AA_123rf-23292115_costasz_123RF.jpg

© costasz, 123RF

Kommerzieller Filterproxy Safesquid

Leicht inkontinent

Wer zu Hause sicherer surfen und seine Kinder vor zweifelhaftem Web-Content schützen möchte, der muss einen entsprechenden Filter einrichten. Das kommerzielle, aber für Privatanwender kostenlose Tool Safesquid bietet alles dazu Notwendige, zeigt aber kleine Schwächen.

Safesquid bietet einen Proxy für Heimanwender und kleinere bis mittelgroße Netzwerke. Sie schalten die Software zwischen Browser und Internet und gestalten damit durch eine Reihe von Inhaltsfiltern (unter anderem auch für Flash), Domain-Sperrlisten und einen Malware-Scan das Surfen sicherer. Daneben bietet Safesquid eine Zugriffskontrolle durch Webseiten-Kategorien und Profile sowie eine Bilderkennung von pornografischem Material.

Durch einen Cache für Webseiten und Bilder sowie das intelligente Prefetching von Webseiten beschleunigt das Tool das Surfen. Für die Konfiguration bietet es ein komfortables Web-Interface, das auch das Auswerten von Logs und das Generieren von Reports ermöglicht. Obwohl der Name das vermuten ließe, läuft unter der Haube nicht der Squid-Proxy, sondern eine in C/C++ geschriebene Eigenentwicklung des Herstellers Office Efficiencies. Für diverse Anwendungsfälle verwendet Safesquid außerdem Bash- und Perl-Skripte.

Der Hersteller stellt die Software sowohl als kommerzielle als auch freie Version zur Verfügung. Für Heimanwender dürfte die kostenlose Variante die interessanteste sein. Sie unterscheidet sich von der Bezahlvariante in erster Linie durch die Beschränkung auf maximal drei Benutzer. Sollen mehr Anwender auf die zentral im Heimnetzwerk installierte Filter-Suite zugreifen, benötigen Sie die kostenpflichtige Variante [1]. Für den Einsatz auf dem eigenen Rechner eignet sich aufgrund der hohen Funktionsvielfalt die "Composite Edition".

Installation

Während der weit verbreitete originale Squid auf nahezu jeder Distribution läuft, gibt sich Safesquid sehr wählerisch. Wir versuchten zunächst erfolglos, die Software unter Ubuntu 13.10 zu installieren. Wie später der Herstellersupport im Live-Chat bestätigte, fehlen dafür aber einige Pakete, die alle Abhängigkeiten der Installationsskripte abdecken.

Unter Fedora 19 klappte das Einrichten auch ohne Vorbereitungen, im Anschluss startete Safesquid jedoch nicht – das Installationsskript hatte schlicht das init.d-Skript falsch kopiert. Ein manueller Start von Safesquid schlug aufgrund von Folgefehlern ebenfalls fehl. Da ein Supporter im Live-Chat auf Ubuntu 12.04 verwies, verwendeten wir diese Distribution in der 64-Bit-Variante für den Test. Weitere Versuche ergaben, dass Safesquid auch mit OpenSuse 12.3 (64 Bit) problemlos zusammenarbeitet.

Mit sudo su - erweitern Sie Ihre Privilegien für administrativen Zugriff und wechseln anschließend ins Verzeichnis /root/. Damit das Setup reibungslos funktioniert, installieren Sie vorab via apt-get das Paket libgmp3c2. Die darin enthaltenen Bibliotheken erfüllen einige vom Installationsskript vorgegebene Abhängigkeiten. Dann laden Sie Safesquid von der Download-Seite [2] als Tarball herunter und entpacken diesen.

Anschließend wechseln Sie ins dabei neu entstandene Verzeichnis /root/safesquid/ und starten die Installation via ./install.sh (Abbildung 1), was den Proxy letztlich im Verzeichnis /opt/safesquid/safesquid/safesquid einrichtet. Gehen Sie die einzelnen Schritte der Einrichtungsroutine durch, bis Safesquid Ihnen die geglückte Installation bestätigt. Ein Druck auf [S] startet den Proxy im Anschluss.

Abbildung 1: Das textbasierte Installationsskript fragt die wichtigsten Einstellungsparameter ab.

Alternativ starten Sie Safesquid manuell mit dem Kommando /etc/init.d/safesquid start. Der Dienst läuft nun im Hintergrund und lauscht auf Port 8080. Mit dem Kommando lsof -ni:8080 verifizieren Sie, ob sich der Proxy auf dem vorgesehenen Port erreichen lässt. Hat alles geklappt, sorgen Sie anschließend mit dem Kommando update-rc.d safesquid default dafür, dass der Proxy künftig bei jedem Neustart automatisch mitlädt.

Der Hersteller verlangt, dass Sie auch die kostenlose Installation von Safesquid über das Internet aktivieren. Diesen Schritt nehmen Sie, wie auch die weiterführende Konfiguration, über die Weboberfläche vor. Starten Sie dazu einen Browser, und tragen Sie in dessen Proxy-Einstellungen localhost und den Port 8080 ein (Abbildung 2).

Abbildung 2: Um Safesquid zu nutzen, gilt es, den Browser entsprechend zu konfigurieren.

Rufen Sie danach die Adresse http://safesquid.cfg im Browser auf, und klicken Sie in der Safesquid-Oberfläche auf About (Abbildung 3). Auf dieser Seite hinterlegen Sie Ihre E-Mail-Adresse und den Aktivierungsschlüssel. Via Submit übertragen Sie die Daten an den Hersteller und aktivieren so die Proxy-Installation. Nach erfolgreicher Aktivierung fordert Sie Safesquid zu einem Neustart auf.

Abbildung 3: Auch die freie Version des Filterproxys erfordert eine Registrierung beim Hersteller.

Verwaltungsapparat

Für die sinnvolle Nutzung des Proxys gilt es, Sperrlisten und Ähnliches einzurichten. Klicken Sie dafür auf der Startseite der Safesquid-Oberfläche den Link Config. An dieser Stelle finden Sie ein Ausklappmenü mit vielen Konfigurationskategorien. Die erste davon, Access restrictions, regelt den Zugriff auf den Proxy selbst.

Anhand verschiedener Kriterien legen Sie fest, welcher Nutzer oder welches System Safesquid verwenden darf. Die beiden bereits vorgegebenen Regeln gestatten den Zugriff für den lokalen Client und alle anderen Netzteilnehmer und Benutzer. Um eigene Regeln festzulegen, müssen Sie diese beiden Standardregeln löschen. Für den Einsatz im heimischen Netz benötigen Sie jedoch meist keine zusätzlichen Zugriffsregeln.

Die zweite Konfigurationskategorie, cProfiles, verwaltet die Webseitenkategorisierung. Die standardmäßig deaktivierten Regeln schalten Sie via Enabled scharf. Webseiten verwaltet cProfiles aufgrund ihres Inhalts in verschiedenen Kategorien, was es Ihnen theoretisch erlaubt, beispielsweise sehr leicht den Zugriff auf jugendgefährdende Inhalte zu sperren.

Im Test stellte sich jedoch schnell Ernüchterung ein: Obwohl wir den Proxy zu Testzwecken anwiesen, Sportseiten auszufiltern, erkannte er keine einzige der aufgerufenen Webseiten und ließ damit freien Zugriff auf alle Sportinhalte. Die deutsche Sprache schien dabei nicht das Problem zu sein – auch US-Seiten zum Thema American Football wurden weiter dargestellt. Auch in weiterführenden Tests mit anderen Kategorien war es zunächst nicht möglich, Safesquid zum Erkennen unerwünschter Inhalte zu bewegen. Erst bei der Kategorie chat content gelang es der Software, Zugriff auf Chat-Webseiten zu verweigern.

Eine entsprechende Nachfrage beim Hersteller von Safesquid ergab, dass die Filterlisten womöglich viele Webseiten anders kategorisieren als zunächst angenommen. Die von uns für den Test verwendete Webseite http://www.sport1.de etwa sei laut dem Support mehr eine News- als eine Sport-Seite. In diesem Fall hätte man also sowohl News- als auch Sport-Inhalte blockieren müssen.

Die Weboberfläche von Safesquid bietet die Möglichkeit, die Kategorisierung von URLs anzuzeigen (Test cProfiles), was zumindest für die von uns verwendeten URLs nur selten funktionierte. Meistens zeigten die URL-Tests keine Zuordnung, während Safesquid diese intern womöglich doch in eine Kategorie einstufte.

Wenn Sie es selbst ausprobieren möchten, aktivieren Sie die Kategorisierung und fügen mit Add ein neues cProfile hinzu. Tragen Sie in das Feld Chat den Begriff Chat ein, in der Category list haken Sie nun dementsprechend die Kategorie chat content an (Abbildung 4), und im Textfeld Added profiles hinterlegen Sie blocked-category.

Abbildung 4: Safesquids cProfiles erlauben es theoretisch, Webseiten bestimmter Themengebiete, etwa Chat, zu filtern.

Bestätigen Sie Ihre Auswahl mit Submit, und wechseln Sie nun in die Konfigurationskategorie URL filter. Aktivieren Sie dieses Modul, indem Sie den Haken bei Enabled -> Yes setzen und auf Submit klicken. Fügen Sie in der Kategorie Deny zusätzlich mit dem Link Add eine neue Regel mit den folgenden Werten hinzu:

Enabled: Yes
Profiles: blocked-category

Bestätigen Sie wieder mit Submit, und surfen Sie nun im Browser die Webseite http://tinychat.com an. Voilà – Safesquid verweigert nun den Zugriff (Abbildung 5).

Abbildung 5: Möchten Sie eine geblockte Seite aufrufen, zeigt die Software nur einen entsprechenden Hinweis an.

