administrador e auditando o trafego na rede com o servidor proxy squid
TRANSCRIPT
RUYTER DOS SANTOS PENA
ADMINISTRANDO E AUDITANDO O TRFEGO NAREDE COM O SERVIDOR PROXY SQUID
MINEIROS GOIS 2011
CENTRO UNIVERSITRIO DE MINEIROS COORDENAO DE GRADUAO INSTITUTO DE CINCIAS SOCIAIS APLICADAS CURSO: SISTEMAS DE INFORMAO
ADMINISTRANDO E AUDITANDO O TRFEGO NA REDE COM O SERVIDOR PROXY SQUIDRuyter dos Santos Pena
Monografia
apresentada
ao
Curso
de
Sistemas de Informao, oferecido pelo Instituto mantido de Cincias Centro Sociais Aplicadas de
pelo
Universitrio
Mineiros, como requisito parcial para a obteno do Ttulo de Bacharel em Sistemas de Informao, sob a orientao do Prof. Zilmar Sousa Silva.
Mineiros Gois 2011
CENTRO UNIVERSITRIO DE MINEIROS COORDENAO DE GRADUAO INSTITUTO DE CINCIAS SOCIAIS APLICADAS CURSO: SISTEMAS DE INFORMAO
ADMINISTRANDO E AUDITANDO O TRFEGO NA REDECOM O SERVIDOR PROXY SQUID
Monografia aprovada pela Banca Examinadora, como requisito parcial para obteno do Ttulo de Bacharel, pela concluso do Curso: Sistemas de Informao, oferecido pelo Instituto de Cincias Sociais Aplicadas, mantido pelo Centro Universitrio de Mineiros.
Mineiros - GO, 20 de Agosto de 2011.
Prof (Esp.) Zilmar Sousa Silva
Prof (Esp.) Fernando Markus de Castro
Prof Fernando Freitas Costa
RESUMO
A utilizao de forma incorreta da internet em grandes corporaes pode trazer srio problema jurdico e muitas das vezes financeiro, alm de perca de produtividade no ambiente organizacional. Tentando evitar que tudo isto acontea, uma srie de medidas se faz necessria para conter estes riscos, estas medidas vo desde a conscientizao dos usurios at o total monitoramento e uma possvel punio para os infratores. O Squid um servidor Proxy que faz muito bem esta funo, pois atua como gateway de aplicao entre o cliente e o servio a ser acessado, interpretando as requisies e repassando-as ao servidor de destino. Um servidor Proxy tem a capacidade de filtrar o trfego transmitido para dentro e para fora da rede. E ainda utilizam regras para determinar se certo tipo de trfego ter autorizao para passar pelo servidor ou ser descartado. Este tipo de servidor capaz de analisar pacotes na camada de aplicao, isto oferece uma flexibilidade muito maior, pois permite que o trfego dentro de um servio, como o da porta 80 possa ser filtrado. O Squid um software livre distribudo sob a licena GNU GPL que agrega varias funes dentre as mais conhecidas so: controle de banda, filtro de contedo, utilizao de cache.
LISTA DE ABREVIAES
GNU ACL CCNA WWW TCP IP FTP SMTP VPN P2P DHCP NAT AT&T HTTP URL TLS SSL HTTPS ARPA POP MB Dport LAN PAM SARG DNS
General Public Licence Access Control List Cisco Certified Network Associate World Wide Web Transmission Control Protocol Internet Protocol File Transfer Protocol Simple Mail Transfer Protocol Virtual private network Peer-to-peer Dynamic Host Configuration Protocol Network Address Translation American Telephone and Telegraph HyperText Transfer Protocol Uniform Resource Locator Transport Layer Security Security Socket Layer HyperText Transfer Protocol Security Advanced Research Projects Agency Post Office Protocol Megabyte Destination Port local area network Pluggable Authentication Modules Squid Analysis Report Generator Domain Name System
NDICE
1. Introduo _______________________________________________________ 8 1.1 Objetivos ______________________________________________________ 9 1.2 Motivao ____________________________________________________ 10 2. Rede Mundial de Computadores _____________________________________ 12 2.1 Surgimento do Word Wide Web ___________________________________ 13 2.2 Protocolo_____________________________________________________ 13 2.3 Servios _____________________________________________________ 14 2.4 Melhorias Oferecidas na Internet __________________________________ 15 2.5 Educao ____________________________________________________ 16 2.6 Marketing ____________________________________________________ 16 3. Gateway ________________________________________________________ 18 4. Firewall _________________________________________________________ 20 4.1Histrico ______________________________________________________ 22 4.2Tipos de Firewall _______________________________________________ 22 4.3 Firewall em Linux ______________________________________________ 25 4.4 A Estrutura Proxy em um Firewall _________________________________ 25 4.5 O Servidor Proxy ______________________________________________ 26 5. Proxy __________________________________________________________ 27 5.1 O Surgimento _________________________________________________ 28 5.2 Os Benefcios de se Usar um Proxy ________________________________ 28 5.3 Tipos de Proxy ________________________________________________ 29 5.4 SquidGuard___________________________________________________ 31 5.5 DansGuardian_________________________________________________ 32 6. Squid __________________________________________________________ 34 6.1 Controles de Acesso ____________________________________________ 35 6.2 Funes do Squid ______________________________________________ 36
6.3 Tipos de protocolos ____________________________________________ 36 6.4 Proxy nos Navegadores _________________________________________ 37 6.5 Proxy Transparente ____________________________________________ 38 6.6 Proxy Autenticado ______________________________________________ 39 6.7 Tipos de Autenticao __________________________________________ 40 6.7.1 Autenticao NCSA _________________________________________ 40 6.7.2 Autenticao Active Directory _________________________________ 41 6.7.3 Autenticao PAM __________________________________________ 42 6.7.4 Autenticao POP3 _________________________________________ 42 6.8 Relatrios ____________________________________________________ 43 7. Implementao ___________________________________________________ 44 7.1 Instalao do ProxySquid ________________________________________ 44 7.2 Configuraes do Squid _________________________________________ 45 7.3 Squid.conf ____________________________________________________ 45 7.4 Criando as listas de controle (ACLs)________________________________ 46 7.4.1Tipos de Regras de Acesso ___________________________________ 47 7.5 Exemplo de Configurao________________________________________ 49 8. Concluso ______________________________________________________ 53 9. Bibliografia ______________________________________________________ 54
7
I.INTRODUO
O conhecimento a ferramenta fundamental para o sucesso de qualquer empreendimento. Principalmente no mundo de negcios onde o conhecimento desempenha um importante papel no desenvolvimento e no sucesso das empresas, pois sua evoluo ocorre num ritmo extremamente veloz; acompanhando e alavancando as rpidas transformaes que ocorrem no mundo, ocasionadas, sobretudo ao advento da globalizao. A velocidade com que vem ocorrendo s transformaes atualmente exige que as empresas acompanhem essas mudanas de forma contnua e interativa. Interatividade a palavra do momento. necessrio se obter e acompanhar o fluxo de informaes e tecnologias que toda esta interatividade acarreta. Assim, correto afirmar que a informao fundamental, para o funcionamento de qualquer negcio. Com isso, pode-se observar o crescente aumento de incidentes de segurana da informao, o fato de possuir conhecimento sobre o seu negocio e o do concorrente o diferencial para as grandes empresas. Dessa forma, a poltica de segurana transformou-se numa pea chave quando queremos tornar um ambiente computacional mais seguro. Uma Poltica de Segurana um conjunto de leis, regras e prticas que regulam como uma organizao gerencia, protege e distribui suas informaes e recursos. Partindo dessa observao que se prope como estudo a anlise do uso do Squid Proxy, atravs de observaes em estudos postulados e reviso da literatura, abrangendo as reas de Sistemas e Tecnologia de Informao e Redes de Computadores. Para tanto, o estudo foi divido em forma de captulos para melhor compreenso, por isso a dissertao est estruturada em 06 captulos: Introduo, Rede mundial de computadores, Gateway, Firewall, Proxy, Squid, Implementao e Concluso. 8
1.1OBJETIVOS
Este trabalho tem como objetivo mostrar o quanto um servidor Proxy essencial em um ambiente administrativo seja ele de pequeno ou grande porte. Apontar as principais vantagens e benefcios de se usar um software livre compatvel com diversas ferramentas que o tornam um poderoso e indispensvel software de segurana. Explicaras principais funes do Proxy detalhando seus conceitos e mostrando as principais diferenas entre eles. Fazer um estudo sobre ACLS (lista de controle de acesso), onde sero apresentadas suas principais funes e caractersticas. Realizar implementao do servidor Proxy no qual ser demonstrado como montar uma rede corporativa para que seja possvel adequar o servidor as reais necessidades locais usando um formato de autenticao.
