Hálózatvédelem egyszerűen: Squid HTTP és HTTPS proxy tartalomszűréssel

A hálózatvédelem egyik alapköve a passzív tűzfal, mely blokkolja a kéretlen forgalmat kívülről. A másik fontos dolog a bentről kezdeményezett kapcsolatok megfelelő szűrése. Nem mindegy, hogymit “hoznak be” a felhasználók.

A leggyakoribb forgalom a böngészés és a legnagyobb kockázatot is ez jelenti. Fontos, hogy a hálózatodat védő eszköz tudja naplózni és szűrni ezt a forgalmat is. A HTTP viszonylag egyszerűeset, a legtöbb proxy támogatja. De mi a helyzet a titkosított kapcsolattal? Erre eddig csak drága és/vagy bonyolult alkalmazás szintű tűzfalakkal volt lehetőséged.

Szerencsére ez is a múltté: a Squid legújabb verziója már kezeli a titkosított kapcsolatot, képes a “MITM”, azaz közbeékelődő (Man In The Middle) működésre: a böngésző számára transzparensen a cél-szervert imitálja, miközben a titkosított kapcsolatot bontja, saját maga kapcsolódik a célszerverhez titkosított módon. Így a tartalmat ugyan úgy tudja szűrni, mint a kódolatlan forgalom esetén.

A Hálózatvédelem egyszerűen: transzparens HTTP és HTTPS proxy képzésen megtanulod alegegyszerűbb és a haldóbb módszert is: először a naplózást a Shorewall és Tinyproxysegítségével, majd a Squid alapú HTTPS szűrést, mely később haladó szűrőkkel (pl. Dansguardian, vírusvédelem) bővíthető (sőt, a Squid sávszélesség szabályozása is használható).

A Tinyproxy egy egyszerű, kis erőforrás igényű HTTP proxy, mely akár egyszerűbb tűzfalra is feltehető és kiválóan tudja naplózni a kódolatlan forgalmadat. A titkosított forgalom szűréséhezkell pár trükk, hogy működjön: a legújabb Squid-et kézzel kell fordítani ehhez, amit a képzésen megtanulsz. A tűzfalat mindkét esetben a Shorewall segítségével tanulod meg beállítani, de “mezei” iptables parancsokkal is működik minden. Végül “extraként” megtanulod a két internet szolgáltatós kapcsolat egyszerű és gyors beállítását, szintén a Shorewall segítségével.

Az internet leggyakoribb használata a web böngészés. Ez egyben azt is jelenti, hogy ez a legnagyobb kockázat, itt éri a levelezés mellett a legtöbb támadás a felhasználók munkaállomását. Régen, amikor kicsi volt a sávszélesség természetes volt a proxy-cache használata, mára ez visszaszorult, pedig még mindig sokat tud lendíteni a felhasználói élményen és nem mellékesen nagyot dob a biztonságon.

Nyilván egyszerűbb egy “SOHO routert” odatenni és had menjen minden, de ez sajnos gyakoran vezet fertőzött gépekhez. Az e-mail vírus- és kártevő szűrése természetes. Legalább ennyire természetes kell legyen a webes tartalomé is.

A szűrés itt több dolgot is jelent egyszerre. Egyrészt korlátozni kell, hogy a felhasználó mikor és mit ér el a neten. Másrészt ellenőrizni kell a hálózatba beérkező tartalmat. A tűzfalad csak az aktív, kívülről a hálózatod felé irányuló támadások ellen véd, de nem sokat ér a bentről netezők figyelmetlensége ellen: és ezt a támadók pontosan tudják, a közvetlen támadás helyett fertőzött weboldalakon keresztül igyekeznek bejutni. Sajnos túl sokszor sikeresen. Ha te nem szeretnél egy ilyen, pl. titkosító vírust terjesztő weboldal áldozata lenni, akkor ez ellen tenned kell.

