HTTP proxy-a: HAVP + ClamAV

ClamAV instalaturik dugu. HAVP proxya, deskargatu, konpilatu eta instalatu egin behar dugu. Kontutan izan, libclamav-dev paketea behar dugula. gcc eta g++ paketeak ere instalatuta eduki behar ditugu, HAVP paketea konpilatzeko.

    wget -P /var/www/lhpaiaki http://www.server-side.de/download/havp-0.86.tar.gz
    cd /var/www/lhpaiaki
    tar zxf havp-0.86.tar.gz
    cd havp-0.86
    ./configure --sysconfdir=/etc/havp
    make
    make install

Instalazio scriptak, /usr/local/etc/havp direktorioan kokatzen ditu konfigurazio fitxategia eta errore eta birus abisu web orriak defektuz. Guk /etc/havp direktorioan jartzeko esan diogu. Ahaztu egin bazaigu, horera kopiatu beharko ditugu fitxategiak.

    cp -r /var/www/lhpaiaki/havp-0.86/etc/havp /etc/

Era beream, /etc/init.d/havp abiatze scripean, konfigurazio fitxategia toki hortan bilatzeko jartzen du. Ahaztu bazaigu configure-ri abisatzea, aldatu egingo dugu. 13. lerroan, kendu egingo dugu /usr/local. Honela geratuko litzateke:

HAVP_CONFIG=/etc/havp/havp.config

havp taldea eta erabiltzaileak sortuko ditugu

    groupadd havp
    useradd -g havp havp

Erregistro fitxategien direktorioa sortuko dugu, eta ugazaba aldatu.

    mkdir /var/log/havp
    chmod havp /var/log/havp

Aztertu beharreko fitxategiak metatzeko erabiltzen den partizioa muntatuko duigu /var/tmp/havp direktorioan. Direktorio hay HAVP instaladoreak sortzen du.

    mount -t ext3 /dev/hda5 /var/tmp/havp -o mand

/etc/fstab fitxategia prestatuko dugu, makina abiaraztean automatikoki munta dezan partizio hau. Hortarako, huerrengo lerroa gehituko diogu fitxategi honi.

/dev/hda5    /var/tmp/havp    ext3    mand,auto    0    0

havp erabiltzaileari, propietatea emango diogu zenbait direktoriotan, eta baimenak mugatuko ditugu.

    chown havp /var/tmp/havp /var/run/havp /var/log/havp
    chmod 700 /var/tmp/havp /var/run/havp /var/log/havp

Zerbitzua abiarazteko script-a ez dit kopiatu bere tokira. Eskuz egingo dut. Gainera, automatikoki abiarazi dadin zerbitzua, konfiguratu egingp dugu. Nola es, konfigurazio fitxategia non bilatu ere esan behar diogu.

    cp /var/www/lhpaiaki/havp-0.86/etc/init.d/havp /etc/init.d/
    chown root:root /etc/init.d/havp
    sed -i s/HAVP_CONFIG.*/'HAVP_CONFIG=\/etc\/havp\/havp\.config'/ /etc/init.d/havp
    update-rc.d havp defaults

Honela geratu behar da urrengo lerroa /etc/init.d/havp fitxategian:

HAVP_CONFIG=/etc/havp/havp.config

Errore mezuak pertsonalizatu egin ditugu. Orain, gure eskolaren ikurra agertzen da, eta euskara ere aukeratu dezakegu hizkuntza bezala. Kopiatu egingo ditugu fitxategiak.

    cp -r /var/www/lhpaiaki/havp-templates/eu /etc/havp/templates/
    cp -r /var/www/lhpaiaki/havp-templates/es /etc/havp/templates/

Orain, gure web zerbitzariaren izena eta proxy administrariaren posta elektronikoa aldatuko ditugu.

    sed -i s/PROXYWEBZERB/'proxy\.nire-eskola\.net'/ /etc/havp/templates/eu/*
    sed -i s/PROXYWEBZERB/'proxy\.nire-eskola\.net'/ /etc/havp/templates/es/*
    sed -i s/PROXYADMEPOSTA/'sare-admin@nire-eskola\.net'/ /etc/havp/templates/eu/*
    sed -i s/PROXYADMEPOSTA/'sare-admin@nire-eskola\.net'/ /etc/havp/templates/es/*

Erregistro fitxategien aldaketa landuko dugu orain. Hurrengo itxura duen fitxategi bat jarriko dugu /etc/logrotate.d direktorioan havp izenarekin.

/var/log/havp/*.log {
    compress
    dateext
    maxage 365
    rotate 20
    size=1024k
    notifempty
    missingok
    copytruncate
}

Zenbait aldaketa egingo ditugu HAVP konfigurazio fitxategian. Zerbitzua abiarazi dezakeela esango diogu. ClamAV erabil dezala. Gutxienez 35 konexio erabiltzeko prozesuak sor ditzala. Errore abisuak gazteleraz eman ditzala. Zenbait fitxategiren kokalekua aldatuko dugu, orain /etc/havp direktorioan baitaude., etab. Azkenik, euskara aukeratuko dugu erroreentzako hizkuntza bezala. Hurrengo lerroak horrela agertu behar dira:

# REMOVETHISLINE deleteme
SERVERNUMBER 35
TEMPLATEPATH /etc/havp/templates/eu
WHITELIST /etc/havp/whitelist
BLACKLIST /etc/havp/blacklist
ENABLECLAMLIB true
CLAMDBDIR /var/lib/clamav

Orain berrabiarazi egingo dugu HAVP.

    /etc/init.d/havp restart

Sistema probatuko dugu. Hurrengo helbideetara apuntatu nabigatzailea. Kontutan izan, 8080 portuan dagoela proxy-a.


http://www.eicar.com/download/eicar.com

ftp://ftp.tknika.net/eicar/eicar.com

Hobekuntzak. Errore eta birus abisuak euskaratu.  MAXDOWNLOADSIZE, STREAMUSERAGENT eta CLAMMAXFILESIZE parametroekin esperimentatu. 

Source

Destination

Service

Action

Irakasleak

Ikasleak

Zuzendaritza

Zerbitzariak

antivirus perimetral

8080

Accept

antivirus perimetral any HTTP (80)
FTP (21)
ftp-data
ftp-data-passive (20)
Accept

Bezeroen konfigurazioa

Pila bat web bezero dago. Konfigurazio erak berriz, asko gehiago. OHARRA! 3128 jartzen duen tokian, 8080 jarri behar da.

Microsoft Internet Explorer eskuz

Programaren barruan, Herramientas -> Opciones de Internet.... aukeratu. Gero, Conexiones fitxa aukeratu. Bertan, Configuración LAN... aukeratu. Hurrengo panela agertuko zaigu. Bete irudian agertzen den bezala.



Microsodt Internet Explorer domeinu kontroladore bitartez

Domeinu kortroladore baten talde zuzentarauen bitartez konfigura dezakegu MS Internet Explorer. Hona hemen pantaila batzuk adibide gisa.

Active Directory-n, aukeratu nahi duizun erakundea, eta asntolaketa unitatearen, propietateak.


Sortu zuzentarau berri bat (edo aldatu bat).



Irudian ikusten den bezala, Configuración de los servidores proxy aukeratu behar da.

Jarri helbidea eta portua. Onartu dena.


Firefox eskuz

Firefox 1.5: Programaren menuan, aukeratu Herramientas -> Preferencias... -> General -> Configuración de conexión... Hurrengo panela agertuko zaigu. Bete irudian ikusten den bezala.

Firefox 2.0: Programaren menuan, aukeratu Tresnak -> Aukerak... Aurreratua -> Sarea -> Ezarpenak... Hurrengo panela agertuko zaigu. Bete irudian ikusten den bezala.

