Squid et SquidGuard Proxy Squid utilisera ce compte pour s’authentifier auprès de l’ISA serveur de l’EXIA. ... processus fils pour squid, c'est donc le même utilisateur que

WORKSHOP

Réf. : DC10TG v 1.0 Ver. : 1 Edition : 0 Date : 25/03/2008

EXIA Division : 4RIR Agence : Toulouse

Réf : DC10TG v 1.0 Page 1 / 26

Squid et SquidGuard

Damien GRILLAT Lylian LEFRANCOIS

A l’attention de David DIOP

WORKSHOP




Identification

Client Projet

EXIA

Squid et SquidGuard

Validité du document

Action Date Nom Rédaction 18/03/2008 Damien GRILLAT, Lylian LEFRANCOIS

Historique des modifications

Date création

Date application

V.R. Evolution

18/03/2008 18/03/2008 1.0 Création du document

Diffusion (suivie en mise à jour)

David DIOP EXIA Tuteur 18/03/2008

Synthèse :

WORKSHOP




SOMMAIRE 1 Introduction.......................................................................................................4 2 Squid..................................................................................................................5

2.1 Spécifications :......................................................................................................5 2.2 Installation de SQUID............................................................................................6 2.3 Configuration de SQUID........................................................................................8

3 SquidGuard......................................................................................................10

3.1 Installation module SquidGuard dans Webmin.................................................10 3.2 Blacklist SquidGuard...........................................................................................13

3.2.1 Installation....................................................................................................................13 3.2.2 Administration via Webmin..........................................................................................14 3.2.3 Administration via SquidGuard.conf............................................................................15 3.2.4 Compilation et mise à jour...........................................................................................15

4 IPTABLES.........................................................................................................20 5 Webmin............................................................................................................22 6 SARG................................................................................................................23 7 CONCLUSION..................................................................................................26

WORKSHOP




1 Introduction Ce projet a pour but de mettre en place une solution technique qui permet :

d’accélérer l’affichage de pages WEB au travers d’une faible connexion Internet. De sécuriser les postes LAN face aux menaces d’attaques extérieures potentielles. Interdire l’accès à certains sites WEB « pas sérieux ».

Nous avons choisi comme solution technique :

Squid : o Fonction Cache extrêmement rapide o Gratuit o Les plugins aussi gratuits que l’on peut y rajouter o Petit moins : la difficulté à le configurer

SquidGuard :

o Fonction filtrage d’URL très rapide o Blacklists très souvent mises à jour o Gratuit o Plugin de Squid o Petit moins : la difficulté à le configurer

IPTABLES : o Fonction Firewall intégrée à Linux o On peut appliquer des règles très précises

Webmin :

o Interface graphique d’administration à distance o La plus complète VS light pour Linux o Admin IPTABLES, SQUID, SQUIDGUARD, File Manager, SSH,

Networking, etc.

SARG: o Module consultation de LOG Internet o Très complet et précis, notamment sites consultés, quel utilisateur (si

Squid est intégré à Active Directory), taille données du trafic (page, total en fonction d’un utilisateur,etc.)

o Integration à Webmin aisée

WORKSHOP




2 Squid Un serveur Squid est un serveur mandataire (proxy en anglais) performant, capable d'utiliser les protocoles FTP, HTTP, Gopher, et HTTPS. Contrairement aux serveurs proxy classiques, un serveur Squid gère toutes les requêtes en un seul processus d'entrée/sortie, non bloquant. Un serveur mandataire est un serveur informatique qui a pour fonction de relayer des requêtes entre un poste client et un serveur. Les serveurs mandataires sont notamment utilisés pour assurer les fonctions suivantes :

mémoire cache ; la journalisation des requêtes (« logging ») ; la sécurité du réseau local ; le filtrage et l'anonymat.

Squid garde les metadonnées et plus particulièrement les données les plus fréquemment accédées en mémoire. Il conserve aussi en mémoire les requêtes DNS, ainsi que les requêtes ayant échouées. Les requêtes DNS sont non bloquantes. Les données mémorisées peuvent être rangées en hiérarchies ou en mailles pour utiliser moins de bande passante.

