Lê Nguyễn Hoài Phong Triển khai Squid Proxy Server Phạm Minh Toàn và quản lý log bằng Sarg 2012 LỜI MỞ ĐẦU Công nghệ thông tin ngày nay hầu như đã đi vào tất cả các lĩnh vực trong xã hội: kinh tế, giáo dục, giải trí và nó đã mang lại những thành quả rất đáng kể. Đối với các doanh nghiệp, các tổ chức xã hội và các công ty thì công nghệ thông tin đóng một vai trò hết sức quan trọng trong việc phát triển và mở rộng việc sản xuất, kinh doanh và điều hành , tạo sự thuận lợi trong việc kinh doanh cũng như trong vấn đề quản lý và điều hành. Vì thế việc chia sẻ internet cho hệ thống mạng nội bộ, cho nhân viên là cần thiết cho từng doanh nghiệp. Nhưng với sự chia sẻ toàn cục sẽ dẫn đến nhiều vấn đề liên quan đến sự an toàn, bảo mật cũng như chính sách của hệ thống. Hệ thống mạng có thể bị tấn công từ bên ngoài, không thể quản lý được những truy cập của nhân viên, Để giải quyết vấn đề này, giải pháp được đưa ra là xây dựng một trạm kiểm soát trên cửa ngõ ra vào của hệ thống với môi trường bên ngoài. Trạm kiểm soát được xây dựng thường là các Firewall server như ISA, TMG, pfSense,…hay các Proxy server như Socks, Squid,…Các giải pháp mã nguồn mở luôn là lựa chọn của các nhà quản trị bởi tính tiện dụng, cũng như vấn đề bản quyền. Trong đó, Squid proxy server là ưu tiên hàng đầu bởi các tính năng mạnh mẽ của nó. Nhóm chúng em xin gửi lời cám ơn đến cô Nguyễn Thị Thanh Vân. Với sự giúp đỡ và hướng dẫn tận tình của cô Vân, nhóm chúng em đã hoàn thành nội dung tiểu luận về Squid proxy server và quản lý log bằng Sarg. Chúng em đã nắm rõ được nhiều tính năng và hoạt động của Squid proxy. Qua đó, có thể xây dựng, quản lý tốt một hệ thống với nhiều Squid proxy server như việc quản lý truy cập của client, quản lý log, quản lý cache, xây dựng nhiều Squid proxy server với khả năng High Availability và Load balancing. MỤC LỤC Page 1 Lê Nguyễn Hoài Phong Triển khai Squid Proxy Server Phạm Minh Toàn và quản lý log bằng Sarg 2012 CHƯƠNG 1. TỔNG QUAN VỀ PROXY Page 2 Lê Nguyễn Hoài Phong Triển khai Squid Proxy Server Phạm Minh Toàn và quản lý log bằng Sarg 2012 1.1. Khái niệm Proxy và Proxy server Proxy là một dịch vụ làm nhiệm vụ chuyển tiếp thông tin và kiểm soát tạo sự an toàn cho việc truy cập Internet của các client. Proxy hoạt động ở tầng ứng dụng, chen ngang vào một loại lưu thông giữa client với server. Proxy chen ngang vào loại lưu thông nào thì sẽ được đặt tên theo loại lưu thông đó. Ví dụ DNS proxy, POP3 proxy, FTP proxy, Web proxy, v.v. Vì hoạt động ở tầng ứng dụng, Proxy luôn hiểu thấu nội dung của lưu thông và có nhiều tác dụng hỗ trợ lưu thông: kiểm soát truy nhập, giám sát lưu thông, cơ chế cache nhằm tiết kiệm băng thông. Proxy cho phép client truy cập mạng thông qua một máy tính khác với một tài khoản duy nhất, máy tính này gọi là proxy server.Những yêu cầu của client sẽ phải qua proxy server vì thế máy tính này có thể kiểm soát được mọi giao tiếp từ trong internal ra external và ngược lại. Proxy server xác định những yêu cầu từ client và quyết định cho phép thực hiện hay là chặn yêu cầu. Nếu yêu cầu được chấp nhận, Proxy server sẽ kết nối với server thật thay cho client và thực hiện chuyển tiếp những yêu cầu từ client đến server, cũng như chuyển trả lời từ server đến client. 