Как в астра линукс запретить очистку браузера
Перейти к содержимому

Как в астра линукс запретить очистку браузера

  • автор:

Блокировка сайтов Astra Linux 1.6. Решено использованием squid.

Имеется несколько машин с Astra Linux SE 1.6, на одну установлен центр управления
drweb-11.00.2-201905070-esuite-server-unix-linux-x86_64 , на клиенты установлены — drweb-workstations_11.1.0-1905132145+mo~linux_amd64. Подскажите, чтобы разрешить трафик только на несколько ресурсов — возможно ли это реализовать средствами сервера или соответственно клиентов?
Рекомендации этого поста пока не помогают. Не ясно где взять сертификат для Mozilla.
Начали разбирать тему с саппортом DrWeb https://forum.drweb.com/index.php?showtopic=336814&p=905710

Последнее редактирование: 20.04.2023

Kaktus
New member

Сообщения 30

Пока что реализовали при помощи прозрачного squid 3.5 + ssl_bump
Работает только с Chromium (firefox не понимает системные настройки, и ограничить его работу возможно только принудительно указав в браузере на прокси), разрешаем при помощи whitelist.
https://wiki.astralinux.ru/pages/vi. 3520#id-ИспользованиеPROXY-Web-браузерFirefox

oko
New member

Сообщения 1 254

  • доставить на оконечную машину собственный корневой сертификат, которым подписан сертификат squid;
  • прописать групповыми или иными политиками в браузере конкретный адрес и «непрозрачный» порт squid;
  • оставить в организации разрешение на использование только одного выбранного браузера, а остальной софт, который требует выход во внешку, либо прописывать вручную как исключение из общей схемы (с фиксацией), либо тоже запретить;
  • вообще весь трафик с Интернет пропускать исключительно через прокси, не допуская самовольных соединений от оконечной машины с удаленными ресурсами Интернет.
oko
New member

Сообщения 1 254

  • базовая схема работы любого прокси-сервера (без учета NAT и проч. сетевых штук между клиентом и удаленным ресурсом): клиент (запрос с IP-клиента) → прокси (перехват, удержание сессии с клиентом и создание новой сессии с удаленным ресурсом с использованием IP-прокси) → удаленный ресурс («видит» IP-прокси, а не IP-клиента).
  • непрозрачный режим — клиентское приложение (тот же браузер) подключается к прокси-серверу, указывая адрес и порт соединения вручную. При этом, если клиентское приложения явно перенаправляет на прокси-сервер и HTTP, и HTTPS трафик, проблем с недоверием к SSL-сертификатам и управлением SSL-сессиями не возникает.
  • прозрачный режим — клиентское приложение знать не знает о наличии прокси-сервера, но все его соединения с «внешним миром» перехватываются и подменяются прокси-сервером автоматически. Увы, «прозрачный» режим в контексте SSL-сессии возможен только путем подмены сертификата.
  • фильтрация уровней L3, L4 и L7 — Squid способен анализировать DNS-домен назначения, DNS-домен источника, их IP-адреса, имена пользователей (если настроена аутентификация пользователей на прокси-сервере), а также анализировать URL-адреса и заголовки HTTP-протокола (и некоторых других протоколов). За счет этого можно фильтровать доступ клиентских приложений к чему угодно и как угодно;
  • терминирование HTTPS-соединений — Squid за счет механизма SSL-Bump способен проводить вышеописанную фильтрацию и терминировать (обрывать) HTTPS-сессию (поскольку она зашифрована) или вообще подменять/перенаправлять всю HTTP-сессию (поскольку данные передаются в открытом виде).
  • нет необходимости настраивать прокси на каждом отдельном хосте сети;
  • http и https трафик равнозначно перехватываются squid и фильтруются по белым или черным спискам, преобразуются, меняются, перенаправляются — тут как кому захочется;
  • для клиента подмена SSL-сертификата происходит незаметно: squid перехватывает соединение, отдает назначению (web-сайту или иному ресурсу) «свой» сертификат, а потом, после фильтрации, перенаправляет оригинальное соединение клиента с данным ресурсом.
  • нужен центральный сервер-шлюз, на который направляется весь клиентский трафик изнутри сети («default gateway» в сетевых настройках каждого клиента);
  • трафик через этот шлюз проходит от клиентов к внешним ресурсом «транзитом»;
  • https-трафик не дешифруется полностью, перехватывается только начала SSL-сессии, т.е. всецело логировать на таком шлюзе каждый пакет клиента в дешифрованном виде не выйдет.