2.1 Spécifications :

Proxy et cache des protocoles HTTP, HTTPS, Gopher, FTP ; Hiérarchisation du cache ; ICP, HTCP, CARP, Cache Digests ; Processus de cache transparent ; WCCP (Squid v2.3 et supérieur) ; Contrôle des accès étendu ; SNMP ; Cache les requêtes DNS. Reverse proxy

http://www.squidcache.org/

WORKSHOP




2.2 Installation de SQUID

Après avoir installé notre distribution de Linux (à savoir Ubuntu Server LAMP), nous devons configurer les interfaces IP ainsi que le fichier de configuration de APT afin de pouvoir récupérer les packages de SQUID au travers du Proxy de l’EXIA. Configuration des interfaces réseaux : Il faut pour cela éditer le fichier /etc/network/interfaces Commande : sudo nano /etc/network/interfaces Contenu du fichier :

Ensuite, notre machine linux étant installée derrière le proxy de l’Exia, nous devons configurer APT afin de pouvoir passer par le proxy et télécharger les paquets souhaités pour installer SQUID. Il suffit d’éditer le fichier APT.CONF comme suit : Commande : sudo nano /etc/apt/apt.conf Contenu du fichier :

Pour finir, nous configurons les options DNS de notre serveur : Commande : sudo nano /etc/resolv.conf Contenu du fichier :

WORKSHOP




Il faut décommenter la ligne suivante sinon le Proxy nous mettra des timeouts sur des fonctions recherches au niveau de Google, Yahoo, etc… (Fonction recherche). En fait on oblige les clients à utiliser le Proxy pour tous les protocoles. Never_direct allow all L’étape suivante est le téléchargement des packages de Squid v3, et leur installation, étape simple à réaliser grâce à la commande apt : Commande : sudo aptget install squid3

sudo aptget update Remarque: Si vous voulez aller piocher directement dans les dépôts commentez les lignes suivantes dans /etc/apt/sources.list

WORKSHOP




2.3 Configuration de SQUID

Voici un schéma explicatif de la maquette que nous souhaitons mettre en place:

Nous avons précédemment configuré Eth0, nous allons maintenant paramétrer ETH1 : Commande : sudo ifconfig eth1 10.0.0.64 broadcast 10.0.0.255 netmask 255.255.255.0 Tout ce qui nous reste à faire pour permettre au client XP d’accéder au net se fera dans le fichier squid.conf (sudo nano /etc/squid/squid.conf). Configurer l’interface d’écoute de squid (port 3128 sur interface eth1) : http_port 10.0.0.64:3128 Paramétrer squid pour utiliser le proxy exia comme proxy parent (chaînage) : cache_peer 192.168.0.254 parent 8080 0 noquery default login=PASS login=PASS signifie que le client doit rentrer ses identifiants EXIA. Variante de cette commande : cache_peer 192.168.0.254 parent 8080 0 noquery default login=llefrancois@exia:password Le Proxy Squid utilisera ce compte pour s’authentifier auprès de l’ISA serveur de l’EXIA.

WORKSHOP




Nous créons ensuite une ACL concernant tout le trafic depuis notre LAN (10.0.0.0) : acl exia src 10.0.0.0/24 Nous autorisons tout le trafic HTTP concernant l’ACL « exia » : http_access allow exia Le client XP est désormais capable d’accéder au net, en s’authentifiant avec son compte utilisateur auprès du proxy exia.

WORKSHOP



Réf : DC10TG v 1.0 Page 10 / 26

3 SquidGuard SquidGuard est un plugin pour Squid, qui permet de contrôler les accès sur le net : nous pouvons restreindre l’accès à certains sites par le biais de blacklists sur des url, des mots clés et expressions. Tout d’abord, nous devons installer berkeleyDB, nécessaire au bon fonctionnement de SquidGuard (il s’agit d’une base de données embarquée). Commande : sudo aptget install libdb3 Nous pouvons ensuite installer le plugin SquidGuard à proprement parlé : Commande : sudo aptget install squid SquidGuard

3.1 Installation module SquidGuard dans Webmin

Aller sur : http://www.niemueller.de/webmin/modules/squidguard/ et télécharger le fichier « Webminxxxx.wbm.gz » Ouvrir Webmin et uploader ce fichier :

Webmin renvoi que l’installation est réussie. Aller ensuite dans Servers/SquidGuard/

