Bloqueando site na LAN com SquidBloquear sites na rede local tem sido cada vez mais necessário, seja devido ao uso indevido dos colegas de trabalho ou dos filhos em casa. Se você deseja segurança para seus filhos nada melhor que utilizar linux, além de bloquear que elas façam alterações indevidas no sistema, pode-se facilmente bloquer o acesso deles a sites indevidos. Sobre sites para funcionários da empresa, nem preciso falar o motivo para usar linux e para bloquear sites. 

Já foi postado um artigo aqui no PR sobre o que é o Squid e como instalá-lo, para acessar clique aqui. Portanto Agora irei apenas descrever como configurar o programa. Então vamos por a mão na massa. 

Para bloquear sites é necessário criar uma "lista negra" com palavras-chave.

Uma das funções do squid consiste em bloquear o conteúdo de sites indesejáveis, ou seja, você cria uma "lista negra" com palavras chave.

Para fazer isso crie as regras de bloqueioe, em seguida, ative-as no arquivo de configuração do squid (/etc/squid/squid.conf). Existem quatro situações em que isto pode ser aplicado. Confira:

1º Este primeiro exemplo mostra como bloquear endereços indesejáveis.Para fazer isso, abra um editor de textos de sua preferência e crie um arquivo chamado /etc/squid/regra_de_url.Em seguida, digite uma lista de todos os endereços que estão bloqueados.Por Exemplo:

pornografia.com.brjogosnotrabalho.com.brsexo.com.br

2º É possível que o endereço que você quer bloquear seja uma subpasta de um domínio. Como por exemplo, o endereço www.provedor.com.br/batepapo. Neste caso, você quer bloquear somente a URL /batepapo do domínio www.provedor.com.br - e não todas as pastas localizadas neste provedor.Para fazer isso, crie o arquivo /etc/squid/regra_de_conteudo e adicione o maior número de palavras relacionadas que você conseguir lembrar.Veja o exemplo:

batepapo$icq/$sexo/$fofoca/$chat/$

3º Alguns endereços muitos longos apresentam conteúdo indevido somente na última palavra da url.Um exemplo típico disso são as páginas do Geocites, que costumam apresentar URL como www.geocities.com/novelas/lineusa/6006/bemvindo/fofocas.htm.Para bloquear estes sites, crie um arquivo /etc/squid/regra_de_palavra e adicione as palavras que você quer bloquear. Por exemplo:

fofocaschatplayboybatepapo

4º Caso necessite liberar determinadas páginas que acabaram sendo bloqueadas pelas regaras anteriores, crie um arquivo com o nome /etc/squid/liberado e acrescente as páginas que estão liberadas. Neste caso, o formato é exatamente o mesmo do arquivo /etc/squid/regras_de_url.

Agora que você já criou as listas para bloquear e liberar os endereços, resta definir a condição de cada um dos arquivos no squid.conf. Veja quais são as linhas que devem ser adicionadas.

acl liberado urlpath_regex "/etc/squid/liberado"

acl regraconteudo urlpath_regex "/etc/squid/regra_de_conteudo"acl regrapalavra url_regex "/etc/squid/regra_de_palavra"acl regraurl dstdomain "/etc/squid/regra_de_url"http_access allow liberadohttp_access deny regrapalavrahttp_access deny regraconteudohttp_access deny regraurl

Conteúdo extraído e adaptado de: http://www.linuxnarede.com.br/artigos/fullnews.php?id=223

Há vários tipos de configurações que podem ser realizadas no Squid, como por exemplo, bloquear tudo e liberar só o que é desejado, caso queira aprender mais sobre o Squid não deixe de comentar.Postado por Anderson Weige Dias às 15:57 Nenhum comentário: Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar no OrkutMarcadores: Ferramentas, Linux

segunda-feira, 3 de setembro de 2012

NetWareNetWare é um sistema operacional de rede (NOS) que fornece acesso transparente a arquivos remotos e a outros numerósos serviços de rede distribuídos, inclusive compartilhamento de impressora e suporte a várias aplicações como a transferência de correio eletrônico e o acesso a banco de dados. O sistema NetWare especifica as cinco camadas superiores do modelo de referência OSI e, portanto, virtualmente pode ser executado em qualquer protocolo de acesso à mídia.

O NetWare foi desenvolvido pela Novell, Inc. e introduzido no começo dos anos 80. é derivado dos Sistemas de Rede da Xerox (XNS), criado pela Xerox Corporation no final dos anos 70 e está baseado em uma arquitetura cliente-servidor. Os clientes (às vezes chamados estações de trabalho solicitam serviços, como acesso a arquios e impressoras, aos servidores.A arquitetura Cliente-servidor do sistema NetWare suporta um acesso remoto, transparente aos usuários por meio de chamadas de procedimentos remotos. Uma chamada de procedimento remoto é inicada quando o programa do computador local, executado no cliente, envia uma chamada e rtorna as informações solicitadas ao clienteFonte:Internetworking : manual de tecnologias : uma referência essencial para todos os profissionais de rede / Kevin Downes ... [ett . al] ; tradução [da 2.ed original] Fábio Freaitas. - Rio de Janeiro : Campus, 2000. pg. 341

Postado por Anderson Weige Dias às 14:52 Nenhum comentário: Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar no OrkutMarcadores: Ferramentas

sexta-feira, 29 de junho de 2012

RAID

RAID é a sigla para Redundant Array of Independent Disks. Sua definição em português seria "Matriz Redundante de Discos Independentes".

É uma tecnologia que "une" vários HDs formando assim uma única unidade lógica, é um conjunto de HDs que funcionam como se fossem um só, dependendo do nível ele cria espelhamento de todos os dados, etc..

