Перейти к содержимому


Фото
- - - - -

Dr. Web для Интернет-шлюзов Unix, блокировка загрузки файлов


  • Please log in to reply
31 ответов в этой теме

#1 Ben_Throttle

Ben_Throttle

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 31 Январь 2018 - 12:38

Добрый день! Уважаемые, подскажите, каким образом произвести настройку Dr.Web for IGW в связке со Squid3, чтобы первый блокировал загрузку исполняемых файлов? В мануале есть переменная "content_type", но при добавлении правила в модуль DrWeb Firewall вида "content_type in "application/octet-stream" : BLOCK as _match" ни чего не происходит. Методом "научного тыка" добавлял правило в модуль DrWEB ICAPD, но результат нулевой. Заранее благодарю



#2 amorozov

amorozov

    Newbie

  • Posters
  • 73 Сообщений:

Отправлено 31 Январь 2018 - 13:23

  • Если сервер не отдаёт Content-Type или отдаёт другой, то не поможет.
  • Добавлять правило надо, конечно, в ICAPD. Покажите ваши правила:
    drweb-ctl cfshow icapd
  • Логичнее BLOCK as BlackList, хотя и BLOCK as _match будет работать. BLOCK as _match задуман для блокировки вирусной угрозы или URL по категории.


#3 Ben_Throttle

Ben_Throttle

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 31 Январь 2018 - 13:25

ICAPD.LogLevel = Debug
ICAPD.Log = /var/log/drweb_icap.log
ICAPD.ExePath = /opt/drweb.com/bin/drweb-icapd
ICAPD.Start = Yes
ICAPD.RunAsUser = drweb
ICAPD.DebugDumpIcap = Yes
ICAPD.ListenAddress = 127.0.0.1:1344
ICAPD.TemplatesDir = /var/opt/drweb.com/templates/icapd
ICAPD.Whitelist =
ICAPD.Blacklist =
ICAPD.Adlist =
ICAPD.BlockInfectionSource = Yes
ICAPD.BlockNotRecommended = Yes
ICAPD.BlockAdultContent = Yes
ICAPD.BlockViolence = Yes
ICAPD.BlockWeapons = Yes
ICAPD.BlockGambling = Yes
ICAPD.BlockDrugs = Yes
ICAPD.BlockObsceneLanguage = Yes
ICAPD.BlockChats = Yes
ICAPD.BlockTerrorism = Yes
ICAPD.BlockFreeEmail = Yes
ICAPD.BlockSocialNetworks = Yes
ICAPD.BlockDueToCopyrightNotice = Yes
ICAPD.BlockKnownVirus = Yes
ICAPD.BlockSuspicious = Yes
ICAPD.BlockAdware = Yes
ICAPD.BlockDialers = Yes
ICAPD.BlockJokes = Yes
ICAPD.BlockRiskware = Yes
ICAPD.BlockHacktools = Yes
ICAPD.ScanTimeout = 30s
ICAPD.HeuristicAnalysis = On
ICAPD.PackerMaxLevel = 8
ICAPD.ArchiveMaxLevel = 8
ICAPD.MailMaxLevel = 8
ICAPD.ContainerMaxLevel = 8
ICAPD.MaxCompressionRatio = 500
ICAPD.RuleSet0 = user in "AD@local@Allow_internet" : PASS
ICAPD.RuleSet0 = user not in "AD@local@Allow_internet" : BLOCK as _match

ICAPD.RuleSet0 = content_type in "application/octet-stream" : BLOCK as _match
ICAPD.RuleSet1 = direction request, url_host in "ICAPD.Blacklist" : BLOCK as BlackList
ICAPD.RuleSet1 = direction request, url_host not in "ICAPD.Whitelist", url match "ICAPD.Adlist" : BLOCK as BlackList
ICAPD.RuleSet2 =
ICAPD.RuleSet3 = direction request, url_host not in "ICAPD.Whitelist", url_category in "ICAPD.BlockCategory" : BLOCK as _match
ICAPD.RuleSet4 =
ICAPD.RuleSet5 = threat_category in "ICAPD.BlockThreat" : BLOCK as _match
ICAPD.RuleSet6 =
ICAPD.BlockUnchecked = Yes
ICAPD.UsePreview = Yes
ICAPD.Use204 = Yes
ICAPD.AllowEarlyResponse = Yes
 