1.2MOTIVAO
O numero de pessoas conectada a rede de computadores no Brasil, cresce em um ritmo acelerado. Segundo o F/NAZCA (2010), at abril de 2010 j ramos 9
81,3 milhes de internautas. O principal local de acesso a lanhouse (31%), seguido da prpria casa (27%) e da casa de parente de amigos, com 25%. Com base nestas informaes percebvel que a facilidade com que uma pessoa se conecta na internet grande, devido este crescimento ser constante o mercado eletrnico (e-commerce)se esfora para atender a demanda exigida pelo os seus clientes. Na tabela 1, segue um comparativo do aumento do nmero de pessoas que tambm aderiram ao e-commerce.
Tabela: Quantidade em Milhes de Consumidores
Fonte: E-COMMERCE, 2011,.
Alinhado com os benefcios que o e-commerce proporciona segue os problemas, alm da comodidade e da facilidade que este tipo de venda oferece, o comprador fica exposto principalmente ao conhecidos spans em sua grande maioria oferecendo contedo adulto na forma de texto, fotos, vdeos, etc. Este tipo de material cresce aceleradamente na internet devido facilidade aliada ao anonimato que a internet oferece, facilitando assim a maneira com que os responsveis por este material disponibilizam na rede. Como no h necessidade de identificao neste tipo de servio e a facilidade com que so espalhadas propagandas sobre o mesmo grande, bastante provvel que crianas sejam atingidas por este tipo de contedo sem que haja inteno. Desta forma uma criana pode ser facilmente exposta a contedo no qual eventualmente pode influenciar seu comportamento no futuro. Outro caso que merece ateno especial o acesso indevido a este tipo de materiais pornogrficos dentro de empresas ou locais pblicos. Em muitos casos funcionrios acessam estes tipos de sites dentro de suas empresas, o que pode gerar desde perda de produtividade at demisso por justa causa. Em locais pblicos o acesso indiscriminado deste tipo de contedo pode levar ao
10
constrangimento de outras pessoas ou eventualmente at vir a ser considerado um crime de atentado ao pudor. Diante de todo este cenrio, surgiu a motivao para fazer este trabalho.
11
2. REDE MUNDIAL DE COMPUTADORES
Estamos em um ponto crucial no uso da tecnologia para estender e fortalecer nossa rede humana. A globalizao da internet tem tido mais sucesso do que jamais poderamos imaginar. A maneira como as interaes sociais, comerciais, polticas e pessoais ocorrem est mudando rapidamente para acompanhar a evoluo dessa rede global. (CCNA, 2009,)
Rede Mundial de computadores um conglomerado de redes em escala mundial no qual h milhes de computadores interligados pelo TCP/IP o que permite acesso a informaes e todo tipo de transferncia de dados. Ela carrega uma ampla variedade de recursos e servios, incluindo os documentos interligados por meio do World Wide Web e a infra-estrutura para suportar correio eletrnico e servios como comunicao instantnea e compartilhamento de arquivos. De acordo com a Internet World Stats, 1,96 bilhes de pessoas tinham acesso Internet em junho de 2010, o que representa 28,7% da populao mundial. Segundo a pesquisa, a Europa detinha quase 420 milhes de usurios, mais da metade da populao. Mais de 60% da populao da Oceania tem o acesso Internet, mas esse percentual reduzido para 6,8% na frica. Na Amrica Latina e Caribe, um pouco mais de 200 milhes de pessoas tm acesso Internet (de acordo com dados de junho de 2010), sendo que quase 76 milhes so brasileiros.
12
2.1SURGIMENTO DO WORLD WIDE WEB
A Organizao Europia para a Investigao Nuclear foi a responsvel pelo surgimento do World Wide Web, a Web mundialmente conhecida. O principal objetivo era apenas a troca de dados entre os cientistas, e acabou por se tornar a complexa e essencial Web. O responsvel pela inveno chama-se Tim Berners-Lee, que construiu o seu primeiro computador na Universidade de Oxford, onde se formou em 1976. Quatro anos depois, tornou-se consultor de engenharia de software. Em 1989, props um projeto que permitia s pessoas trabalhar em conjunto, combinando o seu conhecimento numa rede de documentos. Foi esse projeto que ficou conhecido como o World Wide Web. A Web funcionou primeiro dentro de uma empresa privada, e logo foi disponibilizada mundialmente.
2.2PROTOCOLO
Para garantir que a comunicao ocorra com sucesso, os dispositivos devem utilizar protocolos de comunicao, que so regras que devem ser seguidas pelos dispositivos. Estes protocolos tm que ser compatvel caso contrrio a comunicao no se dar de forma efetiva ou, simplesmente no ocorrer. (MAIA, 2009,)
Os protocolos trabalham de forma parecida e necessitam se interagir para que haja o processo de comunicao. 13
Os protocolos so divididos em camadas. Ficando assim bastante fcil caso haja a necessidade de manuteno. No quadro 1 segue as camadas do modelo Hibrido e tambm seus principais protocolos.
Quadro 1: Camada do Modelo Hbrido
Modelo de Camada Camada de Aplicao Camada de Transporte Camada de Rede Camada de Enlace Camada FsicaFonte:MAIA, 2009, p.22.
Protocolo HTTP TCP IP PPP V.92
2.3SERVIOS
Com o surgimento e crescimento da internet diversos tipos de servios foram criados, melhorados e espalhados gradualmente sem nenhum projeto ou controle, fazendo da internet um ambiente bem dinmico. Dentre os principais se destacam o servio de e-mail, FTP, chat, acesso a pginas de contedo, telnet, etc. Um correio eletrnico um mtodo que permite compor, enviar e receber mensagens atravs de sistemas eletrnicos de comunicao. O termo e-mail aplicado tanto aos sistemas que utilizam a Internet e so baseados no Simple Mail
14
Transfer Protocol SMTP, como sistemas conhecidos como intranets, que permitem a troca de mensagens dentro de uma empresa. Com o acesso remoto permitido conexo de um computador a outro facilmente mesmo estando distantes fisicamente. Esse acesso feito de maneira remota e na sua maioria feita de maneira segura com autenticao e criptografia de dados. Uma Rede Privada Virtual (VPN) um exemplo de rede destinada a esse propsito. Usando um compartilhador de arquivo em um computador possvel obter compartilhamento entre diversas pessoas atravs da Internet. Pode ser carregado num servidor Web ou disponibilizado num servidor FTP (Protocolo de Transferncia de Arquivo), caracterizando um nico local de fonte para o contedo. Tambm pode ser compartilhado numa rede P2P. Nesse caso, o acesso controlado por autenticao, e uma vez disponibilizado, o arquivo distribudo por vrias mquinas, constituindo vrias fontes para um mesmo arquivo. Mesmo que o autor original do arquivo j no detenha, outras pessoas da rede que j obtiveram o arquivo podem disponibiliz-lo.
2.4MELHORIAS OFERECIDAS NA INTERNET
A Internet vem crescendo cada dia mais e junto com este crescimento surge novas formas de interao e organizao atividades sociais, graas as suas caractersticas bsicas, como o uso e o acesso difundido. Redes sociais, como Facebook, Orkut e Twitter, entre outras, tm criado uma nova forma de socializao e interao. Os usurios desses servios so capazes
15
de adicionar uma grande variedade de itens as suas pginas pessoais, de indicar interesses comuns, e de entrar em contato com outras pessoas.
2.5 EDUCAO
O uso da internet como uma disseminada forma de interao no processo educativo, amplia a ao de comunicao entre aluno e professor e proporciona um intercmbio educacional e cultural. Desta forma, o ato de educar com o auxlio da Internet proporciona a quebra de barreiras, de fronteiras e remove o isolamento da sala de aula, acelerando a autonomia da aprendizagem dos alunos em seus prprios ritmos. Assim, a educao pode assumir um carter coletivo e tornar-se acessvel a todos, embora o custo ainda esteja relativamente alto.
