Para aquellos administradores que se encuentran superados por los clicks de usuarios inescrupulosos que ingresan a sitios en internet y dejan sin funcionar los windows de escritorio no teniendo otra solución que formatearlas, una aproximación a la solución es el filtrado de sitios potencialmente dañinos.
Para ello es necesario configurar Squid, un proxy que corre en linux.
Alternativamente tambien se puede ejecutar squid bajo windows.
El presente documento no pretende ilustrar cómo instalar el Squid Proxy sino simplemente agregar al mismo la funcionalidad de filtrar malware conocido.
Para ello usaremos el servicio de listas de Malware Patrol y ZeuS blocklist
generamos una lista obteniendo los originales:
cd /tmp/
wget -c --no-check-certificate 'https://zeustracker.abuse.ch/blocklist.php?download=squidblocklist' -O zeus-tracker.txt
wget http://www.malware.com.br/cgi/submit?action=list_squid -O malware_block_list.txt
Filtramos las mismas quitando comentarios y las unimos en un unico archivo:
grep '^[^#]' malware_block_list.txt >/etc/squid/malware.acl
grep '^[^#]' zeus-tracker.txt >>/etc/squid/malware.acl
Editamos el archivo de configuracion de squid:
vi /etc/squid/squid.conf
buscamos la seccion de listas de control y agregamos la ACL del filtrado:
acl intranet src 192.168.0.0/24
acl malware url_regex -i "/etc/squid/malware.acl"
buscamos la seccion de accesos y limitamos nuestra intranet:
http_access allow intranet !malware
reiniciamos el servicio de proxy:
/etc/init.d/squid reload
y ya tenemos bastante controlado el ingreso de malware, spyware y demás molestias que ingresan por internet a molestarnos.
Para automatizar este proceso y que la lista se actualice se puede poner el siguiente script en cron.daily:
#!/bin/bash
cd /tmp/
wget -c --no-check-certificate 'https://zeustracker.abuse.ch/blocklist.php?download=squidblocklist' -O zeus-tracker.txt
grep '^[^#]' malware_block_list.txt >/etc/squid/malware.acl
wget http://www.malware.com.br/cgi/submit?action=list_squid -O malware_block_list.txt
grep '^[^#]' zeus-tracker.txt >>/etc/squid/malware.acl
/etc/init.d/squid reload
Links relacionados:
http://prithak.blogspot.com/2011/03/using-malware-patrol-and-zeus-combined.html
http://ggmm.wordpress.com/2007/07/13/instalacion-de-un-proxy-para-windows-con-squid-for-windows/
http://www2.linuxparatodos.net/web/comunidad/base-de-conocimiento/-/wiki/Base%20de%20Conocimiento/Servidor+Proxy
