Танцующий стражник

Новости сервера	Программирование	Интернет-технологии	Операционные системы
Security & Hack	Базы данных	Локальные сети	Программные руководства
Компьютерное железо	Графика	Разное	Ссылки
Поиск	Книжный магазин	Цены	Spravka.ua

InfoCity - виртуальный город компьютерной документации

Реклама на сайте

Размещение сквозной ссылки

Танцующий стражник

Сергей ЯРЕМЧУК

Контроль над использованием Интернет-трафика является одной из основных задач системного администратора в любой организации. Пользователь, эксплуатирующий служебный канал в личных целях, должен быть остановлен.
Для того чтобы уменьшить нагрузку на внешний канал, используют кэширующий сервер, который при каждом запросе складывает файлы в локальный кэш. Теперь при последующем запросе они не будут скачиваться повторно. Проблема возникает обычно с динамически генерируемыми ссылками, которые используются в форумах, чатах и в баннерных сетях. С другой стороны, стоит запретить пользователям посещать страницы с определенным содержанием, скачивать музыку, фильмы и прочее. Использование Access Control List (ACL) не всегда может решить эту проблему. Те, кто пробовал составлять такие списки вручную, поймут бесперспективность этого мероприятия. Выходом из этой ситуации будет фильтрация не по конкретному адресу, а по содержимому. Сегодня особенно часто упоминается в этом контексте squidGuard ( http://www.squidguard.org/), который представляет собой дополнение к Squid. По моему мнению, более гибким и удобным решением является DansGuardian ( http://www.dansguardian.org/), к тому же недавно анонсирована следующая версия 2.9 продукта, имеющая некоторые особенности.

Возможности DansGuardian

DansGuardian представляет собой фильтр web-контента, работающий во всех операционных системах, на которых компилируется Squid — Linux, FreeBSD, OpenBSD, NetBSD, MacOS X, HP–UX и Solaris. Хотя ничто не мешает использовать его в паре с другими прокси-серверами, например Oops. В своей работе DansGuardian использует несколько методов фильтрации, среди которых фильтрация по ссылке, IP-адресу, домену и пользователю, содержимому, расширению файлов, метке PICS (Platform for Internet Content Selection — http://www.w3.org/PICS/) и MIME-фильтрация. Дополнительно POST контроль позволяет ограничивать или вообще блокировать загрузку. Большие списки адресов и доменов DansGuardian обрабатывает быстрее, чем squidGuard. Система может работать в режиме белого списка, когда блокируются все сайты, кроме занесенных в этот список. В качестве blacklist могут быть использованы списки некоторых других проектов, например squidGuard. Предусмотрен мягкий режим, когда запрещенные ресурсы не блокируются, но администратор получает информацию о пользователях, посещавших такие страницы. Начиная с версии 2.9 DansGuardian может использовать в качестве контент-фильтра внешние утилиты, например антивирус. На сегодняшний день в качестве внешнего антивируса может использоваться Clamav и антивирус Касперского, поэтому на этапе конфигурирования путь к библиотеке libclamav или клиенту антивируса Касперского должен быть виден pkg–config. Кроме того, зайдя на страницу Extras & Add-ons ( http://dansguardian.org/?page=extras) вы можете познакомиться со списком различных расширений к DansGuardian, среди которых антивирус, анализаторы журналов, шаблоны страниц и рисунков, blacklist и скрипты для их автоматического обновления.

Установки и настройка

Будем считать, что Squid или Oops уже настроены, поэтому в дальнейшем о них говорить не будем. Сам же DansGuardian прост в установке и настройке. Конфигурационный скрипт в большинстве случаев правильно настраивает все основные параметры. По умолчанию для прокси-сервера устанавливается пользователь nobody, но в дистрибутивах используется squid или oops, поэтому установите соответствующее значение опциями with-proxyuser и with-proxygroup:
$ ./configure --with-proxyuser=squid --with-proxygroup=squid
Далее стандартные make и make install. После чего в /etc должен появится каталог dansguardian, содержащий файлы настроек. Скрипт dansguardian.pl, который выводит html-страницу вместо блокированной, должен оказаться в каталоге cgi-bin web-сервера. Если используется logrotate, то в каталоге /etc/logrotate.d/ будет лежать файл dansguardian, при помощи которого будут определены параметры очистки журнала. Иначе для этих целей будет использоваться шелл-скрипт logrotation. В этом случае необходимо позаботиться о его запуске посредством cron, например, прописав в crontab такие строки:
59 23 * * 07 /etc/dansguardian/logrotation
И наконец, в /etc/rc.d будет скопирован файл, необходимый для автоматического запуска DansGuardian при загрузке системы. Проследите, чтобы DansGuardian обязательно запускался после Squid, иначе процесс закончится с ошибкой.