2.6 MARKETING
A Internet se tornou um grande mercado para as empresas. Vrias hoje em dia cresceram tomando vantagem da natureza eficiente do comrcio e 16
da publicidade a baixos custos na Internet. o caminho mais rpido para difundir informaes para um vasto nmero de pessoas de forma simultnea. A Internet tambm revolucionou subseqentemente as compras. Por
exemplo, uma pessoa pode fazer uma compra e receb-la na sua caixa de correio dentro de alguns dias. Tambm facilitou de forma visvel o mercado personalizado que permite a uma empresa oferecer seu produto a uma pessoa ou a um grupo especfico mais do que qualquer outro meio de publicidade, e em sua grande maioria com um custo relativamente baixo.
17
III. GATEWAY
O Gateway em sua maioria um computador com duas (ou mais) placas de rede ou at mesmo um dispositivo dedicado, utilizado para unir duas redes. Existem vrios usos possveis, desde interligar duas redes que utilizam protocolos diferentes, at compartilhar a conexo com a Internet entre vrias estaes. (MORIMOTO, 2005,).
O endereo do gateway deve ser informado nas propriedades de rede, quando as estaes esto configuradas para obter seus endereos
automaticamente possvel configurar o servidor (DHCP) para enviar o endereo do gateway de forma automtica. A estao enviar ao gateway qualquer requisio de endereo que no faa parte da rede local. Caso esteja em uma rede com determinada faixa de IP, e um IP que no esteja nesta freqncia solicite acesso, ser o gateway quem respondera por este acesso seja ele em outra rede ou at mesmo na internet e consequentemente entregar o resultado estao. Quando voc se conecta a internet atravs de um provedor de acesso qualquer, voc recebe apenas um endereo IP vlido. A princpio, isso permitiria que apenas um computador acessasse a internet, mas possvel compartilhar a conexo entre vrios hosts via Network Address Translation (NAT). Quando voc compartilha a conexo entre vrios hosts, apenas o servidor que est compartilhando a conexo possui um endereo IP vlido, ou seja, ele o nico IP visvel na internet. Todos os demais acessam atravs dele. O gateway padro justamente o IP da rede que tem a conexo com a internet e pode ser um computador ou at mesmo um modem, ele que os outros consultaro quando precisarem acessar qualquer contedo na internet. O servidor Proxy em sua grande maioria tambm se torna um servidor gateway, pois todas as requisies de acesso internet devero passar pelo
18
mesmo, que analisar requisio e conseqente ir atribuir a poltica que se est configurada.
19
4. FIREWALL
O firewall no um nico software ou hardware, e sim vrios funcionando em conjunto para prover uma soluo suficientemente capaz de oferecer o mnimo de segurana possvel. Segundo Rodrigo Rubira Branco este sistema deve ser capaz de atender os pilares bsicos da segurana das redes seguindo os seguintes padres: Confidencialidade - propriedade que limita o acesso informao to somente s entidades legtimas, ou seja, quelas autorizadas pelo proprietrio da informao. Integridade - propriedade que garante que a informao manipulada mantenha todas as caractersticas originais estabelecidas pelo proprietrio da informao, incluindo controle de mudanas e garantia do seu ciclo de vida. Disponibilidade - propriedade que garante que a informao esteja sempre disponvel para o uso legtimo, ou seja, por aqueles usurios autorizados pelo proprietrio da informao. Autenticidade ter a certeza que a informao foi enviada para o receptor correto, e ao receber ter a certeza que foi originada pelo o emissor correto. Legalidade -Manter a informao em um estado legal de acordo com as polticas vigentes, no sendo permitido qualquer tipo de alterao que possa vir perder estas caractersticas. A facilidade de conectar um computador em uma rede hoje em dia, pode trazer srios riscos tanto para quem conecta, tanto para quem gerencia a rede. muito divertido para as pessoas navegarem pela internet, quando esto em casa. Para os gerentes de segurana das empresas, trata-se de um pesadelo. Muitas empresas tm grande quantidade de informao confidencial on-line segredos comerciais, planos de desenvolvimento de produto, estratgias de marketing, 20
anlises financeiras etc. A revelao dessas informaes para um concorrente poderia ter terrveis conseqncias. Alm do perigo de ter estas informaes divulgadas publicamente, tambm h chance que estas informaes sejam contaminadas com vrus, vermes e outras pestes digitais que podem burlar a segurana, destruir dados valiosos e consumir muito tempo dos administradores, que tentam eliminar a confuso causada por eles, com freqncia, eles so trazidos por funcionrios descuidados que querem brincar com algum jogo novo muito divertido, ou at mesmo a inocncia de se usar um pendrive contaminado. Para evitar estes possveis problemas, so necessrios mecanismos que diferencie os dados valiosos de possveis ataques. Segundo Maks Wance Firewall um conceito de segurana que se torna cada vez mais importante no mundo da computao. medida que o uso da informao cresce, a proteo destes requer a aplicao de ferramentas e conceitos de segurana eficientes. O firewall uma opo praticamente indispensvel. Firewall pode ser definido como uma coleo de componentes ou mesmo um sistema que possui a caractersticas de definir uma poltica de segurana na rede, dizendo o que permitido e o que no permitido, com isto todo acesso rede interna e rede externa deve antes passar pelo o firewall. Dessa forma, o firewall um mecanismo utilizado para proteger uma rede interna (confivel) de outra rede externa (no confivel). Um firewall assegura que no h possibilidades de acesso rede externa (por exemplo, Internet) a partir da rede interna, nem vice-versa, a no ser que se passe pelo o mesmo. Ele verifica e filtra todas as conexes vindas da rede externa para a rede interna e vice-versa permitindo apenas conexes pr-definidas.
21
4.1HISTRICO
Desenvolvido pela Bell Labs em meados dos anos 80 e, sob encomenda da gingante das telecomunicaes AT&T, o primeiro firewall do mundo foi desenvolvido com o intuito de filtrar todos os pacotes que sassem e entrassem na rede corporativa, de modo a manipul-los de acordo com as especificaes das regras previamente definidas pelos cientistas da Bell. Desde ento, mesmo com a grande evoluo dos meio tecnolgicos o firewall continua a possuir e empregar os mesmos conceitos desenvolvidos nos laboratrios da Bell, apenas com alguns aprimoramentos e implementao de novas funcionalidades, pois, deve-se levar em considerao que at os dias de hoje, trs dcadas aps ser concebido, para Urubatan Neto um firewall tem como principal finalidade a filtragem de pacotes, porm no mais a nica.
