Proxy Server als zentrale Kontrollinstanz. Michael Buth IT Berater. web: mail:

Transkript

1 Proxy Server als zentrale Kontrollinstanz Michael Buth IT Berater web: mail:

2 Motivation Zugangskontrolle und Überwachung des Internetzugangs in öffentlichen und privaten Bildungseinrichtungen Sperren und Entsperren des Internetzugang -> z.b. während Prüfungen und Klausuren etc. Zensur der Inhalte Filter für Werbung Modularer Aufbau ermöglicht Flexibilität und Skalierbarkeit

3 Module

4 Proxy Server Ein Proxy (aus dem Englischen übersetzt: Stellvertreter) ist ein Dienstprogramm, das im Datenverkehr vermittelt. Effizienzsteigerung des Datentransfers Erhöhung der Sicherheit durch Kontrolle

5 Funktionen von Proxy Servern Funktion als Zwischenspeicher (Cache), der zwischen Webbrowser und Webserver vermittelt. Anfragen werden schneller beantwortet Die Netzlast verringert sich Neben der Funktion als Cache kann ein Proxy auch z.b. auch als Application-Level-Proxy, Circuit-Level-Proxy, Filter, Zugriffssteuerung und Anonymisierungsdienst eingesetzt werden.

6 Infrastruktur

7 Squid Squid ist ein gut skalierbarer Open Source Proxyserver. Unterstützt werden die Netzwerkprotokolle HTTP/ HTTPS und FTP über HTTP. In diesem Szenario wird Squid als transparenter Proxy mit diversen Filterfunktion eingesetzt.

8 Netfilter Firewall Netfilter ist Bestandteil des Linux-Kernels und bildet damit das Kernstück einer Firewall auf Linux-Basis. Als Dienstprogramm zur Konfiguration von Netfilter kommt iptables und als GUI fwbuilder zum Einsatz. Der Paketfilter wird u.a. verwendet, um das Konzept einer zweistufigen Firewall umzusetzen. Die Paketfilterung kann zudem durch die Funktionen NAT und Masquerading ergänzt werden.

9

10 Transparent Web Cache Vorteile: Die Konfiguration der Clients entfällt. Es herrscht ein "Proxyzwang für http Anfragen. Nachteile: User-Authentifierung ist nicht möglich Unterstützung nur für HTTP Eine Firewallregel leitet Anfragen an den Proxy weiter:!/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

11 Transparent Web Cache Die Squid Konfiguration muss in der Datei /etc/squid/ squid.conf angepasst werden:!!!!http_accel_host virtual!! http_accel_host 80!!http_accel_host_with_proxy on!! http_accel_host_header on!

12 AntiViren Internet-Gateway Diverse Anbieter und Produkte Freie Programme wie z.b. ClamAV Kommerzielle Produkte für Linux z.b. von Trend Micro oder Avira Wünschenswerte Features Sollte als HTTP und FTP Proxy arbeiten Scan des HTTP- und FTP-Datenverkehr Zentrale webbasierte Verwaltungskonsole Automatische Updates

13 AntiViren Internet-Gateway Der Squid Proxy arbeitet als primärer Proxy (Port 3128) und muss seine Anfragen an den Proxy des Virenscanners (Port 8080) weiterleiten. Auch hier muss die Squid Konfiguration in der Datei /etc/ squid/squid.conf angepasst werden:!!!!cache_peer localhost parent default no-query!!#acls!!never_direct allow all!

14

15 SquidGuard Filter, Redirector und Access Controller Plugin für Squid Prüft URLs und Zugriffsbedingungen Sperrung des Internetzugangs in Abhängigkeit von Uhrzeit und verwendetem Rechner Ersetzen von unerwünschten Seiten durch eine eigene Webseite Verhinderung des Zugriffs bestimmter Benutzer oder Rechner auf bestimmte Webseiten Zensieren von Webinhalten Werbe-Filter Black Lists und Reguläre Ausdrücke für URLs

16 SquidGuard Damit Squidguard seine Arbeit aufnehmen kann, muss wiederum die Squid Konfiguration angepasst werden:!redirect_program /usr/bin/squidguard -c /etc/squid/squidguard.conf! Ein kleines CGI-Skript sorgt bei Verletzung der Zugriffsregeln dafür, dass unmittelbar eine an den Webmaster gesendet wird und der Benutzer einen entsprechenden Hinweis in seinem Webbrowser erhält:

17

18 Calamaris Analyse- und Reportprogramm für Log-Dateien von Proxy- Servern Der Report kann u.a. Informationen über die IP-Adresse des Clients, das Login des Users, den Zeitpunkt, die URL etc. enthalten Statistiken geben Auskunft über Auslastung, Maximalwerte und Leistungsfähigkeit der Proxy-Servers Statistiken können als ASCII- oder als HTML-Bericht dargestellt und z.b. per versendet werden

19 Webmin Squidlogbuch Squidlogbuchauswertung ist ein kleines Modul für Webmin Webmin ist ein web-basiertes Interface für die UNIX System- Administration Squidlogbuch wertet das Access-Logfile des Squid Proxy Servers aus

20

21

22

23

24

25 Webbased Client Controll Webbasiertes grafisches Interface für die Zugangskontrolle einzelner Clients, einzelner Räume oder Standorte zum Internet Optional zeitgesteuerte Zugangskontrolle Auch hier bedarf es einer Squid Anpassung:!!!#ACLs!!acl deny_hosts src "/etc/squid/warp9/deny_hosts.txt"!

26

27

28

29 Referenzen Netfilter: Squid: SquidGuard: Calamaris: Webmin: Trend Micro: Webbased Client Controll: Transparent Web Cache:

30 Proxy Server als zentrale Kontrollinstanz Michael Buth IT Berater web: mail: