IT Netzwerk Sicherheit Illustration

Was ist Squid?

Squid ist ein sog. „Caching Proxy“, primär für Webinhalte, die über die Protokolle HTTP, HTTPS oder gar FTP ausgeliefert werden. Dies bedeutet, dass sich mit Squid Antwortzeiten beim Abrufen von Webseiten stark verringern und gleichzeitig Datenvolumen reduzieren lassen, indem Squid Webseiten und deren Inhalte zwischenspeichert und einer Vielzahl von Clients gleichzeitig zur Verfügung stellt. Neben dieser Kernfunktionalität verfügt Squid über weitere, weitreichende Optionen, wie zum Beispiel zur Zugriffssteuerung (ACLs) von Nutzern auf das Internet. Das ist ein Szenario, das für den Einsatz in Schulen, anderen öffentlichen Einrichtungen oder aber für die Client-Authentifizierung interessant ist. Denn so erhalten nur Benutzer und Geräte Zugriff auf das Internet, die sich gegenüber dem Proxy authentifizieren können.

Squid kann grundsätzlich in zwei Betriebsmodi verwenden werden.

 

Squid als Webproxy

Squid als WebproxyAls typischer Webproxy ruft Squid von Clients angeforderte Webinhalte ab, speichert diese zwischen und liefert die zwischengespeicherte Version an alle nachfolgenden Clients aus. Webseiten können über ihre Header ein Ablaufdatum für die Cache-Inhalte mitschicken. Tun sie das nicht, kann Squid mit umfangreichen Refresh-Pattern ausgestattet werden, um den Cache-Inhalt entsprechend zu erneuern.

Squid als Reverse Proxy

Squid als Reverse ProxyIm zweiten Betriebsmodus wird Squid als sog. Reverse Proxy eingesetzt. Während ein typischer Proxy in der Regel interne Clients mit externen Webinhalten versorgt, arbeitet ein Reverse Proxy genau anders herum: Hier werden Inhalte von einem oder mehreren internen Webservern abgerufen, um sie externen Clients bereitzustellen.

Welche Vorteile bietet ein Reverse Proxy?

Reverse Proxies können die Netzsicherheit erhöhen, indem der Zugriff auf Webinhalte konfiguriert werden kann und das Webserver-System lediglich über einen definierten und kontrollierten Zwischenschritt verfügbar gemacht wird, statt es direkt „ins Internet“ zu stellen. Darüber hinaus können durch das Caching die Webserver entlastet werden oder der Reverse Proxy verteilt die Zugriffe auf die Webseite gleich auf mehrere Webserver – also ein klassisches Loadbalancing. Nicht zuletzt kann Squid im Reverse Proxy-Modus auch als SSL-Endpunkt verwendet werden: Alle SSL-verschlüsselten Verbindungen terminieren auf dem Proxy-System, was die Webserver ebenfalls entlasten kann und u.U. erst weitere Optionen wie ein effektives Caching erlaubt, die mit verschlüsselten Verbindungen eventuell nicht möglich wären.

Wo setzen wir Squid ein?

Als klassischer Webproxy wird Squid unter anderem standardmäßig in UCS@school eingesetzt. Dabei speichert Squid häufig aufgerufene Webseiten zwischen, um sie den Clients an der Schule performant ausliefern zu können. Besonders bei weniger gut ans Internet angebundenen Standorten ist das von erheblichem Vorteil. Zusätzlich wird über Squid eine Benutzerauthentifizierung realisiert – es darf also nur „ins Internet“, wer über ein Benutzerkonto in UCS verfügt und sich anmelden kann. Im Falle von Squid erfolgt die Authentifizierung automatisch im Hintergrund über Kerberos oder NTLM – es ist also keine Interaktion der Benutzer selber notwendig. Im Zusammenspiel mit der ergänzenden Software squidGuard wird in UCS@school auch die Internetsperre/-freigabe inklusive Black- und Whitelisting umgesetzt.

Mit Kunden und Partnern haben wir auch Szenarien umgesetzt, in denen Squid als Reverse Proxy zum Einsatz kommt. Beispielsweise ist ein UCS Basesystem mit Squid als Reverse Proxy einem internen Wiki vorgeschaltet. Der Zugriff von extern erfolgt dabei über eine externe Webaddresse, unter der zunächst der Reverse Proxy erreicht wird. Dieser terminiert die SSL-Verbindung – es kommt ein als vertrauenswürdig eingestuftes SSL-Zertifikat zum Einsatz – und bindet den intern verfügbaren Webserver mit der Wiki-Installation an. So wurde ein ursprünglich nur intern verfügbares System nachträglich auch von extern erreichbar gemacht.

Wie konfiguriere ich Squid als Reverse Proxy?

Die grundlegenden Schritte sind in dem Artikel Cool Solution – Squid as Reverse SSL Proxy im Univention-Wiki detailliert beschrieben.
Sobald die Grundfunktionalität gegeben ist, können verschiedene Szenarien abgebildet werden – im Wiki des Squid-Projekts finden Sie weitere hilfreiche Konfigurationsbeispiele.

UCS Core Edition jetzt kostenfrei einsetzen!

Zum Downloadbereich

Michael begann 2007 eine Ausbildung zum Fachinformatiker Systemintegration bei der G&M IT-Systeme GmbH, wo er anschließend in der Abteilung Support, Administration und IT-Sicherheit kleine und mittelständische Unternehmen betreute und eine Weiterbildung zum IT-Sicherheitsmanager abschloss. 2013 wechselte er als Open Source Software Consultant in das Professional Services Team von Univention.

Was ist Ihre Meinung? Hinterlassen Sie einen Kommentar!

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.