4.2TIPOS DE FIREWALL
Filtros de Pacotes o tipo mais comum de firewall e tem como objetivo permitir ou negar a entrada de um determinado pacote de informaes em uma rede, levando em considerao o endereo IP ou a porta de origem e de destino. Esta classe de firewall responsvel por filtrar todo o trafego direcionado ao prprio host firewall ou a rede que o mesmo isola, tal como todos os pacotes
22
emitidos por ele ou por sua rede. Ocorre mediante a anlise de regras previamente inseridas pelo administrador da rede. O firewall filtro de pacotes possui a capacidade de analisar cabealhos de pacotes enquanto os mesmos trafegam. Mediante essa anlise, que fruto de uma extensa comparao de regras previamente adicionadas, pode decidir o destino de um pacote como um todo. A filtragem pode ento deixar tal pacote trafegar livremente pela rede ou simplesmente parar sua trajetria, ignorando-o por completo. O mesmo sem duvida, a classe mais utilizada de firewall. No aplicar seu conceito deixar as portas abertas e permitir a livre circulao de pacotes no confiveis por sua rede. Filtro de Contedo o mtodo que permite ou nega acesso a informaes atravs do contedo carregado no cabealho da pgina requisitada. Basicamente esses filtros capturam as palavras dentro de pacotes de dados e comparam com palavras-chave de listas de negao e listas de liberao de acesso. Se h uma palavra-chave numa das listas ele permite ou nega acesso informao. Existem listas intermediarias que liberam acessos vindos de determinados grupo de origem e nega para outros. NAT Um firewall aplicado classe NAT, a principio, possui o objetivo de manipular a rota padro de pacotes que atravessam o kernel do host firewall aplicando-lhes a traduo de endereamento. Isso lhe agrega diversas
funcionalidades dentre as principais esto manipular o endereo de origem e destino dos pacotes. Um firewall NAT pode, por exemplo, realizar trabalho de um Proxy de forma simples e eficiente. Obviamente, no contando com a velocidade de um Proxy cache, mas, de certa forma, mantendo o mximo de segurana em sua rede interna. Firewall Hbrido um firewall hbrido agrega a si tanto funes de filtragem de pacotes quanto de NAT. Trata-se, na verdade, da unio de ambas as classes e no to somente de uma classe isolada com caractersticas prprias. Hoje em dia um firewall uma das tecnologias, mais requisitadas em segurana de rede, com isto surge necessidade de subdividi-lo em classes. Inspeo de Pacotes com Informaes de Estado - alm de desempenhar as funes do filtro de pacotes, inspecionam o estado da conexo, ou seja, apenas
23
aquelas conexes previamente estabelecidas e vlidas que cumprem as condies configuradas pelo firewall tm acesso rede; Aplicativos de Proxy - so os mais complexos, pois varrem todo o trafego na camada de aplicao (camada quatro) do modelo TCP/IP. Isto permite que o trafego dentro de um servio, como o trfego da porta 80 possa ser filtrado. O principal objetivo do firewall permitir somente a transmisso e a recepo de dados autorizados. Existem firewalls baseados na combinao de hardware e software e firewalls baseados somente em software. Este ltimo o tipo recomendado ao uso de pequenas empresas e tambm o mais comum. Resumindo, o firewall um mecanismo que atua como defesa de um computador ou de uma rede, controlando o acesso ao sistema por meio de regras e a filtragem de dados. A vantagem do uso de firewalls em redes, que somente um computador pode atuar como firewall, no sendo necessrio instal-lo em cada mquina conectada. Na figura2 ilustrado a funo de um firewall em uma rede.
Figura 1: Firewall na Rede
Fonte: http://www.juliobattisti.com.br/tutoriais/breinerqueiroz/isaserver2k001.asp
24
4.3FIREWALL EM LINUX
No Linux, as funes de firewall so agregadas prpria arquitetura do kernel, para Urubatan Neto isso o torna, sem dvida, muito superior em relao a seus concorrentes. Tudo que chega ou sai de um host processado por seu kernel, independente de sistema operacional. O que o Linux faz de diferente agregar, via Netfilter (software agregado ao sistema) funes de controle de fluxo interno em termos de firewall.
4.4 A ESTRUTURA PROXY EM UM FIREWALL
Na sua grande maioria o firewall conecta duas redes implementando filtragem de pacotes para controlar o trfego entre ambas. Os programas de administrao deste tipo de Firewall podem ser configurados definindo-se algumas regras de filtragem como, por exemplo, s permitir pacotes vindos de uma determinada rede e bloquear todo o restante, ou at mesmo bloquear todo acesso oriundo de uma determinada rede e liberar todo o restante. Embora eficientes este tipo de Firewall se torna muito limitado, principalmente se estiver conectado Internet. relativamente fcil de descobrir furos no sistema e contorn-los. 25
4.5O SERVIDOR PROXY
O Proxy funciona num nvel mais elevado na pilha de protocolos permitindo maiores possibilidades de monitorar e controlar a comunicao entre redes, com isto possvel analisarem o trafego HTTP ou FTP, e determinarem se deve ou no passar. Se houver uma regra que impea a passagem de qualquer endereo WEB que contiver a palavra sexo, ento qualquer pedido de URL que contiver sexo ser descartado. O Proxy como um intermedirio entregando mensagens de um cliente interno a um servio externo. O servio de NAT muda o endereo IP dos pacotes do cliente para proteg-lo da Internet, agindo em seu nome na Internet. O nico endereo que vai para a Internet o do Proxy. Usando um servidor Proxy diminuem-se as possibilidades de um Hacker, monitorando o trfego de rede, obter informaes sobre os computadores da rede interna. O Proxy esconde o endereo IP de todos os computadores da rede interna.
26
5. PROXY
A maioria das ameaas de segurana que existem hoje chega atravs da internet. Manter somente um antivrus instalado e atualizado na rede no garante a segurana. Segundo o site medplan 60% de todas as ameaas dos ltimos 20 anos surgiram nos ltimos 12 meses e j esto distribudas na internet. Filtrar o contedo da internet para o uso adequado pelos empregados de uma empresa fundamental para o bom funcionamento de sua rede interna e a manuteno da sua produtividade. Existem hoje no mercado diversos softwares poderosssimos para esse tipo de controle. Eles podem filtrar at mesmo o contedo da mensagem baseado em padres pr-estabelecidos por voc, de acordo com uma listagem de assunto proibido. Alguns chegam ao ponto de bloquear qualquer e-mail que possua um arquivo executvel anexado, assim, mesmo que ele contenha um arquivo desconhecido, o software e capaz de fazer o bloqueio contra ataques. Segundo Bruno Ricci e Nelson Mendona, Proxy um software que filtra contedo na camada de aplicao em uma rede, ou seja: um servidor que faz a intermediao entre as requisies dos usurios da Internet e um determinado servio. Simplificando; ao digitar no navegador um determinado endereo na Internet (www.algumacoisa.com.br), no ser feito uma conexo direta com o servidor de hospedagem do site. Seu pedido de conexo vai at um servidor Proxy mais prximo a voc e de l parte para o servidor de destino.
27
5.1 O SURGIMENTO
O servidor Proxy surgiu da necessidade de conectar uma rede local Internet atravs de um computador da rede que compartilha a sua conexo com as demais mquinas. Ou seja, se considerarmos que a rede local uma rede interna e a Internet uma rede externa, pode-se dizer que o Proxy aquele que permite que outras mquinas tenham acesso externo. Geralmente, as mquinas da rede interna no possuem endereos vlidos, portanto, no tm uma conexo direta com a Internet. Assim, toda a solicitao de conexo de uma mquina da rede local para uma mquina da Internet direcionada ao Proxy, este, por sua vez, realiza o contato com a mquina desejada, repassando a resposta da solicitao para a mquina da rede local. Por este motivo, utilizado o termo Proxy para este tipo de servio, que traduzido para procurador ou intermedirio.
5.2 OS BENEFCIOS DE SE USAR UM PROXY
Uma das principais vantagens de se usar um servidor Proxy a capacidade de armazenamento temporrio de documentos. Numa estao que utiliza Proxy para acessar uma pagina da internet, uma cpia da pgina acessada colocada no que chamamos de cache, que uma rea com um tamanho especificado pelo administrador e que contm as requisies ao 28
sistema. Se outro usurio acessa esta mesma pgina de outra estao, no existe a necessidade do acesso internet, pois o Proxy descarrega no navegador do usurio a pgina contida em seu cache, isto aumenta o desempenho dos acessos internet. Os recursos de caching citados permitem economia de recursos cada vez mais importante nas redes de dados atuais. Estudos da RNP Rede Nacional de Ensino e Pesquisa demonstram que a utilizao de um servidor Proxy/Cache podem representar uma economia de at 35% da banda larga de uma empresa com perfil de uso genrico da internet. Com esta funo possvel dividir sua rede em segmentos, e atribuir somente a quantidade necessrio para cada segmento, Ex: Diretoria 80%, Alunos 40%, etc. Outra vantagem a capacidade que o servidor Proxy tem de analisar pacotes na camada de aplicao (camada quatro no modelo TCP/IP). Isto oferece uma flexibilidade muito maior, pois permite que o trfego dentro de um servio, com o trafego da porta 80 possa ser filtrado, aumentando ainda mais a chance de um bloqueio ser bem sucedido. Se houver a regra que proba a passagem de qualquer endereo WEB que contiver a palavra sexo, o pedido ser descartado.