WORKSHOP



Réf : DC10TG v 1.0 Page 11 / 26

Emplacement du fichier SquidGuard.conf (nous conseillons de le vider)

Utilisateur propriétaire du processus SquidGuard

Il faut aussi savoir sous quels UID/GID squidGuard doit tourner. Il constituera des processus fils pour squid, c'est donc le même utilisateur que pour squid, "proxy" par défaut pour Debian. Le module est désormais disponible :

WORKSHOP



Réf : DC10TG v 1.0 Page 12 / 26

Créer un groupe Source :

Editer ce groupe :

Ici on préférera ajouter un sous réseau, on aurait pu faire bien d’autres choses… PS : conformément au schéma récapitulatif le bon réseau LAN serait 10.0.0.0/24

On va maintenant dans le fichier de configuration des ACL :

WORKSHOP



Réf : DC10TG v 1.0 Page 13 / 26

On fait Add ACL ITEM pour LAN_RIR4 :

Url redirectrice : http://127.0.0.1/cgibin/squidGuard.cgi?clientaddr=%a&srcclass=%s&targetclass=%t&url=%u Dans Squid il y a bien une redirection qui est apparue vers SquidGuard

3.2 Blacklist SquidGuard

3.2.1 Installation

L’étape suivante concerne l’installation des blacklists. Par commodité, nous avons récupéré une archive de l’université de Toulouse qui maintient à jour des blacklists, disponible ici : ftp://ftp.univtlse1.fr/pub/reseau/cache/squidguard_contrib/blacklists.tar.gz Il faut extraire tout le contenu de cette archive dans le répertoire suivant : /var/lib/squidGuard/db/ Pour cela nous utilisons Webmin et l’option qui permet d’uploader une archive vers le serveur Squid ET de l’extraire :

WORKSHOP



Réf : DC10TG v 1.0 Page 14 / 26

L’archive maintenant décompressée, il faut paramétrer SquidGuard pour utiliser cette Blacklist. Deux moyens s’offrent à nous :

Par Webmin, seulement des erreurs de configuration peuvent facilement se glisse (pas d’effacement des blacklists qui ne sont plus utilisées dans SquidGuard.conf, etc.) Directement sut le fichier SquidGuard.conf (c’est le mieux)

3.2.2 Administration via Webmin

Dans Webmin (Servers/SquidGuard), cliquer sur Blacklists

Si tout va bien, les Blacklists apparaissent :

WORKSHOP



Réf : DC10TG v 1.0 Page 15 / 26

Les listes sont par défaut désactivées. J’active la Blacklist Agressive ( en

cliquant de dessus, puis à l’intérieur « enable ». Une « * » apparaît maintenant.

3.2.3 Administration via SquidGuard.conf

/etc/squid/squidGuard.conf # Blacklist « agressive » (/var/lib/squidguard/db/agressive) destination agressive { domainlist agressive/domains urllist agressive/urls expressionlist agressive/expressions

redirect http://themixofthemonth.com // si on voulait personnaliser l’interdiction }

3.2.4 Compilation et mise à jour

Attention : après la configuration de SquidGuard l’accès au Net n’est plus autorisé : Il faut décommenter les deux lignes suivantes dans le squid.conf Cache_effective_user proxy Cache_effective_group proxy Il faut en effet utiliser l’utilisateur « proxy » pour squid, ce même user déjà utilisé par SquidGuard. Compilation des Blacklists post installation ou après l’ajout d’une nouvelle Blacklist dans SquidGuard.conf Sudo squidGuard –C all Attention des problèmes de droit et permissions sont possibles dans le dossier des databases (/var/lib/squidguard/db). Il faut en effet rendre l’utilisateur Proxy du Groupe Proxy PROPRIETAIRE des databases concernées et leur(s) sous dossier(s).

WORKSHOP



Réf : DC10TG v 1.0 Page 16 / 26

Dans le dossier /var/lib/squidguard/ Sudo Chown –R proxy:proxy db Pour toute Blacklist rajoutée au SquidGuard.conf (porn, cassis, OM, forums, etc.) il vous faudra sûrement modifier les droits sur le dossier de la Blacklist concernée (user proxy, group proxy).