1.2. Khả năng và lợi ích của Proxy server Hoạt động như cửa ngõ Internet, Proxy server làm cho mạng an toàn hơn. Giúp nhiều máy tính truy cập Internet thông qua tài khoản truy cập nhất định. Nhờ vậy, khi một công ty hoặc tổ chức có hệ thống mạng nội bộ gồm nhiều máy trạm nhưng chỉ có 1 kết nối Internet duy nhất (1 IP public), họ có thể sử dụng proxy server để cung cấp truy cập internet cho hệ thống mạng nội bộ của họ. Một Proxy server thường nằm bên trong Firewall, giữa client và server. Mọi yêu cầu, truy cập của client phải qua Proxy server, nên việc bảo mật được thực hiện tốt hơn. Lọc và ngăn cấm truy cập không được phép. Proxy server mang cơ chế cache, cơ chế này cho phép lưu trữ cục bộ nội dung của những website đã được client truy cập, điều này giúp cho tốc độ duyệt web nhanh Page 3 Lê Nguyễn Hoài Phong Triển khai Squid Proxy Server Phạm Minh Toàn và quản lý log bằng Sarg 2012 hơn và giảm cước phí. Yêu cầu của client sẽ được đáp ứng tại bộ nhớ cache mà không phải lấy thông tin trực tiếp từ internet. Proxy server bảo vệ hệ thống mạng nội bộ khỏi sự xác định từ bên ngoài bằng cách mang lại cho hệ thống hai định danh: một cho nội bộ, một cho bên ngoài. Điều này tạo ra một “bí danh” đối với thế giới bên ngoài và gây khó khăn với các hacker muốn xâm nhập trực tiếp hệ thống mạng nội bộ. Ngoài ra, đối với các nhà cung cấp dịch vụ internet, do internet có nhiều lượng thông tin mà theo quan điểm của từng quốc gia, từng chủng tộc hay địa phương thì không phù hợp. Vì thế các nhà cung cấp dịch vụ internet khu vực đó sẽ thực hiện phối hợp giữa proxy và firewall để tạo ra bộ lọc, nhằm ngăn chặn các thông tin độc hại hoặc trái thuần phong mỹ tục đối với quốc gia, chủng tộc hay địa phương đó. Địa chỉ các website mà client yêu cầu truy cập sẽ được lọc tại bộ lọc này, nếu địa chỉ không bị cấm thì yêu cầu của client tiếp tục được gửi đi, tới các DNS server của các nhà cung cấp dịch vụ. Firewall Proxy sẽ lọc tất cả các thông tin từ internet gửi vào máy của client và ngược lại. 1.3. Cơ chế hoạt động của Proxy server 1.3.1. Forward Proxy Forward proxy là một proxy đứng giữa một client và tất cả các server mà client đó muốn truy cập. Forward proxy chỉ thực hiện nhiệm vụ tiếp nhận yêu cầu từ client và chuyển những yêu cầu đó đến các server. Bản thân Forward proxy server sẽ không áp đặt bất cứ chính sách nào lên hệ thống, chính điều này sẽ làm tăng tốc độ chia sẻ Page 4 Lê Nguyễn Hoài Phong Triển khai Squid Proxy Server Phạm Minh Toàn và quản lý log bằng Sarg 2012 internet cho các client. Nhưng bên cạnh đó hệ thống mạng sẽ không an toàn, không bảo mật và dễ bị tấn công từ bên ngoài. 