31 ответов в этой теме

[Ben_Throttle]

Добрый день! Уважаемые, подскажите, каким образом произвести настройку Dr.Web for IGW в связке со Squid3, чтобы первый блокировал загрузку исполняемых файлов? В мануале есть переменная "content_type", но при добавлении правила в модуль DrWeb Firewall вида "content_type in "application/octet-stream" : BLOCK as _match" ни чего не происходит. Методом "научного тыка" добавлял правило в модуль DrWEB ICAPD, но результат нулевой. Заранее благодарю

[amorozov]

• Если сервер не отдаёт Content-Type или отдаёт другой, то не поможет.
• Добавлять правило надо, конечно, в ICAPD. Покажите ваши правила:
  

  drweb-ctl cfshow icapd

• Логичнее BLOCK as BlackList, хотя и BLOCK as _match будет работать. BLOCK as _match задуман для блокировки вирусной угрозы или URL по категории.

[Ben_Throttle]

ICAPD.LogLevel = Debug
ICAPD.Log = /var/log/drweb_icap.log
ICAPD.ExePath = /opt/drweb.com/bin/drweb-icapd
ICAPD.Start = Yes
ICAPD.RunAsUser = drweb
ICAPD.DebugDumpIcap = Yes
ICAPD.ListenAddress = 127.0.0.1:1344
ICAPD.TemplatesDir = /var/opt/drweb.com/templates/icapd
ICAPD.Whitelist =
ICAPD.Blacklist =
ICAPD.Adlist =
ICAPD.BlockInfectionSource = Yes
ICAPD.BlockNotRecommended = Yes
ICAPD.BlockAdultContent = Yes
ICAPD.BlockViolence = Yes
ICAPD.BlockWeapons = Yes
ICAPD.BlockGambling = Yes
ICAPD.BlockDrugs = Yes
ICAPD.BlockObsceneLanguage = Yes
ICAPD.BlockChats = Yes
ICAPD.BlockTerrorism = Yes
ICAPD.BlockFreeEmail = Yes
ICAPD.BlockSocialNetworks = Yes
ICAPD.BlockDueToCopyrightNotice = Yes
ICAPD.BlockKnownVirus = Yes
ICAPD.BlockSuspicious = Yes
ICAPD.BlockAdware = Yes
ICAPD.BlockDialers = Yes
ICAPD.BlockJokes = Yes
ICAPD.BlockRiskware = Yes
ICAPD.BlockHacktools = Yes
ICAPD.ScanTimeout = 30s
ICAPD.HeuristicAnalysis = On
ICAPD.PackerMaxLevel = 8
ICAPD.ArchiveMaxLevel = 8
ICAPD.MailMaxLevel = 8
ICAPD.ContainerMaxLevel = 8
ICAPD.MaxCompressionRatio = 500
ICAPD.RuleSet0 = user in "AD@local@Allow_internet" : PASS
ICAPD.RuleSet0 = user not in "AD@local@Allow_internet" : BLOCK as _match

ICAPD.RuleSet0 = content_type in "application/octet-stream" : BLOCK as _match
ICAPD.RuleSet1 = direction request, url_host in "ICAPD.Blacklist" : BLOCK as BlackList
ICAPD.RuleSet1 = direction request, url_host not in "ICAPD.Whitelist", url match "ICAPD.Adlist" : BLOCK as BlackList
ICAPD.RuleSet2 =
ICAPD.RuleSet3 = direction request, url_host not in "ICAPD.Whitelist", url_category in "ICAPD.BlockCategory" : BLOCK as _match
ICAPD.RuleSet4 =
ICAPD.RuleSet5 = threat_category in "ICAPD.BlockThreat" : BLOCK as _match
ICAPD.RuleSet6 =
ICAPD.BlockUnchecked = Yes
ICAPD.UsePreview = Yes
ICAPD.Use204 = Yes
ICAPD.AllowEarlyResponse = Yes
 

[Ben_Throttle]

 

• Если сервер не отдаёт Content-Type или отдаёт другой, то не поможет.
• Добавлять правило надо, конечно, в ICAPD. Покажите ваши правила:
  

  drweb-ctl cfshow icapd

• Логичнее BLOCK as BlackList, хотя и BLOCK as _match будет работать. BLOCK as _match задуман для блокировки вирусной угрозы или URL по категории.

 

Если считать, что сервер не отдает Content-Type, то придется средствами Squid вырезать контент? Это печально, я надеялся, что DrWeb подобное может

Сообщение было изменено Ben_Throttle: 31 Январь 2018 - 13:31

[Ben_Throttle]

 

 

• Если сервер не отдаёт Content-Type или отдаёт другой, то не поможет.
• Добавлять правило надо, конечно, в ICAPD. Покажите ваши правила:
  

  drweb-ctl cfshow icapd

• Логичнее BLOCK as BlackList, хотя и BLOCK as _match будет работать. BLOCK as _match задуман для блокировки вирусной угрозы или URL по категории.

