Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



25.10.2019

Skalowalna infrastruktura

Red Hat OpenStack Platform 15
25.10.2019

Cienki klient 2.0

Windows Virtual Desktop
25.10.2019

Nowy sprzęt Microsoftu

Rodzina Surface się powiększa
24.10.2019

Serwery ARM

Oracle stawia na Ampere Computing
24.10.2019

Wszechstronny i elegancki

Dell XPS 15
10.10.2019

CYBERSEC EXPO - największe w...

Bezpieczeństwo cyfrowe nie jest problemem dotyczącym jedynie działów IT. Obecnie stanowi...
30.09.2019

Nowości w wirtualizacji

VMware World 2019
30.09.2019

Bezpieczeństwo mobile-first

Android 10

Artica Proxy

Data publikacji: 24-10-2019 Autor: Konrad Kubecki
Rys. 1. Interfejs webowy...

Wdrażanie usług sieciowych w systemie Linux przede wszystkim wymaga posługiwania się terminalem. Bez niego trudno wyobrazić sobie pełną kontrolę środowiska. Dostępne są jednak bazujące na oprogramowaniu open source rozwiązania wyposażone w webowy interfejs graficzny, które znacznie ułatwiają zarządzanie i skracają czas potrzebny na czynności administracyjne.

 

Jednym z gotowych rozwiązań w tej kategorii jest appliance Artica Proxy. Zbudowany został na bazie jądra systemowego Linux i sprawdzonego darmowego oprogramowania i umożliwia szybką konfigurację serwera usług sieciowych. Najważniejszą cechą Artica Proxy jest prosty interfejs webowy, który w kilka chwil i bez potrzeby korzystania z wiersza poleceń umożliwia uruchomienie wielu usług typowych dla serwerów pełniących rolę proxy, firewalla lub gateway.

Dostępne do zainstalowania usługi podzielone zostały na siedem głównych kategorii: Network, Members, Monitoring, Statistics, Network Security, Data transfer oraz Proxy Features. Włączenie dowolnej usługi sprowadza się do odszukania jej na liście i kliknięcia przycisku instalacji. Automatycznie do interfejsu webowego dodawane są nowe karty, dzięki czemu możliwe jest od razu dokonanie zmiany ustawień. Warto zwrócić uwagę, że korzystanie z konkretnych funkcji jest zazwyczaj możliwe już przy domyślnej konfiguracji, co docenią przede wszystkim ci administratorzy, którzy nie są zbyt biegli we wdrażaniu usług sieciowych w systemie Linux. Kilkoma kliknięciami da się uruchomić cały zestaw usług o dość zaawansowanych możliwościach i nie jest do tego potrzebna dogłębna wiedza. Z domyślnych ustawień mniej zadowoleni będą doświadczeni specjaliści, oczekujący kontroli nad każdym, nawet najbardziej zaawansowanym aspektem usług. Dla wielu z nich terminal jest wszystkim, czego potrzebują, a zarządzanie z poziomu przeglądarki to zbędny dodatek. Dla nich w Artica Proxy przygotowano możliwość dostępu poprzez SSH po wcześniejszej instalacji serwera OpenSSH. Interfejs webowy dostępny jest pod adresem https://ip_serwera:9000.

Do wyboru mamy kilka scenariuszy uruchomienia Artica Proxy. Możliwe jest pobranie obrazu ISO, który instaluje pełne środowisko oparte na 64-bitowej dystrybucji Debiana. Dostępny jest wirtualny appliance, przygotowany do wdrożenia na VMware ESXi. Istnieją ponadto gotowe maszyny wirtualne dla Hyper-V oraz Citriksa. Administratorom ceniącym pełną kontrolę nad systemem operacyjnym oraz usługami na serwerze polecić można skrypt instalacyjny. Uruchamia się go dopiero po samodzielnej instalacji Debiana, przeprowadzonej wedle własnych preferencji. Pierwszy krok, jaki należy wykonać, to wybór licencji.

> DARMOWY VS KOMERCYJNY

Appliance Artica Proxy dostępny jest w dwóch wersjach licencyjnych. Darmowa Community bazuje na warunkach określonych w GPL3 i pozwala na korzystanie z oprogramowania bezpłatnie, przy czym niektóre funkcje są w niej niedostępne lub ograniczone. Komercyjna licencja Enterprise oferuje więcej możliwości oraz zwiększoną wydajność podczas obsługi większej liczby komputerów. Funkcje dostępne w wersji Enterprise, których brakuje w wariancie w Community, to m.in.:

 

  • Obsługa wielu procesorów przez Squida. W darmowej edycji występuje ograniczenie do jednego CPU i jednego katalogu na dyskowy cache o wielkości 2 GB. Limit ten może mieć znaczenie, jeśli z Artica Proxy korzystać będzie wielu użytkowników – wówczas Squid wykorzystujący moc obliczeniową tylko jednego procesora może nie być wystarczająco wydajny. Edycja Enterprise pozwala na tworzenie kolejnych katalogów cache i powiązanie ich z dodatkowymi procesorami.
  • Możliwość integracji z usługą Active Directory. Pozwala na uwierzytelnianie użytkowników na podstawie ich kont domenowych.
  • Większa baza filtrowanych stron internetowych. Na filtrowaniu witryn zbudowana jest blokada reklam, mediów społecznościowych, stron zawierających złośliwy kod oraz niechcianych treści. Filtry bazują na regułach, które określają kategorię stron oraz typ akcji. Inny typ akcji uruchamiany jest dla kategorii stron, które administrator doda do białej listy, a inny dla tych przyporządkowanych do czarnej listy. Możliwe jest m.in. zablokowanie dostarczania witryn do przeglądarki, co skutkuje wysłaniem do klienta strony zastępczej, informującej o zdarzeniu. Darmowa edycja Artica Proxy dysponuje bazą kategoryzującą niemal półtora miliona stron, np. reklamy, serwisy audio i wideo, strony zakupowe, blogi, czaty, pornografię, treści potencjalnie związane z terroryzmem czy spyware. W edycji Enterprise w bazie znajdują się 34 miliony witryn. Za jej zawartość odpowiadają twórcy Artica Proxy działające u klientów serwery cyklicznie sprawdzają dostępność aktualizacji.
  • Rozszerzona obsługa oprogramowania antywirusowego – przechodzące przez Squida treści mogą być skanowane przez oprogramowanie antywirusowe. Darmowa edycja Artica Proxy obsługuje jednak tylko antywirusa ClamAV. Edycja komercyjna umożliwia zastosowanie oprogramowania Kaspersky Web Traffic Security, C-ICAP Antivirus/Web Filtering, WebSense Web Filtering, Olfeo Web Filtering oraz Proventia. Produkty te znacznie rozszerzają możliwość inspekcji treści, wykorzystując protokół ICAP do ochrony antywirusowej, wykrywania spyware, ransomware, filtrowania treści i monitorowanie stanu ochrony.
  • Nielimitowana historia statystyk. Edycja Community przechowuje statystyki z ostatnich pięciu dni.


> SQUID

Artica Proxy bazuje na usłudze Squid, więc wiele elementów interfejsu webowego służy do konfiguracji tego serwera pośredniczącego. Administrator ma do dyspozycji takie ustawienia, jak port do nasłuchu, metoda uwierzytelniania użytkowników, obsługa protokołów SSL, FTP, wartości timeout dla różnych typów akcji czy limity związane z rozmiarami nagłówków i buforów. Wygodną funkcją są także reguły globalne. Można je włączyć dla takich aplikacji, jak Dropbox, WhatsApp, Skype, Lync Online, Office 365, TeamViewer czy klienty usług Google. Działanie reguł globalnych polega na tym, że wybrana aplikacja zostaje oznaczona jako zaufana przez Squida. Powoduje to, że związany z nią ruch sieciowy nie będzie blokowany przez serwer proxy, będzie także wyjątkiem dla filtrowania ruchu, ochrony antywirusowej lub list dostępu. Wykonanie takiej czynności przez interfejs webowy Artica Proxy sprowadza się do kliknięcia jednego przełącznika.

Ponadto możliwe jest tworzenie białych i czarnych list, zawierających nazwy domen, które mają być traktowane inaczej, niż wynika to z ogólnej konfiguracji serwera pośredniczącego. Na białych listach umieszcza się witryny, wobec których w Squidzie wyłączone ma być filtrowanie, uwierzytelnianie lub deszyfrowanie protokołu SSL. Takie witryny traktowane są łagodniej lub wręcz są pomijane przez część mechanizmów odpowiadających za pośrednictwo usługi Proxy czy inspekcję pod kątem bezpieczeństwa. Czarne listy służą blokowaniu ruchu do wskazanych witryn. Zarówno działanie proxy, jak i w zasadzie wszystkich innych działających na appliance usług objęte jest zliczaniem statystyk. Stąd, obok konfiguracji, administrator ma do dyspozycji wykresy ilustrujące obciążenie. Dla Squida dostępne są m.in. wykresy pokazujące ruch sieciowy, liczbę zapytań do proxy oraz stan zapełnienia katalogów cache w różnych przedziałach czasowych: dziennym, tygodniowym, miesięcznym i rocznym.

> DNS

Domyślnie zainstalowaną na Artica Proxy usługą jest serwer DNS. W rezultacie możemy liczyć na  przyspieszenie rozwiązywania nazw na potrzeby komputerów korzystających z opisywanego appliance’a, które zazwyczaj znajdują się w tej samej sieci lokalnej. Obsługa żądań związanych z protokołem DNS w wielu przypadkach odbywa się szybciej, gdy realizuje ją lokalnie umieszczony serwer DNS, a nie odległy geograficznie serwer publiczny. Usługa DNS w Artica Proxy to  często stosowany na serwerach linuksowych serwer Unbound, chociaż dostępny jest także PowerDNS. Ten drugi wymaga dodatkowo silnika MySQL, który służy jako miejsce do przechowywania rekordów.

 

[...]

 

Specjalista ds. utrzymania infrastruktury i operacji. Zajmuje się problematyką budowy i utrzymania centrów przetwarzania danych oraz zarządzania nimi i koordynowaniem zmian dotyczących krytycznej infrastruktury IT. 

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"