deny!safe_ports # http_access allow LAN http_access deny CONNECT!SSL_ports http_access allow localhost # On interdit tout ce qui ne correspond http_access deny all icp_access allow all Squid séquentiel pas au Nom Safe_ports pas aux http_access dessus. # Squid utilise l utilisateur Proxy du groupe Proxy cache_effective_user proxy cache_effective_group proxy # Nom visible de Squid visible_hostname AriegeSquid #Pas de connexion directe vers l extérieur, Squid est Proxy pour tout never_direct allow all # Couplage à SquidGuard redirect_program /usr/bin/squidguard c /etc/squid/squidguard.conf redirector_bypass on Page 19 / 26

20 4 IPTABLES Nous avons configuré les iptables ainsi : INPUT Règle1 : Autoriser tout traffic depuis le lan vers SQUID sur le port 3128 Règle2 : Autoriser accès à webmin depuis le WAN seulement à Règle3 : Autoriser tout trafic retour Règle par défaut : tout «dropper» FORWARD Règle par défaut : tout «dropper» OUTPUT Règle par défaut : tout «ACCEPTER» Notre trafic est maintenant contrôlé, mais il serait intéressant de pouvoir autoriser les accès web seulement aux employés, et un accès total au directeur par exemple. Pour tester ceci, nous allons attribuer les adresses suivantes : : poste directeur : poste commercial Nous voulons pour tester que : Page 20 / 26

21 accède à http et ftp accède à http seulement Pour mettre ceci en place, nous allons configurer des ACL dans SQUID : ) Les «acl safe_ports» indique les ports qui seront utilisable ou pas par un utilisateur donné. Une ligne commentée interdit l utilisation du port, une ligne dé commentée en permet l accès. 2) Nous créons une ACL pour chacun des utilisateurs 3) Nous appliquons les «acl safe_ports» au commercial : il ne pourra accéder QUE http et https. 4) Nous donnons accès au réseau à M. le directeur et sa commerciale. Page 21 / 26

22 5 Webmin Si vous voulez installer et metre à jour Webmin via APT GET, éditez le fichier «/etc/apt/sources.list» et ajoutez le dépôt suivant: deb sarge contrib Installez maintenant Webmin Sudo apt get update Sudo apt get install webmin Toutes les dependences de Webmin seront automatiquement installées. Accès à Webmin: Page 22 / 26

23 6 SARG Une des exigences du directeur qui a fait appel à nos services, était de pouvoir avoir un œil, en permanence, sur l activité de son réseau d entreprise. Nous avons donc installé le module SARG (Squid Analysis Report Generator) qui va nous permettre d épier les moindres faits et gestes des employés. Vous allez voir que nous sommes capables de générer des rapports d analyses des pages les plus visitées, des fichiers téléchargés, et ce pour chacun des postes du réseau, qui seront bien sûr clairement identifiés. Afin de rendre plus digeste l exploitation de ce module, nous faisons une fois de plus appel à webmin, qui nous permet de paramétrer SARG et de générer les rapports qui nous intéressent. Voici donc l interface d accueil du module sous webmin : A partir de là, nous pourrons au choix : générer/voir un rapport crée à la volé, modifier les paramètres principaux du module (chemin d enregistrement des logs, options des rapports), modifier l apparence des rapports et enfin, programmer des générations de rapport automatique. Dans le menu «Report option», nous pouvons renseigner tout un florilège d options : Page 23 / 26

24 Pour résumer, nous pouvons indiquer de générer des rapports concernant des hôtes en particuliers, de générer des rapports par utilisateur, de résoudre ou non les adresse ip, et diverses autres options pour personnaliser au maximum nos rapports. Rentrons maintenant dans le vif du sujet, la création de rapports. Il suffit pour cela de cliquer sur le bouton «generate report now» qui affichera par la suite l invite suivante : Nous choisissons donc la période à étudier en cliquant directement dessus, pour afficher une liste des «top users» sur le réseau (autrement dit les plus gourmands en bande passante ^^) : Page 24 / 26

25 Pour affiner les informations, et par exemple, adapter vos blacklists, vous pouvez afficher une liste des sites les plus visités, ou encore afficher le bilan d une semaine complète ou des fichiers téléchargés : Page 25 / 26

26 7 CONCLUSION Il manque : Il manque une intégration à Active Directory Mise à jour automatique des Blacklists par Script Test réel sur réseau de l pour mesurer les performances d une solution paramétrée Squid en Proxy transparent (assez facile à réaliser mais aujourd hui problème au niveau des règles firewall) Malgré tout cela Squid reste une référence en matière de Proxy libre et gratuit Page 26 / 26