Tornando dessa maneira o armazenamento de dados mais seguros, tanto contra falhas de software como falhas físicas, entre outros benefícios.

O RAID trabalha em vários niveis. No arquivo abaixo pode-se visualizar uma apresentação que tive à uns 2 anos atrás no curso que fazia de graduação, nessa apresentação há detalhes sobre os níveis.CLIQUE AQUI PARA BAIXAR A APRESENTAÇÃO

Postado por Anderson Weige Dias às 15:52 Nenhum comentário: Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar no OrkutMarcadores: Ferramentas, Segurança

sexta-feira, 30 de dezembro de 2011

Programas para Gerenciamento de RedeO gerenciamento de rede pode ser definido como a coordenação (controle de atividades e monitoração de uso) de recursos materiais (modems, roteadores, etc.) e ou lógicos (protocolos), fisicamente distribuídos na rede, assegurando, na medida do possível, confiabilidade, tempos de resposta aceitáveis e segurança das informações. (Projeto de Redes)

Cada vez mais torna-se necssário monitarar e gerenciar a rede de seu local de trabalho ou até sua casa, para evitar que funcionários façam algo errado ou que alguém consiga acesso aos seus arquivos, utilize sua rede, entre outros.Separamos alguns programas/ferramentas (para SO Windows 32 e 64 bits) 100% free para lhe ajudar nessa tarefa de gerenciar sua rede:

* ShowMyPC Remote Access 3055 - Esse programa considero muito simples, porém bastante útil. Basicamente ele funciona da seguinte forma: O programa é aberto na máquina servidor na qual se gera uma senha, com isso para acessar essa máquina basta iniciar o ShowMyC de sua máquina e colocar a senha gerada no servidor.É bastante útil para verificar o que esta sendo feito naquele momento na máquina servidor ou para fazer algum trabalho remotamente.Este programa não necessita de instalação, basta executá-lo que estará funcionando 100%.A sua deficência é que não permite transferência de arquivo.

* LanState 5.5 - é um programa que permite "criar mapas" de sua rede e monitorar o status de todos os dispositivos conectados a ela. Pode-se utilizar ele para enviar mensagens, desligar computadores entre várias outras funcionalidades e também exporta para BMP ou XML o tráfego da rede.

*Nessus 4.2.2 - Ótimo programa de verificação de falhas/vulnerabilidades de segurança (portas, vulnerabilidades, exploits). Nós ja possuímos um artigo sobre esse programa, para ler Clique Aqui.

* WireShark 1.6.4- Este programa lhe da controle de sua rede permitindo a visualização de todo o tráfego que entra ou sai dela, possibilitando assim a rápida identificação de spywares, trojans ou acessos não autorizados. Como no caso do Nessus ja possuímos um artigo sobre este programa (Clique Aqui par Ler).Postado por Anderson Weige Dias às 15:16 Um comentário: Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar no OrkutMarcadores: Ferramentas, Windows

quarta-feira, 24 de agosto de 2011

Netcat

O Netcat é uma ferramenta usada para ler e escrever dados em conexões de rede usando o protocolo TCP/IP. Dada sua grande versatilidade, o Netcat é considerado pelos hackers o canivete suíço do TCP/IP, podendo ser usado para fazer desde portscans até brute force.

O nome netcat vem do comando "cat" do Linux. O cat concatena arquivos e envia para a saída padrão (stdout). O netcat faz praticamente o mesmo, porém ao invés de concatenar arquivos, o netcat concatena sockets TCP e UDP.

Como o Netcat funciona

A princípio o Netcat foi lançado para ser um telnet aprimorado. Até então a única utilidade que ele teria seria se conectar a um host.

Porém, como o netcat pega os dados da entrada padrão (stdin) e envia pra outra ponta da conexão, que as escreve na saída padrão (stdout), é possível utilizar ele em conjunto com o shell pra fazer inúmeras coisas.

Por exemplo: na imagem do início do post, o que está sendo feito é um "telnet reverso", no qual, na máquina onde os comandos serão executados, cria-se um servidor com nc ouvindo na porta 1234 e tudo o que chegar no netcat é enviado para o bash, que processa o que chegar e envia para outro servidor netcat ouvindo na porta 5678. Qual a utilidade disso? Aparentemente nenhuma, pois o telnet e o ssh cumprem muito melhor essa função.Mas o Netcat tem suas utilidades sim, e alguma serão citadas abaixo:

Escaneando portas com o Netcat

Será feita uma tentativa de conexão à um IP ou host e será estipulada as portas da tentativa de conexão:

$ nc -vv localhost -z 1-3000

Aqui serão escaneadas desde a porta 1 até a 10000.

Bruteforce com Netcat

O brute-force é o método de tentativa de obtenção de senhas utilizado quando um cliente se conecta a um host e tenta se logar, utilizando uma sequência de senhas que estão em um arquivo. Ou seja, se eu pegar o Netcat eu posso me CONECTAR ao host e com uma linha de comando, posso completar o comando com a comparação para obtenção das senhas.

$ nc -vv 79 < ~/wordlist.txt > nc_log.log

Perceba, que conectaremos a porta do FINGER(79) e redirecionaremos o conteúdo do arquivo wordlists.txt para essa porta. Quando algum resultado for válido ele será salvo em nc_log.log para que você possa analizar posteriormente.

Sniffer com Netcat

O Netcat pode capturar todo o tráfego de uma rede.