1.3.2. Reverse Proxy Tương tự Forward proxy, Reverse proxy cũng mang chức năng chuyển tiếp, chia sẻ internet cho hệ thống mạng bên trong, nhưng cơ chế hoạt động của Reverse proxy lại hoàn toàn khác với Forward proxy. Reverse proxy trung chuyển yêu cầu của client thông qua các chính sách của hệ thống dựa vào các rule được thiết lập trên proxy server. Nếu yêu cầu của client thỏa chính sách của hệ thống thì sẽ được Reverse proxy server đáp ứng. Ngược lại, yêu cầu của client sẽ không được đáp ứng, đồng nghĩa với kết nối của client sẽ bị chặn và hủy kết nối. Page 5 Lê Nguyễn Hoài Phong Triển khai Squid Proxy Server Phạm Minh Toàn và quản lý log bằng Sarg 2012 Không chỉ những kết nối của client được Reverse proxy kiểm soát, mà cả những trả lời của các server từ internet cũng được kiểm soát chặc chẽ. Với việc kiểm soát các trả lời từ bên ngoài, Reverse proxy sẽ tăng khả năng tiết kiệm băng thông, độ ổn định, cũng như sự an toàn và bảo mật cao cho hệ thống mạng nội bộ thông qua các chính sách được áp đặt trên proxy như: giới hạn dung lượng sử dụng của client, chặn upload/download theo định dạng file,… 1.4. Phân loại Proxy server 1.4.1. Theo chức năng Ta có thể phân proxy thành 3 loại theo chức năng : Page 6 Lê Nguyễn Hoài Phong Triển khai Squid Proxy Server Phạm Minh Toàn và quản lý log bằng Sarg 2012 Anonymous, Hight Anonymity, Transparent. • Anonymous _ Đôi khi còn được gọi là web proxy, giúp client ẩn danh (giấu IP), khi lướt Web. HTTP proxy server không gửi thông số cụ thể biến http_x_forwarded_for tới site đang truy cập, do vậy có thể che dấu IP của client. _ Tuy nhiên, điều đó không có nghĩa giúp ẩn dấu hoàn toàn, vì các website có thể sử dụng các script để thu thập thông tin về việc client đang truy cập site của họ thông qua một proxy nào đó đang phục vụ cho client. • High Anonymity _ Mức độ che dấu tung tích cao hơn Anonymous. High Anonymity hoàn toàn không gửi đi bất kì thông số nào của các biến http_x_forwarded_for, http_via và http_proxy_connection. Do vậy các site được truy cập không thể biết client đang dùng proxy , cũng như không xác định được IP của client. • Transparent _ Còn được gọi là proxy trong suốt. Khác với 2 loại trên, transparent là sự kết hợp một proxy server và một gateway. _ Đây là phương thức thường được các network admin áp đặt cho client trong internal, client không nhận thức được mình đang truy cập internet thông qua một proxy (cổng giám sát). _ Yêu cầu truy cập của client được chuyển đến qua địa chỉ gateway, sau đó chuyển sang proxy server xử lý. Khi client dùng loại proxy này, thì họ không biết được rằng họ đang dùng một proxy và bị kiểm soát. Client chỉ cần thiết lập địa chỉ IP của gateway do admin cung cấp, mà không phải xác lập các thông số proxy trong trình duyệt cũng như internet applications khác. 1.4.2.Theo khả năng hỗ trợ: Chúng ta có thể phân Proxy thành 2 loại theo khả năng hỗ trợ là: Page 7 Lê Nguyễn Hoài Phong Triển khai Squid Proxy Server Phạm Minh Toàn và quản lý log bằng Sarg 2012 HTTP/HTTPS proxy và Socks /Sockets . • HTTP/HTTPS Proxy(proxy thông thường): _ Các proxy server sẵn sàng cho phép các dịch vụ thông thường trên internet. Ví