Microsoft Internet Explorer eta Firefox, konfigurazio fitxategi baten bitartez

Sistema honek lan handiagoa ematen du, baina nabigatzaile guztientzat balio du. Gainera, asko errazten du nabigatzaile guztien konfigurazioak aldatzeko. Konfigurazioa fitxategia, barneko web zerbitzari batean jarriko dugu, eta nabigatzaileari esango diogu, non bilatu fitxategia. Lehenengo, konfigurazio fitxategia sortuko dugu. HTTP eta FTP konexioak antibirusaren 3128 portura bidaliko ditugu. Horrela, jeitsitako fitxategiak, antibirusarekin aztertuko ditugu. HTTPS konexioak aldiz, zuzenean bidaliko ditugu. Ezin dezakegu aztertu enkriptatua dagoen informazioa. Fitxategiaren izena ik-wpad.dat izango da, eta zerbitzariaren wpad direktorioan egonngo da. Hau da: bere URLa, http://www2.nire-eskola/wpad/ik-wpad.dat izango da. Kontutan izan, fitxategi ezberdinak eduki ahal ditugula, sare ezberdinetarako edo makina multzo ezberdinetarako. Hona hemen gure fitxategia:


function FindProxyForURL(url, host) {

    if (isPlainHostName(host))
        return "DIRECT";
    if (!isResolvable(host))
        return "DIRECT";
    if (url.substring(0, 5) == "http:")
        return "PROXY 172.16.1.1:3128";
    if (url.substring(0, 6) == "https:")
        return "DIRECT";
    if (url.substring(0, 4) == "ftp:")
        return "PROXY 172.16.1.1:3128";
    return "PROXY 172.16.1.1:3128;";
}

Gero, nabigatzailea konfiguratuko dugu. Ikasleen azpisarearen kasuan, esango diogu, konfigurazioa, http://www2.nire-eskola.net/wpad/ik-wpad.dat URLak emandako fitxategian aurki dezakeela.

Microsokt Internet Explorer nabigatzailean aukleratu Herramientas -> Opciones de Internet... -> Conexiones -> Configuración de LAN... Hurrengo panela agertuko zaigu, eta irudian agertzen den bezala bete.

Firefox 2.0 nabigatzailean, aukeratu Tresnak -> Aukerak... Aurreratua -> Sarea -> Ezarpenak... Hurrengo panerla agertuko zaigu, eta irudian agertzen den bezala bete.


Microsoft Internet Explorer, konfigurazio fitxategia automatikoki bilatzen

WPAD (Web Proxy Automatic Discovery) protokoloa erabiliko dugu. Nabigatzaileak, DHCP zerbitzariari geldetuko dio, non bila dezaken konfigurazio fitxategia. DHCP zerbitzariak URLa emango dio. Normalean, HTTP erabiliaz hartuko du konfigurazio fitxategia, eta beraz, web zerbitzari batean egongo da kokatua. 8.3.4 atalean sortu dugun fitxategi hura erabiliko dugu konfiogurazio fitxategi bezala, eta kokapena bera izango da. Lehenengo, DHCP zerbitzaria konfiguratuko dugu. ISCren dhcpd zerbitzaria badaukagu (Linux banaketa guztiekin dator), hurrengo hau jarriko dugu:

Atal orokorrean:


option wpad code 252 = text;

Gero, nahi dugun azpisarean, edo ordenagailu multzoan (edo atal orokorrean), jarriko dugu, non dagoen konfigurazio fitxategia. Adibidez, ikasleen aspisarearentzat:


option wpad “http://www2.nire-eskola.net/wpad/ik-wpad.dat”;

Orain, lehenagoko atalean bezala, nabigatzailea konfiguratuko dugu:

Microsft Internet Explorer nabigatzailean, Herramientas -> Opciones de Internet... -> Conexiones -> Configuración de LAN... aukeratzen dugu. Agertzen den panela, irudian agertzen den bezala beteko dugu.

OHARRA! MS IE nabigatzaile batzuek bug bat dute. DHCP zerbitzaritik jasotako URLaren azken letra moztu egiten du. Azken hizkia falta zaion konfigurazio fitxategi bat sortu web zerbitzarian. Hobe, lotura bat sortu. Honela (fitxategien direktorioan):

    ln -s ik-wpad.dat ik-wpad.da


Kitto! Nabigatzaileak, konfigurazioa bilatu behar du.