A Webes forgalom szűrése squid proxyval I. képzésen ennek az alapjait ismered meg. Megtanulod a Squid proxy-cache szerver segítségével korlátozni, hogy melyik munkaállomás mit és mikor érhet el az interneten (IP-, domain-, URL- és idő alapú korlátozás), milyen tartalmakat tölthet le (MIME alapú szűrés, pl. flash tiltása). Végül, de nem utolsó sorban megtanulod a vírus szűrést beállítani, hogy az ismert kártevők ne jussanak el a munkaállomásokig.

A képzés segítségével te magad is el tudsz készíteni egy tartalom szűrő proxy szervert, a gyakorlati lépésekhez adott bő magyarázatból pedig megérted mit miért kell beállítani, így nem csak megismételni tudod a látottakat, de szükség szerint módosítani is azt.

Egy egyszerű, működő webes proxy szervert gyorsan el lehet készíteni. A Squid telepítése után pár beállítás módosításával azonnal kapsz egy működő rendszert. A Squid azonban ennél sokkal többre képes.

A legtöbb helyen ma gyorsabb internet kapcsolat van, mint amit a weboldalak ki tudnak szolgálni, így logikus kérdés, hogy minek a proxy? A proxyt régen főleg azért használtuk, mert segített a lassú kapcsolatoknál optimalizálni a weboldalak megjelenését. Ma inkább a biztonsági előnyei miatt tesszük: ne a böngésző kapcsolódjon közvetlenül a külvilágba és tudjuk szűrni a tartalmat. Ez utóbbi viszont erőforrás igényesebb, így felmerül az optimalizálás kérdése. És persze az sem mindegy, hogy a proxy megy-e vagy sem. Ha nem, akkor semmi sem lesz elérhető, ami napjainkban, ahol majdnem mindent a webről használunk komoly probléma.

A Proxy szerver finomhangolás képzésen egyrészt a Squid optimalizálásáról lesz szó, másrészt a működésének monitorozásáról és felügyeletéről. Megismerkedsz a Squid diszk kezelésével, megtudod melyik fájlrendszert érdemes alá tenni, megtanulod monitorozni a működését, mely nem csak a hibák kiküszöbölésében, de a teljesítmény optimalizálásában is segít.

A web böngészést sokszor kell korlátozni. Iskolákban is, munkahelyen is. Vannak oldalak, amit adott intézményből egyáltalán nem szabad elérni és vannak, amiket csak adott időben, pl. munkaidőn kívül.

Erre a feladatra a proxy szerveren végzett szűrés a legalkalmasabb. Erre van több megoldás is. A képzésen az egyik legrégebbi motoros telepítését és beállítását ismered meg, ez a SquidGuard.

A SquidGuard, ahogy a neve is sugallja a Squid proxy-cache szerverhez kapcsolódik. Lehetővé teszi, hogy a Squid minden oldal kiszolgálása előtt megkérdezze, hogy azt az adott pillanaban szabad vagy sem. A SquidGuard pedig a beállítások és a szűrőlisták alapján “válaszol”. Mivel a kérdést a Squid küldi, annak minden előnyét ki tudod használni, így lehetőséged van a titkosított (HTTPS) forgalom szűrésére is.

A képzésen ennek a párosnak a beállítását tanulod meg. Pár szóban előkerül a Squid HTTPS szűrésének beállítása is (ezúttal Ubuntu 16.04 szerveren), majd a SquidGuardhoz a neten elérhető szűrőlistákat ismered meg. A különbségeken kívül a letöltésükről és automatikus frissítésükről is lesz szó. Részletesen megismered a listák alkalmazását és a szűrések időponttól föggő működésének beállítását.

A gyakorlati képzésen az oktató képernyőjén látod az elvégzendő feladatokat, melyekhez a 21 éves gyakorlati tapasztalatára épülő hasznos tippeket kapsz. A tanultak alapján te magad is be tudsz állítani webes tartalom szűrést.

Course Instructor

Gerendás Zoltán Gerendás Zoltán Author