dụ: HTTP Proxy được dùng cho truy cập Web, FTP Proxy được dùng cho truyền file. _ Những proxy trên, được gọi là application-level proxy, bởi vì chúng được chỉ định để làm việc với những application, protocol và nhận dạng được nội dung các gói tin được gửi đến. • SOCKS hay Sockets: _ Là một Circuit-level proxy server cho các IP theo định nghĩa từ IETF (Internet Engineering Task Force - một cộng đồng các chuyên gia về mạng có nhiệm vụ nghiên cứu, thiết kế, xây dựng kiến trúc internet). Socks được viết bởi David và Michelle Koblas vào những năm đầu của thập niên 90. _ Socks đã nhanh chóng được dùng rộng rãi nhưng không được chứng nhận từ những tổ chức chuyên cung cấp các tiêu chuẩn internet). Mặc dù Socks ra đời sớm và được dùng phổ biến, nhưng Socks được IETF thông qua lần đầu tiên là Socks5. _ Socks ban đầu là hệ thống proxy được sử dụng cho các lưu thông như FTP, Telnet, nhưng không dành cho HTTP. Socks4 kiểm soát các TCP connection (chiếm phần lớn các application trên Internet). Socks5 còn hỗ trợ thêm UDP, ICMP, xác thực, DNS service. _ Socks buộc client phải được cấu hình để chuyển trực tiếp các yêu cầu đến Socks server, hoặc ngược lại Socks driver sẽ ngăn chặn các yêu cầu từ những client chưa được cấu hình Socks proxy. _ Nhiều Web browsers và các internet applications khác hiện nay đã hỗ trợ Socks, vì thế khá dễ dàng khi làm việc với các Socks server. Page 8 Lê Nguyễn Hoài Phong Triển khai Squid Proxy Server Phạm Minh Toàn và quản lý log bằng Sarg 2012 CHƯƠNG 2. SQUID PROXY SERVER 2.1. Tổng quan về Squid proxy 2.1.1. Giới thiệu Squid proxy một là một giải pháp proxy phần mềm mã nguồn mở. Squid làm nhiệm vụ chuyển tiếp các yêu cầu từ phía client và đồng thời đóng vai trò kiểm soát tạo sự an toàn cho việc truy cập internet của các client cũng như hệ thống nội bộ, tiết kiệm băng thông, cải tiến bảo mật, tăng tốc độ truy cập web cho client. Hiện nay, trên thị trường có rất nhiều chương trình proxy-server nhưng chúng lại mang hai nhược điểm. Thứ nhất là phải trả tiền để sử dụng. Thứ hai là hầu hết không hỗ trợ giao thức ICP (ICP là giao thức được sử dụng để cập nhật những thay đổi về nội dung của những URL sẵn có trong bộ nhớ cache – là nơi lưu trữ nội dung những trang web mà client đã từng truy cập). Nhưng không giống những người anh em khác, Squid lại có đủ khả năng đáp ứng hai yêu cầu trên, sử dụng miễn phí và hỗ trợ giao thức ICP. Chính vì lẽ đó Squid đã trở thành một trong những proxy phổ biến được nhiều người biết đến và được sử dụng nhiều nhất trong các giải pháp proxy của cộng đồng mạng. Squid là sự lựa chọn tốt nhất cho một proxy-cache server. Squid đưa ra kỹ thuật lưu trữ ở cấp độ cao, đồng thời hỗ trợ các dịch vụ thông thường như FTP, Gopher và HTTP. Squid lưu trữ thông tin mới nhất của các dịch vụ trên trong RAM, quản lý một cơ sở dữ liệu lớn các thông tin trên đĩa, hỗ trợ kỹ thuật điều khiển truy cập (SNMP), hỗ trợ giao thức SSL cho các kết nối bảo mật thông qua proxy. Hơn nữa, Squid có thể liên kết với các cache của các proxy