Cette page est une page souvent référencée par les moteurs de recherche. Mais elle est assez technique et ne répond peut-être pas
à votre besoin (si vous êtes un particulier). Nous avons, dans ce cas, une autre page, plus courte et plus utile pour vous :
protection_enfance.html. Pour ceux qui veulent une information plus précise sur la liste noire
/blacklists.
Introduction
For the
English version.
SquidGuard est un
redirecteur qui utilise la librairie Berkeley Database de
sleepycat. Attention à la version (2.x pour squidguard 1.1.x et
3.x pour squidguard 1.2.x).
Son url
http://www.squidguard.org.
Ses auteurs sont
- Päl Baltzersen
- Lars-Erik Häland
Ces 2 auteurs semblent ne plus être disponibles. Leur outil a donc été repris par shalla pour continuer
Il nécessite une version récente de la Berkeley Database (>3.2.x )
Nous hébergeons un répertoire de contributions personnelles :
ftp://ftp.ut-capitole.fr/pub/reseau/cache/squidguard_contrib/
Vous trouverez d'autres informations en français concernant squidguard sur ces sites
Dans d'autres langues vous avez aussi
Etudes
Administration de Squidguard
Afin de faciliter l'administration de SquidGuard, plusieurs outils existent, ainsi que des distributions
toutes faites
Distributions spécialisées
Plus simple encore : des distributions spécialisées
Solutions matérielles peu couteuses
- SNDNYD : Une explication sur l'installation d'un mécanisme de filtrage à partir d'un raspberry. Cliquez sur le titre pour récupérer la documentation au format pdf.
- Boitier Frogi-Secure
Ses concurrents
- websify de Gotzon Astondoa est un filtre gratuit pour Windows qui vient de sortir. Il se base sur la blacklist que nous maintenons.
- urlfiterservice un logiciel de filtrage pour tout navigateur sous Windows
- NaomiFilter est un filtre gratuit pour Windows, mais qui n'est plus maintenu. C'est fort dommage, il est très bon.
- SquidWall est un redirecteur squid qui est capable, a l'instar de Dansguardian, de regarder le contenu.
- http://www.urlfilterdb.com/ est un redirecteur squid de filtrage gratuit. Sa base de filtrage est payante.
- Hostess est un outil écrit en JAVA par tatewake qui utilise la base squidguard. Il transforme celle-ci en un fichier host qui permet de bloquer de manière transparente les sites interdits.
- http://perso.wanadoo.fr/marintabouret/minfilt/ M_Infilt. C'est un développement d'un enseignant
qui utilise notre base de filtrage. L'outil est jeune mais très prometteur. Il est capable de filtrer aussi sur
des mots clés. Une petite page locale le décrit ici.
- http://software.othello.ch/mod_dnsbl Un module de filtrage basé sur le DNS et conçu pour Apache et
Squid. Il peut utiliser notre base de données
- http://soulcatcher.sourceforge.net Soulcatcher est un redirecteur comme squidGuard
- Un module Access pour ISA server. Il peut utiliser
notre base de données.
- Squirm 1.0b le premier redirecteur que nous avons utilisé. Premier
redirecteur écrit en C. Plus rapide et moins gourmand que redirector. Il n'a plus d'url.
- JunkBuster qui en fait n'est pas un
redirecteur au sens Squid, mais plutôt un second proxy qui va s'emboiter sur Squid.
- Jesred successeur de squirm
- Custodian. C'est (c'était ???) un redirecteur qui "hashe" ses listes d'URLS
afin de ne pas les diffuser en clair. Il semble avoir disparu.
- RedServer Redirecteur qui ne semble plus disponible.
- Active-Guardian date de 1998, il se basait sur les recommandations
PICS et ne se compile pas avec la glibc (d'après la documentation). Il est configurable par
l'intermédiaire d'un navigateur.
- DansGuardian Successeur d'active guardian, il se basait sur le contenu (avec une partie filtrage d'URLs). Il n'est plus maintenanu depuis 2012
- E2guardian Successeur de DansGuardian, il se base sur le contenu.
- Un grand nombre de sociétés proposent un service équivalent.
Ses avantages :
- Il est rapide 250000 urls par seconde sur un bi-xeon 3 GHz avec 12 catégories totalisant plus d'1 million d'urls
- Il permet de différencier la transformation (on n'interdit, on transforme l'url) suivant :
- L'adresse de la machine
- L'identité de l'utilisateur
- L'URL (évidemment)
- L'horaire de la consultation
- La classe de redirection (par exemple on peut définir une classe publicité,
une classe adult, etc...)
- Insensibilité à la taille signifie aussi que l'on utilise moins les Urls
génériques qui sont souvent source
d'erreurs (la machine xxx qui se trouve à la NASA par exemple).
- En fait ses concurrents GPL sont tous au point mort depuis plusieurs années. Seul DansGuardian (qui est
d'ailleurs un véritable proxy) est encore actif. Mais il fait payer ses Bases de données.
Pratique : scripts / bases de données / conseils
Scripts
- Les filtres à mettre en place dépendront énormémement des orientations de
votre établissement : une université en sciences sociales comme la nôtre n'aura pas besoin
des mêmes filtrages qu'une école d'ingénieurs en informatique.
- Des scripts très utiles pour repérer les URLs pornographiques dans un log squid (et plus) créées par Cedric Foll : http://savannah.nongnu.org/projects/pornfind/
- Si vous désirez mettre à jour votre propre liste :
- Pour que la mise à jour soit simplifiée, ce script permet d'utiliser la liste généréee par le script précédent : ajout_squidguard.sh.
Il suffit dans l'éditeur de votre choix d'effacer les lignes réellement à interdire.
- Un exemple de cgi de blocage : blocked.src
Conseils
- Utiliser le moins possible les regular expressions. Elles sont très consommatrices de temps CPU. Leur
utilisation double très rapidement le temps nécessaire au traitement d'une URL. Ceci explique pourquoi la base adult intègre plusieurs milliers domaines de plus qui étaient traités avant par les regular expressions. On divise (en gros) par deux le temps de traitement.
- Vous pouvez souvent accepter quelques très rares "débordements" (moins de 0.1%) en mettant
dans le paramétrage de squid (à partir de la version 2.2 )
redirector_bypass on. Cela permet en cas de saturation des redirecteurs de ne pas les utiliser. C'est une
méthode efficace pour éviter des blocages.
- Comment obliger le passage par squid ?
- Mettre un filtre sur le routeur : efficace, rapide, sans bavure
- Faire de la redirection transparente : fonctionnalité disponible sur Linux (iptables) OpenBSD (ipfilter et packetfilter) et Solaris (nécessite que le serveur cache soit routeur).
- Tout aussi efficace, mais uniquement si vous utilisez squid à partir de la 2.3 : le protocole WCCP qui
redirige automatiquement les requêtes http qui passe par le routeur vers un cache.
- Mettre un goulot d'étranglement sur le routeur par RSVP, Traffic Shaping ou CAR sur les CISCO,
priorisant ainsi le trafic en provenance des caches.
- Mettre un outil tel que juggernaut ou couic sur le brin d'accès Internet
- Remplacer la pile TCP/IP des clients Microsoft par la pile spéciale
socks de hummingbird,
et configurer celle-ci pour
se connecter à un serveur socks imaginaire pour les ports 80 : très efficace.
Nous l'avons testé avec succès.
- la mise en place d'un tel outil dans un cas de filtrage pornographique est quasiment
obligatoire d'après l'article suivant: (Merci à Bertand Astric)
Article 227-24
Le fait soit de fabriquer, de transporter, de diffuser par quelque moyen
que ce soit et quel qu'en soit le support un message à caractère violent ou
pornographique ou de nature à porter gravement atteinte à la dignité
humaine, soit de faire commerce d'un tel message, est puni de trois ans
d'emprisonnement et de 75000 € d'amende lorsque ce message est
susceptible d'être vu ou perçu par un mineur.
Lorsque les infractions prévues au présent article sont soumises par la
voie de la presse écrite ou audiovisuelle, les dispositions particulières
des lois qui régissent ces matières sont applicables en ce qui concerne la
détermination des personnes responsables.
article disponible :ICI
Rappel : il suffit d'un seul mineur dans votre établissement.
- Maintenant, voici les raisons qui nous ont poussé à l'installer :
- A l'origine c'était une question de bande passante (quand nous étions à 512 Kb/s, le
taux d'utilisation avoisinait les 90% en journée).
- Quasiment tous nos postes étudiants sont en libre-accès pour le travail ET pour Internet.
640 postes pour 17 000 étudiants c'est déjà un gros effort pour une université de sciences sociales.
Hors il arrive trop souvent que des queues se forment devant les salles alors que certains ont des utilisations pour
le moins "légères".
Bases de données
Pour une explication plus complète de notre base de données, regardez la page suivante
http://dsi.ut-capitole.fr/blacklists.
D'autres bases sont disponibles :
Filtrage anti viral
Des outils existent pour permettre à un redirecteur squid (à l'origine, Squirm) d'envoyer une URL suspecte sur un
logiciel antiviral.
- http://viralator.loddington.com permet ainsi de vérifier des fichiers avec un anti-virus commercial. Attention, avec Internet Explorer, les scans se passent mal pour les transferts ftp.
Une version spécifique SquidGuard a été développée par Ankit Jain. Elle
est disponible ici en version 0.9b2 viralator-squidguard.pl.txt. Pour l'utiliser il suffit de mettre une redirection du type
redirect http://127.0.0.1/viralator.cgi?url=%u
- http://www.hycomat.co.uk/viromat/ est écrit en PHP et fait le même travail, mais son auteur a préféré arrêter le projet et fait désormais partie de l'équipe qui développe viralator
- http://ostatic.com/scavrSCAVR (SquidClamAV Redirector)
Listes de diffusion
Projets connexes
- http://www.surbl.org est un site qui était initialement prévu pour les spams. Il gère des listes dns
qui pourraient dans un proche avenir être utile à squidguard. En particulier, les pornographes aimant beaucoup
le spam, la blacklist va bientot se retrouver sur ce DNS.
FAQ
Définitions
Redirecteurs : Un redirecteur est un programme qui "s'attache" à
Squid et
qui permet une réécriture des URLs avant de les passer au cache proprement dit.
Cela permet de modifier les Urls
- soit pour restreindre les accès (Urls à caractère pornographique, ludique, etc...)
- soit pour faire disparaître les publicités (et donc accélérer
considérablement le trafic, les bandeaux étant généralement
régénérés à chaque appel)
- soit pour diriger l'utilisateur vers un miroir local (par exemple les téléchargements de Netscape Navigator)
Pour les mettre en place, il suffit de rechercher dans le
squid.conf la ligne redirector :
redirect_program /usr/local/squidGuard/bin/squidGuard
et de préciser le nombre de fils que l'on souhaite :
redirect_children 20
Attention, mettez en assez, pour que le processus principal ne soit pas bloqué en attente d'un
process redirecteur libre. Inutile non plus d'en mettre trop (charge mémoire).
Les redirecteurs font quasiment tous, au départ, de 800 Ko à 1600 Ko.
De toute manière Squid en limite le nombre à 32.