Vous êtes sur la page 1sur 14

Squid & SquidGuard

Sous pfSense

Mr. Yassine RAKHIF


CEH Certified / ISO 27005 Certified
Plan Squid

C'est quoi un proxy Squid ?

Le proxy cache

Limitations

Protocole supports

TP
Le proxy cache 1/2

Squid est un cache proxy :


Proxy : un agent qui agit pour un autre
Cache : un espace o l'on stocke les informations
les plus usites

Squid agit comme un agent qui reoit des requtes de


clients, les transmet au serveur Internet concern et
stocke l'information retourne par le serveur Internet.

Si l'information est demande plusieurs fois, alors le


contenu stock sera retourn aux clients, ce qui rduit
la bande passante utilise et acclre les oprations.
Le proxy cache 2/2

Squid se distingue par un grand nombre de


fonctionnalits avances :
Support de nombreux protocoles (les protocoles de
transfert de donnes utilises sur Internet comme http,
Gopher, ftp et Wais)
Possibilit d'interconnexions entre diffrents serveurs
proxys : pour de gros rseaux il peut tre ncessaire
d'installer plusieurs proxys caches pour rpartir la
charge. Dans ce cas, il est intressant de les relier et de
les faire cooprer pour une meilleure efficacit.
Contrle d'accs : Squid est capable de filtrer certains
sites Internet ou certaines URL ou de restreindre l'accs
certains clients.
Squid proxy

Squid est un serveur mandataire entirement libre et


trs performant.

Il est capable de grer les protocoles FTP, HTTP,


HTTPS et Gopher.

Il est gnralement utilis dans certaines entreprises


et universits pour des fonctions de filtrage d'URL ou
en tant que tampon.

Les pages Internet sont stockes localement ce qui


vite d'aller les recharger plusieurs fois et permet
d'conomiser la bande passante Internet.
Limitations

Squid n'est pas un Firewall. Il peut limiter les


possibilits des clients mais il ne protge pas
l'accs aux personnes extrieures au rseau.
La gestion du pare feu sous Linux est ralise par
ipchains pour les noyau 2.2 ou iptables pour les
noyaux 2.4.

Squid ne supporte pas tous les protocoles. Il


est ainsi incapable de grer les protocoles de
news, real audio et de vido confrences. Il est
ncessaire d'utiliser d'autres caches applicatifs.
Protocole supports

Squid supporte les protocoles suivants :


HTTP: le protocole Web
FTP : le protocole de transfert de fichiers
Gopher : un protocole proche de http inusit aujourd'hui
SSL : utilis pour les transactions scurises
ICP : un protocole gnraliste permettant la communication entre
serveurs
de cache
HCTP : un protocole de cache orient http
TP

Vrification pfSense.

Installation package squid

Configuration du service proxy server


Taille cache
Access control
Authentification settings

Configuration du navigateur client

Test de navigation
Plan SquidGuard

Introduction SquidGuard

Prsentation

La gestion des listes noires blacklists

TP
Introduction SquidGuard

Un redirecteur va permettre d'analyser les


requtes des clients et de les comparer avec
des listes noires contenant des URL ou des
adresses IP, caractre soit pornographique
soit violent, soit potentiellement vecteurs de
code malicieux, puis de rediriger ces requtes
vers une page informative dclarant
l'utilisateur la charte d'utilisation d'Internet.
Prsentation 1/2

Squid-guard est un plugin de Squid. Il offre les


possibilits suivantes :
Filtrage
Redirection
Authentification

Il s'agit en outre d'un logiciel libre (sous licence GPL),


portable (disponible sur la majorit des systmes Unix).
Prsentation 2/2

On pourra utiliser Squid pour ces tches :


Limiter l'accs web quelques utilisateurs
Limiter l'accs certains sites Web
Bloquer l'accs certaines url
Envoyer les utilisateurs non enregistrs sur Squid sur un
formulaire d'enregistrement
Rediriger les bannires sur des fichiers GIF vides.
Avoir des rgles bases sur des dates ou sur des groupes
La gestion des listes noires

Le choix de la source de listes noires d'URLs (et|ou)


de noms de domaines a un impact trs important sur
la configuration de l'outil de filtrage squidGuard. Pour
les besoins d'exploitation d'une infrastructure
d'enseignement ou d'entreprise , il existe les services :
MESD blacklists
Shalla's Blacklists
URLBlacklist.com
Universit Toulouse blacklist collection
http://www.squidguard.org/blacklists.html
TP

Installation de package SquidGuard ;

Activation du service proxy filter ;

Installation du Blacklist URL ;

Configuration de la politique de filtrage URL ;

Cration des Whitelists Target categoris

Activation du mode bypass pour une client ;

Test de la politique de filtrage URL.