Achtung: Nach einem Neustart von Safesquid (und damit nach jedem Reboot) verschwinden die eigens angelegten cProfiles und URL-Filter. Eine Anfrage zur Klärung bestätigte unseren Verdacht: Safesquid hält die gespeicherten Einstellungen nur im RAM vor, weshalb sie beim Neustart der Software verloren gehen. Für Abhilfe sorgt das Sichern der Safesquid-Einstellungen (Link Save settings auf der Hauptseite). Die Applikation speichert die Konfiguration dann unter /opt/safesquid/safesquid/config.xml. Via Load settings auf der Hauptseite lesen Sie diese Datei später wieder ein.

Ein weiterer unangenehmer Nebeneffekt: Der Proxy lässt einmal aufgerufene Webseiten, die normalerweise gesperrt wären, in Zukunft ungefiltert durch. Hier scheint Safesquid entweder durcheinanderzukommen oder ein undokumentiertes Feature zu enthalten.

Funktionieren die cProfiles von Safesquid Ihnen nicht zuverlässig genug, dann legen Sie in der Rubrik URL blacklist der Konfigurationskategorie eigene Sperrlisten an. Dieser Punkt eignet sich auch, um externe Sperrlisten einzubinden, wie sie beispielsweise Shalla Secure Services [3] für Privatnutzer kostenlos anbietet. Die Listen laden Sie als Tarball herunter und binden sie in Safesquid ein (Listing 1).

Listing 1

$ cd /opt/safesquid
$ wget http://www.shallalist.de/Downloads/shallalist.tar.gz
$ tar xzvf shallalist.tar.gz

Navigieren Sie danach in die Kategorie URL blacklist, haken Sie Enabled an, und tragen Sie den Pfad /opt/safesquid/BL ein. Bestätigen Sie abschließend mit Submit. Alle Einträge aus den URL-Listen lädt Safesquid beim Start in den Hauptspeicher, was für ein Surfen ohne Leistungseinbußen durch den Filter sorgt. Um die Blacklists zu nutzen, erstellen Sie unter Deny folgende neue Regel:

Enabled: true
Comment: Podcasts
Categories: podcasts

Unter Categories tragen Sie jeweils den Ordnernamen ein, in dem sich die fragliche Blacklist befindet. In unserem Beispiel liegen die URLs der Kategorie Podcast unter /opt/safesquid/BL/podcasts.

Genügen diese Varianten der Surfkontrolle Ihren Ansprüchen nicht, so finden Sie in der Konfigurationskategorie Keyword filter umfangreiche Sammlungen von Schlüsselwörtern, die Sie nach Bedarf um eigene erweitern. Der Punkt DNS blacklist erlaubt es, Webseiten mithilfe von externen DNS-Blacklist-Anbietern zu blocken.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 7 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Zeroshell-Workshop: Transparenter Proxy-Server mit Virenscanner
    Heterogene Netzwerke bieten Viren eine breite Angriffsfläche. Mit einem Duo aus Proxy-Server und Virenscanner weisen Sie Angriff schon am Eingangstor ab.
  • Privoxy und Webcleaner im Test
    Bild: A.25.04.819 Normalerweise hat ein Nutzer kaum Kontrolle darüber, welche Daten über den Browser auf seinen Rechner ein- und ausgehen. Content-Filter helfen, sowohl die Privatsphäre des Surfers zu wahren als auch die Werbeflut einzudämmen.
  • IPCop 1.4.8 LinuxUser-Edition
    Bandbreitenmanagement und die Kontrolle von Filesharing-Aktivitäten im Netz sorgen bei IT-Verantwortlichen oft für schlaflose Nächte. Die IPCop-LinuxUser-Edition löst diese und andere Netzwerkprobleme auf einen Schlag.
  • Abwehrmaßnahmen
    Gerade auf Anwendungsebene wird der Schutz vor Angreifern aus dem Internet immer wichtiger. Die Gibraltar-Firewall bietet ihn.
  • Webseiten speichern mit WebHTTrack
    WebHTTrack sichert komplette Webseiten zum Offline-Lesen auf dem heimischen Rechner und passt dabei Verknüpfungen automatisch an.
Kommentare

Infos zur Publikation

LU 12/2017: Perfekte Videos

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Installation Linux mint auf stick
Reiner Schulz, 10.12.2017 17:34, 0 Antworten
Hallo, ich hab ein ISO-image mit Linux Mint auf einem Stick untergebracht Jetzt kann ich auch...
Canon Maxify 2750 oder ähnlicher Drucker
Hannes Richert, 05.12.2017 20:14, 4 Antworten
Hallo, leider hat Canon mich weiterverwiesen, weil sie Linux nicht supporten.. deshalb hier die...
Ubuntu Server
Steffen Seidler, 05.12.2017 12:10, 1 Antworten
Hallo! Hat jemand eine gute Anleitung für mich, wie ich Ubuntu Server einrichte? Habe bisher...
Tinte sparen bei neuem Drucker
Lars Schmitt, 30.11.2017 17:43, 2 Antworten
Hi Leute, ich habe mir Anfang diesen Monats einen Tintenstrahldrucker angeschafft, der auch su...
Für Linux programmieren
Alexander Kramer, 25.11.2017 08:47, 3 Antworten
Ich habe einen Zufallsgenerator entworfen und bereits in c++ programmiert. Ich möchte den Zufalls...