 

Если считать, что сервер не отдает Content-Type, то придется средствами Squid вырезать контент? Это печально, я надеялся, что DrWeb подобное может

 

Squid по-умолчанию умеет передавать в заголовках content-type, если верить ману.

[amorozov]

У вас в правилах разрешён доступ всем из Allow_internet без каких-либо проверок:

ICAPD.RuleSet0 = user in "AD@local@Allow_internet" : PASS

Подозреваю, это не то, что вы хотели, и стоит просто эту строчку убрать. Тогда те, кто не в Allow_internet, будут блокированы следующей строкой, а те кто в - пойдут через стандартные проверки.
 

Squid по-умолчанию умеет передавать в заголовках content-type, если верить ману.

Он передаёт то, что ему веб-сервер отдал.

[Ben_Throttle]

У вас в правилах разрешён доступ всем из Allow_internet без каких-либо проверок:

ICAPD.RuleSet0 = user in "AD@local@Allow_internet" : PASS

Подозреваю, это не то, что вы хотели, и стоит просто эту строчку убрать. Тогда те, кто не в Allow_internet, будут блокированы следующей строкой, а те кто в - пойдут через стандартные проверки.
 

Squid по-умолчанию умеет передавать в заголовках content-type, если верить ману.

Он передаёт то, что ему веб-сервер отдал.

Спасибо, попробую

[Ben_Throttle]

У вас в правилах разрешён доступ всем из Allow_internet без каких-либо проверок:

ICAPD.RuleSet0 = user in "AD@local@Allow_internet" : PASS

Подозреваю, это не то, что вы хотели, и стоит просто эту строчку убрать. Тогда те, кто не в Allow_internet, будут блокированы следующей строкой, а те кто в - пойдут через стандартные проверки.
 

Squid по-умолчанию умеет передавать в заголовках content-type, если верить ману.

Он передаёт то, что ему веб-сервер отдал.,

Попробовал, результат тот же. Полгаю, что придется использовать возможности squid для запрета скачивания файлов, но на всякий случай задал вопрос техподдержке. Всем спасибо за ответы

[Aleksandra]

Полгаю, что придется использовать возможности squid для запрета скачивания файлов

Использовать squid для запрета скачивания файлов будет правильнее, странно что Вы хотите сделать это с помощью Dr.Web.

[Ben_Throttle]

 

Полгаю, что придется использовать возможности squid для запрета скачивания файлов

Использовать squid для запрета скачивания файлов будет правильнее, странно что Вы хотите сделать это с помощью Dr.Web.

 

А что тут странного? Возможно я чего-то не понимаю, но скажите, каким образом я буду вырезать из https трафика исполняемые файлы, если squid в данной связке этим не занимается? Перехват и расшифровку трафика, в данном случае, осуществляет Drweb через icap. Поправьте меня если я не прав

[Afalin]

Расшифровку трафика? Каким образом?

[Ben_Throttle]

Расшифровку трафика? Каким образом?

Перехват

[Afalin]

Перехватить перехватили. А расшифровывать-то как? Криптографию придумали не для того, чтоб она вот так тривиально вскрывалась.

[Ben_Throttle]

Перехватить перехватили. А расшифровывать-то как? Криптографию придумали не для того, чтоб она вот так тривиально вскрывалась.

Уяснил. Спасибо

[Aleksandra]

каким образом я буду вырезать из https трафика исполняемые файлы

Аппетит приходит во время еды, да?

squid ssl bump

xttps://imbicile.pp.ru/konfiguraciya-squid3/
xttps://imbicile.pp.ru/squid-https-filtraciya/

acl exe urlpath_regex -i .exe$ - лучше без слеша пробовать.

[Aleksandra]

Криптографию придумали не для того, чтоб она вот так тривиально вскрывалась.

Все правильно, но пусть попробует.

[Afalin]

Судя по доке, не так это и вкусно.

[amorozov]

acl exe urlpath_regex -i .exe$ - лучше без слеша пробовать.

Такое и ICAPD умеет:

drweb-ctl cfset -a icapd.adlist '\.(?i:exe)$'

[Ben_Throttle]

 

acl exe urlpath_regex -i .exe$ - лучше без слеша пробовать.

Такое и ICAPD умеет:

drweb-ctl cfset -a icapd.adlist '\.(?i:exe)$'

Замечательно, я до этого догадаться не смог

[Ben_Throttle]

 

 

acl exe urlpath_regex -i .exe$ - лучше без слеша пробовать.

Такое и ICAPD умеет:

drweb-ctl cfset -a icapd.adlist '\.(?i:exe)$'

Замечательно, я до этого догадаться не смог

 

Работает, но не везде к сожалению. Только для тех ресурсов, где в URL явно указан файл с расширением, а на ресурсах, таких как sourceforgeэтот метод не работает. Но все равно спасибо =)