Iremos nos conectar a uma porta e mandar o netcat "dar eco" nela, ou seja, exibir TUDO o que passa por ela. Após isso, é só redirecionar tudo o que o Netcat gravou para um arquivo. Veja a sintaxe, para melhor compreensão:

$ nc -vv localhost 80 > ~/sniffer.log

Transferência de arquivos com Netcat

A vantagem de transferir arquivos usando o Netcat em relação à outros métodos é a velocidade. No entanto, desde que você queira somente transferir um único arquivo, ou uns poucos, o Netcat pode ser uma excelente solução para isso:

Primeiro vamos montar nosso servidor, que ficará esperando uma conexão e direcionaremos sua saída para um arquivo, que chamaremos de arquivo.zip

nc -l 1234 > arquivo.zip

Em seguida, vamos abrir uma conexão com nosso servidor, e direcionaremos um arquivo, por exemplo original.zip, para a entrada padrão desse cliente, da seguinte forma:

nc localhost 1234 < original.zip

Chat simples usando o Netcat

Para isso crie um servidor do netcat e abra uma conexão cliente para essa porta. O que você digitar de um lado, aparecerá do outro.

nc -l 1234

nc localhost 1234

Fazendo Spoof em servidores HTTP

Você pode usar o Netcat para se conectar a um servidor web usando cabeçalhos totalmente personalizados. Você pode adicionar quaisquer USER-AGENT, referer, ou qualquer outra informação de cabeçalho HTTP.

$ nc google.com 80GET / HTTP/1.1Host: google.comUser-Agent: VindexReferrer: http://tocadoelfo.blogspot.comAqui o exemplo do cabeçalho (não em sua totalidade):

HTTP/1.0 200 OKContent-Type: text/html; charset=UTF-8Last-Modified: Fri, 02 Jul 2010 21:02:58 GMTX-Content-Type-Options: nosniffX-XSS-Protection: 1; mode=blockExpires: Fri, 02 Jul 2010 22:07:19 GMTDate: Fri, 02 Jul 2010 22:07:19 GMTCache-Control: public, max-age=0, proxy-revalidate, must-revalidateETag: "73202059-b4d7-4150-bdb0-e42c3bbe0c0b"Server: GSEX-Cache: HIT from gw.ifto.edu.brVia: 1.0 gw.ifto.edu.br (squid/3.0.STABLE16)Proxy-Connection: close

Clonar partições via rede com o Netcat

Somenta faça isso se realmente souber o que esta fazendo e o que isso significa.

Primeiro, crie um servidor com o Netcat e redirecione a saída dele para o comando dd:

$ nc -l 1234 | dd of=/dev/sda

Em seguida, rode o dd, que vai fazer uma varredura no disco e enviar tudo para a entrada padrão (stdin) do netcat, que se conectará ao servidor previamente configurado:

$ dd if=/dev/sdb | nc localhost 1234

É claro, você precisará estar com os discos desmontados para que o comando funcione. Ha sugestão é usar um LiveCD nas máquina. Nesse nosso caso foi conectado à mesma máquina, mas nada impede que essa conexão se dê via rede ou mesmo via internet.

Criando um servidor web simples com o netcat

Essa técnica é interessante e mostra um pouco mais da interação do shell com o netcat:

$ while true; do nc -l 80 -q 1 < pagina.html; done

Esse comando roda o netcat infinitamente e a cada vez que ele roda, o arquivo pagina.html é enviado para o cliente, no nosso caso o browser, que você pode acessar com o endereço http://localhost

Fonte: Viva o LinuxPostado por Anderson Weige Dias às 16:38 Nenhum comentário: Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar no OrkutMarcadores: Ferramentas

quinta-feira, 2 de dezembro de 2010

Gerenciar e monitorar redes com o Zabbix e Ubuntu

Zabix é uma ferramenta que pode ser utilizada para monitorar toda sua infra-estrutura de rede, além de aplicações.

Características

Possui suporte a maioria dos sistemas operacionais: Linux, Solaris, HP-UX, AIX, FreeBSD, OpenBSD, NetBSD, Mac OS X, Windows, entre outros;

Monitora serviços simples (http, pop3, imap, ssh) sem o uso de agentes;

Suporte nativo ao protocolo SNMP;

Interface de gerenciamento Web, de fácil utilização;

Integração com banco de dados (MySQL, Oracle,PostgreSQL ou SQLite);

Geração de gráficos em tempo real;

Fácil instalação e customização;

Agentes disponíveis para diversas plataformas: Linux,Solaris, HP-UX, AIX, FreeBSD, OpenBSD,SCO-OpenServer, Mac OS X, Windows 2000/XP/2003/Vista;

Agentes para plataformas 32 bits e 64 bits;

Integração com os Contadores de Performance do Windows;

Software Open Source distribuído pela Licença GPL v2;

Excelente Manual (Em Inglês) – Possui licenciamento próprio – Não GPL;

Envio de alertas para: e-mail, Jabber, SMS;

Scripts personalizados.

Vantagens/Pontos fortes

A principal vantagem do Zabbix é a facilidade de manipulação dos objetos, o que agiliza muito o trabalho do dia-a-dia, por exemplo, digamos que você possui 50 switches iguais, e você quer monitorar o tráfego de rede de cada porta.Você vai criar os itens de cada porta uma única vez e salva-los como template, depois basta usar este template para os 50 switches.Você vai criar os gráficos apenas do primeiro switch e depois copia-lo para os outros 49.Tudo isso selecionando itens e clicando em botões como copy e/ou clone.

Fonte: http://zabbixbrasil.org/?page_id=59

Sem dúvida um dos melhores programas para gerência de redes é o zabbix. Todo dinâmico e polido, utiliza o MySQL como gerenciador da base de dados. Tem agentes de monitoramento para praticamente todas as plataformas.

O zabbix é fácil fácil de instalar:

sudo su

apt-get install zabbix-agent zabbix-server-mysql zabbix-frontend-php snmpd php5-mysql

Só vai ter perguntas óbvias, como senhas e next, next, next e ok. Tudo em bom portugês.

