Squid ausschalten

D

dslthomas

Member
Moin, Moin,

ich stehe derzeit vor einem riesen Problem. In einer Serverlandschaft die wir übernommen haben, wurde ein Squid eingesetzt. Leider gibt es keine Dokumentation zu den Systemen. Der Proxy soll auf jeden Fall ausgeschaltet werden. Ich habe noch nie mit einem Proxy gearbeitet und ich habe so gar keine Ahnung wie ich das ganze ohne große Ausfälle hin bekomme.

Kann mir jemand nen Tipp geben wie ich den Proxy wieder aus dem lösen kann? Das System ist leider aus 2004 und wurde seit der Installation offensichtlich auch nicht mehr gepflegt.

Ich habe zwar viele Seiten im Netz gefunden die diverse Anleitungen bieten,- jedoch ist das ganze immer so umfangreich das ich den Proxy nicht "mal eben" abschalten kann ohne damit alles lahm zu legen.

Über nen Tipp wäre ich sehr dankbar denn ich bekomme noch nicht mal Windows-Updates eingespielt und User können kaum Seiten aufrufen weil es unzählige Einschränkungen gibt. Genau das soll aber nicht mehr sein. Alternativ würde es natürlich auch erst einmal ausreichend sein wenn ich sämtliche Einschränkungen des Proxys aufheben könnte.

Danke und Gruß,
Thomas
 
Wie siehts denn auf den Clients aus? Oder ist der Server auch gleichzeitig Internetgateway? Ansonsten würde es doch reichen, die Clients schlicht am Proxy vorbei zu konfigurieren, oder z.B. vom DHCP Server (Router?) entsprechende Parameter verteilen zu lassen.
 
dslthomas said:
[...]Über nen Tipp wäre ich sehr dankbar denn ich bekomme noch nicht mal Windows-Updates eingespielt und User können kaum Seiten aufrufen weil es unzählige Einschränkungen gibt. Genau das soll aber nicht mehr sein. Alternativ würde es natürlich auch erst einmal ausreichend sein wenn ich sämtliche Einschränkungen des Proxys aufheben könnte.[...]
Click to expand...

Ich würde in dem Falle dazu tendieren, separat ein Dropin-Replacement für den alten Gateway/Proxy komplett neu aufzusetzen. Wenn Du im gewerblichen Bereich plötzlich komplett ungefilterten Zugriff auf das Internet gibst, riskierst Du die Sicherheit des internen Netzes.
 
Wenn das gesamte System aus 2004 und nicht gepflegt ist, würde ich es komplett durch ein aktuelles Linux und einen modernen Squid ersetzen. Damit sollten sich auch manche vermulich im Moment bestehenden Limitierungen (z.B. kein IPv6, keine Dateien > 2GB) beseitigen lassen.

Wenn es unbedingt kein Linux werden soll (z.B. mangels ausreichend befähigtem Personal), kann es auch was Passendes aus dem Hause Microsoft sein oder eine geeignet vorkonfigurierte Firewall-Appliance.

Wir setzen in solchen Fällen gerne die Sophos UTM (in Hardware oder als Virtual Machine) ein.

Wie auch TerraX betrachte ich einen ungefilterten (und unprotokollierten) Internet-Zugang im Firmenumfeld als sehr gefährlich.

Falls Du eine hinreichend sauber gepflegte ADS oder Domain vorgefunden hast (vermutlich ebenfalls Wunschdenken) kannst Du solche Settings z.B. auch bequem per Group-Policy verteilen.
 
Von welcher Größe des Netzwerks dahinter reden wir hier eigentlich? Und von welcher Internetanbindung?

Eigentlich haben wir noch zu wenige Informationen um sinnvoll etwas empfehlen zu können.
 
Also,...

das Netzwerk besteht aus 23 Servern (w2k8) und einem VPN, Einer Firewall und Mail-GW (alle drei Linux mit Stand 2004).

