Presentation Squid

«Proxy: Squid»

Réalisé par : Marwen Rhayem Lassad Abdouli

Mohsen Dahmen Boubaker Miraoui

Aymen Farhat Atef Mnassri

2DNI Année universitaire : 2011-2012

Plan

Conclusion

Demo

SquidGuard et Webmin

Squid

Qu’est ce qu’un proxy ?


Un serveur proxy est une machine intermédiaire entre un réseau local et l’internet.

Contrôler les accès et les sites visités et le trafic sortant en général.

Veiller à ce que les internautes ne fréquentent pas des sites à tendance illégale ou non-productif :terroriste, Chat, sites de rencontre, etc.

1. Proxy 2. Squid 3. Webmin 5. Conclusion 4. Demonstration


Fonctionnalité du proxy

• Un serveur proxy possède quatres

fonctions principales:

cache

Contrôle

Filtrage

Stockage des log


Exemples proxy

• Squid

• ISAserveur

• Delegate

• Oops

• Privoxy


Plan

Conclusion

Demo


Squid


Squid

• Un logiciel libre distribué selon les termes de la licence GNU GPL.

• Contrairement au serveur proxy classique, un serveur Squid gère touts les requêtes en un seul processus d’entrer sortie, non bloquant.

• Compatible avec IPv6 à partir de sa version 3.

• Configuration matérielle utilisée un Pentium 2,

300 MHz, 64 Mo de RAM et 2 GO de disque dur


Fonctionnalités de Squid

• Un serveur proxy permet de partager une connexion internet entre plusieurs utilisateurs avec une seule connexion.

• Propose également un mécanisme de cache des requêtes qui permet d’accéder aux données en utilisant les ressources locales au lieu de web.

• Réduit le temps d’accès et la bande passante.

• Enregistre les accès des utilisateurs aux sites qu’ils ont visités.


Les services de SQUID

• Authentification des utilisateurs.

• Filtrage d'accès.

• La journalisation des requêtes (logging)

• Cache proxy

• Reverse Proxy

• Le proxy transparent


Authentification

• SQUID permet d'authentifier les clients avant qu’ils accèdent aux ressources qu’ils demandent.

• SQUID supporte beaucoup de protocoles liés à

l'authentification:

ldap_auth, qui permet d'authentifier les users depuis un annuaire LDAP

smb_auth, qui permet d'utiliser un contrôleur de domaine Windows Server

ncsa_auth, qui utilise un fichier d'utilisateurs local.


FILTRAGE

• Le filtrage applicatif suppose donc la

connaissance de l'application et de ses

protocoles afin de connaître la structure

des données échangées.

• un filtrage des requêtes et des réponses

• un filtrage plus élaboré qu’un simple

filtrage TCP/IP.


Access Control List

• La sécurité se fait par les contrôles

d’accès dans le fichier de configuration

squid.conf.

Il existe deux types d ‘ACL :

celle qui autorise l’accès (allow)

celle qui refuse l’accès (deny)


• On peut interdire l’accès en fonction du :

Domaine

Protocole

Adresse IP

Numéro de port

d'un mot.

• on peut aussi limiter l’accès pour une

période du temps.



Cache proxy

• L'intérêt majeur d'un cache proxy est

d'optimiser le temps de consultation des

contenus les plus fréquemment

demandés.

• Il permet de diminuer les temps de

réponse et la consommation de la bande

passante



Reverse Proxy

• Appelé aussi relais inverse. Il s’agit d’un

relais applicatif agissant en coupure, qui

va s’intercaler entre le serveur Web et les

clients extérieurs. C’est le reverse proxy

qui répond aux requêtes des clients, et

c’est lui qui effectue les requêtes vers le

serveur Web final.



Le proxy transparent

• Pour que le navigateur dirige ces requêtes vers un proxy plutôt que vers l'Internet, il faut le configurer avec l'adresse du proxy.

• Si on ne veut pas configurer les navigateurs on peut utiliser un proxy transparent.