E algumas configurações adicionais:

pico /etc/php5/apache2/php.ini

Localize os campos abaixo e altere:max_execution_time = 300 ;

date.timezone = America/Sao_Paulo

Reinicie o Apache:

/etc/init.d/apache2 restart

pico /etc/zabbix/zabbix_agentd.conf

Ache o campo abaixo e troque o “localhost” por:Hostname=ZABBIX Server

E reinicie o agente:

/etc/init.d/zabbix-agent restart

Agora basta abrir o firefox:

http:///zabbix/

E pronto. A partir daí baixe o agente para o seu sistema em www.zabbix.com e comece a monitorar com a interface do zabbix!

Postado por Anderson Weige Dias às 14:43 Nenhum comentário: Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar no OrkutMarcadores: Ferramentas, Linux

quinta-feira, 25 de novembro de 2010

Teste a Velocidade de Sua ConexãoAbaixo há uma lista de "speed-meters" para você testar a velocidade de sua conexão:

Destaque:

http://www.pingtest.net/

Nacionais:

http://www.rjnet.com.br/velocimetro/teste100.asphttp://www.ip2.com.br/home/content/ip2/ban...rga/default.asphttp://www.testesuavelocidade.com.br/

Internacionais:

http://www.numion.com/YourSpeed/http://www.numion.com/MaxSpeedhttp://promos.mcafee.com/speedometer/test_0150.asphttp://www.pcpitstop.com/internet/BwDownTest.asphttp://www.adsl4ever.com/test

Quanto mais próximo da sua região o site de testes se localizar, maior será a eficácia da sua medição.

Dica: Façam o teste pelo menos 3 vezes no mesmo site, geralmente desconsiderando o 1º resultado e fazendo uma média dos dois últimos (claro, resultados absurdos não devem ser levados a sério, neste caso façam o teste em outro site).Postado por Anderson Weige Dias às 17:12 Nenhum comentário: Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar no OrkutMarcadores: Ferramentas

quarta-feira, 17 de novembro de 2010

Komba (linux enxergando Windows na rede)O Samba também inclui um módulo cliente, o smbclient que pode ser usado para fazer inverso, ou seja, acessar compartilhamentos de máquinas Windows apartir do Linux.

Assim como o cdrecord usado pelo xcdroast e tantos outros exemplos, o smbclient é um programa base, que pode ser tanto usando diretamente (via texto) ou então usado com a ajuda de um utilitário gráfico que torne a coisa mais palatável e prática.

Komba

O melhor exemplo de front-end gráfico para o smbclient é o Komba, que simula o ambiente de rede do windows, mostrando todos os grupos de trabalho, PCs e compartilhamentos da rede e permitindo você monte e desmonte-os conforme necessário:

Para facilitar, o Komba monta os compartilhamentos por default dentro da pasta "komba", dentro do seu diretório de usuário. Facilita as coisas no início, principalmente se você for utiliza-lo numa rede onde os usuários não estão muito familiarizados com o conceito de montagem e desmontagem.

É possível inclusive configurar o komba para montar os compartilhamentos automaticamente ao ser aberto e fecha-los ao ser finalizado. Para isto, basta marcar as opções "Unmount all connections on exit" e "remount all on next start" em Configurações > Configurar > Scan/Mount.

Clicando sobre um compartilhamento você pode inserir seu login e senha de usuário, que será usado para acessar o compartilhamento. É possível definir um login e senha diferentes para cada compartilhamento, para cada PC ou mesmo usar o mesmo login para todos os compartilhamentos da rede. Você pode ainda configura-lo para pedir a senha ao acessar cada compartilhamento, caso precise de mais segurança.

A dupla Samba/Komba funciona melhor, sempre conseguindo exibir todos os compartilhamentos disponíveis na rede corretamente, enquanto o Windows se perde muito fácil: demora para exibir micros que acabaram de ser ligados, trava durante um tempinho ao tentar acessar um micro que foi desligado, mas que continua aparecendo no ambiente de rede e assim por diante.

O Komba foi incluído no Mandrake 9.0, Red Hat 8.0 entre outras distribuições . Se ele já estiver instalado, basta chama-lo usando o comando "komba2"

Para instalar em distribuições derivadas do Debian (como o Ubuntu, por exemplo) basta digitar no konsole: apt-get install komba2.

esse tutorial foi adaptado e retiradodo site: www.guiadohardware.netPostado por Anderson Weige Dias às 15:05 Nenhum comentário: Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar no OrkutMarcadores: Ferramentas, Linux, Windows

sexta-feira, 22 de outubro de 2010

Portscanner - NessusUm port scanner (scanner de porta) é um aplicativo com o objetivo de testar as portas lógicas de determinado host remoto. Neste teste ele identifica o status das portas, se estão fechadas, escutando ou abertas.

O Nessus é um programa de verificação de falhas/vulnerabilidades de segurança (portas, vulnerabilidades, exploits). Ele é composto por um cliente e servidor, sendo que o scan propriamente dito é feito pelo servidor. O nessusd (servidor Nessus) faz um port scan ao computador alvo, depois disso vários scripts (escritos em NASL, Nessus Attack Scripting Language) ligam-se a cada porta aberta para verificar problemas de segurança. O Nessus

ajuda a identificar e resolver alguns problemas de vulnerabilidades. A parte Servidor executa os testes enquanto a parte cliente permite a configuração e emissão de relatórios.Postado por Anderson Weige Dias às 13:45 Nenhum comentário: Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar no OrkutMarcadores: Ferramentas, Segurança

terça-feira, 31 de agosto de 2010

Testando o WiresharkAmbiente de Teste:

- Configurar o Servidor Debian com duas interfaces de rede:1) nat2) interna

- Configurar o cliente com interface gráfica com uma interfacede rede (interna)

- Instalar o sniffer no cliente:

apt-get install wireshark

- executar no terminal:

sudo wireshark

- selecionar a interface eth0 para captura

- instalar servidor de ftp no servidor:

apt-get install proftpd

- através do cliente conectar no servidor de ftp:

ex.: no terminal digitar:

ftp 192.168.0.1 (ip do servidor)-digitar um usuário e senha válidos-comandos disponíveis (dir, quit, etc.)

