Squid-Kit-Basis: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
Zeile 1: Zeile 1:
== Squid Proxy: Funktionsübersicht ==
+
== Detaillierte Funktionsübersicht Squid Proxy ==
  
Squid dient als hochperformanter Intermediär zur Optimierung und Absicherung des Web-Traffics.
+
Squid bietet als intermediäre Instanz weitreichende Möglichkeiten zur Netzwerkkontrolle.
  
=== Kernaufgaben ===
+
=== Grundlegende Caching-Mechanismen ===
  
* Caching: Speicherung häufig angeforderter Web-Inhalte zur Bandbreiteneinsparung.
+
* Bandbreiteneinsparung: Lokale Kopien von statischen Webinhalten (Bilder, Scripte).
* Performance: Beschleunigung von Antwortzeiten für Endanwender.
+
* Latenzreduktion: Kürzere Antwortzeiten durch Auslieferung aus dem RAM/Disk-Cache.
* Traffic-Management: Zentrale Kontrolle über ausgehende HTTP/HTTPS-Verbindungen.
+
* Lastverteilung: Entlastung externer Internetanbindungen bei vielen gleichzeitigen Zugriffen.
 +
* Protokollunterstützung: Vollständige Abdeckung von HTTP, HTTPS und FTP.
  
=== Flexible Zugriffssteuerung (ACLs) ===
+
=== Granulare Zugriffssteuerung (ACLs) ===
  
Die Steuerung erfolgt über Access Control Lists basierend auf spezifischen Kriterien:
+
Präzise Definition von Regeln durch Kombination verschiedener Parameter:
  
* Source (src): Filterung nach Quell-IP oder Subnetz (z. B. Gast-Netz vs. Management).
+
* Source-IP (src): Trennung von VLANs, Subnetzen oder Einzel-Hosts.
* Destination (dstdomain): Sperrung oder Freigabe definierter Domains (White-/Blacklisting).
+
* Destination-Domain (dstdomain): Gezielte Freigabe (Whitelist) oder Sperre (Blacklist).
* Time (time): Zeitliche Beschränkung des Zugriffs (z. B. nur in Pausenzeiten).
+
* Zeitsteuerung (time): Definition von Wochentagen und Zeitfenstern für den Zugriff.
* Authentication (proxy_auth): Benutzeridentifikation via LDAP, Active Directory oder Kerberos.
+
* Benutzer-Auth (proxy_auth): Kopplung des Zugriffs an User-Accounts (LDAP/AD).
 +
* Port-Filterung (Safe_ports): Beschränkung auf erlaubte Ziel-Ports (z. B. 80, 443).
 +
* Browser-Identifikation (browser): Filterung basierend auf dem User-Agent.
  
=== Security & Content Analysis ===
+
=== Erweiterte Security-Kette (SSL-Bump & ICAP) ===
  
Moderne Sicherheitsarchitektur durch Aufbrechen und Scannen des Datenstroms:
+
Die Tiefenprüfung erfolgt durch eine mehrstufige Verarbeitung:
  
* SSL-Bump:
+
* SSL-Bump (Interception):
** Aufbrechen verschlüsselter HTTPS-Verbindungen (Interception).
+
** Terminierung des Client-SSL-Tunnels am Proxy.
** Ermöglicht Einsicht in den Payload für Filtermechanismen.
+
** On-the-fly Generierung von Fake-Zertifikaten (mit lokaler CA).
** Erfordert eine lokale CA und Client-seitiges Vertrauen.
+
** Sichtbarkeit des Payloads für nachgelagerte Filter.
  
* ICAP-Schnittstelle:
+
* ICAP-Protokoll (Internet Content Adaptation Protocol):
** Protokoll zur Auslagerung der Inhaltsbearbeitung an externe Dienste.
+
** Standardisierte Schnittstelle zur Auslagerung von Inhalten.
** Kommunikation zwischen Squid und Analyse-Servern (C-ICAP).
+
** Weitergabe von HTTP-Requests (REQMOD) an Analyse-Server.
 +
** Weitergabe von HTTP-Responses (RESPMOD) zur Virenprüfung.
  
* ClamAV Integration:
+
* C-ICAP & ClamAV Integration:
** Echtzeit-Virenscan aller durchgeleiteten Dateien und Web-Inhalte.
+
** C-ICAP fungiert als Server-Daemon für die Analyse-Anfragen.
** Automatisches Blockieren infizierter Objekte vor Auslieferung an den Client.
+
** SquidClamav-Modul verbindet ICAP mit dem Virenscanner.
 +
** ClamAV prüft den Datenstrom in Echtzeit auf Signaturen.
 +
** Automatisches Blockieren infizierter Dateien (Malware/Phishing).
 +
** Auslieferung von Info-Seiten bei Virenfund statt schädlichem Content.

Aktuelle Version vom 25. März 2026, 11:35 Uhr

Detaillierte Funktionsübersicht Squid Proxy

Squid bietet als intermediäre Instanz weitreichende Möglichkeiten zur Netzwerkkontrolle.

Grundlegende Caching-Mechanismen

  • Bandbreiteneinsparung: Lokale Kopien von statischen Webinhalten (Bilder, Scripte).
  • Latenzreduktion: Kürzere Antwortzeiten durch Auslieferung aus dem RAM/Disk-Cache.
  • Lastverteilung: Entlastung externer Internetanbindungen bei vielen gleichzeitigen Zugriffen.
  • Protokollunterstützung: Vollständige Abdeckung von HTTP, HTTPS und FTP.

Granulare Zugriffssteuerung (ACLs)

Präzise Definition von Regeln durch Kombination verschiedener Parameter:

  • Source-IP (src): Trennung von VLANs, Subnetzen oder Einzel-Hosts.
  • Destination-Domain (dstdomain): Gezielte Freigabe (Whitelist) oder Sperre (Blacklist).
  • Zeitsteuerung (time): Definition von Wochentagen und Zeitfenstern für den Zugriff.
  • Benutzer-Auth (proxy_auth): Kopplung des Zugriffs an User-Accounts (LDAP/AD).
  • Port-Filterung (Safe_ports): Beschränkung auf erlaubte Ziel-Ports (z. B. 80, 443).
  • Browser-Identifikation (browser): Filterung basierend auf dem User-Agent.

Erweiterte Security-Kette (SSL-Bump & ICAP)

Die Tiefenprüfung erfolgt durch eine mehrstufige Verarbeitung:

  • SSL-Bump (Interception):
    • Terminierung des Client-SSL-Tunnels am Proxy.
    • On-the-fly Generierung von Fake-Zertifikaten (mit lokaler CA).
    • Sichtbarkeit des Payloads für nachgelagerte Filter.
  • ICAP-Protokoll (Internet Content Adaptation Protocol):
    • Standardisierte Schnittstelle zur Auslagerung von Inhalten.
    • Weitergabe von HTTP-Requests (REQMOD) an Analyse-Server.
    • Weitergabe von HTTP-Responses (RESPMOD) zur Virenprüfung.
  • C-ICAP & ClamAV Integration:
    • C-ICAP fungiert als Server-Daemon für die Analyse-Anfragen.
    • SquidClamav-Modul verbindet ICAP mit dem Virenscanner.
    • ClamAV prüft den Datenstrom in Echtzeit auf Signaturen.
    • Automatisches Blockieren infizierter Dateien (Malware/Phishing).
    • Auslieferung von Info-Seiten bei Virenfund statt schädlichem Content.
Abgerufen von „http://wiki.ixheim.de/index.php?title=Squid-Kit-Basis&oldid=67756