1. Ставим Squid с поддержкой Openssl из репозитория: apt install squid-openssl

2. Генерируем сертификат для Squid (или используем уже готовый и подписанный каким-либо внутренним УЦ, если у нас реализован PKI): openssl req -new -newkey rsa:2048 -sha256 -days 3650 -nodes -x509 -extensions v3_ca -keyout /etc/squid/squidCA.pem -out /etc/squid/squidCA.pem, где:

  • rsa:2048 — алгоритм RSA и длина ключа 2048 бит;
  • sha256 — алгоритм хэширования sha256;
  • x509 — тип (стандарт) SSL-сертификата;
  • v3_ca — указатель, что SSL-сертификат будет самоподписанным (он же сертификат самоподписанного УЦ);
  • /etc/squid/squidCA.pem — путь к размещению SSL-сертификата.

4. Подсовываем конфигурационный файл /etc/squid/squid.conf. Исправляем его под нашу структуру сети и желаемые порты. Конфигурация хорошо документирована, так что это дело техники. В приведенной конфигурации предполагается, что сервер-шлюз имеет два «внутренних» IP (для двух разных подсетей): 172.16.0.1 и .192.168.1.1. «Внешний» IP не так важен в данном случае.

Спойлер: конфигурация squid с ssl-bump и transparent

# Базовые параметры
coredump_dir /var/spool/squid
visible_hostname ОТОБРАЖАЕМОЕ-ИМЯ-СЕРВЕРА (как правило FQDN-имя)
via off
forwarded_for off
shutdown_lifetime 1 seconds

# Параметры DNS (при явном указании dns_nameservers Squid не будет читать штатный /etc/resolv.conf — будет обращаться к указанному DNS-серверу)
dns_nameservers IP-АДРЕС-НУЖНОГО-DNS-СЕРВЕРА
dns_v4_first on
dns_timeout 5 seconds
check_hostnames on
allow_underscore on
dns_defnames off
ignore_unknown_nameservers on
ipcache_size 1024
ipcache_low 90
ipcache_high 95
fqdncache_size 1024

# Прозрачный порт для HTTP (перенаправление происходит автоматически через iptables):
http_port 172.16.0.1:3128 intercept
http_port 192.168.1.1:3128 intercept

# НЕпрозрачный порт для HTTP (можно указать в настройках любого клиентского приложения):
http_port 172.16.0.1:3129
http_port 192.168.1.1:3129

# Прозрачный порт для HTTPS (перенаправление происходит автоматически через iptables):
https_port 172.16.0.1:3130 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/squidCA.pem
https_port 192.168.1.1:3130 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/squidCA.pem

# Перечень портов, на которые Squid будет передавать соединение
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 443 # https
acl CONNECT method CONNECT

# определяем тип acl (black_list_special — специальный черный список для этого прокси, white_list_special — белый список)
acl black_list_special dstdom_regex -i «/etc/squid/black_list_special.txt»
acl white_list_special dstdom_regex -i «/etc/squid/white_list_special.txt»

# Описание подсетей или отдельных клиентов, от которых допустимы запросы к Squid (остальные будут отбрасываться)
acl arm0 src 172.16.0.2-172.16.0.100
acl mainservers src 192.168.1.2-192.168.1.50
acl all src all

# Параметры разрешения и блокировки доступа по умолчанию
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager

# Параметры разрешения доступа от нужных объектов с учетом черных и белых списков
# — параметры выполняются Squid построчно, поэтому важен порядок записей
# — allow разрешить, deny — запретить
http_access allow all white_list_special
http_access deny all black_list_special
http_access allow arm0
http_access allow mainservers
http_access allow localhost
# — последним всегда указываем блокировать все и ото всех
http_access deny all