- parar a captura no wireshark e analisar ospacotes FTP (capturar usuário e senha)- a partir do terminal do cliente executar ocomando ping para alguns sites e capturar os pacotes

Configuração de interfaces do servidor:Virtualbox (1-NAT, 2-INTERNA)

editar /etc/network/interfaces

auto loiface lo inet loopback

auto eth0allow-hotplug eth0iface eth0 inet dhcp

auto eth1iface eth1 inet staticaddress 192.168.1.1

netmask 255.255.255.0network 192.168.1.0broadcast 192.168.1.255

Configuração de interfaces do cliente:virtualbox (1-INTERNA)

editar /etc/network/interfaces

auto loiface lo inet loopbackauto eth0iface eth0 inet staticaddress 192.168.1.2netmask 255.255.255.0network 192.168.1.0broadcast 192.168.1.255

adicionar a rota default no cliente:

route add default gw 192.168.1.1

No Servidor (ativar roteamento e ativar mascaramento de ip paraa rede do cliente)

Para manter as configurações deve-se editar o arquivo/etc/rc.localecho 1 > /proc/sys/net/ipv4/ip_forwardiptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0/0 -p all-j MASQUERADE

Postado por Anderson Weige Dias às 13:52 Nenhum comentário: Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar no OrkutMarcadores: Ferramentas

sábado, 14 de agosto de 2010

MRTG

O Multi Router Traffic Grapher (MRTG) é uma ferramenta de monitoração que gera páginas HTML com gráficos de dados coletados a partir de SNMP ou scripts externos. É conhecido principalmente pelo seu uso na monitoração de tráfego de rede, mas pode monitorar qualquer coisa desde que o host forneça os dados via SNMP ou script.

Foi desenvolvido por Tobias Oetiker e Dave Rand. Foi escrito em Perl mas utiliza um módulo em C para gerar os gráficos.

Características Mede sempre 2 valores, no caso de tráfego, pode ser Entrada e Saída.

Faz as leituras via SNMP ou através de script que retorne um formato padrão.

Coleta dados a cada 5 minutos por padrão, mas este tempo pode ser aumentado ou diminuido.

Cria uma página HTML com 4 gráficos (diário, semanal, mensal e anual). Se algum deles não for necessário pode ser suprimido.

O MRTG pode avisar caso o valor do gráfico atinja um valor pré-estabelecido. Por exemplo: se determinado servidor atinge 95% do espaço do disco, o MRTG pode mandar um e-mail para o administrador informando o ocorrido.

Possui uma ferramenta para gerar os arquivos de configuração: o CFGMAKER.

Possui uma ferramenta para gerar um página de índice para os casos em que muitos ítens são monitorados: o INDEXMAKER.

O MRTG é software livre distribuído nos termos da GNU General Public License.Postado por Anderson Weige Dias às 14:27 Um comentário: Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar no OrkutMarcadores: Ferramentas, Segurança

quarta-feira, 11 de agosto de 2010

Instalando e configurando SNMP e MRTGNeste artigo veremos como instalar e usar o SNMP e MRTG.Os agentes SNMP devem ser executados no modo SOMENTE-LEITURA (RO) porque o coletor SNMP somente precisa ler os dados nas máquinas remotas. Limitando como tem a permissão de acessar os agentes nos dispositivos remotos aumentando um pouco a segurança.Nunca esqueça que a comunidade SNMP está cruzando a rede em texto limpo e pode ser facilmente interceptada usando ferramentas como o WireShark, antigo Ethereal.

Serão necessários os pacotes SNMP, MRTG e o Apache rodando. Baixe os fontes de acordo com sua distribuição e instale. Instale e configure o SNMP e o MRTG nesta ordem. Tem que ser feito desta forma, pois é preciso que o SNMP esteja devidamente configurado para que o MRTG possa atuar sem problemas.

Em máquinas debian/Ubuntu Linux:

Instale o serviço SNMP:

#apt-get install snmpd

Instale o apache:#apt-get install apache2

Depois de instalados, iremos configurar o SNMP. Edite o arquivo snmpd.conf:

# vi /etc/snmp/snmpd.conf

Existem diversos tipos de configuração para monitoramento via MRTG, neste texto trataremos de uma configuração simples e funcional.

Ache o tópico "## sec.name source community" e descomente as linhas:

com2sec local localhost privatecom2sec mynet 192.168.0.0/24 publiccom2sec public default public

Observe a segunda linha, onde está definido o nome e o endereço da rede.

Em seguida descomente e defina as seguinte linhas:

group mygroup v1 mynetgroup mygroup v2c mynetgroup local v1 localgroup local v2c localgroup public v1 publicgroup public v2c public

view all included .1 80access mygroup "" any noauth 0 all none none

access public "" any noauth 0 all none noneaccess local "" any noauth 0 all all all

Essas linhas vêm descomentadas por padrão. Deixe-as:

syslocation Unknown (edit /etc/snmp/snmpd.conf)syscontact Root (configure /etc/snmp/snmp.local.conf)

Pronto salve o arquivo e inicie o serviço:

# service snmpd start

Configurando MRTG

Você pode usar o comando apt-get install mrtg e o programa irá baixar e instalar automaticamente. Agora se você quiser baixá-lo, visite a página oficial do MRTG:

MRTG – http://oss.oetiker.ch/mrtg/

O MRTG requer o seguinte para compilar e funcionar no seu Linux: gcc, perl, gd, libpng, zlib. Provavelmente sua distribuição já veio com esses pacotes, então não os cobrirei neste tutorial. Vamos agora começar a instalação:

# tar zpfx mrtg-2.9.25.tar.gz# cd mrtg-2.9.25# ./configure --prefix=/usr --sysconfdir=/etc/mrtg

[...configurando a compilação...]