#4 Ben_Throttle

Ben_Throttle

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 31 Январь 2018 - 13:31

 

  • Если сервер не отдаёт Content-Type или отдаёт другой, то не поможет.
  • Добавлять правило надо, конечно, в ICAPD. Покажите ваши правила:
    drweb-ctl cfshow icapd
  • Логичнее BLOCK as BlackList, хотя и BLOCK as _match будет работать. BLOCK as _match задуман для блокировки вирусной угрозы или URL по категории.

 

Если считать, что сервер не отдает Content-Type, то придется средствами Squid вырезать контент? Это печально, я надеялся, что DrWeb подобное может


Сообщение было изменено Ben_Throttle: 31 Январь 2018 - 13:31


#5 Ben_Throttle

Ben_Throttle

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 31 Январь 2018 - 13:42

 

 

  • Если сервер не отдаёт Content-Type или отдаёт другой, то не поможет.
  • Добавлять правило надо, конечно, в ICAPD. Покажите ваши правила:
    drweb-ctl cfshow icapd
  • Логичнее BLOCK as BlackList, хотя и BLOCK as _match будет работать. BLOCK as _match задуман для блокировки вирусной угрозы или URL по категории.

 

Если считать, что сервер не отдает Content-Type, то придется средствами Squid вырезать контент? Это печально, я надеялся, что DrWeb подобное может

 

Squid по-умолчанию умеет передавать в заголовках content-type, если верить ману.



#6 amorozov

amorozov

    Newbie

  • Posters
  • 73 Сообщений:

Отправлено 31 Январь 2018 - 14:27

У вас в правилах разрешён доступ всем из Allow_internet без каких-либо проверок:

ICAPD.RuleSet0 = user in "AD@local@Allow_internet" : PASS

Подозреваю, это не то, что вы хотели, и стоит просто эту строчку убрать. Тогда те, кто не в Allow_internet, будут блокированы следующей строкой, а те кто в - пойдут через стандартные проверки.
 

Squid по-умолчанию умеет передавать в заголовках content-type, если верить ману.

Он передаёт то, что ему веб-сервер отдал.



#7 Ben_Throttle

Ben_Throttle

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 31 Январь 2018 - 14:39

У вас в правилах разрешён доступ всем из Allow_internet без каких-либо проверок:

ICAPD.RuleSet0 = user in "AD@local@Allow_internet" : PASS

Подозреваю, это не то, что вы хотели, и стоит просто эту строчку убрать. Тогда те, кто не в Allow_internet, будут блокированы следующей строкой, а те кто в - пойдут через стандартные проверки.
 

Squid по-умолчанию умеет передавать в заголовках content-type, если верить ману.

Он передаёт то, что ему веб-сервер отдал.

Спасибо, попробую



#8 Ben_Throttle

Ben_Throttle

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 01 Февраль 2018 - 10:07

У вас в правилах разрешён доступ всем из Allow_internet без каких-либо проверок:

ICAPD.RuleSet0 = user in "AD@local@Allow_internet" : PASS

Подозреваю, это не то, что вы хотели, и стоит просто эту строчку убрать. Тогда те, кто не в Allow_internet, будут блокированы следующей строкой, а те кто в - пойдут через стандартные проверки.
 

Squid по-умолчанию умеет передавать в заголовках content-type, если верить ману.

Он передаёт то, что ему веб-сервер отдал.,

Попробовал, результат тот же. Полгаю, что придется использовать возможности squid для запрета скачивания файлов, но на всякий случай задал вопрос техподдержке. Всем спасибо за ответы



#9 Aleksandra

Aleksandra

    VIP

  • Helpers
  • 1 877 Сообщений:

Отправлено 01 Февраль 2018 - 10:28

Полгаю, что придется использовать возможности squid для запрета скачивания файлов

Использовать squid для запрета скачивания файлов будет правильнее, странно что Вы хотите сделать это с помощью Dr.Web.
Служу силам добра и света.