# Все запросы, проходящие через этот прокси, МОЖЕМ (если хотим) переводить на другой прокси
#cache_peer IP-АДРЕС-ВЫШЕСТОЯЩЕГО-ПРОКСИ parent 3128 0 proxy-only default no-netdb-exchange no-digest
#cache_peer_access IP-АДРЕС-ВЫШЕСТОЯЩЕГО-ПРОКСИ allow all
#never_direct allow all

# Дополнительные опции SSL (закомментировано для случая ПЕРЕНАПРАВЛЕНИЯ на вышестоящий прокси-сервер)
#always_direct allow all
always_direct allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
sslcrtd_program /usr/lib/squid/security_file_certgen -s /var/spool/squid/ssl_db -M 8MB
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump splice all

# Опции кэширования (подходят для инфраструктуры в 100 одновременных клиентов)
cache_dir ufs /var/spool/squid 20248 64 256
maximum_object_size_in_memory 32 MB
maximum_object_size 16 MB
minimum_object_size 10 KB
# — выделяем 1Гб ОЗУ под кэширование
cache_mem 1024 MB
cache_swap_low 90
cache_swap_high 95
memory_replacement_policy lru

# настраиваем журнализацию (ротация 0, потому что файлы журналов контролируются logrotate)
logformat speciallog %tl — %>a — %un — «%rm %ru» — «%>h» — %>Hs % cache_store_log none
client_db off
buffered_logs on
# — не забываем настроить /etc/logrotate.d/squid
logfile_rotate 0
#. первый лог-формат для SARG
access_log /var/log/squid/access_sarg.log
#. второй для человекочитабельности
access_log /var/log/squid/access_text.log speciallog

# Отображения страниц ошибок средствами Squid (можно подправить шаблоны для корпоративного стиля), но работает это только для HTTP
error_directory /usr/share/squid/errors/ru
error_map ERR_ACCESS_DENIED 403,404,407,408,423,500,502,503,504,523,526
deny_info ERR_ACCESS_DENIED black_list_special

Как в астра линукс запретить очистку браузера

Настройки мониторинга сетевых соединений

На вкладке SpIDer Gate вы можете настроить политики безопасности, которые монитор сетевых соединений SpIDer Gate будет использовать при проверке отправляемой и получаемой электронной почты, а также при контроле обращений к Интернет.

Рисунок 55. Вкладка настроек контроля доступа к сети

Устанавливая и сбрасывая переключатели в разделе Мониторинг сетевой активности , вы можете определить, какие типы сетевой активности контролирует монитор, если он включен .

Переключатели в разделе Параметры мониторинга определяют, доступ к веб-сайтам каких категорий блокируется (это относится не только к попыткам доступа к этим сайтам через браузер, но и к блокировке сообщений электронной почты, содержащих ссылки на такие веб-сайты). Устанавливая или снимая соответствующие переключатели, вы можете запретить или разрешить доступ к веб-сайтам следующих категорий:

URL, добавленные по обращению правообладателя

Сайты, содержащие материалы, нарушающие законодательство об авторских правах (по мнению правообладателя материалов, размещенных на сайте ). Это различные «пиратские» сайты, каталоги файловых ссылок, файлообменные ресурсы и т.п.

Сайты, содержащие сомнительное содержимое, заподозренные в фишинге, краже паролей и т.п.

Сайты для взрослых

Сайты, содержащие материалы, предназначенные только для взрослых (эротического и порнографического характера)

Сайты, содержащие описание и демонстрацию сцен насилия (включая войны, сцены террористических актов и т.п.)

Сайты, посвященные описанию и изготовлению оружия и взрывчатых веществ

Сайты, посвященные азартным играм и играм на деньги, в т.ч. онлайн-казино

Сайты, посвященные наркотическим веществам, в т.ч. описанию их изготовления или опыта их употребления

Сайты, содержащие нецензурную лексику

Сайты, посвященные терроризму

Сайты бесплатных почтовых служб

Сайты социальных сетей

База категорий веб-ресурсов поставляется в составе Dr.Web для Linux и автоматически обновляется совместно с вирусными базами. Пользователь не имеет возможности редактировать содержимое базы категорий веб-ресурсов.

