Filtrando porcarias com o Squid II
Configuração para impedir download de extensões perigosas para usuários Windows/Linux por executáveis que podem causar danos diversos.
Arquivo de configuração
Salve o arquivo abaixo como texto simples - de nome "list" - e ponha-o em /etc/squid:
#Banned extension list
# File extensions with executable code
# The following file extensions can contain executable code.
# They can potentially carry a virus to infect your computer.
#.ade # Microsoft Access project extension
#.adp # Microsoft Access project
#.asx # Windows Media Audio / Video
#.bas # Microsoft Visual Basic class module
#.bat # Batch file
#.cab # Windows setup file
#.chm # Compiled HTML Help file
#.cmd # Microsoft Windows NT Command script
#.com # Microsoft MS-DOS program
#.cpl # Control Panel extension
#.crt # Security certificate
#.dll # Windows system file
#.exe # Program
#.hlp # Help file
#.ini # Windows system file
#.hta # HTML program
#.inf # Setup Information
#.ins # Internet Naming Service
#.isp # Internet Communication settings
#.js # JScript file - often needed in web pages
#.jse # Jscript Encoded Script file - often needed in web pages
#.lnk # Windows Shortcut
#.mda # Microsoft Access add-in program
#.mdb # Microsoft Access program
#.mde # Microsoft Access MDE database
#.mdt # Microsoft Access workgroup information
#.mdw # Microsoft Access workgroup information
#.mdz # Microsoft Access wizard program
#.msc # Microsoft Common Console document
#.msi # Microsoft Windows Installer package
#.msp # Microsoft Windows Installer patch
#.mst # Microsoft Visual Test source files
#.pcd # Photo CD image, Microsoft Visual compiled script
#.pif # Shortcut to MS-DOS program
#.prf # Microsoft Outlook profile settings
#.reg # Windows registry entries
#.scf # Windows Explorer command
#.scr # Screen saver
#.sct # Windows Script Component
#.sh # Shell script
#.shs # Shell Scrap object
#.shb # Shell Scrap object
#.sys # Windows system file
#.url # Internet shortcut
#.vb # VBScript file
#.vbe # VBScript Encoded script file
#.vbs # VBScript file
#.vxd # Windows system file
#.wsc # Windows Script Component
#.wsf # Windows Script file
#.wsh # Windows Script Host Settings file
#.otf # Font file - can be used to instant reboot 2k and xp
#.ops # Office XP settings
# Files which one normally things as non-executable but
# can contain harmful macros and viruses
#.doc # Word document
#.xls # Excel document
#.ppt # PowerPoint document
#.swf # arquivos flash
# Other files which may contain files with executable code
#.gz # Gziped file
#.tar # Tape ARchive file
#.zip # Windows compressed file
#.tgz # Unix compressed file
#.bz2 # Unix compressed file
#.cdr # Mac disk image
#.dmg # Mac disk image
#.smi # Mac self mounting disk image
#.sit # Mac compressed file
#.sea # Mac compressed file, self extracting
#.bin # Mac binary compressed file
#.hqx # Mac binhex encoded file
#.rar # Similar to zip
# Time/bandwidth wasting files
#.mp3 # Music file
#.mpeg # Movie file
#.mpg # Movie file
#.avi # Movie file
#.asf # this can also exploit a security hole allowing virus infection
#.iso # CD ISO image
#.ogg # Music file
#.wmf # Movie file
#.bin # CD ISO image
#.cue # CD ISO image
Criando regra para o Squid
No arquivo squid.conf adicione a seguinte regra:
...
http_access deny CONNECT !SSL_ports
#acl para bloquear downloads de extensões perigosas
acl list urlpath_regex -i "/etc/squid/list"
http_access deny list
Reinicie o Squid segundo o procedimento padrão para sua distro.
Configurando
Para bloquear um determinada extensão, basta descomentá-la (retirar o #) no arquivo list e REINICIAR o Squid.
ATENÇÃO: Vá bloqueando as extensões com calma e fazendo testes na rede, a menos que as conheça muito bem. Até a presente data já pude interferir no sistema de buscas do VOL, autenticação em sites, bloqueio de MSN etc.
O ideal seria começar pelos mais óbvios: .cue, .bin, .exe, .mp3, .mpeg, .mpg, .avi, .swf, .wmf, .iso, .ogg e por aí vai.
É um recurso que pode tanto proteger usuários do Windows como de Linux (por ex.: browser com falha de segurança ainda não corrigida etc).
Referência
Esta dica obtive da Revista Linux Magazine.
Outras dicas deste autor
Limitando a banda no download de arquivos no Apache 2.0
Bootsplash em kernel "não oficial" 2.6.X no Slackware
Thunderbird - Organizando suas mensagens por grupos
Melhorando a conexão em modems 3G (modems sem conector de antena)
Filtrando porcarias com o Dansguardian
Leitura recomendada
Bloqueando o Orkut pelo iptables
Aula demonstrativa do curso de pentest profissional
Fechando a porta 6000 do X
Filtrando porcarias com o Dansguardian
Metasploit no Debian 8 Jessie
Comentários
Nenhum comentário foi encontrado.