После инсталляции редактируем файл конфигурации /etc/dansguardian/dansguardian.conf. Приведу только основные опции:
# Вывод информации пользователю # -1 = незаметный режим, страницы не блокируются, но ведется протокол; # 0 = выводится только 'Access Denied'; # 1 = сообщается, почему, без указания ресурса; # 2 = полный отчет; # 3 = рекомендуемый режим, используется html-шаблон; reportinglevel = 3 # Здесь указывается на каталог с html-шаблонами, которые будут использоваться вместо cgi-сценария. languagedir = '@DGDATADIR@/languages' # Подкаталог шаблона с соответствующим языком, в версии 2.9 наконец появился русифицированный шаблон. language = 'russian-koi8-r' # Уровень регистрации # 0 = ничего, 1 = только запрещенные, 2 = все текстовые, 3 = все запросы loglevel = 2 # Регистрация исключений (полезен при анализе, когда запрещенный сайт по непонятной причине прошел через фильтр) logexceptionhits = on # Формат файла журнала # 1 = формат DansGuardian, 2 = CSV, 3 = формат Squid, 4 = разделенный табуляцией logfileformat = 1 # Нахождение файла журнала, обычно задается при конфигурировании #loglocation = '@DGLOGLOCATION@/access.log' # По умолчанию прослушиваются все сетевые интерфейсы (пустой параметр) # при необходимости можно задать один IP-адрес filterip = # порт, на котором DansGuardian будет слушать filterport = 8080 # IP-адрес прокси proxyip = 127.0.0.1 # порт прокси-сервера proxyport = 3128 # адрес cgi-страницы web-сервера, при помощи которой будет выводиться информация о блокировке # при reportinglevel = 3 можно не трогать. accessdeniedaddress = 'http://YOURSERVER.YOURDOMAIN/cgi-bin/dansguardian.pl' # Нестандартный разделитель (нужен при использовании accessdeniedaddress) nonstandarddelimiter = on # Включение подмены баннеров определенным изображением и местонахождение этого файла # вместе с утилитой поставляется один gif-файл, на сайте проекта можно найти ссылки на другие варианты usecustombannedimage = 1 custombannedimagefile = '@DGDATADIR@/transparent1x1.gif' # Ниже задаются фильтрующие группы, которые могут быть применены к определенным пользователям. Установка соответствия "пользователь — фильтрующая группа" задается в файле, указанном в параметре filtergroupslist в виде <user>=filter<1-9> fedja=filter1. Сами же фильтры для групп задаются в файле dansguardianfN.conf, где N — номер группы. filtergroups = 1 filtergroupslist = '@DGCONFDIR@/lists/filtergroupslist' # Этот файл содержит список IP-адресов клиентов и имена пользователей, которым в доступе к сети будет отказано bannediplist = '@DGCONFDIR@/lists/bannediplist' banneduserlist = '@DGCONFDIR@/lists/banneduserlist' # Этим IP-адресам и пользователям доступ разрешен в полном объеме, т.е. без фильтрации exceptioniplist = '@DGCONFDIR@/lists/exceptioniplist' exceptionuserlist = '@DGCONFDIR@/lists/exceptionuserlist' # список фраз, при обнаружении которых страница будет блокирована # фразы должны быть заключены в конструкцию вида <sex>, при необходимости опцией Include могут быть подключены внешние файлы bannedphraselist = '@DGCONFDIR@/lists/bannedphraselist' # следующий файл содержит список фраз с соответствующей положительной или отрицательной величиной; если такие фразы обнаруживаются на странице, вычисляется итоговая величина (naughtynesslimit), при достижении которой страница блокируется weightedphraselist = '@DGCONFDIR@/lists/weightedphraselist' naughtynesslimit = 50 # Список фраз, которые не будут фильтроваться exceptionphraselist = '@DGCONFDIR@/lists/exceptionphraselist' # Список доменов, которые не будут фильтроваться exceptionsitelist = '@DGCONFDIR@/lists/exceptionsitelist' # часть сайта, которая не будет фильтроваться, даже если он запрещен в banned* exceptionurllist = '@DGCONFDIR@/lists/exceptionurllist' # список сайтов, которые полностью должны блокироваться # в архиве нет готового blacklist’a, его необходимо скачать и установить отдельно, сняв комментарии с конструкций Include bannedsitelist = '@DGCONFDIR@/lists/bannedsitelist' # Здесь указывается часть сайта, которая должна быть блокирована bannedurllist = '@DGCONFDIR@/lists/bannedurllist' # список регулярных выражений, при совпадении с которым URL будет блокирован bannedregexpurllist = '@DGCONFDIR@/lists/bannedregexpurllist' # список сайтов, к которым применяется только фильтрация фраз greysitelist = '@DGCONFDIR@/lists/greysitelist' # тоже только справедливо для части сайта greyurllist = '@DGCONFDIR@/lists/greyurllist' # список расширений файлов, типов MIME и меток PICS, которые будут запрещены к загрузке. bannedextensionlist = '@DGCONFDIR@/lists/bannedextensionlist' bannedmimetypelist = '@DGCONFDIR@/lists/bannedmimetypelist' picsfile = '@DGCONFDIR@/lists/pics' # Список регулярных выражений вида "sex"->"censored", при совпадении с первым выражением оно будет заменено вторым. contentregexplist = '@DGCONFDIR@/lists/contentregexplist' # Количество разрешенных страниц, которые не надо проверять повторно # Работает также и для антивирусного плагина # 0 = выключен (рекомендуется для интернет-провайдеров) # 1000 = рекомендуется для большинства пользователей # 5000 = рекомендуемый максимальный предел, а также при использовании антивируса urlcachenumber = 1000 # Файлы, просмотренные антивирусом, могут быть сохранены в чистом кэше и больше не сканироваться scancleancache = on # Удаление пробелов и HTML-кода перед проверкой; режим 0 и 1 позволяет экономить ресурсы процессора # 0 = только обработка в сыром виде # 1 = удаление пробелов и HTML кода # 2 = оба метода (по умолчанию) phrasefiltermode = 2 # Принудительный перевод всех букв в нижний регистр, для последующего сравнения # 0 = перевод букв в нижний регистр # 1 = регистр не изменяется preservecase = 0 # Перевод шестнадцатеричного кода в символы # 0 = выключен # 1 = включен hexdecodecontent = 0 # Проверка DNS- или IP-адреса, т.е. если пользователь вместо запрещенного сайта, введет его адрес, DansGuardian обнаружит это. Отсутствие локального DNS может замедлить работу. reverseaddresslookups = off reverseclientiplookups = off # Построение кэша запрещенных сайтов, увеличивает еффективность. # Для мощных компьютеров не требуется. createlistcachefiles = on # POST protection т.е. ограничение загрузки файлов, в том числе и MIME # установка в -1 отключает опцию, 0 — полное блокирование, число указывает на размер в Кб (например 512 = 512 Кб) #maxuploadsize = 512 #maxuploadsize = 0 maxuploadsize = -1 # Иногда web-сервер помечает двоичный файл как текстовый, и DG проверяет его. # Во избежание расхода памяти и CPU можно ограничить максимальный размер документа, остальная часть просматриваться не будет. # Величина не должна превышать значения maxcontentramcachescansize maxcontentfiltersize = 256 # Удаление файлового кэша после завершения загрузки deletedownloadedtempfiles = on # Конфигурирование дополнительных сканеров содержимого, например антивирусных # можно использовать одновременно сразу несколько сканеров, но это увеличит нагрузку #contentscanner = '@DGCONFDIR@/contentscanners/clamav.conf' #contentscanner = '@DGCONFDIR@/contentscanners/clamdscan.conf' #contentscanner = '@DGCONFDIR@/contentscanners/kavav.conf' #contentscanner = '@DGCONFDIR@/contentscanners/kavdscan.conf' #contentscanner = '@DGCONFDIR@/contentscanners/icapscan.conf'
Остальные опции можно пока оставить в значении по умолчанию.