Linux einzusetzen ist nicht wirklich das Problem denn ich selbst bin unter anderem für das Monitoring mit Nagios zuständig. Allerdings haben wir bisher noch nicht mal ansatzweise etwas mit Proxyservern zu tun gehabt.

Sämtliche Server sind virtualisiert und werden einerseits durch TrendMicro DeepSecurity agentless via esx appliance geschützt und andererseits sind alle Clients via TrendMicro Office Scann geschützt welcher auch "böse" Seiten filtert. Bei den Usern handelt es sich um ca. 80 User die kaum Websites aufrufen können wobei dies auch verschiedene Behördenseiten einschließt.

Wir selbst haben über 1500 User wobei die User so ziemlich alles tun dürfen. Lediglich wirklich gefährliche Seiten werden dann durch Office Scann geblockt und das klappt auch alles super.

Auf der besagten Maschine läuft eine Shoreline Firewall, Dansguardien und squid. Es wurde über die Jahre immer nur alles mögliche "hinzukonfiguriert" aber nichts wirklich sauber und erst recht keine alten Konfigurationen aus kommentiert oder entfernt. Die komplette Umgebung muss eh neu aufgesetzt werden wobei das ganze dann über unsere Hardware-Firewall laufen wird. Das lässt sich aber nicht mal eben umsetzen. Als "schnelle Lösung" muss unbedingt der Proxy entweder raus oder einfach nichts mehr filtern. "Einfach nichts mehr filtern" wäre dabei glaube ich die beste Lösung denn dann brauchen die GPO´s nicht auch noch angefasst werden um die Proxyeinstellungen beim User zu ändern zumal ich glaube das diese Einstellungen auch vielen Usern manuell eingerichtet wurden und im Image für die Rechner steckt. Da alle der User verstreut in Hamburg sitzen wäre das auch relativ aufwendig. Daher denke ich das es eben am günstigsten erst einmal wäre wenn der Proxy einfach nichts mehr filtert sondern alles zulässt. Leider hab ich von der Config dafür keine Ahnung und die Doku ist extrem mächtig.

Geht das überhaupt so umzusetzen? Wenn ja, wie würde eine solche Config-Datei aussehen? Der Proxy sollte egal von welchem in egal welches Netz alles zulassen.

Danke und Gruß,
Thomas
 
dslthomas said:
Leider hab ich von der Config dafür keine Ahnung und die Doku ist extrem mächtig.

Geht das überhaupt so umzusetzen?
Click to expand...
Ja, das geht. Aber ehrlich gefragt: Ist es nicht genau dein Job, dich in die konkrete Situation einzulesen und zu verstehen, was da vor sich geht? Das Ding hat Configs, das Ding hat Doku. Die wirst du wohl oder übel verstehen müssen, wenn das dein Auftrag ist.

Wenn du bei der Analyse der Situation im Detail nicht weiter weißt oder eine bestimmte Konfiguration nicht verstehst, kann man ja ggf. weiterhelfen. Aber so global? Du bist doch gebucht worden, um das Problem zu lösen, oder?
 
dslthomas said:
[...]Auf der besagten Maschine läuft eine Shoreline Firewall, Dansguardien und squid. Es wurde über die Jahre immer nur alles mögliche "hinzukonfiguriert" aber nichts wirklich sauber und erst recht keine alten Konfigurationen aus kommentiert oder entfernt. [...]
Click to expand...
Dann willst Du vermutlich den DansGuardian "ausschalten". D.h. diesen Dienst beenden und den Squid direkt zugreifbar machen (normalerweise wird in der Kombi DansGuardian/Squid der Squid immer auf lokal 127.0.0.1:3128 gebunden und der Filter DansGuardian läuft dann für alle erreichbar auf z.B. Port 8080)

siehe z.B. hier http://www.laub-home.de/wiki/DansGuardian_Filtering_Proxy_unter_Debian_/_Ubuntu_Linux

Sicherer finde ich allerdings, wenn Du Dir die DansGuardian-config anschaust inkl. der dort gesetzten Filtereinstellungen und ggf. URL-Listen.
 
