Mehr Sicherheit im Web mit Hilfe des Webproxies Squid
Squid ist ein Open-Source Proxyserver. Es werden die Netzwerkprotokolle HTTP/HTTPS, FTP über HTTP und Gopher unterstützt. Außerdem ist Squid skalierbar auf Netze mit wenigen Anwender:innen bis hin zu großen Netzen mit tausenden von User:innen.
Trainer und Dozenten
Tim Skopnik, Geschäftsführer der aptico GmbH für den Bereich Unternehmensnetzwerke.
Voraussetzungen
Linux Administrationskenntnisse
Inhalt
Einführung
- Sinn/Un-Sinn: Warum überhaupt ein Proxy
- Einsatzgebiete für einen Proxy: Absicherung von Arbeitsplätzen, Analyse von Zugriffen (bei der Entwicklung), Umsetzung von Betriebsvereinbarungen
- Komponenten
- Einfach: Browser, Proxy, Webserver
- Komplex: Browser, Proxy, Virenscanner, URL-Filter, Webserver
- Protokolle: HTTP, FTP
- Produkte: Squid, Blue Coat, Intel (McAfee/Webwasher), Cisco
- Dokumentation:
- http://www.squid-cache.org/
- http://wiki.squid-cache.org/ConfigExamples
Betrieb eines Proxies
- Deployment neuer Versionen: Appliance, Server, vServer, Container
- Pflege des Regelwerkes
- Verfügbarkeitsüberwachung und Kapazitätsmanagement mit SNMP
- Architekturen
- Explizit vs. Implizit
- Wo sollte der Virenscanner stehen?
- Protokollierung
- Fehlermeldungen
HyperText Transport-Protokoll
- Ablauf
- Methoden (GET, CONNECT, POST, ...)
- Versionen (1, 1.1, 2)
- Verschlüsselte Verbindungen
Konfiguration der Arbeitsplätze
- Manuelle Konfiguration
- Verwendung einer Proxy.pac (Was ist das? Was sollte man beachten?)
- Hinweis auf wpad.dat
Installation und Basis-Konfiguration des Squid
- Paket installieren
- Listener
- Namensauflösung
- Anpassung der Fehlermeldungen
Monitoring
- Verwendung des SNMP-agents vom Squid
Protokollierung
- Erzeugen von Logs
- Aufbewahren von Logs
- Auswerten von Logs (Logstash, Syslog)
Caching
SSL-Terminierung
- Konfiguration
- Risiken
Zugangskontrolle
- Basic
- Kerberos geg. AD
Anbindung externer Dienste
- ICAP-Server + Virenscanner
- URL-Filter: SquidGuard, DansGuardian, Kommerzielle Lösung
- Einfach: Browser, Proxy, Webserver
- Komplex: Browser, Proxy, Virenscanner, URL-Filter, Webserver
- http://www.squid-cache.org/
- http://wiki.squid-cache.org/ConfigExamples
- Deployment neuer Versionen: Appliance, Server, vServer, Container
- Pflege des Regelwerkes
- Verfügbarkeitsüberwachung und Kapazitätsmanagement mit SNMP
- Architekturen
- Explizit vs. Implizit
- Wo sollte der Virenscanner stehen?
- Protokollierung
- Fehlermeldungen
HyperText Transport-Protokoll
- Ablauf
- Methoden (GET, CONNECT, POST, ...)
- Versionen (1, 1.1, 2)
- Verschlüsselte Verbindungen
Konfiguration der Arbeitsplätze
- Manuelle Konfiguration
- Verwendung einer Proxy.pac (Was ist das? Was sollte man beachten?)
- Hinweis auf wpad.dat
Installation und Basis-Konfiguration des Squid
- Paket installieren
- Listener
- Namensauflösung
- Anpassung der Fehlermeldungen
Monitoring
- Verwendung des SNMP-agents vom Squid
Protokollierung
- Erzeugen von Logs
- Aufbewahren von Logs
- Auswerten von Logs (Logstash, Syslog)
Caching
SSL-Terminierung
- Konfiguration
- Risiken
Zugangskontrolle
- Basic
- Kerberos geg. AD
Anbindung externer Dienste
- ICAP-Server + Virenscanner
- URL-Filter: SquidGuard, DansGuardian, Kommerzielle Lösung
- Manuelle Konfiguration
- Verwendung einer Proxy.pac (Was ist das? Was sollte man beachten?)
- Hinweis auf wpad.dat
Installation und Basis-Konfiguration des Squid
- Paket installieren
- Listener
- Namensauflösung
- Anpassung der Fehlermeldungen
Monitoring
- Verwendung des SNMP-agents vom Squid
Protokollierung
- Erzeugen von Logs
- Aufbewahren von Logs
- Auswerten von Logs (Logstash, Syslog)
Caching
SSL-Terminierung
- Konfiguration
- Risiken
Zugangskontrolle
- Basic
- Kerberos geg. AD
Anbindung externer Dienste
- ICAP-Server + Virenscanner
- URL-Filter: SquidGuard, DansGuardian, Kommerzielle Lösung
- Verwendung des SNMP-agents vom Squid
Protokollierung
- Erzeugen von Logs
- Aufbewahren von Logs
- Auswerten von Logs (Logstash, Syslog)
Caching
SSL-Terminierung
- Konfiguration
- Risiken
Zugangskontrolle
- Basic
- Kerberos geg. AD
Anbindung externer Dienste
- ICAP-Server + Virenscanner
- URL-Filter: SquidGuard, DansGuardian, Kommerzielle Lösung
SSL-Terminierung
- Konfiguration
- Risiken
Zugangskontrolle
- Basic
- Kerberos geg. AD
Anbindung externer Dienste
- ICAP-Server + Virenscanner
- URL-Filter: SquidGuard, DansGuardian, Kommerzielle Lösung
- Basic
- Kerberos geg. AD
Anbindung externer Dienste
- ICAP-Server + Virenscanner
- URL-Filter: SquidGuard, DansGuardian, Kommerzielle Lösung
Kurszeiten
Wer möchte, reist bis 22 Uhr am Vortag an und nutzt den Abend bereits zum Fachsimpeln am Kamin oder im Park.
An den Kurstagen dann von 9-18 Uhr (mit 2 Kaffee- und 1 Mittagspause) etwa 60% Schulungen und 40% Übungen. Selbstverständlich arbeitet jeder Teilnehmer am von uns gestellten Notebook oft parallel zum Referenten mit.
Anschließend Abendessen und Angebote für Fachsimpeln, Ausflüge uvm. Wir schaffen eine Atmosphäre, in der Fachleute sich ungezwungen austauschen. Wer das nicht will, wird zu nichts gezwungen und findet auch jederzeit Ruhe.