Один и тот же веб-сайт может быть отнесен сразу к нескольким различным категориям. Монитор сетевых соединений SpIDer Gate будет блокировать доступ к веб-сайту, если он попадает хотя бы в одну из категорий, включенных для запрета доступа. Щелчок по надписи Блокировать другие категории сайтов позволяет показать перечень доступных категорий в сжатом или расширенном виде.

При необходимости заблокировать доступ к некоторому веб-сайту, не относящемуся ни к одной из указанных категорий, его следует включить в пользовательский черный список. Если наоборот, требуется принудительно разрешить доступ к некоторому сайту, не смотря на то, что он относится к какой-либо из нежелательных категорий, его следует включить в пользовательский белый список. Кроме того, если нужно, вы можете настроить список приложений, чьи сетевые соединения не контролируются монитором SpIDer Gate.

Настройка черных и белых списков веб-сайтов, а также приложений, исключаемых из наблюдения монитором SpIDer Gate, производится на вкладке Исключения .

Существует особая категория веб-сайтов – Источники распространения вирусов. Доступ к сайтам этой категории запрещается в любом случае, даже если они включены в пользовательский белый список.

Управление параметрами проверки файлов

Для управления параметрами, которые монитор SpIDer Gate будет применять при проверке файлов, загруженных из Интернет, или передаваемых в сообщениях электронной почты, нажмите кнопку Параметры передачи файлов .

Рисунок 56. Окно управления настройками проверки файлов

В появившемся окне вы можете указать, какие категории вредоносных объектов следует блокировать при попытке их передачи (в том числе – в виде вложений в сообщения электронной почты). Если некоторый переключатель включен, то файлы, содержащие угрозу соответствующего типа, будут отвергаться при попытке их загрузки на компьютер или передачи посредством электронной почты. Если переключатель отключен, то файлы, содержащие угрозы этого типа, будут загружаться из Интернет и передаваться по электронной почте. Кроме этого вы можете также установить максимальный интервал времени, отводимый на проверку загружаемых файлов (и сообщений электронной почты). Если включен переключатель Блокировать передачу данных при ошибке проверки , то файлы или сообщения электронной почты, которые не удалось проверить из-за возникновения ошибки, будут блокироваться при загрузке. Для разрешения загрузки непроверенных файлов и сообщений электронной почты переключатель можно отключить (не рекомендуется).

Если загружаемый файл или передаваемое сообщение электронной почты не удалось проверить из-за того, что истек интервал времени, отведенный на его проверку, то такой файл или сообщение не будут считаться непроверенными и не будут блокироваться, даже если переключатель Блокировать передачу данных при ошибке проверки включен.

Чтобы закрыть окно с применением всех внесенных изменений, нажмите OK ; для закрытия окна без сохранения внесенных изменений нажмите Отменить .

Для изменения настроек монитора сетевых соединений SpIDer Gate необходимо, чтобы приложение обладало повышенными правами. См. Управление правами приложения .

Как в астра линукс запретить очистку браузера

ОПЕРАЦИОННАЯ СИСТЕМА СПЕЦИАЛЬНОГО НАЗНАЧЕНИЯ

Astra Linux® Special Edition.

Операционная система предназначена для создания на ее основе автоматизированных систем в защищенном исполнении, обрабатывающих информацию до степени секретности «особой важности» включительно.

Некоммерческий консорциум развития Linux. Членство в организации позволяет нам внедрять передовые разработки в Astra Linux®

Astra Linux® является официальным российским производным дистрибутивом от Debian GNU/Linux

Фонд ставит перед собой цель — создать в полной мере свободный офисный пакет как для пользователей, так и для разработчиков.

сертификаты соответствия требованиям безопасности информации

ФСТЭК России

Операционная система сертифицирована по требованиям безопасности информации ФСТЭК России к операционным системам (приказ ФСТЭК России от 19 августа 2016 г. № 119).

Федеральная Служба Безопасности России

Операционная система сертифицирована на соответствие требованиям ФСБ России по защите информации в автоматизированных информационных системах 1 класса, и требованиям ФСБ России к программному обеспечению информационных и телекоммуникационных систем специального назначения

Министерство Обороны России

Операционная система сертифицирована на соответствие требованиям безопасности информации Минобороны России (приказ Министра обороны 1996 года № 058).