5.3 TIPOS DE PROXY
Hoje em dia com a quantidade de Proxy disponvel no mercado com certeza ter um que atendera o perfil das mais variadas empresas. Segundo Bruno Ricci (2006), Existem vrios Proxy de caractersticas diferentes: alguns mais especializados em protocolos; outros voltados filtragem de contedo e 29
tambm aqueles especializados para otimizao de cache, em fim, hoje em dia existe Proxy para os mais determinados fins. Segue a listas dos Proxy mais utilizado na internet. Squid O Squid um servidor Proxy distribudo sob a licena GNU/GPL. Para Bruno Ricci e Nelson Mendona apresenta-se como um dos melhores softwares para a funo do mercado. projetado principalmente para rodar em sistemas operacionais Linux. O Squid est em desenvolvimento faz muito tempo por isso completo, robusto e confivel, um servidor Proxy de alto desempenho apoiado por muitos protocolos, embora seja principalmente usado para HTTP e FTP. Tambm tem suporte para TLS, SSL e HTTPS. O Squid tem se tornado obrigatrio na instalao dos provedores de qualquer empresa que deseja garantir um bom desempenho de sua conexo ou criar regras de acesso para gerenciar sua rede. Esse software teve seu comeo atravs do projeto Harvest da ARPA e foi fruto dos esforos de Duane Wessels e uma srie de colaboradores espalhados pelo mundo. Apesar de sua estabilidade o Squid esta em constante atualizao e um dos mais populares. Delegate Delegate um Proxy de aplicao multinvel que roda em mltiplas plataformas (Unix, Windows, MacOS). Ele abrange vrios protocolos HTTP, FTP, SMTP, POP, Telnet, uma de suas principais funes a utilizao de cache, ou seja, guardado um espao na memria para armazenamento dos contedos mais acessados e posteriormente estas informaes sero reutilizadas sempre que preciso, por ser um Proxy o Delegate tem como funo o controle de acesso de contedo das mquinas clientes e encaminhamento para os servidores. Nasceu com o intuito de ser um Proxy para pequenas corporaes tem crescido constantemente. O Delegate alm de ser um Proxy pode ser usado como um simples servidor gateway na rede para acesso a internet. WinconnectionO Winconnection um servidor Proxy feito no Brasil
especificamente para a plataforma Windows, pela empresa Winco, sediada no Rio de Janeiro. O programa todo feito em C++ mantido desde 1998, quando tinha
30
apenas as funes bsicas de compartilhamento e com o tempo foi evoluindo para ser um gateway completo de rede. O foco principal do produto foi ter todos os servios de rede no mesmo lugar e por isso a maior base de usurios se encontra no segmento das pequenas empresas, onde o administrador de rede no um profissional dedicado a esta tarefa, mas no pode deixar o controle da internet de lado. Uma curiosidade sobre o produto que ele pode ser usado gratuitamente em redes com dois computadores e por isso pode ser usado por pessoas que querem treinar configurao de redes TCP/IP complexas. Suas principais funes so o compartilhamento de conexo internet, servio de correio eletrnico, servio de nomes dinmico, servio de mensagens instantneas e compartilhamento de internet. Seus principais servios so: Proxy transparente, controle de banda de Internet baseado em redes de acesso, suporte a vrios tipos de conexo com a Internet, firewall integrado com regras de acesso simplificadas, servidor de mensagem instantnea com transferncia de arquivos e servidor DHCP.
5.4 SQUIDGUARD
Bloquear domnios e endereos IP individuais funciona bem para bloquear pginas especficas, mas no quando se trata de bloqueios em pginas pornogrficas ou paginas de jogos, por exemplo, simplesmente porque existem muitas delas e tentar acompanhar o ritmo com que elas so criadas, praticamente impossvel.
31
Existem grupos destinados a manter listas com URLs de pgina pornogrficas e pginas de jogos em geral que so atualizadas freqentemente. Por serem construdas atravs da combinao dos esforos de muitas pessoas, auxiliadas por ferramentas semi-automticas de indexao e classificao de contedo, estas listas permitem bloquear a maior parte das pginas ilcitas sem muito esforo. Com base em toda esta informao necessrio o uso de um plug-in que permita usar longas listas de URLs, com milhes de links sem uma grande perda de desempenho. O SquidGuard automatiza o sistema de bloqueio e tem como funo principal redirecionar URLs que sero filtradas com base em uma blacklist. Alm da velocidade com que as requisies so lidas, e por se tratar de um software livre sobre a licena GNU GPL, o SquidGuard oferece em um nico produto a combinao filtro, redirecionamento, e controlador de acesso.
5.5 DANSGUARDIAN
O DansGuardian um filtro de contedo web, que atualmente roda em Linux. Ele filtra o contedo real de pginas com base em vrios mtodos, incluindo correspondncia de frase, fotos e filtragem de URL. O DansGuardian projetado para ser completamente flexvel e permitir-lhe adaptar os filtros a sua real necessidade. As configuraes padro so apropriadas para um bloqueio leve, mas com o DansGuardian independente da maneira com que voc o configura, ele sempre deixa voc no controle absoluto da operao. O DansGuardian outra opo de filtro de contedo desenvolvido para trabalhar em conjunto com o SquidGuard, filtrando contedo indesejado. A grande 32
diferena entre ele e o SquidGuard que o segundo se limita a bloquear pginas contidas nas listas, enquanto o primeiro utiliza um filtro adaptativo, que avalia o contedo da pgina e decide se ela uma pgina imprpria com base no contedo, utilizando um conjunto de regras adaptativas. Ele inclui um conjunto de regras prontas, que contm palavras, frases e tipos de arquivos freqentemente usados em pginas imprprias, alm de uma lista de pginas conhecidas ele trabalha cruzando todas essas informaes. Originalmente, o DansGuardian foi desenvolvido como um filtro de contedo para uso em escolas primrias e para empresas de pequeno porte, nos dias atuais atende a expectativas muito maiores. Atualmente, o DansGuardian um produto semi-comercial, que tem o cdigo aberto e gratuito para uso pessoal ou para qualquer fim no comercial (pode ser usado em uma escola ou escritrio), mas caso seja comercializado necessrio pagar uma taxa.
33
5. SQUID
O Squid um software distribudo sob a licena GNU/GPL que atua como Proxy em uma rede. E que tem um grandioso suporte para operao em servidores Linux. Com o Squid voc pode montar um servidor Proxy com acesso Internet, e fazer com que outras mquinas clientes usando qualquer sistema operacional acessem pginas Web e sites FTP atravs do mesmo. As mquinas clientes precisam somente estar com os seus gateway padres apontados para o servidor Proxy. O Squid carregado de funes, dentre as principais se destacam o gerenciamento de banda, a autenticao (neste caso o usurio obrigado a colocar o seu login e senha previamente criados, facilitando assim uma possvel auditoria), Proxy transparente (o Squid, se junta ao firewall e aplica uma regra que obriga todos os usurios a usar uma porta predefinida pelo o Proxy para o acesso a internet). O recurso mais popular do Squid o cache de pginas. Como em geral o Link entre as mquinas clientes e o servidor Proxy de alta velocidade (rede local ethernet ou similar) e o link entre o Proxy e a Web mais lento, bastante interessante possibilidade que o Squid oferece de armazenar localmente as ltimas pginas acessadas, de forma a no ter que buscar novamente na Internet uma pgina que tenha sido recentemente vista por outro usurio da mesma rede. Vale lembrar que um servio de Proxy exige bastante memria e espao em disco rgido. O sistema deve ser dimensionado de forma adequada.
34
6.1 CONTROLES DE ACESSO
O controle de acesso do Squid, e feito atravs das ACLs (Lista de Controle de Acesso) elas oferecem uma boa flexibilidade na hora de definir suas polticas de segurana para utilizao. As listas de acesso so definidas em uma sesso especifica do arquivo Squid.conf, essas sempre so combinadas s diretivas do Proxy. No Squid as diretivas do arquivo Squid.conf so interpretadas de cima para baixo, ou seja, na ordem em que so escritas no arquivo de configurao. Quando o Squid analisa as solicitaes de acesso primeira regra de acesso lida. Se a requisio no combinar com a primeira regra de acesso, o Squid ir compar-la com a prxima diretiva, e assim por diante at atingir o final do arquivo. Para Bruno Ricci e Nelson Mendona sempre bom definir como ultima diretiva do arquivo Squid.conf uma regra de acesso que bloqueie todas as solicitaes de acesso. Pode-se fazer uma analogia a poltica de acesso padro de um firewall, ou seja, libere-se os acessos necessrios atravs de regras de acesso especificas e ao final do arquivo de configurao bloqueie toda e qualquer tentativa de acesso no liberada previamente. Ao criar as regras de acesso, sempre bom evitar redundncia e diretivas que exijam resoluo de nomes DNS, uma vez que a traduo de nome DNS para IP pode retardar a resposta do Proxy.