server khác nhằm sắp xếp lưu trữ các trang web một cách hợp lý thông qua hai mô hình cache ngang hàng và cache cha-con. Chúng ta có thể biết được nhiều thông tin và hỗ trợ về Squid proxy từ trang chủ của Squid: http://www.squid-cache.org. Page 9 Lê Nguyễn Hoài Phong Triển khai Squid Proxy Server Phạm Minh Toàn và quản lý log bằng Sarg 2012 2.1.2. Tại sao chúng ta cần dùng Squid? Squid Proxy mang đến nhiều lợi ích không tưởng cho hệ thống : _ Khả năng cân bằng tải . _ Hỗ trợ xác thực client theo nhiều hệ thống database khác nhau: LDAP, MySQL,NCSA,… _ Không mất chi phí bản quyền vì là phần mềm mã nguồn mở. _ Được dùng nhiều trong các doanh nghiệp lớn, các trường đại học lớn ở trong và ngoài nước. _ Quản lý các chính sách QoS rất tốt (giới hạn download phim/ảnh theo giờ, hạn chế băng thông từng địa chỉ IP, giới hạn số phiên kết nối đồng thời …). _ Hỗ trợ rất tốt cho các dịch vụ đa phương tiện (video, audio). _ Khả năng cache nội dung tốt, tốc độ cao. _ Cho phép thoải mái tùy biến và có khả năng tích hợp với các phần mềm hỗ trợ khác ( Shorewall,…) _ Bảo mật bằng ứng dụng Iptables miễn phí tích hợp sẵn trên Linux nên rất gọn nhẹ, đối với các đơn vị không có khả năng tài chính thì không cần mua thêm các thiết bị hay phần mềm Firewall. Page 10 [...]... Phong Phạm Minh Toàn Triển khai Squid Proxy Server và quản lý log bằng Sarg 2012 2.1.3 Cơ chế hoạt động Mô hình Squid Proxy Server xác thực user thông qua LDAP server Công việc của một Squid proxy server là thực hiện tiếp nhận yêu cầu từ client, xác thực client (LDAP server) và quyết định đáp ứng hay không đáp ứng Nếu yêu cầu thỏa mãn các chính sách của hệ thống, Squid sẽ kết nối đến server bên ngoài thay... sử dụng http_access cho các yêu cầu, Squid còn cung cấp access rule http_reply _access dùng quản lý các trả lời mà Squid proxy server nhận được từ các servers Page 33 Lê Nguyễn Hoài Phong Phạm Minh Toàn Triển khai Squid Proxy Server và quản lý log bằng Sarg 2012 Khi các trả lời bị chặn bởi http_reply_access, client vẫn nhận được thông báo access deny từ Squid proxy server Ví dụ: _ Chặn download các file... mạng và bên ngoài mạng với nhau thông qua các file log nằm trong thư mục /var /log /squid/ Điều này giúp người quản trị thực hiện tốt hơn công việc quản lý hệ thống của mình .Squid sẽ ghi lại những hành động vào những file log khác nhau Squid sẽ tính toán và ghi lại những lỗi vào output log, thường là cache .log Squid ghi nhận trực tiếp những kết nối đến mình thông qua file log access .log Đồng thời, Squid. .. Phạm Minh Toàn Triển khai Squid Proxy Server và quản lý log bằng Sarg 2012 http_access allow manager localhost http_access allow manager admin http_access deny manager Cấu hình trên đảm bảo chỉ có Administrator có thể sử dụng interface quản lý cache của Squid proxy server 3.1.2.6 Thời gian ACL type : time Điều khiển truy cập dựa vào thời gian là một trong những điểm đặc trưng thú vị của Squid Sử dụng... Reverse proxy server, Squid mang lại nhiều khả năng vượt hẳn so với các loại