# make

[...compilando...]

# make install

E pronto. Se tudo ocorrer bem, o MRTG estará instalado corretamente no seu sistema, e pronto para o uso! Mas antes, teremos que criar um arquivo de configuração para o MRTG usar. Para isso utilizaremos um utilitário do MRTG chamado “cfgmaker”. Tenha em mãos o IP do seu roteador e a senha “community” dele… Se você não souber o que diabos é isso, então está precisando mexer um pouco mais com o roteador :) Execute o comando:

cfgmaker --global 'WorkDir: /var/www/html/mrtg' \--global 'Options[_]: bits,growright' \--output /etc/mrtg/exemplo.cfg \community@xxx.xxx.xxx.xxx

Onde “xxx.xxx.xxx.xxx” é o IP do seu roteador. Este comando irá gerar o arquivo “/etc/mrtg/exemplo.cfg” e servirá para alterarmos manualmente, comparando com o resultado. Veja este exemplo de configuração final comentada:

# ---------------------# Configurações Globais# ---------------------

# Diretório onde vai ficar a página com os gráficos gerados# pelo MRTGWorkDir: /var/www/html/mrtg

# Língua usada pelo MRTG para as mensagens na páginaLanguage: brazilian

# Opções:# bits = Mostrar a velocidade em bits (bits/bytes)# growright = O gráfico cresce para a direitaOptions[_]: bits,growright

# Rodar como Daemon? Assim não será preciso colocar# no crontab, só precisará colocar um comando na# inicialização do Linux.RunAsDaemon: yes

# --------------------------------# Configuração do link 1 (256kbps)# --------------------------------

# Aqui você terá de comparar com o exemplo gerado# pelo comando 'cfgmaker', coloque o valor igual# ao que foi mostrado. O primeiro número é essencial# para saber a ligação que estamos usando no roteador.Target[EXEMPLO]: 1:community@xxx.xxx.xxx.xxx:

# A quantidade de bytes que o link suporta.# 64kbps = 8000# 256kbps = 32000MaxBytes[EXEMPLO]: 32000AbsMax[EXEMPLO]: 32000

# Com essa opção, todos os 4 gráficos não serão# redimensionados de acordo com o uso do link. Eles sempre# terão a altura do máximo de tráfego que se pode chegar# (de acordo com os itens acima).Unscaled[EXEMPLO]: dwmy

# Configurações da página. Título e frase no Topo.Title[EXEMPLO]: Exemplo de Análise de Tráfego para link de 256kbpsPageTop[EXEMPLO]: Exemplo de Análise de Tráfego para link de 256kbps

Pronto. Já temos uma configuração básica para o MRTG. Agora vamos rodá-lo:

# mrtgPostado por Anderson Weige Dias às 23:03 Nenhum comentário: Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar no OrkutMarcadores: Ferramentas, Segurança

sexta-feira, 6 de agosto de 2010

Conheça o VoIP

Muito vem sendo falado sobre a tecnologia de voz sobre IP. VoIP vem do termo em inglês Voice Over Internet Protocol ou, traduzindo, Voz Sobre o Protocolo da Internet. Esta tecnologia unifica dois mundos, tecnologia e dados em uma só rede convergente

Empresas em todo o mundo estão conseguindo economizar muito nas tarifas de ligações interurbanas e internacionais. Tudo graças a uma tecnologia chamada VoIP (Voz sobre IP), que começa a se tornar acessível também no Brasil. E não vai demorar muito para que essas quatro letras causem uma verdadeira revolução no modo de se pensar telefonia. Muitos já ousam afirmar até que o VoIP é a reinvenção da telefonia, tanto na forma de prestar o serviço, quanto de utilizá-lo.

A plataforma VoIP transforma os sinais de voz (analógicos) em pacotes digitais para transmissão tanto na Internet quanto na Intranet. Estes pacotes são compactados para transmissão a um segundo portal, no qual eles serão novamente compactados, dessa vez em sinais de som analógicos, e enviados ao receptor.

Abaixo, acompanhe um passo-a-passo de como se estabelece uma ligação telefônica pela tecnologia VoIP:

1. O usuário, com um headset, ouve a sinalização que indica telefone fora do gancho para a parte da aplicação sinalizadora da VoIP no roteador. Esta emite um sinal de discagem e aguarda que o usuário tecle um número de telefone. Esses dígitos são acumulados e armazenados pela aplicação da sessão.

2. O gateway compara estes dígitos acumulados com os números programados. Quando há uma coincidência, ele mapeia o número discado com o endereço IP do gateway de destino.

3. Em seguida, a aplicação de sessão roda o protocolo de sessão H.245 sobre TCP, a fim de estabelecer um canal de transmissão e recepção para cada direção através da rede IP. Quando a ligação é atendida, é estabelecido, então, um fluxo RTP (Real-Time Transport Protocol, ou Protocolo de Transmissão em Tempo Real) sobre UDP (User Datagram Protocol, algo como Protocolo de Pacote de Dados do Usuário) entre o gateway de origem e o de destino.

4. Os esquemas de compressão do codificador-decodificador (CODECs) são habilitados nas extremidades da conexão. A chamada, já em voz, prossegue utilizando o RTP/UDP/IP como pilha de protocolos.