35
6.2 FUNES DO SQUID
O Squid depende da infra estrutura da rede. Quando ele entrar em operao, as rotas e interfaces de rede da mquina j devem estar ativadas. O objetivo principal de um servidor Proxy possibilitar que mquinas de uma rede privada possam acessar uma rede pblica, como a Internet, sem que para isto tenham uma ligao direta com esta. O Squid costuma ser instalado em uma mquina que tenha acesso direto Internet, sendo que as demais efetuam as solicitaes atravs desta. Justamente, por isto, que este tipo de servidor chamado de Proxy, pois um procurador, ou seja, o sistema que faz solicitaes em nome dos outros. Um servidor Proxy para o protocolo HTTP, por exemplo, pode ter outras funcionalidades implementadas. Visto que todas as solicitaes de pginas efetuadas pelas mquinas da rede privada sero feitas atravs dele. muito til armazenar localmente as pginas que foram solicitadas, permitindo que os prximos acessos, efetuados por quaisquer mquinas da rede, possam ser otimizados.
6.3 TIPOS DE PROTOCOLOS
O Squid busca por comunicao TCP em portas especficas. O TCP usado para comunicao entre servidores web e clientes, Para cada servidor ou cliente, a configurao do Squid precisa fornecer uma nica porta sobre a qual o Squid ir enviar as requisies TCP e ouvir as respostas. O Squid, no configura acesso a e36
mails, visto que, no s funo do firewall trabalhar com o NAT, como tambm no faz sentido criar caches de e-mails pessoais.
6.4 PROXY NOS NAVEGADORES
Internet Explorer acesse o menu ferramentas, selecionar opes da internet. Ao abrir a janela de configurao clique no menu conexes e depois em configuraes da lan. Ao clicar apresentada uma janela que permite que seja efetuada a configurao do acesso atravs do servidor Proxy. Mozilla Firefox Acessar o menu ferramentas que se encontra na parte superior direita do navegador, e selecionar opes. Ao abrir a janela de configuraes de opes, clique no menu Avanado e depois na opo Rede, conforme figura 3
Figura 3 MENU OPES DO FIREFOX
37
Na Prxima etapa clique em Configurao manual de proxy e informe o endereo ip do servidor Proxy e consequentemente todo acesso dever antes passar pelo servidor Proxy.
Figura 4
INFORMANDO ENDEREO IP
6.5 PROXY TRANSPARENTE
Ao utilizar a tcnica de transferncia, o administrador no mais precisar visitar localmente as estaes de trabalho para configurar seus navegadores web, pois, todo acesso a internet ser forado a utilizar o servio de Proxy, mesmo que seus navegadores no estejam configurado para faz-lo. O Proxy trabalha juntamente com o firewall forando um redirecionamento, fazendo com que todo o trafego que tenha destino para a porta de acesso 80 seja redirecionando de maneira transparente para a porta em que o servio de Proxy oferecido ou seja, 3128. 38
Para o uso do Proxy transparente necessrio a integrao entre o Proxy e o servidor firewall, para isto adicionado uma regra de redirecionamento no servidor firewall. Abaixo segue a regra: Iptables t Nat A PREROUTING i eth1 p tcp dport 80 j REDIRECT toport 3128 No exemplo acima vale ressaltar que, a interface eth1, identifica a interface de rede na qual os pacotes devem ser aguardados. Ou seja,esta interface tem que estar ligada ao switch de sua LAN. Tecnicamente, o comando acima define para todos os pacotes que entrarem atravs da interface eth1 cuja porta de destino seja 80, estes devem ser redirecionados para a porta na qual o servio de Proxy oferecido, ou seja, porta 3128. Aps efetuar o redirecionamento de portas atravs do firewall, deve-se habilitar o suporte a transparncia na conexo, adicionando o comando transparente depois da porta configurada no arquivo Squid.conf .
6.6PROXY AUTENTICADO
Como j foi dito, o Squid permite o uso de autenticao para os seus clientes, neste caso quando se deseja acessar a internet, requisitado suas credencias de acesso para obter o acesso desejado; este questionamento se faz geralmente atravs de um formulrio no qual deve ser digitado o seu login e sua respectiva senha.
39
Aps preencher o formulrio corretamente com suas credenciais o navegador web as codifica e envia para o servidor Proxy atravs de um cabealho de requisio de autenticao. Vale ressaltar que, a segurana no envio dos dados depende da tecnologia utilizada na autenticao, ou seja, dependendo da tecnologia aplicada os dados podem ser enviados criptografados ou em texto puro. Caso, de acordo com as regras de acesso do Proxy seja necessrias credenciais para acessar determinado contedo web, o prprio Proxy vai procurar automaticamente pelo cabealho de requisio de autenticao o qual vai decodificar e extrair o login e sua respectiva senha, liberando ou no seu acesso de acordo com a regra previamente definida em sua configurao.
6.7TIPOS DE AUTENTICAO
Muitos so os mtodos e tecnologias existentes que permitem liberar ou bloquear o acesso internet baseando-se nas credenciais apresentadas por um determinado usurio, logo, para habilitar a integrao desses mtodos com o Proxy Squid necessrio utilizar programas externos responsveis por validar as credenciais apresentadas e repassar seu resultado ao Squid. De acordo com Bruno Ricci e Nelson Mendona segue os principais tipos de autenticao usados para liberar seu acesso baseado em credenciais previamente estabelecidas.
40
6.7.1AUTENTICAO NCSA
Consiste no mtodo mais bsico de autenticao, este mtodo autentica usurios previamente criados em um arquivo texto qualquer atravs do utilitrio do apache htpasswd, ou seja, os usurios sero autenticados em um arquivo de texto simples. Neste caso o arquivo consiste em um simples texto contendo o username e a respectiva senha criptografada de cada usurio separado pelo delimitador.
6.7.2AUTENTICAO ACTIVE DIRECTORY
Consiste em um dos mtodos mais avanados de autenticao. Este mtodo libera o acesso internet mediante autenticao dos usurios do Proxy no servio de diretrio Active-Directory da Microsoft, logo, para implementar este recurso faz-se necessrio um servidor Windows 2000, 2003 ou 2008 que oferea o servio
41
6.7.3AUTENTICAO PAM
A autenticao PAM so conjuntos de bibliotecas compartilhadas que possibilitam ao administrador alterar a forma como seus aplicativos autenticam os usurios sem reescrever ou recompilar estes. A autenticao PAM consiste em dos mtodos mais utilizados de autenticao, este mtodo libera o acesso internet mediante autenticao dos usurios do Proxy atravs dos mdulos plugveis de autenticao
6.7.4AUTENTICAO POP3
A autenticao POP3 consiste em um script criado em python, este mtodo libera o acesso internet mediante autenticao dos usurios em um determinado servidor de e-mail pop3.
42
6.8RELATRIOS
Os relatrios so peas fundamentais para todo servio de auditoria. Um relatrio bem elaborado significa estar sempre atualizado com informaes precisas e claras. O Sarg um software responsvel em gerar relatrios. uma ferramenta brasileira sobre a licena GNU/GPL utilizada para auditar o acesso internet de seus usurios. Dentre sua qualidades destacam-se sua incrvel velocidade. O Sarg um interpretador de logs para o Squid, sempre que executado ele cria um conjunto de pginas, divididas por dia, com uma lista de todas as mquinas que foram acessadas e a partir de cada mquina o contedo acessado. Ele tambm mostra os usurios, caso o Squid esteja configurado para exigir autenticao. O acompanhamento das pginas que esto sendo acessadas pode ser feito mesmo que no exista nenhum filtro de contedo e as medidas podem ser tomadas de acordo com abuso. ntido que os filtros de contedo nunca so completamente eficazes, eles sempre bloqueiam algumas pginas teis e deixam passar muitas pginas imprprias. Ao ter um acompanhamento dirio dos logs, podem ser identificadas falhas e corrigidas o mais rpido possvel tornando o Squid cada dia mais eficiente.
