Squid + Dansguardian + c-icap + ClamAV на базе CentOS 7

[kvaps]

Dansguardian штука прикольная тем, что умеет фильтровать по содержимому страцицы, он умеет считать количество "плохих" слов и в зависимости от этого принимать решение блочить страницу или нет.

В нашу эпоху повсеместного шифрования стоит задуматься нужно ли это все, т.к. для проксирования https-трафика придется либо надламывать соединения посередине, для этого так же нужно будет установить сертификат вашего прокси-сервера на каждое клиентское устройство, либо просто оставить https-трафик неподконтрольным...

[ls1]

Фильтрация плохих слов и прочего (не касающееся безопасности) это имхо вахтёрство. Сквид хорош тем, что умеет вести логи (которые потом можно скармливать всевозможным логпарсерам)

[kvaps]

Каждая софтина для чего-нибудь да создавалась, и я не назвал бы это "вахтерством".
Я лишь рассказал об одной из основных функций Dansguardian, о которой не упомянули в статье. Чем хорош squid и так сказано не мало.

[Godless]

Настройка/сборка/пересборка самого сквида, равно как и его аддонов не сложная задача…
А вот как сквидом ограничивать доступ к https/http сайтам + авторизация kerberos? Это сложная задача или нет?
Цель — авторизация по группам в АД + фильтрация контента, в основном рекламного.

[ls1]

http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerberos
А рекламу эффективно можно резать только аддонами браузера (ибо javascript)

[ls1]

http://wiki.squid-cache.org/ConfigExamples/Authenticate/WindowsActiveDirectory

[Godless]

Да я сделал и kerberos, и фильтрацию.Надо чтоб вместе…
Просто ssl bump хочет прозрачный порт, а авторизации на прозрачных портах нет...

[ls1]

Зачем эти полумеры, все приличные люди корпорации внедряют у себя полноценный SSL-MITM SSL-Inspection

[Godless]

Ну спасибо)

[mihmig]

Насколько базы clamav актуальны по сравнению с коммерческими антивирусами?
Не получится ли так что «иллюзия защищённости» гораздо хуже отсутствия защищённости?

[artemii]

В сети есть большое количество упоминаний (или тут )про сравнение эффективности ClamAV и других антивирусов. К сожалению, эффективность на нахождение вирусов у ClamAV несколько ниже, чем у лидеров отрасли Trend Micro, Kaspersy и тп.
Следует помнить, что основное применение ClamAV — интернет и почтовые шлюзы. Для защиты рабочих станций данный продукт использовать, мне кажется, не стоит.

[foxmuldercp]

То, что вы описали — ничего с 2006 года не поменялось. А вот прикрутить к сквиду MS AD и группы AD, к которым привязать ACL по скорости и доступу (фримыло, социалки, чатики) это уже интересный кейс, и сейчас я не уверен что смогу это повторить, хотя в 2006м я это еще на 6й фре делал

[albik]

Нет, ну я все понимаю, но в сети и так статей про эту связку как грязи, и эта статья, скомпилированная по мотивам, ровным счетом ничего нового не рассказывает.

Можно же было хотя бы упомянуть про то, что данс уже несколько лет как заброшен, на смену ему пришел форк e2guardian, который достаточно активно пилится (и наверняка есть в репах). А еще данс (а по наследству и форк) не распознает кодировку документа, из-за чего надо составлять три списка (CP1251, KOI8-R, UTF-8).

Кстати, о clamav — смысла его использовать я вообще не вижу. По всем тестам он последний, и толку лишний раз нагружать сервер, когда даже фриварный аваст ловит на порядок больше. Если уж хочется защищенности — купите серверный DrWeb, со сквидом он дружит, а так это просто бессмысленная трата ресурсов ради ощущения мнимой защищенности.

[Maxyt]

Имхо, самая дешевая железка от FortiNet умеет делать все это и даже лучше.