Squid – проверка трафика на вирусы

Для организации фильтрации web-трафика будем использовать:
1) прокси-сервер squid (страница разработчиков www.squid-cache.org);
2) антивирусный пакет ClamAv (страница разработчиков www.clamav.net);
3) ICAP сервер ( страница разработчиков c-icap.sourceforge.net).

Более подробно с протоколом ICAP можно познакомится на сайте http://www.i-cap.org. Это наиболее верный способ антивирусной проверки web-трафика. Редиректоры в Squid так же можно использовать, но при больших нагрузках редиректоры сильно ограничены и не позволяют распределить нагрузку. Так же редиректоры крайне ограничены и по возможности обратного взаимодействия с пользователем.

Установка и настройка ClamAV.

Для работы всей связки не понадобится работающий демон clamd, так что можете просто установить его из исходных кодов или пакета, без особого конфигурирования и настройки параметров в clamd.conf. c-icap использует свой антивирусный модуль, основанный на ClamAV, поэтому нам понадобиться наличие в системе libclamav. В случае отсутствия в системе libclamav c-icap просто не соберется.

Установка и настройки c-icap с поддержкой ClamAV.

Скачиваем последнюю стабильную версию с сайта. На момент написания статьи это c_icap-220505.tar.gz. Распакуем архив c_icap-220505.tar.gz в /usr/src (или туда, где у вас лежат исходные коды).

configure в каталоге с исходниками c-icap следует запускать со следующими параметрами:

Или так, например, если –prefix=/opt/clamav для configure от ClamAV:

Демон c_icap собирается статически. –prefix так же можно указать по вкусу.
Можно собирать и сам демон:

Необходимо проверить, всё ли верно собралось:

И непосредственно установить c-icap в систему (в тот каталог, который был указан через –prefix):

Теперь необходимо исправить некоторые настройки в c-icap.conf. В случае нашего –prefix=/usr/local/c_icap не трудно догадаться, что конфиги лежат в /usr/local/c_icap/etc.

Рекомендую обратить внимание на следующие параметры:

— User лучше поставить nobody, поскольку wwwrun, указанный по умолчанию, скорее всего отсутствует в системе.
— TmpDir /tmp – ваш каталог временных файлов.
— Далее необходимо настроить ACL – Access Control Lists – список IP-адресов, которые могут использовать данный ICAP-демон:

Так возможно определить откуда доступ к нашему сервису icap разрешён, а откуда нет. Заметьте, что в данных ACL определяется не список непосредственных клиентов прокси-сервера, а именно список клиентов демона ICAP, т.е. список прокси-серверов (их IP-адреса).

Я составил ACL для случая работы демона ICAP и Squid на одном хосте.
— srv_clamav.ClamAvTmpDir /tmp – временный каталог для модуля ClamAV
— srv_clamav.VirSaveDir /var/infected/ – каталог карантина. Другие аналогичные лучше закомментировать!
— srv_clamav.VirHTTPServer «DUMMY».

Создайте каталог /var/infected и сделайте его владельцем пользователя nobody (chown nobody /var/infected).
Осуществим пробный запуск c-icap:

Если сообщений об ошибках нет, то стоит так же убедиться, что c-icap прослушивает нужный сокет:

Если видим нечто похожее на следующую строку, значит всё в порядке:

Оставим демона c-icap работать и перейдём к дальнейшим настройкам.

Установка и настройка прокси-сервера Squid.

Распакуем в /usr/src полученный ранее Squid:

Перейдём в каталог с исходниками Squid’а и запустим configure так:

Собираем и устанавливаем Squid:

Имеем установленный Squid в /usr/local/squid. Теперь изменим настройки в squid.conf. Необходимо найти пару строк:

Раскомментировать их и установить собственное значение, вместо ’192.168.1.0/24 192.168.2.0/24′ (в моём случае пользователи
прокси-сервера находились в сети 10.0.0.0/24):

Перейдите в /usr/local/squid/var, создайте каталог cache. Теперь там же выполните команду:

Сменить владельца необходимо по той причине, что демон прокси-сервера будет запущен от пользователя nobody и не сможет писать логи и
использовать кэшь. Осталось создать структуру каталогов для кэширования. Перейдите в /usr/local/squid/sbin и выполните:

На данном этапе мы имеем рабочий Squid, но без поддержки ICAP, т.е. обычной кэширующий прокси-сервер.

Добавление поддержки ICAP в squid

Найдите по слову icap_enable и выставите значение icap_enable on.
Найдите по слову icap_preview_enable и выставите значение icap_preview_enable on
Найдите по слову icap_preview_size и выставите значение icap_preview_size 128
Найдите по слову icap_send_client_ip и выставите значение icap_send_client_ip on
Найдите по слову icap_service и добавьте пару таких icap-сервисов:

Найдите по слову icap_class и добавьте такой icap-класс:

Найдите по слову icap_access и добавьте следующие права доступа:

Суммарно для поддержки ICAP в squid.conf должны быть добавлены следующие строки:

На этом минимальное конфигурирование прокси-сервера закончено.
Запустим его:

Если всё верно, то сообщений в консоли об ошибках быть не должно.

Проверка работоспособности.

Добавьте прокси-сервер в вашем браузере (если проксирование не прозрачное) и откройте страницу http://www.eicar.com/anti_virus_test_file.htm

Попытайтесь скачать файл eicar.com, если вы видите подобное сообщение:

«A VIRUS FOUND …»

значит всё верно работает.

Обратите внимание, что кэшь прокси-сервера не должен содержать инфицированных объектов! Поэтому, перед началом использования Squid совместно с c-icap кэшь лучше очистить.

Так же учтите, что браузер имеет свой кэшь.

Обновление антивирусных баз ClamAV.

Добавьте freshclam в crontab. Реинициализация баз c-icap производиться каждые srv_clamav.VirUpdateTime минут, этот параметр можно указать в c-icap.conf (по умолчанию – 15 минут).

Файл c-icap.magic и типы проверяемых объектов.

Данный файл может быть найден в том же каталоге, что и c-icap.conf, он представляет собой описание форматов различных групп-типов файлов (TEXT, DATA, EXECUTABLE, ARCHIVE, GRAPHICS, STREAM, DOCUMENT – определённые группы в c-icap.magic по умолчанию).

Антивирусная проверка строиться по типам файлов, проходящих через проски-сервер, некоторые типы, например, можно исключить или добавить свои типы.
Формат записи строки, для определения файла по его magic-числу (последовательности):

Offset – смещение, с которого начинаеться Magic-последовательность.
Type и Group – тип и группа, к которой следует относить файл с данной magic-последовательностью.
Desc – кратное описание, технической нагрузки не несёт.

Для примера загляните в c-icap.magic.

Обратите так же внимание, что в c-icap.conf параметр srv_clamav.ScanFileTypes определяет группы и типы файлов (можно прописывать и группы, и типы), которые следует проверять. Что определяет srv_clamav.VirScanFileTypes я окончательно не понял, но подозреваю, что принудительно проверяемые группы файлов (EXECUTABLE и ARCHIVE по умолчанию).

В моём конфиге c-icap вышеописанные параметры выглядят так:

Возможные проблемы.

Squid выдаёт сообщение «ICAP protocol error», страницы не открываются.

Проверьте верно ли вы указали ACL в c-icap.conf, в данном ACL должен быть разрешён доступ не для пользователей, а для прокси-сервера. Попробуйте завершить процессы Squid и c-icap, а затем запустить их в следующем порядке – сначала c-icap, а затем Squid. Так же такая ошибка может возникать, если демону с-icap не хватает прав на запись в карантинный каталог или в лог-файлы.

Если проблема так и не решилась, то попробуйте запустить Squid с параметрами -d 10 -N -X:

а c-icap c параметрами -N -d 10 -D:

Увидите подробную информацию, по которой можно разобраться что где не так.

Squid выдаёт сообщение «ICAP protocol error» только на некоторых страницах (на одних и тех же).

Всё-таки проверьте есть ли у c-icap права на запись в карантинный каталог (а ещё лучше сделать владельцем всех карантинных каталогов пользователя под которым запущен c-icap). Попробуйте запустить c-icap и Squid в режиме отладки (как – сказано выше). Так же неплохо посмотреть логи c-icap. Попробуйте снова загрузить объект, на котором возникает ошибка. Возможно вы узнаете намного больше о проблеме и сможете её решить.

Итоги.

Теперь и web-сёрфинг защищён от вирусов и прочих вредоносных кодов (в том числе и некоторые эксплоиты для ms ie), теперь можно путешествовать по интернет намного безопаснее.