Nada impede que outras transmissões de dados ocorram simultaneamente à chamada.

Sinais de andamento de chamada e outros indicativos que podem ser transportados dentro da banda cruzam o caminho da voz assim que um fluxo RTP for estabelecido.

Após a ligação ser completada, é possível também enviar sinalizações dentro da banda como, por exemplo, sinais DTMF (freqüências de tons) para ativação de equipamentos como Unidade de Resposta Audível (URA).

Quando qualquer das extremidades da chamada desligar, a sessão é encerrada, como em qualquer chamada de voz (ligação telefônica) convencional.

O é necessário para usar a comunicação VoIP, integrando Internet e telefonia?

Nessa comunicação de voz, é necessário que o usuário tenha instalado em seu computador um software para transferência de dados, no caso a voz. Vale lembrar que, para usufruir desse serviço, seu micro deve possuir um kit multimídia.

Em seu primeiro estágio, a VoIP podia ser entendida como uma conversação telefônica entre dois usuários de uma rede privada usando conversão de voz para dados (exclusivamente em redes corporativas).

Mais tarde esta tecnologia chegou ao seguinte conceito: uma conversação telefônica entre um usuário de Internet e um usuário da telefonia convencional, sem necessidade de acesso simultâneo.Postado por Anderson Weige Dias às 16:13 Nenhum comentário: Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar no OrkutMarcadores: Ferramentas

terça-feira, 3 de agosto de 2010

VNC – Acesso remotoO VNC (Virtual Network Computing) é um programa da Olivetti, (a AT&T absorveu), gratuito, que permite que você tenha acesso a um outro computador bastando apenas instalar o servidor em uma determinada máquina e saber o seu IP. Apos a sua instalação você tem várias opções, você pode fazer o download CLICANDO AQUI.Aqui vamos dá ênfase ao WinVNC (app Mode) que é o programa (servidor) que você deverá executar na máquina que deseja controlar remotamente. Rode o programa (vai aparecer um ícone no canto esquerdo) e configure:

Configurações iniciais:

1. Defina logo a senha que você vai utilizar para acessar a máquina a distância;2. Defina quantos computadores você pretende acessar ao mesmo tempo;3. Defina também se o mouse e o teclado estarão desativados quando acessar;

É interessante para gerenciar um laboratório para aulas ou a distância.

Como usar:

1. Agora, pelo próprio navegador, digite o IP da máquina seguindo da porta 5800:

Ex.: 192.22.11.13: 5800 (supondo que o ip seja 192.33.22.13)

ou se estiver na internethttp://200.192.11.21 :5800 (supondo que o ip seja 200.192.11.21)

Você tem os dois exemplos de acesso, o primeiro em uma rede local e o segundo por internet.

2. Vamos a senha que você definiu na tela ao lado… e pronto.

Você pode usar o programa servidor VNCviewer, de ícone vermelho. Clica nele, coloca o IP e pronto.

Importante:

- O seu firewall, esperamos que esteja usando um, pode bloquear o VNC. Não esqueça de configura-lo.

- Qualquer usuário com um pouco de experiência sabe que a porta 5800 (para interface própia) e a 5900 (para aplicação WEB com aplicação java) são do VNC. Se ele scannear a sua máquina tentará invadir por essas portas!Configure bem o seu firewall.

Postado por Anderson Weige Dias às 16:09 Nenhum comentário: Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar no OrkutMarcadores: Ferramentas

segunda-feira, 2 de agosto de 2010

Caneta detecta sinal wireless em raio de 10 metrosUma empresa norte-americana criou a Auto Detective Pen, uma caneta que detecta qualquer sinal wireless em um raio de 10 metros. A novidade deve atrair, entre outros clientes, empresários que temem a espionagem industrial. Assim que a tal caneta percebe o sinal, um conjunto nada discreto de luzes pisca freneticamente. A caneta que detecta os anteninhas inclui ainda um sistema de iluminação que identifica notas de dinheiro falsas (ao que tudo indica, apenas dólares). Ou seja, trata-se do equipamento perfeito para quem tem mania de perseguição e os paranóicos de plantão. O conjunto de recursos funciona com baterias e sai por US$ 18 (R$ 40).

Postado por Anderson Weige Dias às 14:15 Nenhum comentário: 

Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar no OrkutMarcadores: Ferramentas, Wireless

terça-feira, 20 de julho de 2010

TCL shell - CISCO IOS - programando um roteadorGostaria de apresentar, para quem ainda não conhece, uma das ferramentas mais versáteis disponível para o engenheiro de rede no IOS CISCO: O TCL (Tool Command Language) shell.

Essa shell foi criada para permitir a execução de scripts TCL diretamente no IOS CISCO.

Estes scripts, claro, usam e interagem diretamente com os comandos disponíveis no IOS.

Existe também a possibilidade de criar o script e depois pré-compilar os mesmos, salvando-os na memória FLASH ou disco. Além disto, podem ser compartilhados por múltiplos usuários no mesmo roteador e ao mesmo tempo.

Um exemplo do uso dessa shell aparece na prova prática da CCIE RS onde, usualmente, pede-se conectividade total entre os equipamentos , isto é, cada IP da rede deve ser capaz de pingar qualquer outro IP.

Agora imaginem, testar conectividade de 10 equipamentos repletos de interfaces e IPs?Pingar cada IP de cada equipamento, de dentro de cada equipamento?E ainda verificar o que falhou e ir atrás do problema?

