SQUID Configuration et administration d un proxy



Documents pareils
But de cette présentation. Proxy filtrant avec Squid et SquidGuard. Serveur proxy. Serveur proxy. Hainaut P

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

Installation et Configuration de Squid et SquidGuard sous Debian 7

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE

Proxy SQUID sous Debian

FILTRAGE de PAQUETS NetFilter

Linux sécurité des réseaux

acpro SEN TR firewall IPTABLES

Sécurité GNU/Linux. Iptables : passerelle

Le filtrage de niveau IP

Comment surfer tranquille au bureau

Serveur Mandataire SQUID

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall?

SQUID I- Squid, c'est quoi? II- Comment ca marche? III- Où trouver des informations?

Formation Iptables : Correction TP

Zemma Mery BTS SIO SISR. Session Projets Personnels Encadrés

pare - feu généralités et iptables

Serveur proxy Squid3 et SquidGuard

Configurer Squid comme serveur proxy

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

PROXY SQUID-SQARD. procédure

Installation d'un service mandataire (Proxy SQUID) 1

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

MISE EN PLACE D UN FIREWALL ET D UN SERVEUR PROXY SOUS LINUX MANDRIVA.

Sécurité des réseaux Firewalls

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203

Mise en place d un serveur Proxy sous Ubuntu / Debian

EPREUVE PRATIQUE DES TECHNIQUES INFORMATIQUES ACTIVITE N 1. Thème de l activité : Configuration d un firewall

TAGREROUT Seyf Allah TMRIM

SQUID P r o x y L i b r e p o u r U n i x e t L i n u x

Squid. Olivier Aubert 1/19

MISE EN PLACE DU FIREWALL SHOREWALL

MANUEL D INSTALLATION D UN PROXY

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage

TP SECU NAT ARS IRT ( CORRECTION )

Mise en place d un proxy Squid avec authentification Active Directory

Date : NOM Prénom : TP n /5 ET ADMINISTRATION D'UN

BTS Services informatiques aux organisations Session E4 Conception et maintenance de solutions informatiques Coefficient 4

TP 3 Réseaux : Subnetting IP et Firewall

CONFIGURATION FIREWALL

Documentation technique OpenVPN

SYSTEME DE GESTION DES ENERGIES EWTS EMBEDDED WIRELESS TELEMETRY SYSTEM

TP4 : Firewall IPTABLES

Linux Firewalling - IPTABLES

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Réalisation d un portail captif d accès authentifié à Internet

Configuration d un réseau local

Installer une caméra de surveillance

Administration Réseaux

Les systèmes pare-feu (firewall)

laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

Réaliser un accès distant sur un enregistreur DVR

Iptables. Table of Contents

Mise en place d'un Réseau Privé Virtuel

Sécurité du Système d Information. Authentification centralisée et SSO

Administration réseau Firewall

LOSLIER Mathieu. Filière Informatique et Réseau 1 ère année. TP DNS. Responsable : LOHIER Stephane. Chargé de TD : QUIDELLEUR Aurélie

PLANNING DES ACTIVITES PROFESSIONNELLES

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)

Exemples de commandes avec iptables.

Assistance à distance sous Windows

SECURIDAY 2012 Pro Edition

1/ Introduction. 2/ Schéma du réseau

SECURIDAY 2013 Cyber War

Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark. Etape 1 : Lancement des machines virtuelles VMWARE et de Wireshark

WEB APPLICATION FIREWALL AVEC APACHE ET MOD_SECURITY

Configuration de SquidGuard sous Fedora Core 4-1 / 6 -

1 Configuration réseau des PC de la salle TP

ACTION PROFESSIONNELLE N 4. Fabien SALAMONE BTS INFORMATIQUE DE GESTION. Option Administrateur de Réseaux. Session Sécurité du réseau

L exemple d un serveur Proxy sous Windows NT 4 SERVER MICROSOFT PROXY SERVER 2 Installation et configuration Auteur : Eliane Bouillaux SERIA5

IP & Co. 1. Service DHCP. L'objectif de ce TP est de voir l'ensemble des services élémentaires mis en oeuvre dans les réseaux IP.

Sécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR)

Serveur FTP. 20 décembre. Windows Server 2008R2

Mise en place des TPs Réseau en machines virtuelles. Utilisation de VmPlayer

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1

wiki.ipfire.org The official documentation for IPFire - An Open Source Firewall Solution Outils

Configuration d'un annuaire LDAP

BTS SIO SISR3 TP 1-I Le service Web [1] Le service Web [1]

Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ

SÉCURITÉ DU SI. Authentification centralisée et SSO. Denoun Jérémy De Daniloff Cyril Bettan Michael SUJET (2): Version : 1.0

Configurez votre Neufbox Evolution

TP DNS Utilisation de BIND sous LINUX

Projet Système & Réseau

ETI/Domo. Français. ETI-Domo Config FR

Installation et configuration de Vulture Lundi 2 février 2009

Redondance de service

Autorité de certification

ROUTAGE. Répondez aux questions suivantes : (A chaque fois pour XP et pour Debian)

MAUREY SIMON PICARD FABIEN LP SARI

Nagios 3 pour la supervision et la métrologie

Sécurité d IPv6. Sécurité d IPv6. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr

Spécialiste Systèmes et Réseaux

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Transcription:

SQUID Configuration et administration d un proxy L'objectif de ce TP est d'étudier la configuration d'un serveur mandataire (appelé "proxy" en anglais) ainsi que le filtrage des accès à travers l'outil Squid et quelques autres utilitaires (Squish, SquidGard). Schéma du réseau stp 10.254.0.254 eth0 10.254.27.1/24 eth0 10.27.1.3/24 eth1 10.27.1.1/24 Sn Squid/Serveur Apache eth2 10.27.2.1/24 eth0 10.27.2.2/24 Gn (Windows) Client Web Dn (Linux) Client Web 1. Utilisation d'un proxy HTTP "SQUID" Avant toute modification, nous allons sauvegarder le fichier squid.conf qui est le fichier de configuration de Squid. On y configure des directives qui permettent notamment de spécifier le port d'écoute de Squid, la taille du cache, les chemins d'accès vers les fichiers de logs, les restrictions d'accès ou encore les timeouts. Voici quelques commandes de bases pour l'utilisation de Squid : /etc/init.d/squid3 start stop restart WILLM Geoffrey & EMERY Olivier LP agsri Page 1

Pour supprimer le cache de Squid, il faut d'abord arrêter Squid, puis vider le cache et supprimer tous les répertoires sous /var/spool/squid3/ : /etc/init.d/squid3 stop echo "" > /var/spool/squid3/swap.state rm -rf /var/spool/squid/0* Pour redémarrer Squid : /etc/init.d/squid start 2. Configurations préliminaires Sur la machine Sn, nous configurons le serveur DNS (stp) dans le fichier /etc/resolv.conf : nameserver 10.254.0.254 Nous allons aussi appliquer la règle suivante qui va permettre de nater ce qui sort de l'interface eth0 de Sn pour que ce soit camouflé. iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE Si le routage n est pas activé sur Sn, il faut le faire : echo 1 > /proc/sys/net/ipv4/ip_forward Pour vider le cache du navigateur (Firefox), il faut aller dans édition, préférences, vie privée, ne jamais garder un historique, vider le cache. Il est important que les PC soient à la même heure pour que les certificats fonctionnent correctement. 2.1 Fonction proxy Nous souhaitons bloquer le trafic HTTP et HTTPS vers l'extérieur pour le réseau 10.27.1.0/24 : iptables -I FORWARD -s 10.27.1.0/24 -p tcp -i eth1 --dport 80 -j DROP iptables -I FORWARD -s 10.27.1.0/24 -p tcp -i eth1 --dport 443 -j DROP WILLM Geoffrey & EMERY Olivier LP agsri Page 2

Ces deux règles nous permettent de bloquer le trafic HTTP et HTTPS transitant par l interface eth1 de la machine Sn et en provenance du réseau 10.27.1.0/24. Pour s'assurer du bon fonctionnement des règles IPTABLES, je tente d'accéder au serveur Web de stp depuis le poste Gn : On ne peut plus accéder au serveur Web de stp car les paquets sont filtrés par IPTABLES. Nous allons maintenant vérifier que nous pouvons quand même accéder au serveur Web de Gn et que seuls les paquets vers l'extérieur sont filtrés : WILLM Geoffrey & EMERY Olivier LP agsri Page 3

2.2 Passage par le proxy Dans le fichier squid.conf, on retrouve différentes directives dont une qui précise le nom du serveur Squid, c est la "visible_hostname" : visible_hostname S27.tp271.gtr La directive configurant le port d'écoute de Squid est "http_port". Le port par défaut est le 3128. La directive renseignant le journal d'accès est "access_log". La section relative aux ACL se nomme "access controls", on y configure les restrictions d'accès aux ressources. Nous allons configurer le proxy sur "Firefox" en ajoutant l'adresse IP (10.27.1.1 pour Gn et 10.27.2.1 pour Dn) ainsi que le numéro de port d'écoute du serveur Squid dans les paramètres de connexion du navigateur : WILLM Geoffrey & EMERY Olivier LP agsri Page 4