#10 Ben_Throttle

Ben_Throttle

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 01 Февраль 2018 - 10:58

 

Полгаю, что придется использовать возможности squid для запрета скачивания файлов

Использовать squid для запрета скачивания файлов будет правильнее, странно что Вы хотите сделать это с помощью Dr.Web.

 

А что тут странного? Возможно я чего-то не понимаю, но скажите, каким образом я буду вырезать из https трафика исполняемые файлы, если squid в данной связке этим не занимается? Перехват и расшифровку трафика, в данном случае, осуществляет Drweb через icap. Поправьте меня если я не прав



#11 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 3 071 Сообщений:

Отправлено 01 Февраль 2018 - 11:08

Расшифровку трафика? Каким образом?


Семь раз отрежь – один раз проверь

#12 Ben_Throttle

Ben_Throttle

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 01 Февраль 2018 - 11:10

Расшифровку трафика? Каким образом?

Перехват



#13 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 3 071 Сообщений:

Отправлено 01 Февраль 2018 - 11:14

Перехватить перехватили. А расшифровывать-то как? Криптографию придумали не для того, чтоб она вот так тривиально вскрывалась.


Семь раз отрежь – один раз проверь

#14 Ben_Throttle

Ben_Throttle

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 01 Февраль 2018 - 11:18

Перехватить перехватили. А расшифровывать-то как? Криптографию придумали не для того, чтоб она вот так тривиально вскрывалась.

Уяснил. Спасибо



#15 Aleksandra

Aleksandra

    VIP

  • Helpers
  • 1 877 Сообщений:

Отправлено 01 Февраль 2018 - 12:10

каким образом я буду вырезать из https трафика исполняемые файлы

Аппетит приходит во время еды, да?

squid ssl bump

xttps://imbicile.pp.ru/konfiguraciya-squid3/
xttps://imbicile.pp.ru/squid-https-filtraciya/

acl exe urlpath_regex -i .exe$ - лучше без слеша пробовать.
Служу силам добра и света.

#16 Aleksandra

Aleksandra

    VIP

  • Helpers
  • 1 877 Сообщений:

Отправлено 01 Февраль 2018 - 12:14

Криптографию придумали не для того, чтоб она вот так тривиально вскрывалась.

Все правильно, но пусть попробует.
Служу силам добра и света.

#17 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 3 071 Сообщений:

Отправлено 01 Февраль 2018 - 12:45

Судя по доке, не так это и вкусно.


Семь раз отрежь – один раз проверь

#18 amorozov

amorozov

    Newbie

  • Posters
  • 73 Сообщений:

Отправлено 01 Февраль 2018 - 14:09

acl exe urlpath_regex -i .exe$ - лучше без слеша пробовать.


Такое и ICAPD умеет:

drweb-ctl cfset -a icapd.adlist '\.(?i:exe)$'


#19 Ben_Throttle

Ben_Throttle

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 01 Февраль 2018 - 14:31

 

acl exe urlpath_regex -i .exe$ - лучше без слеша пробовать.


Такое и ICAPD умеет:

drweb-ctl cfset -a icapd.adlist '\.(?i:exe)$'

Замечательно, я до этого догадаться не смог



#20 Ben_Throttle

Ben_Throttle

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 01 Февраль 2018 - 14:46

 

 

acl exe urlpath_regex -i .exe$ - лучше без слеша пробовать.


Такое и ICAPD умеет:

drweb-ctl cfset -a icapd.adlist '\.(?i:exe)$'

Замечательно, я до этого догадаться не смог

 

Работает, но не везде к сожалению. Только для тех ресурсов, где в URL явно указан файл с расширением, а на ресурсах, таких как sourceforgeэтот метод не работает. Но все равно спасибо =)




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых