Основы информационных технологий Антивирусная защита интернет шлюзов с поддержкой протокола ICAP Автор: магистрант Цеховой Евгений Сергеевич Научный руководитель: к.т.н. Резников Геннадий Константинович
Цели работы: Разобрать основные задачи, возлагающиеся на прокси-сервера; Провести обзор существующих бесплатных прокси-серверов; Рассмотреть самые распространенные ICAP сервера;
Основные задачи посредника: Авторизация пользователей Интеграция в сеть Кэширование трафика и балансировка нагрузки Кэширование трафика и балансировка нагрузки Аудит и фильтрация информации В качестве посредника может быть использован HTTP прокси-сервер.
Авторизация пользователей: NTLM MSNT SMB LDAP Идентификация особенно важна, когда необходимо решить вопросы аудита и фильтрации трафика
Интеграция в сеть пользователь самостоятельно конфигурирует свои сетевые настройки для использования прокси использование механизма «прозрачного прокси» (автоматическое перенаправление HTTP-запросов пользователей на прокси сервер) Если в качестве шлюза используется сервер, поддерживающий протокол WCCP, есть смысл организовать «прозрачное» проксирование с использованием этого протокола
Кэширование трафика и балансировка нагрузки Запрашиваемые пользователем объекты сохраняются в постоянном кэше на диске, и в случае если запрос происходит повторно, объект извлекается из кэша, а не скачивается из Интернета - это позволяет экономить входящий трафик. Когда нагрузка на прокси-сервер увеличивается, применяется каскадирование прокси-серверов, и точка доступа во внешнюю сеть получается распределенной за счет увеличения количества серверов. Равномерность распределения обеспечивается специальными алгоритмами и протоколами, наилучшим из которых является CARP
Аудит и фильтрация информации С помощью ICAP-протокола можно производить различного рода действия над HTTP-трафиком: антивирусная проверка блокирование спама предоставление доступа к приватным ресурсам блокирование доступа к порно-ресурсам учет трафика многое другое Протокол позволяет осуществлять модификацию HTTP-запросов и HTTP-ответов, а поскольку это единственные запросы, которые циркулируют между прокси и пользователями, полный контроль над трафиком обеспечен.
Прокси-сервера с открытым кодом Delegate Oops! Squid 2.5 Squid 3.0 Все они выполнят роль ICAP-клиентов
Delegate Недостатки: Функциональности для кэширующего прокси недостаточно Прозрачное HTTP-проксирование поддерживается не полностью Не поддерживаются протоколы WCCP, CARP Не поддерживаются схемы авторизации NTLM, MSNT При большом количестве пользователей требует большого количества ресурсов Несмотря на все перечисленные недостатки, Delegate может быть весьма полезен в небольших сетях для решения простых задач, поскольку весьма прост в конфигурации.
Oops! Недостатки: Отсутствует поддержка протокола CARP Не поддерживаются схемы авторизации NTLM, MSNT Не реализовано ффективное решение для фильтрации трафика При большой нагрузке у Oops! возникают серьезные проблемы с производительностью на большинстве Unix-систем, а зачастую он попросту зависает.
Squid 2.5 Недостатки: не поддержvивается фильтрация FTP-трафика не поддерживаются постоянные соединения с ICAP- сервером неполная поддержка ICAP RFC На базе Squid реализовано довольно много проектов, это и специализированные устройства, и выделенные сервера.
Squid 3.0 Отличия от Squid 2.5: Конвертирование исходного кода из С в C++ Поддержка ICAP Улучшена поддержка CARP «Прозрачные» и «акселерированные» запросы обрабатываются независимо Улучшена работа в режиме акселератора Улучшена поддержка SSL Переработана поддержка IPC Расширена поддержка ACL Переработана серверная часть Видно благодаря долгой стабилизации, около 5 лет, и разработке не с нуля, а на базе Squid 2.5 недостатки выявить сложно..
Антивирусные фильтры с ICAP протоколом Принцип работы Самые распространенные антивирусные фильты: DrWeb-icapd C-icapd Фильтры с поддержкой ICAP протокола называют ICAP-серверами
Принцип работы ICAP клиенты могут модифицировать запросы и ответы, что дает им воможность выполнять роль не только антивирусного фильтра Прокси-сервер (ICAP-клиент) КлиентИнтернет Антивирусный фильтр (ICAP-сервер) Запрос1Запрос2 Ответ2 Ответ1 Запрос1 Запрос2 Ответ1 Ответ2
DrWeb-icapd Возможности: Ограничение доступа к определенным веб-ресурсам Фильтрация по типу запрашиваемых файлов Фильтрация по размеру запрашиваемых файлов Поддержка режима preview Есть один существенный недостаток: сервер платный...
C-icapd Возможности: Поддержка режима preview Поддержка типа ответа «204 No Content» Поддержка добавление услуг, реализованных на Си Поддержка различных модулей Существенные плюсы: бесплатность и доступность исходонго кода...
Заключение Результаты работы: Разобраны основные задачи, возлагающиеся на прокси-сервера; Проведен обзор существующих бесплатных прокси- серверов; Рассмотрены самые распространенные ICAP сервера;
Спасибо за внимание!