Nous tentons d accéder au serveur stp depuis la machine Gn à travers le proxy : Nous remarquons que par défaut l accès nous est interdit. Capture wireshark pour comprendre plus en détail ce qu il s est passé : Nous effectuons d abord une requête "GET" pour accéder à la page d accueil du serveur Web de stp. Le serveur refuse d exécuter la requête (403 forbidden) comme notre machine n est pas autorisée à y accéder. Nous allons maintenant définir deux ACLs nommées "myleftnetwork" et "myrightnetwork" qui correspondent aux réseaux des machines Gn et Dn à l'aide de la directive "acl" : acl myleftnetwork src 10.27.1.0/24 acl myrightnetwork src 10.27.2.0/24 WILLM Geoffrey & EMERY Olivier LP agsri Page 5

Ensuite, nous allons autoriser l'accès au réseau pour ces deux ACLs à l'aide de la directive «http_access» : http_access allow myleftnetwork http_access allow myrightnetwork Vérifions maintenant que nous pouvons accéder au serveur stp depuis la machine Gn : Capture wireshark pour comprendre ce qu il s est passé : Cette fois-ci, nous pouvons voir que notre requête n a pas été refusée par le serveur et qu elle a été traitée avec succès (200 OK). On peut donc en déduire que nos ACLs fonctionnent correctement. WILLM Geoffrey & EMERY Olivier LP agsri Page 6

3. Le cache Nous allons lancer le serveur Apache sur Sn et demander plusieurs fois la même page Web (page d'accueil du serveur Web en ayant vidé le cache auparavant). Capture wireshark sur l interface eth2 de Sn depuis le poste Dn : Nous pouvons en conclure que notre serveur Squid garde dans son cache les pages ayant déjà été consultées. En effet, lorsque nous tentons d ouvrir une page déjà demandée, il vérifie dans son cache que la page n'a pas été modifiée depuis la dernière demande comme c'est le cas ci-dessus (304 not modified) sinon il l a met à jour. 4. Le filtrage de domaines Nous désirons interdire l'accès aux pages de type.youtube.com,.facebook.com et.cn : Pour cela, nous allons créer des ACLs dans le fichier squid.conf et filtrer le trafic HTTP vers ce type de pages : acl youtube dstdomain.youtube.com acl facebook dstdomain.facebook.com acl cn dstdomain.cn http_access deny youtube http_access deny facebook http_access deny cn Il est important que les "http_access" soient positionnés après les ACLs dans le fichier squid.conf pour qu'ils soient pris en compte. WILLM Geoffrey & EMERY Olivier LP agsri Page 7

Essayons d accéder au site www.facebook.com : L accès au site nous est bien interdit par le proxy. Analysons de plus près ce qu'il s'est passé : Nous effectuons une requête "GET" pour accéder au site "www.facebook.com" et nous observons que le serveur proxy refuse de répondre à cette requête (403 forbidden). L'accès à ce site nous est donc impossible. 5. Le filtrage d URL Tout d'abord, nous supprimons le filtrage de domaine mis en place dans le point précédent. Nous désirons mettre en place un filtrage d'url, pour cela nous allons utiliser la directive "acl". Nous souhaitons mettre en place un filtrage de toutes les images GIF et d'une URL particulière (nous utiliserons "www.iut-lannion.fr"). WILLM Geoffrey & EMERY Olivier LP agsri Page 8

acl filtrage_gif urlpath_regex \.gif$ acl filtrage_url url_regex http://www.iut-lannion.fr Essayons d'accéder de nouveau à la page d'accueil du serveur Web de stp : Nous observons que le logo "IUT Lannion" n'apparaît plus désormais. Analysons en détail ce qu'il s'est produit : WILLM Geoffrey & EMERY Olivier LP agsri Page 9

Comme auparavant, nous pouvons bien accéder à la page d'accueil de stp mais lorsqu'il s'agit d'obtenir le logo "IUT Lannion", qui est au format GIF, nous voyons bien que le serveur proxy nous l'interdit (403 forbidden). Nous obtenons le même refus si nous tentons d'accéder à la page "www.iut-lannion.fr" : Conclusion Ce TP nous aura permis de mieux comprendre le fonctionnement d'un proxy comme Squid (qui est l'outil le plus utilisé) et d'en appréhender sa configuration. Un serveur proxy est presque devenu indispensable dans une entreprise pour des raisons de sécurité notamment. En effet, il va permettre de filtrer l'accès à certains sites et d'identifier les personnes connectées. En cas de problème majeur, l'entreprise pourra ainsi savoir qui était connecté et à quel moment. WILLM Geoffrey & EMERY Olivier LP agsri Page 10

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back