Скачиваем blacklist, распаковываем его в /etc/dansguardian/ и не забываем снять комментарии в файле bannedsitelist. Самому составлять параметры PICS довольно неудобно, лучше взять со страницы Extras подготовленные по различным уровням файлы и подключить их в picsfile опцией Include.

Теперь процесс получения информации выглядит таким образом:

клиент (web-браузер) -> DansGuardian (8080) -> Squid (3128) -> Сервер (80)

Поэтому на следующем шаге необходимо сделать так, чтобы клиенты соединялись с сервером не напрямую, а через DansGuardian. Можно, конечно, и перенастроить все web-браузеры, чтобы они использовали прокси-сервер на 8080 порту, но при большом их количестве это довольно трудоемкое занятие, да и такой защите грош цена. Лучше для этого использовать возможности iptables, заставив его принудительно перенаправлять запросы с 80 и 3128 портов на порт 8080.
# /sbin/iptables -t nat -A OUTPUT -p tcp --dport 80 -j REDIRECT --to-ports 8080 # /sbin/iptables -t nat -A OUTPUT -p tcp --dport 3128 -j REDIRECT --to-ports 8080
Все, теперь настала пора запускать Squid, DansGuardian и приступать к тестированию. Для тестирования можно использовать набор страниц http://dansguardian.org/downloads/test.zip. Например, при попытке получить доступ к странице, содержащей в ссылке слово «sex» система вывела такое сообщение — рис. 1.

Рис. 1.

А в журнале появилась такая запись:
2005.7.29 22:42:24 — 127.0.0.1 http://localhost/ /index.php?sex *DENIED* Banned Regular Expression URL: (^|[-\?+=&/_])(…………)s?([-\?+=&/_]|$) GET 0
Все — теперь, когда система нормально настроена и работает, можно отдыхать, не забывая периодически просматривать журналы.

Реклама на InfoCity

Финансы: форекс для тебя

Новости сервера	Программирование	Интернет-технологии	Операционные системы
Security & Hack	Базы данных	Локальные сети	Программные руководства
Компьютерное железо	Графика	Разное	Ссылки
Поиск	Книжный магазин	Цены	Spravka.ua