Тысячи КЭП будут заблокированы вне зависимости от срока действия

Операционная система @Astra Linux Special Edition верифицирована Институтом системного программирования им. В.П. Иванникова Российской академии наук.

сертификат авторизованного партнера


Сертификат авторизованнного партнера ГК Астра НвсФ АО ЦентрИнформ

СОСТАВ ОПЕРАЦИОННОЙ СИСТЕМЫ Astra Linux® Special Edition

Операционная система представляет собой полноценную платформу, включающую в состав авторские решения разработчиков и компоненты свободного программного обеспечения, позволяющие расширить возможности ее применения в качестве серверной платформы или на рабочих местах пользователей. Пользовательские программы

Как в астра линукс запретить очистку браузера

Во время работы в локальных сетях и интернете компьютер подвержен не только заражению вирусами и другими вредоносными программами, но и различного рода атакам, использующим уязвимости операционных систем и программного обеспечения.

Сетевой экран операционной системы защищает персональные данные, которые хранятся на компьютере пользователя. Сетевой экран блокирует большую часть угроз для операционной системы, когда компьютер подключен к интернету или локальной сети. Управление сетевым экраном позволяет обнаружить все сетевые соединения на компьютере пользователя и предоставить список их IP-адресов с указанием статуса сетевого соединения по умолчанию.

Компонент Управление сетевым экраном фильтрует всю сетевую активность в соответствии с сетевыми пакетными правилами. Настройка сетевых пакетных правил позволяет вам задать нужный уровень защиты компьютера, от полной блокировки доступа в интернет для всех программ до разрешения неограниченного доступа.

Во время работы задачи Управление сетевым экраном Kaspersky Endpoint Security управляет параметрами и правилами сетевого экрана операционной системы. Программа блокирует любую настройку параметров сетевого экрана операционной системы, когда, например, программа или инструмент добавляют или удаляют какое-то правило. Kaspersky Endpoint Security проверяет сетевой экран операционной системы каждые 60 секунд и при необходимости восстанавливает набор правил сетевого экрана. Периодичность проверки изменить невозможно.

В операционных системах Red Hat Enterprise Linux и CentOS 8 правила сетевого экрана, созданные с помощью Kaspersky Endpoint Security, можно просмотреть только с помощью Kaspersky Endpoint Security (команда kesl-control -F —query ).

Проверка сетевого экрана операционной системы по-прежнему выполняется, когда задача Управление сетевым экраном остановлена. Это позволяет программе восстанавливать динамические правила.

Все исходящие соединения разрешены по умолчанию (параметр действия по умолчанию) за исключением случаев, когда указаны соответствующие запрещающие правила задачи Управление сетевым экраном. Действие по умолчанию выполняется с самым низким приоритетом: если не сработало никакое другое сетевое пакетное правило или другие сетевые пакетные правила не указаны, соединение разрешается.

Перед включением задачи Управление сетевым экраном мы рекомендуем отключить другие средства управления сетевым экраном операционной системы.

Параметры задачи Управление сетевым экраном

Управление сетевым экраном включено / выключено

Переключатель включает или выключает Управление сетевым экраном.

По умолчанию переключатель выключен.

Сетевые пакетные правила

При переходе по ссылке Настроить сетевые пакетные правила открывается окно Сетевые пакетные правила . В этом окне можно настроить список сетевых пакетных правил, которые будет выполнять компонент Управление сетевым экраном при обнаружении попытки установления сетевого соединения.

При переходе по ссылке Настроить доступные сети открывается окно Доступные сети . В этом окне можно настроить список сетей, которые будет контролировать задача Управление сетевым экраном.

В этом раскрывающемся списке вы можете указать действие для входящих сетевых соединений:

  • Разрешить сетевые соединения.
  • Блокировать сетевые соединения. По умолчанию выбран вариант Разрешить .

В этом раскрывающемся списке вы можете указать действие для входящих пакетов:

  • Разрешить входящие пакеты.
  • Блокировать входящие пакеты. По умолчанию выбран вариант Разрешить .

Всегда добавлять разрешающие правила для портов Агента администрирования

Флажок включает или выключает автоматическое добавление разрешающих правил для портов Агента администрирования.

По умолчанию флажок установлен.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *