Возможности программы HandyCache
- Многоязычный интерфейс
- Настраиваемый список кэширования
- Чёрный список — фильтрация рекламы и прочего нежелательного контента
- Позволяет не обновлять свежие файлы — возможность брать из кэша файлы полученные не позднее чем через период времени, заданный в настройках
- Возможность временной отмены действия списков по нажатию заданной клавиши
- 2 каталога кэша, а также 2 каталога кэша <только для чтения>
- Ограничение доступа к программе заданными IP-адресами, а также авторизация по имени пользователя
- Запрет загрузки файлов, превышающих заданный размер
- Работа в автономном режиме (когда информация берётся только из кэша программы), временный переход в автономный режим по нажатию клавиши, переход в автономный режим по нажатию сочетания клавиш
- Очистка кэша по заданным параметрам
- Кэширование посещённых страниц в оперативной памяти компьютера
- Кэширование DNS
- Интегрированный дозвон
- Возможность использования внешнего (родительского) прокси-сервера
- Работа с FTP (без внешнего прокси)
- SOCKS5-прокси
- Перенаправление TCP и UDP-портов
- Расширения на языке lua c широкими возможностями (в том числе фильтрация контента на лету)
- Управление программой через HTTP-протокол
- Интеграция в Internet Explorer
- Монитор загрузки
- Статистика экономии трафика
- Все списки программы используют регулярные выражения. Для отладки регулярных выражений в программе имеется тренажёр
Рисунок 2.1 Меню программы HandyCache
Условия использования.
Программа HandyCache бесплатна для некоммерческого использования, о чём, в частности, указывается на сайте программы и на вкладке «о программе».
Платная регистрация программы снимает несколько ограничений (в связи с чем возможно классифицировать HandyCache как shareware):
- Отсутствие ограничений по количеству пользователей (в незарегистрированной версии — 5)
- Включает возможность кэширования https трафика, в бесплатной версии существует возможность опробовать эту функцию в течение получаса после загрузки программы.
- Не будет принудительно разрешаться загрузка рекламы с сайта программы.
- На вкладке «о программе» вместо стандартного текста будет указание имени пользователя.
- Наличие документов об оплате регистрации и возможность предъявлять их в случае проверки предприятия.
Таким образом, HandyCache может быть неплохим решением для систем Windows, однако его свойства, а именно проприетарность и закрытый исходный код могут послужить причиной уязвимости сети. Так как код системы закрыт, невозможно обнаружить уязвимость до того, как она будет использована для атаки. А платность программы вынуждает дожидаться устранения уязвимости силами сотрудников компании Microsoft, ожидая, когда будет выпущено обновление, закрывающее уязвимость. За это время проникшая вредоносная программа способна нанести значительный ущерб данным ЛВС предприятия. Недавний вирус WannaCry использовал уязвимость самой ОС Windows, и задержка реакции на заражение привели к многочисленным потерям данных по всему миру, тогда как свободное ПО менее подвержено риску за счет того, что анализируется множеством пользоателей, и решение проблемы может осуществить сам пользователь даже без большого опыта, узнав информацию на интернет-обсуждениях (форумах), посвященных определенной программе или проблеме в ней.
Squid.
Squid (англ. squid — «кальмар») — программный пакет, реализующий функцию кэширующего прокси-сервера для протоколов HTTP, FTP, Gopher и (в случае соответствующих настроек) HTTPS. Разработан сообществом как программа с открытым исходным кодом (распространяется в соответствии с GNU GPL). Все запросы выполняет как один неблокируемый процесс ввода-вывода.
Используется в UNIX-подобных системах и в ОС семейства Windows NT. Имеет возможность взаимодействия с Active Directory Windows Server путём аутентификации через LDAP, что позволяет использовать разграничения доступа к интернет ресурсам пользователей, которые имеют учётные записи на Windows Server, также позволяет организовать «нарезку» интернет трафика для различных пользователей.
Используется вместе с движками Mediawiki на wiki хостингах. Использование кэширующего прокси-сервера для сайтов становится выгодно примерно с 2000 посетителей в сутки.
Является одним из самых популярных прокси-серверов в мире, за счет своей эффективности, модульность, широкого диапазона настроек и бесплатности.
Сервер Squid развивается в течение уже многих лет. Обеспечивает совместимость с большинством важнейших протоколов Интернета, а также с операционными системами:
- AIX
- BSDI
- FreeBSD
- Linux
- HP-UX
- IRIX
- Mac OS X
- Microsoft Windows
- NetBSD
- NeXTStep
- OSF и Digital Unix
- OpenBSD
- SCO Unix
- SunOS/Solaris
Описание архитектуры
Для контроля доступа к ресурсам и определения ряда действий используются списки контроля доступа (англ. access control list, acl). Каждый ACL может состоять из нескольких критериев (но только одного типа):
- адрес (сеть) источника запроса, цели запроса
- имя (доменное имя) источника запроса, имя цели запроса
- части URL запроса
- протокол
- порт (получателя, отправителя, самого squid’а)
- метод (POST или GET) при передаче данных по HTTP
- браузер (User-agent)
- ident (запрос к рабочей станции)
- Номер автономной системы отправителя/получателя (не для всех случаев)
- Авторизация на прокси-сервере (см. ниже)
- Номер соединения (чаще всего используется для ограничения количества соединений)
- SNMP
- сертификаты пользователя
- параметры запроса
- внешние обработчики
Идентификация
Squid поддерживает несколько видов идентификации пользователей:
- По IP-адресу (или доменному имени узла)
- По переданным реквизитам (логин/пароль)
- По идентификатору пользовательского агента (браузера)
Для идентификации по логину/паролю возможно использовать:
- Обычные логин/пароль
- NTLM-авторизацию
- Внешние программы авторизации (определяющие формат авторизации)
Рисунок 2.2 схема комплекса LAMP, работающего вместе с сервером Squid.
Высокопроизводительное и отказоустойчивое решение для веб-сервера во враждебном окружении.
Редиректоры Squid
Squid имеет возможность переписывать запрашиваемые URL. Squid может быть сконфигурирован так, чтобы пропускать входящие URL через процесс редиректора выполняемого как внешний процесс (подобно dnsserver), который возвращает новый URL или пустую строку, обозначающую отсутствие изменений.
Редиректор не является стандартной частью пакета Squid. Редиректор предоставляет администратору контроль за передвижениями пользователей. Использование редиректора в сочетании с прозрачным проксированием дает простой, но эффективный контроль, над доступом к нежелательным ресурсам (например к развлекательным ресурсам и социальным сетям в корпоративной сети, порнографии). Программа-редиректор должна читать URL (один на строку) со стандартного входа и записывать измененные URL или пустые строки на стандартный выход. Нужно заметить, что программа-редиректор не может использовать буферизированный ввод-вывод. Squid дописывает дополнительную информацию после URL, которую редиректор может использовать для принятия решения.
SAMS (SQUID Account Management System) — программное средство для администрирования доступа пользователей к прокси-серверу Squid.
На данный момент SAMS настраивает работу редиректоров:
- Редиректор SAMS — редиректор, работающий напрямую с базами SAMS
- SquidGuard — очень мощный редиректор.
- Стандартный SQUID — простейший редиректор, описанный в документации к SQUID
Виды редиректоров:
Редиректор SAMS
Написан специально для SQUID, напрямую использует информацию, содержащуюся в базе данных. Позволяет включить различное перенаправление запросов для пользователей (регулируется шаблонами пользователей). Редиректор SAMS обеспечивает:
- ограничение доступа пользователей к SQUID
- контроль времени доступа пользователей к SQUID
- ограничение доступа пользователей к запрещенным ресурсам (или доступ пользователей только к разрешенным ресурсам)
- перенаправление запросов пользователей к баннерам, счетчикам и т. п.
Редиректор SquidGuard
Мощный редиректор с большими возможностями. В состав редиректора входят списки баннерных, порно и пр. доменов. SAMS добавляет в файл конфигурации SquidGuard squidguard.conf настройки на списки запрещенных доменов и перенаправления доступа SAMS. Настройки на списки, идущие с SquidGuard не изменяются и не удаляются.
При использовании редиректора SquidGuard в файл squid.conf заносятся acl, разрешающие доступ всех пользователей к SQUID. Ограничение доступа пользователей организовано средствами редиректора.
Стандартный SQUID
Этот редиректор описан в документации на SQUID. Написан на perl. Редиректор создается после подачи команды на реконфигурирование SQUID, на основе списков перенаправления запросов. Быстрый и легкий редиректор, но не различает пользователей.
При использовании этого редиректора, ограничение доступа пользователей по спискам запрета доступа организовано с использованием ACL SQUID. При использовании редиректора SQUID или если редиректор не используется вовсе, то существует возможность — при отключении пользователей за превышение трафика у них остается доступ к URL и IP адресам, прописанным в списке «Локальные домены».