Attention, les problèmes de droits font planter Squid Sudo tail 20 /var/log/daemon.log

Et plus précisement : Sudo tail 20 /var/log/squid/squidGuard.log

Résolution du problème La database « drogue » pose des problèmes d’accès « Permission Denied » :

En effet les .db crées n’appartiennent pas à l’utilisateur « Proxy » comme il devrait, mais à « root ». Changeons donc les droits sur ce dossier :

WORKSHOP



Réf : DC10TG v 1.0 Page 17 / 26

Dans le dossier /var/lib/squidguard/ Sudo Chown –R proxy:proxy db/drogue

On regarde que les éléments présents dans « /var/lib/squidguard/db/drogue » soient ceux uniquement référencés dans le squidGuard.conf. Ici par exemple il n’y a pas de liste « expressionlist » qui existe dans le dossier Drogue. Il faut donc commenter la ligne suivante : /etc/squid/squidGuard.conf # Blacklist « drogue » (/var/lib/squidguard/db/agressive) destination drogue { domainlist drogue/domains urllist drogue/urls # expressionlist drogue/expressions

redirect http://themixofthemonth.com // si on voulait personnaliser l’interdiction } On redémarre Squid et tout rentre dans l’ordre. Sudo /etc/init.d/squid3 restart

WORKSHOP



Réf : DC10TG v 1.0 Page 18 / 26

squidGuard.conf

# CONFIG FILE FOR SQUIDGUARD ####################################################### dbhome /var/lib/squidguard/db logdir /var/log/squid # time workhours { weekly mtwhf 08:00 19:30 date **01 08:00 19:30 } # # réseau source source LAN_RIR4 { ip 192.168.100.0/24 } # # Blacklist « adult » (/var/lib/squidguard/db/adult) destination adult { domainlist adult/domains urllist adult/urls expressionlist adult/expressions

#redirect http://themixofthemonth.com // si on voulait personnaliser l’interdiction } # # Application des ACL acl { LAN_RIR4 { pass !adult any #bien penser à interdire adult redirect http://192.168.100.254/forbidden.php }

default { pass local none redirect http://192.168.100.254/forbidden.php } }

WORKSHOP



Réf : DC10TG v 1.0 Page 19 / 26

> grep v ^#.* /etc/squid3/squid.conf | grep v ^$ #SQUID.CONF# # Interface et port d’écoute de Squid http_port 192.168.100.254:3128 # On utilise le proxy de l’EXIA en proxy parent (entre nous et Internet) cache_peer 192.168.0.254 parent 8080 3130 noquery default login=PASS # Pas d’explication trouvée pour ces lignes refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern . 0 20% 4320 # Définition des ACL standard acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl CONNECT method CONNECT # ACL appartenant au nom Safe_ports ou SSL_ports acl SSL_ports port 443 #HTTPS ssl acl Safe_ports port 80 # HTTP acl Safe_ports port 21 # FTP acl Safe_ports port 443 # HTTPS # ACL pour notre réseau local acl LAN src 192.168.100.0/24 # Autorisations des accès HTTP au Proxy Squid # Ces autorisations sont lues par ordre séquentiel http_access allow manager localhost http_access deny manager # # on interdit tout ce qui ne correspond pas au Nom Safe_ports http_access deny !Safe_ports # http_access allow LAN http_access deny CONNECT !SSL_ports http_access allow localhost # On interdit tout ce qui ne correspond pas aux http_access dessus. http_access deny all icp_access allow all # Squid utilise l’utilisateur Proxy du groupe Proxy cache_effective_user proxy cache_effective_group proxy # Nom visible de Squid visible_hostname AriegeSquid #Pas de connexion directe vers l’extérieur, Squid est Proxy pour tout never_direct allow all # Couplage à SquidGuard redirect_program /usr/bin/squidGuard c /etc/squid/squidGuard.conf redirector_bypass on

WORKSHOP



Réf : DC10TG v 1.0 Page 20 / 26

4 IPTABLES

Nous avons configuré les iptables ainsi : INPUT Règle1 : Autoriser tout traffic depuis le lan vers SQUID sur le port 3128 Règle2 : Autoriser accès à webmin depuis le WAN seulement à 192.168.0.58 Règle3 : Autoriser tout trafic retour Règle par défaut : tout « dropper » FORWARD Règle par défaut : tout « dropper » OUTPUT Règle par défaut : tout « ACCEPTER » Notre trafic est maintenant contrôlé, mais il serait intéressant de pouvoir autoriser les accès web seulement aux employés, et un accès total au directeur par exemple. Pour tester ceci, nous allons attribuer les adresses suivantes : 10.0.0.65 : poste directeur 10.0.0.66 : poste commercial Nous voulons pour tester que :

WORKSHOP



Réf : DC10TG v 1.0 Page 21 / 26

10.0.0.65 accède à http et ftp 10.0.0.66 accède à http seulement Pour mettre ceci en place, nous allons configurer des ACL dans SQUID :

1) Les « acl safe_ports » indique les ports qui seront utilisable ou pas par un utilisateur donné. Une ligne commentée interdit l’utilisation du port, une ligne dé commentée en permet l’accès.

2) Nous créons une ACL pour chacun des utilisateurs 3) Nous appliquons les « acl safe_ports » au commercial : il ne pourra

accéder QUE http et https. 4) Nous donnons accès au réseau à M. le directeur et sa commerciale.

1

2

3

4

WORKSHOP



Réf : DC10TG v 1.0 Page 22 / 26

5 Webmin Si vous voulez installer et metre à jour Webmin via APTGET, éditez le fichier « /etc/apt/sources.list » et ajoutez le dépôt suivant: deb http://download.webmin.com/download/repository sarge contrib Installez maintenant Webmin Sudo aptget update Sudo aptget install webmin Toutes les dependences de Webmin seront automatiquement installées. Accès à Webmin: https://192.168.0.200:10000/

WORKSHOP



Réf : DC10TG v 1.0 Page 23 / 26

6 SARG

Une des exigences du directeur qui a fait appel à nos services, était de pouvoir avoir un œil, en permanence, sur l’activité de son réseau d’entreprise.

Nous avons donc installé le module SARG (Squid Analysis Report Generator)

qui va nous permettre d’épier les moindres faits et gestes des employés. Vous allez voir que nous sommes capables de générer des rapports d’analyses des pages les plus visitées, des fichiers téléchargés, et ce pour chacun des postes du réseau, qui seront bien sûr clairement identifiés. Afin de rendre plus digeste l’exploitation de ce module, nous faisons une fois de plus appel à webmin, qui nous permet de paramétrer SARG et de générer les rapports qui nous intéressent. Voici donc l’interface d’accueil du module sous webmin :

A partir de là, nous pourrons au choix : générer/voir un rapport crée à la volé, modifier les paramètres principaux du module (chemin d’enregistrement des logs, options des rapports), modifier l’apparence des rapports et enfin, programmer des générations de rapport automatique. Dans le menu « Report option », nous pouvons renseigner tout un florilège d’options :

WORKSHOP



Réf : DC10TG v 1.0 Page 24 / 26

Pour résumer, nous pouvons indiquer de générer des rapports concernant des hôtes en particuliers, de générer des rapports par utilisateur, de résoudre ou non les adresse ip, et diverses autres options pour personnaliser au maximum nos rapports. Rentrons maintenant dans le vif du sujet, la création de rapports. Il suffit pour cela de cliquer sur le bouton « generate report now » qui affichera par la suite l’invite suivante :

Nous choisissons donc la période à étudier en cliquant directement dessus, pour afficher une liste des « top users » sur le réseau (autrement dit les plus gourmands en bande passante ^^) :

WORKSHOP



Réf : DC10TG v 1.0 Page 25 / 26

Pour affiner les informations, et par exemple, adapter vos blacklists, vous pouvez afficher une liste des sites les plus visités, ou encore afficher le bilan d’une semaine complète ou des fichiers téléchargés :

WORKSHOP



Réf : DC10TG v 1.0 Page 26 / 26

7 CONCLUSION Il manque :

Il manque une intégration à Active Directory Mise à jour automatique des Blacklists par Script Test réel sur réseau de l’EXIA pour mesurer les performances d’une solution paramétrée Squid en Proxy transparent (assez facile à réaliser mais aujourd’hui problème au niveau des règles firewall)

Malgré tout cela Squid reste une référence en matière de Proxy libre et gratuit

Documents

Squid et SquidGuard Proxy Squid utilisera ce compte pour s’authentifier auprès de l’ISA serveur de l’EXIA. ... processus fils pour squid, c'est donc le même utilisateur que