samedi 11 juin 2011

Protégeons nos chères têtes blondes des dangers d’internet

Si vous souhaitez filtrer les informations auxquelles vos enfants accèdent sur internet, il existe aujourd’hui un nombre grandissant de solutions efficaces (parmi elles on trouve Microsoft Windows Live Family Safety ou les outils du contrôle parental intégré à Windows 7).

L’avantage de la solution décrite ici est de pouvoir être mise en œuvre soit par un particulier souhaitant centraliser le filtrage des contenus auxquels accèdent les membres de sa famille, soit par une entreprise souhaitant faire la même chose pour ses employés, et ce à moindre coût.

Cette solution est basée sur des solutions “opensource” tels que Squid et DansGuardian et est installée sur un serveur Ubuntu 10.10.

Pour information l’éducation nationale semblerait vouloir mettre en œuvre ce type de solution pour gérer leur parc d’ordinateurs accessibles par les élèves des écoles maternelles et primaires (pour plus d’informations vous pouvez lire l’excellent article de Fabrice Flauss et Cédric Foll du numéro 51 de MISC).

Après avoir installé Ubuntu sur un de mes vieux serveurs, il est nécessaire d’installer et de configurer Squid et DansGuardian.


Installer et configurer Squid

On installe Squid:

sudo apt-get install squid

On édite le fichier de configuration de Squid:

sudo nano /etc/squid/squid.conf

On modifie le port de Squid (Squid joue le rôle de serveur mandataire entre les utilisateurs et internet)

http_port 3128

On recharge la configuration de Squid:

sudo /etc/init.d/squid reload


Installer et configurer DansGuardian

On installe DansGuardian:

sudo apt-get install dansguardian

On édite le fichier de configuration de DansGuardian:

sudo nano /etc/dansguardian/dansguardian.conf

Screenshot

On modifie les paramètres ci-dessous:

language = 'french'
filterip = x.x.x.x
filterport = 8080
proxyip = 127.0.0.1
proxyport = 3128
#contentscanner= '/etc/dansguardian/contentscanners/clamdscan.conf’

L’option “language” permet de définir la page d’erreur affichée dans le browser de l’utilisateur lorsque le contenu n’est pas autorisé.

Cette page par défaut peut être adaptée suivant vos besoins via:

sudo nano /etc/dansguardian/languages/french/template.html

Les options "filterip" and "filterport" définissent respectivement, l’adresse IP et le port du serveur proxy. Positionnez “filterip” à la valeur de l’adresse IP de votre machine sur votre LAN, et “filterport” à la valeur du port que vous souhaitez avoir pour votre proxy; une bonne valeur par défaut est 8080.

L’option "proxyip" correspond à l’adresse IP du serveur proxy Squid et "proxyport" est le port d’écoute de Squid.

La ligne "contentscanner" reste en commentaire tant que l’on ne souhaite pas utiliser l’antivirus clamAV pour scanner les requêtes HTTP.

On redémarre DansGuardian:

sudo /etc/init.d/dansguardian restart

Maintenant, si vous souhaitez sécuriser Squid et interdire à vos utilisateurs de contourner DansGuardian vous pouvez utiliser les commandes suivantes:

sudo ufw default DENY # on interdit tout
sudo ufw ALLOW 8080 # on autorise seulement le port 8080
sudo ufw enable # on active le firewall


Remarque: n’utilisez pas les commandes ci-dessus si votre firewall est déjà configuré! Cela pourrait faire des dégâts sur votre configuration courante!

Il est ensuite nécessaire de configurer votre nouveau proxy dans les browsers de vos machines clientes (adresse IP du proxy X.X.X.X et port du proxy 8080). C’est la manière la plus simple de mettre en, œuvre votre filtrage. Il en existe d’autres plus proches d’un déploiement réel utilisant WPAD par exemple mais ce sujet pourra être traité dans un prochain article).

Et voilà! Si vous saisissez un mot clef interdit dans votre moteur de recherche préféré, vous êtes automatiquement redirigé vers la page par défaut de DansGuardian.

Screenshot_New1

Vous pouvez jouer avec les fichiers contenant les informations permettant de filtrer le contenu des pages web. Vous trouverez ces fichiers sous “/etc/dansguardian/lists”.

Screenshot-1

En parcourant ces fichiers vous aurez une idée précise de tout ce qu’il est possible de faire avec DansGuardian: être plus ou moins permissif, ajouter des mots clefs interdits ou des URLs interdites.

Screenshot-2

Il est également possible de configurer votre serveur avec 2 cartes réseaux pour créer 2 sous-réseaux: le premier sur lequel se trouve l’accès à internet et le second sur lequel se trouvent les postes à filtrer.

Dans un prochain article nous verrons comment scanner le contenu HTTP avec l’antivirus ClamAV.

Source: Squid Proxy Server On Ubuntu 9.04 Server With DansGuardian

Aucun commentaire:

Enregistrer un commentaire

Partager avec...