43
VII. IMPLEMENTAO
7.1 INSTALAO DO PROXYSQUID
Para a instalao do Proxy Squid ser usada 500 Mega Bytes para cache local de objetos web, logo, efetue o download do Squid utilizando o wget e o descompacte atravs do tar.
# mkdir /downloads #cd /downloads #wget http://www.Squid-cache.org/Versions/v2/2.5/Squid-2.5.STABLE12.tar.gz #tar zvxf Squid-2.5.STABLE.tar.gz
Posteriormente ser necessrio definir o usurio e grupo utilizado para iniciar o servio do Proxy, para tanto criarei o usurio e o grupo Squid. Estes sero os donos do processo.
#groupadd Squid #useradd g Squid s /dev/null Squid
A seguir, necessrio compilar e instalar o Squid atravs do comando abaixo.
#cd Squid-2.5.STABLE12 44
#./configure #make #make install
7.2CONFIGURAES DO SQUID
Neste momento o Proxy j se encontra devidamente instalado, porm, necessrio efetuar todo o processo de configurao do servio atravs da edio do arquivo de configurao Squid. Conf.
7.3 SQUID.CONF
Squid.conf o arquivo responsvel pela a configurao do Proxy, o mesmo geralmente se encontra no diretrio /usr/local/Squid/etc. Por ele ser um arquivo auto explicativo, ser focado suas principais funes. http_port 3128 Este parmetro define a porta que o servio Squid usar para o trafego na rede. 45
cache_mem 150 MB Esteparmetro define a quantidade de cache que o servidor Squid usar. Quanto maior a quantidade de memria melhor ser odesempenho do Proxy. cache_dirufs /usr/local/squid/var/cache/ 500 16 256 Este parmetro define o diretrio onde o Squid alocar os arquivos para cache. Neste caso ser /usr/local/squid/var/cache. A opo ufs define uma forma de armazenamento do cache, podendo se utilizar outros formatos. cache_access_log /usr/local/Squid/var/logs/Access.log Define o arquivo de registro de log do Squid. Caso queira saber quem acessou determinada pgina na internet, atravs deste arquivo que descobrir. cache_effective_userSquid informa ao Squid com qual UID Nmero de identificao de usurio o Squid deve ser executado. recomendvel no utilizar o UID de root, uma vez que este usurio tem permisso total do sistema, e consequentemente por vir a trazer danos cache_effective_groupSquid Informa ao Squid com qual GID Nmero de identificao de Grupo deve ser iniciado.
7.4CRIANDO AS LISTAS DE CONTROLE (ACL)
Para Bruno Ricci e Nelson Mendona Uma ACL nada mais que uma seqncia de instrues que permitem ou negam acesso determinada rede ou recursos disponveis em outras redes. Toda Lista de Controle de Acesso primeiramente criada e depois aplicada a uma determinada interface de rede. Ao processar o pacote o sistema verifica as
46
instrues definidas numa ACL e com base nessas informaes aceita ou recusa o pacote. As ACLs podem ser criadas utilizando vrios protocolos da camada de rede. Deve-se sempre considerar a ordem de aplicao das ACLs, o Squid analisa uma seqncia de cima para baixo, ou seja, assim que haja uma correspondncia encontrada na lista, existir uma permisso ou negao do pacote e as demais instrues na ACL no sero verificadas. Se no existir correspondncia em nenhuma das linhas de verificao da Lista de Acesso, automaticamente existir no final da ACL uma instruo para bloquear todas por padro. Essa instruo tem por objetivo negar todo o trfego que passa por essa interface do roteador. Caso no seja definida nenhuma lista de acesso ao roteador, todo trfego que passar nas interfaces ser devidamente liberado todas as redes, tanto de entrada quanto de sada.
7.4.1TIPOS DE REGRAS DE ACESSO
SCR Classe de acesso que se baseia no endereo ip da origem da requisio. Ou seja, a regra de acesso se basear no endereo ip do cliente que solicite o acesso. DST -Classe de acesso que se baseia no endereo ip do destino da requisio, ou seja, a regra de acesso se basear no endereo ip do servidor no qual o cliente solicitou o acesso. SCRDOMAIN Classe de acesso que se baseia no domnio dns do computador cliente que solicita a requisio de acesso. Vale informar que a 47
utilizao desta classe pode demandar tempo, uma vez que o servidor vai ter que resolver primeiro o endereo ip, para depois fazer a verificao. DSTDOMAIN -Classe de acesso que se baseia no domnio DNS do servidor de destino. SRCDOM_Regex Classe de acesso que permite o uso de expresses
regulares para classificar o domnio de origem da requisio. Vale ressaltar que a constante necessidade de consulta a um servio DNS externo pode prejudicar o desempenho do Proxy. DSTDOM_Regex - Classes que permite o uso de expresses regulares para classificar o domnio de destino da requisio. Time Classe de acesso na qual possvel determinar o dia da semana, e horrio de requisio de acesso baseado nessa informao liberar ou no se acesso a internet. URL_RegexClasse de acesso na qual possvel utilizar-se de expresses regulares em contraste a URL solicitada pelo cliente para liberar ou no acesso. Port -Classe de acesso na qual possvel controlar o acesso baseado na porta de destino do servidor solicitado pelo cliente do Proxy. Browser Classe de acesso na qual possvel determinar atravs de expresses regulares o navegador web do qual partira a solicitao de acesso web. Vale ressaltar que, a regra de acesso do tipo browser extremamente til para prevenir acessos atravs de navegadores incompatveis com a poltica da empresa. Proxy_Auth Classe de acesso que permite utilizar a autenticao atravs de suas credencias, geralmente username e sua respectiva senha. Vale ressaltar que para utilizar o recurso de autenticao o servidor Squid deve ser previamente configurado para faz-lo atravs de um programa externo responsvel por validar as informaes. ARP Classe de acesso responsvel por liberar ou bloquear o acesso baseando-se no endereo fsico da placa de rede MAC do computador cliente que solicite a requisio de acesso HTTP_Access - Permite ou probe acesso ao servio HTTP baseado em uma lista de acesso previamente definida. O uso do smbolo ! denota a inverso.
48
7.5 EXEMPLO DE CONFIGURAO
Abaixo esta definida uma regra de acesso que permite o acesso apenas para um computador com endereo MAC igual a 00:03:c3:9c:31:51.
acl USER arp 00:03:c3:9c:31:51 http_access allow USER
Abaixo segue outra regra que faz o bloqueio pelo o horrio, ou seja entre as 9 horas e 18 horas de segunda a sexta a internet liberada para a rede 192.168.0.0
acl ADM src 192.168.0.0/24 acl HORARIO time M T W H F 9:00-18:00 http_access allow ADM HORARIO
Abaixo segue a regra que bloqueia sites cuja URL contenha a palavra sexo.
acl SEXO URL_regex sexo http_access deny SEXO
Vale ressaltar que, polticas de bloqueio por palavra-chave devem ser utilizadas com cautela. No exemplo citado acima, o acesso a sites no pornogrficos, como www.sexoesaude.com.br tambm ser restrito, pois contem a palavra proibida sexo em sua URL.
Exemplo de acl que faz o controle juntamente com Whitelist e blacklist
acl blacklist url_regex "usr/local/squid/etc/squid/blacklist" acl whitelist url_regex "usr/local/squid/etc/squid/whitelist" http_access deny blacklist 49
http_access allow whitelist No exemplo anterior os IP e sites que estiverem dentro do arquivo blacklist tero o seu contedo bloqueado, j a relao de IP e sites que estiverem dentro do arquivo whitelist tero o contedo liberado.