proxy khác Tuy hoạt động về cơ bản cũng giống Forward proxy, nhưng Squid sẽ được áp lên các chính sách cho hệ thống mạng nội bộ, ngăn chặn truy cập không Page 11 Lê Nguyễn Hoài Phong Phạm Minh Toàn Triển khai Squid Proxy Server và quản lý log bằng Sarg 2012 được phép, điều khiển lưu lượng băng thông,…đem đến sự ổn định và bảo... Safe_ports, client có thể relay mail thông qua Squid proxy server, do những điểm Page 22 Lê Nguyễn Hoài Phong Phạm Minh Toàn Triển khai Squid Proxy Server và quản lý log bằng Sarg 2012 tương đồng giữa 2 protocols HTTP và SMTP Khi đó hệ thống sẽ đối mặt với vấn đề mail spam và chúng ta hoàn toàn không muốn Squid cache được sử dụng cho việc spam relay b ACL type: myportname Squid cũng cung cấp 1 ACL type sử dụng... acl list_file_type urlpath_regex “/etc /squid/ rule/denyfiletype.txt” Page 27 Lê Nguyễn Hoài Phong Phạm Minh Toàn Triển khai Squid Proxy Server và quản lý log bằng Sarg 2012 Trong file denyfiletype.txt, chúng ta chỉ định các biểu mẫu: # vi /etc /squid/ rule/denyfiletype.txt mp3$ wma$ flv$ 3.1.2.8 Proxy authentication ACL type: proxy_ auth, proxy_ auth_regex a ACL type: proxy_ auth Cách tốt nhất để bảo vệ hệ... 3.1.6 Chặn việc ghi log Page 35 Lê Nguyễn Hoài Phong Phạm Minh Toàn Triển khai Squid Proxy Server và quản lý log bằng Sarg 2012 Trong một số trường hợp đặc biệt, hay do nhu cầu của hệ thống, mà người quản trị cần phải chặn việc ghi log của Squid nhằm đảm bảo an toàn thông tin mật về kinh doanh, tổ chức,…Access rule log_ access sẽ cho phép chúng ta thực hiện công việc này Ví dụ: _ Chặn ghi log của những client... cầu Tùy vào hiện trạng của remote server, mà Squid sẽ nhận những trạng thái (status) khác nhau Ví dụ như với status 200 là yêu cầu thành công, 404 là trang web không tìm thấy, Squid có ACL http_status để chỉ định những status nhận được từ remote server Page 31 Lê Nguyễn Hoài Phong Phạm Minh Toàn Triển khai Squid Proxy Server và quản lý log bằng Sarg 2012 Ví dụ: _ Chặn truy cập tất cả những server bị... trợ chứng thực và module được dùng cho chứng thực #./configure enable-auth=basic, digest, ntlm  enable-auth-basic _ Cho phép hỗ trợ và chỉ định các chương trình chứng thực cơ bản Page 13 Lê Nguyễn Hoài Phong Phạm Minh Toàn Triển khai Squid Proxy Server và quản lý log bằng Sarg 2012 #./configure enable-auth-basic=PAM, NCSA, LDAP  with-logdir _ Vị trí mặc định cho những file ghi log của squid #./configure . khai Squid Proxy Server Phạm Minh Toàn và quản lý log bằng Sarg 2012 CHƯƠNG 1. TỔNG QUAN VỀ PROXY Page 2 Lê Nguyễn Hoài Phong Triển khai Squid Proxy Server Phạm Minh Toàn và quản lý log bằng Sarg 2012 1.1 server. Page 8 Lê Nguyễn Hoài Phong Triển khai Squid Proxy Server Phạm Minh Toàn và quản lý log bằng Sarg 2012 CHƯƠNG 2. SQUID PROXY SERVER 2.1. Tổng quan về Squid proxy 2.1.1. Giới thiệu Squid. về Squid proxy server và quản lý log bằng Sarg. Chúng em đã nắm rõ được nhiều tính năng và hoạt động của Squid proxy. Qua đó, có thể xây dựng, quản lý tốt một hệ thống với nhiều Squid proxy server