Ja,- das ist so ne Sache,- ... wir sind ein Unternehmen welches im Sozialen NonProfit-Bereich angesiedelt ist. Der Kunde der jetzt dazu gekommen ist, macht beispielsweise Schuldnerberatung. Dessen Dienstleister hat nach jahrelanger Misswirtschaft das Handtuch geworfen und wir haben allen in einer "Nacht und Nebel-Aktion" übernehmen müssen.

Das Problem sind hier nicht nur gefilterte Websites sondern auch Downloadbeschränkungen, Portbeschränkungen etc. Hinzu kommt, dass alles vom Standard abweicht. So ist der sonst übliche Port 3128 auf den Port 3328 gelegt. Ich drehe durch wenn ich mir diese Systeme anschaue.... so etwas habe ich noch nie gesehen.

Wie würde denn eine Config des Squid aussehen wenn ich sage alles wird zugelassen?
 
dslthomas said:
[...]Wie würde denn eine Config des Squid aussehen wenn ich sage alles wird zugelassen?
Click to expand...
Nur an der Config des Squid zu arbeiten wird Dir nichts bringen. Bzgl. Ports wirst Du das Firewall-Regelwerk untersuchen müssen. Zugriffsbeschränkungen/Filter inkl. Download-/Uploadrequests können im DansGuardian stehen als auch in der Squid-Config verankert sein.

Ich sag's mal ganz deutlich - lamentieren wird Dir hier nicht helfen und bei den aktuell gegebenen Informationen können wir nur mit Dir zusammen weinen aber nicht helfen. Kurz: die Configs und Regelwerke müssen her.

Btw, ich erkenne die Eilbedürftigkeit hier nicht, denn bisher hat man doch wohl auch damit gelebt. Daher plädiere ich nach wie vor für eine überdachte Neukonzeption statt im Schnellschuss alles freizugeben und damit das interne Netz zu gefährden; besonders vor dem Hintergrund, dass hier offensichtlich sensible Daten im Rahmen der Schuldnerberatung verarbeitet werden. Ich kann nur empfehlen, dass Brecheisen tunlichst im Schrank zu lassen und sich nicht unnötig unter Druck setzen zu lassen. Geht was schief, bist Du am Ende Schütze Arsch und nicht der alte Dienstleister.
 
in der Dansguardian-Config scheint ein Fehler zu sein: proxyport = 3329 soll wohl proxyport = 3328 lauten.

Im übrigen sehe ich meine Vermutung bestätigt. Die Filterregeln und ACLs sind über DansGuardian und Squid verteilt. Allerdings ist die Squid-Config jetzt nicht so unlesbar (und z.T. auch kommentiert oder sprechend benannt), dass man das nicht anhand der Squid-Doku analysieren und anpassen könnte.

Ich würde empfehlen eine Version ohne Kommentarzeilen anzulegen, das ist übersichtlicher.

Im übrigen bleibe ich bei meiner Empfehlung: Setze den Gateway komplett neu mit Dir bekannten Software-Produkten auf und verteile dann die neue Konfig an die Clients.
 
Last edited by a moderator:
Selbst, wenn du den Proxy umkonfigieren kannst (wenn du alle auskommentierten Zeilen löscht, wirds übersichtlich), läuft da immer noch ...ja was eigentlich?

Hast du mal überprüft, welche Distribution da läuft? Schlimmstenfalls ein Linux, was seit fast 10 Jahren nicht mehr mit Updates versorgt wird und auf dem sich schon diverse Hacker eingenistet haben.

Außerdem solltest du dir mal die Firewallconfig (Stichwort: iptables -nvL [-t nat]) und das Routing angucken.
 
You must log in or register to reply here.
Back
Top