Exemplo de ACL para bloquear URL que termina em .exe ou contenha .exe em qualquer parte da URL. Acl exetodos url path_regex \.exe($|\?) Acl exelivre url path_regex /usr/local/Squid/exelivre.txt http_access allow all exelivre http_access deny all exetodos
Exemplo de ACL para controle de banda no qual permite que determinada rede ou ip possa ter acessa a uma quantidade maior de banda na rede. acl chefes src 192.168.0.0 acl assistentes src 192.168.1.0 delay_pools 2 delay_class 1 2 delay_parameters 1 -1/-1 -1/-1 delay_access 1 allow chefes delay_class 2 2 delay_parameters 2 3000/3000 3000/3000 delay_access 2 allow estagiario
No controle acima o gerenciamento vai ser feito a rede destinada aos chefes e tambm aos assistentes neste caso a rede destinadas aos chefes no ter limite na sua banda. J a destinada aos assistentes ser limitada a 64 kbits. Autenticao NCSA Acesse o diretrio de autenticidade ncsa, compile e o instale atravs dos comandos abaixo. #/Cd helpers/basic_auth/NCSA #Make 50
#Makeinstall Neste momento foi criado o binrio ncsa_auth no subdiretrio libexec do diretrio /usr/local/Squid, logo, o autenticador ncsa encontra-se instalado. Acesse o diretrio de configurao do proxy e crie o arquivo de autenticao contendo os usurios e sua respectivas senhas atravs do comando htpasswd, segue abaixo o uso do comando. #/httpasswd senhas_squid user Aps o sistema solicitar que a senha seja digitada duas vezes, o usurio ter sido criado, confira o contedo do arquivo senhas_squid atravs do comando cat: #/cat senhas_squid Neste momento ser necessrio acrescentar os comandos abaixo no arquivo Squid.conf. Auth_param basic program /usr/local/Squid/libexec/ncsa_auth /usr/local/squid/etc/senhas_squid Auth_param basic children 10 Auth_param basic realm Acesso restrito. Digite suas credenciais. AclRedeproxy_auth REQUIRED Aclallsrc 0.0.0.0/0.0.0.0 http_access allow Rede http_access deny all
Implementao Sarg
Segue abaixo, os procedimentos necessrios para a instalao do software auditor Sarg. Inicialmente efetue o download e o descompacte. # Cd /downloads # Wget http://mesh.dl.sourceforge.net/sourceforge/sarg/sarg-2.1.tar.gz #/tar zxvf sarg-2.1.tar.gz Os procedimentos de compilar e instalar devem ser feitos agora #/Cd sarg-2.1 #./configure #Make 51
#Make install Aps efetuar a instalao do sarg, necessrio editar seu arquivo de configurao sarg.conf localizado no diretrio /usr/local/sarg. As principais diretivas que devem ser alteradas so as seguintes: Access_log /usr/local/Squid/var/logs/access.log Title Relatorio de Acesso a Internet Output_dir /var/www/Squid Resolve_ip yes Date_format e Index yes Para utilizar o sarg para gerar relatrios de todos os logs contidos no arquivo access.log execute apenas o comando sarg. Caso queira gerar relatrios dirios necessrio criar o seguinte script: #/Cd /downloads #/vi sarg.diario !/bin/bash Hoje=date +%d/%m%Y #/usr/bin/sarg d $Hoje-$Hoje Altere a permisso do arquivo e execute o sarg com o comando abaixo: #Chmod 755 sarg.diario #./sarg.diario Neste momento o sarg se encontra instalado e configurado para geral relatrios dirios.
52
VIII. CONCLUSO
Os resultados obtidos nesta implementao foram satisfatrio, o Squid neste caso alm de Proxy tambm era o Gateway da rede, e no poderia ter o seu desempenho perdido em nenhum momento,a UNIFIMES cedeu a sua rede com cerca de 100 usurios acessando diariamente como laboratrio e recebeu em troca melhorias no desempenho de sua internet, gerenciamento de banda, auditoria real dos contedos acessados podendo identificar o que cada usurio acessou e quando este contedo foi acessado, economia em hardware e software, uma vez que o sistema gratuito distribudo sobre a licena GNU GPL e o computador utilizado para implementao tem sua configurao considerada de baixo custo,alm de vrios outros benefcios que se derivam de um servidor Proxy. Ao termino da implementao possvel perceber que o Squid passa despercebido em varias situaes, por ser um sistema que trabalha na rede e no na maquina do usurio, muitos deles no conseguem perceber que todo o seu contedo acessado esta indo para um servidor e estar disponvel futuramente para uma possvel auditoria e penalizao caso haja alguma imprudncia. Em geral O Squid se mostrou uma tima alternativa para empresas que desejam ter controle e melhorias no desempenho de sua rede por um preo bastante acessvel.
53
IX. BIBLIOGRAFIA
ALBERTO, Carlos. Configurando um firewall de A Z. 30 de Abril de 2008. Disponvel em: Acesso em 14 de Janeiro de 2011.
ANTONIOLI,
Leonardo
.
Estatsticas,
dados
e
projees
atuais
sobre a Internet no Brasil (F/NAZCA). 01 de setembro de 2011. Disponvel em: Acesso em 10 de Fevereiro de 2011.
AUGUSTO, Renato. O modelo de referncia TCP/IP. 21 de Abril 2008. Disponvel em: Acesso em 10 de Fevereiro de 2011.
BRANCO,
Rodrigo
Rubira.
Analise
de
software.
Disponvel
em:
Acesso em 15 de Fevereiro de 2011.
CAMARGO, Thadeu. Configurando o Iptables e Fazendo Regras Bsicas. 20 de Janeiro de 2004. Disponvel em: https://www.tccamargo.com/linux/tutorais/iptables.html> Acesso em 14 de Janeiro de 2011.
54
FELIPINI, Dailton. e-Commerce no Brasil, 02 de abril de 2011.Disponvel em:< http://www.e-commerce.org.br/artigos/ecommerce_decola.php> Aceso em 15 de Maro de 2011.
GOMES, Christian Lyra; ARRUDA, Felipe Miguel Jorge; WATTER, Leslie Harlley; SZTOLTZ, Lisiane; TEIXEIRA, Roberto Selbach. Guia de Servidor Conectiva Linux. Paran: Curitiba, 2001.
JUNIOR, Cristiano. Configurando vrios Gateways em uma rede. 14 de Outubro de 2010. Disponvel em: Acesso em 10 de Fevereiro de 2011.
LAUREANO, Marcos Aurelio Pchek. Instalando e Configurando o Squid. 07 de novembro de 2010. Disponvel em: Acesso em 10 de Fevereiro de 2011.
MAIA, Luiz Paulo. Arquitetura de Redes de Computadores. Rio de Janeiro: Rio de Janeiro, 2009.
MARIMOTO, Carlos E. Configurando um servidor proxy com o Squid. 01 de agosto de 2008. Disponvel em < http://www.hardware.com.br/livros/servidoreslinux/configurando-servidor-proxy-com-squid.html> Acesso em 15 de Maro de 2011.
MARIMOTO, Carlos E. Gateway. 27 de Junho de 2005. Disponvel em: < http://www.hardware.com.br/termos/gateway> Acesso em 15 de Abril de 2011.
MARIMOTO, Carlos E. Squid e Sarg Monitorando o acesso web da rede. 17 de Maio de 2006. Disponvel em: < http://www.hardware.com.br/dicas/squid-sargmonitorando-acesso-web-sua-lan.html> Acesso em 30 de Maro de 2011.
55
NETO, Urubatan. Dominando Linux Firewall Iptables. Rio de Janeiro: Rio de Janeiro,2004.
POTY, Clarissa. Cresce vertiginosamente quantidade de vrus circulando pela internet, 14 de Abril de 2009. Disponvel em: Acesso em 30 de maro de 2011.
QUEIROZ , Breiner Araujo. Conhecendo o ISA SERVER 2000. 20 de Agosto de 2005. RICCI, Bruno; MENDONA, Nelson. Squid Soluo Definitiva. Rio de Janeiro: Rio de Janeiro, 2006.
SCHRODER, Carla. Redes Linux Livro de Receitas. So Paulo: So Paulo, 2009.
SIQUEIRA, Rodrigo. Atribuindo Regras no Firewall. 12 de Agosto de 2001. Disponvel em: Acesso em 14 de Janeiro de 2011.
STATS, Internet World. Estatsticas de usurio e populao . 4 de agosto de 2010.
TRAINEE, Cisco. CCNA ICND: Guia de Certificao do Exame 640-81: Alta Books, 2005.
WANCE, Maks. Tudo sobre firewall. 04 de Janeiro de 2010. Disponvel em: < http://maxsuportetech.blogspot.com/2010_04_28_archive.html> Acesso em 14 de Janeiro de 2011.
56