• Dans ce cas, tous le trafic destiné au port HTTP (80) d'une adresse se trouvant sur Internet est intercepté par un routeur qui le détourne de sa route pour le rediriger vers le proxy sur le port 3128.


Conclusion

Demo


Squid


Plan

SquidGuard

• Un plugin de Squid.

• Propose un filtrage puissant d’accès au

web,

en fonction des groupes d'utilisateurs,des

listes de domaines, d'URL et des plages

horaires,…

1. Proxy 2. Squid 3. SquidGuard 5. Conclusion 4. Demonstration

Intérêt du SquidGuard

• SquidGuard va comparer la destination des

requêtes HTTP (URL et domaine) à sa base

de données et agir en fonction du

comportement configuré grâce à des ACL.

• Si un utilisateur essaye d'accéder à une

page interdite, il se verra redirigé vers une

page spécifiée dans la configuration.


Destination Groups

Les "Destination Groups" sont des ensembles :

• de domaines, d'URI et d'expressions régulières qui définissent des cibles potentielles pour les internautes de votre LAN.

• il est possible :

d'interdire tout à part…

d'autoriser tout sauf...


Blacklists

• Sont uniquement pour interdire des accès.

• Par rapport aux destination groups, elles

présentent deux différences majeures :

Elles ne peuvent servir qu'à interdire.

leur mode de gestion présente quelques

différences par rapport aux destination

groups.


Sécurité de Squid

• Installer un tunnel SSH.

• Association avec un antivirus .

• Par l’authentification LDAP.

• Autres façons , en utilisant: APM, NCSA

,SMB...


Association avec SSL

• On peut utiliser SSL (Secure Sockets

Layer), qui est en fait une couche se

rajoutant dans les paquets transmis, et

permettant de crypter les données

transmises.

• On va ainsi utiliser SSL avec OpenLDAP

et SQUID.


Association avec un antivirus

• Il est necessaire de s’assurer que notre proxy

SQUID n’enverra pas de virus à nos clients:

• La solution est d’intégrer un antivirus à notre

proxy SQUID.

• Nous recommandons d’utiliser l’antivirus

Clamav qui est un antivirus libre OpenSource.


WebMin

• Une page d’administration au format

web, permettant de gérer son serveur lin

ux ainsi que tous ses services (SQUID,

DHCP, serveur web, utilisateurs, …etc.)

• Installation du module squidGuard

Il faut le télécharger, puis l'installer dans

webmin.

1. Proxy 2. Squid 3. WebMin 5. Conclusion 4. Demonstration



Conclusion

Demo


Squid


Plan

DEMO


Plan

Conclusion

Demo


Squid


SQUID vs ISA server SQUID ISA server

Open Source- gratuit Solution Microsoft – payant

Installer sur Linux, windows Installer sur windows

pas d'interface de configuration par

défaut

interface graphique de

configuration

plus convivial et plus facile à

mettre en place . (webmin)

Plus complexe

Moin d’attaque des virus, trojan… Cible pour les attaques des virus

Bloque peer to peer et DAP

(download app accelerator )

programs : moin efficace

Plus efficace par l’installation des

ISA Firewall sur la machine client

30MB pour la mémoire cache par

défaut

150MB disponible pour

l'installation et en l'augmente pour

la mémoire cache

1. Proxy 2. Squid 3. WebMin 4. Demonstration 5. Conclusion

Conclusion

• Le proxy est donc utile pour préserver les

individus.

• Il est pratique grâce à l’authentification de

contrôler les accès quel que soit le poste

utilisé.

• Il est aussi tout à fait modulable suivant nos

exigences.


Conclusion

• Optimisation de la bande passante

• Permet en plus d’utiliser le cache afin de

stocker les pages récemment consultées et

donc d’accélérer la vitesse de la connexion.

• fixer des priorités par type de trafic.


Merci de votre

Attention

Documents

Presentation Squid