Tarefa complicada que o seguinte TCL script simplifica e muito. Basicamente, ele serve para filtrar a resposta do comando PING, e apenas imprimir na tela os IPs que não responderem com um ICMP echo-reply. 

foreach -> cria uma loop de iteraçao com os IPs listados[exec ping $ips timeout 3 ] -> pinga cada IP da lista e usa um timeout de 3 segstring first "!!!" -> verifica se na string de saída do comando "ping IP" encontramos "!!!"$result == -1 } { puts ".. $ips "}} verifica se o resultado for negativo (sem resposta do ping) imprimi na tela dois pontos (..) e o IP que não respondeu.

r1#tclshr1(tcl)#proc pingall {} {+>(tcl)#foreach ips {+>(tcl)#155.1.1.1+>(tcl)#155.4.4.4+>(tcl)#155.6.6.6}+>(tcl)#{ set result [ string first "!!!" [exec ping $ips timeout 3 ] ]+>(tcl)#if { $result == -1 } { puts ".. $ips " } }+>(tcl)#}r1(tcl)#pingall.. 155.4.4.4.. 155.6.6.6

Somente para relembrar a saída tipica de um ping e entender melhor o exemplo:

r1#ping 155.1.1.1 timeout 3Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 155.1.1.1, timeout is 3 seconds:!!!!!Success rate is 100 percent (5/5)

Assim como o script verificou os "!!!" na saída do comando, nada foi impresso na tela

E para um ping que não recebeu resposta:

r1#ping 155.4.4.4 timeout 3Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 155.4.4.4, timeout is 3 seconds:.U.U.Success rate is 0 percent (0/5)

O script não encontra "!!!" e imprime na tela ".. e o IP"

TCL SCRIPT:

tclshproc pingall {} {foreach ips {172.16.16.1172.16.123.1172.16.14.1172.16.50.25} { set result [ string first "!!!" [ exec ping $ips ] ]if { $result == -1 } { puts ".. $ips " } }}Postado por Anderson Weige Dias às 15:06 Um comentário: Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar no OrkutMarcadores: Ferramentas

quarta-feira, 9 de junho de 2010

AWStatsAWStats é uma ferramenta open source de relatórios de análise site, apta para analisar dados de serviços de Internet( como um servidor site, streaming, mail e FTP). AWstats analisa os arquivos de log do servidor, e com base a eles produz relatórios HTML. Os dados são apresentados visualmente em relatórios de tabelas e gráficos de barra. Podem criar-se relatórios estáticos mediante uma interface de linha de comando, e podem-se obter relatórios on-demand através de um navegador site, graças a um programa CGI.

AWStats suporta a maioria dos formatos de arquivos log de servidor site conhecidos, entre eles Apache (formato de log NCSA combinado/XLF/ELF ou formato comum/CLFt), WebStar, IIS (formato de log do W3C) e muitos outros formatos comuns de Internet. Os programadores podem contribuir com o projecto AWStats através de SourceForge.

Escrito em Perl, AWStats pode ser utilizado na maioria dos sistemas operacionais. É uma aplicação muito popular como ferramenta de administração de servidores, com pacotes disponíveis para a maioria das distribuições Linux, o AWStats também pode ser utilizado em Sistemas operacionais Windows e Mac OS.

Para instalar no Linux (distribuições como o Ubuntu) basta colocar o seguinte comando no terminal: apt-get install awstatsPostado por Anderson Weige Dias às 14:37 Nenhum comentário: Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar no OrkutMarcadores: Ferramentas

segunda-feira, 31 de maio de 2010

IPTablesIptables é um Firewall.Um firewall é uma barreira inteligente entre duas redes, através do qual só passa tráfego

autorizado.Este tráfego é examinado pelo firewall em tempo real e a seleção é feita de acordo com a política de segurança estabelecida.O IPTables composto por 3 tabelas:¹filter: Tabela de filtros de pacotes; ²NAT (network address translation): Conexão de várias máquinas com endereço falso á internet através de poucos endereços IP qs válidos;³mangle: Altera o conteúdo dos pacotes.

O que são regras:

As regras são como comandos passados ao iptables para que ele realize uma determinada ação (como bloquear ou deixar passar um pacote) de acordo com o endereço/porta de origem/destino, interface de origem/destino, etc. As regras são armazenadas dentro dos chains e processadas na ordem que são inseridas.

As regras são armazenadas no kernel, o que significa que quando o computador for reiniciado tudo o que fez será perdido. Por este motivo elas deverão ser gravadas em um arquivo para serem carregadas a cada inicialização.

Um exemplo de regra: iptables -A INPUT -s 123.123.123.1 -j DROP.

O que são chains:

Os Chains são locais onde as regras do firewall definidas pelo usuário são armazenadas para operação do firewall. Existem dois tipos de chains: os embutidos (como os chains INPUT, OUTPUT e FORWARD) e os criados pelo usuário. Os nomes dos chains embutidos devem ser especificados sempre em maiúsculas (note que os nomes dos chains são case-sensitive, ou seja, o chain input é completamente diferente de INPUT).

Quando um pacote chega a uma table é verificado se alguma regra se aplica a ele. Caso não haja, é aplicada a política defaut.Constituído por 3 chains:

INPUT – Pacote destinado a maquina de firewall.OUTPUT – Pacote originado da maquina de firewall.FORWARD – Pacote com destino e origemseparados pela maquina de firewall.

Quando um pacote entra numa interface de rede:Se o pacote é para a máquina é enviado para o chain INPUT; Se o destino não é esta máquina e o serviço de routing está ativo, o pacote vai para o chain FORWARD;Se um processo da máquina envia um pacote para a rede o pacote vai para o chain OUTPUT.

Política Default:A política default do firewall consiste na regra que será utilizada caso algum pacote não se encaixe em nenhuma das regras estabelecidas.É altamente recomendado que a política default seja DROP, ou seja, tudo o que não for expressamente permitido será descartado (proibido).Postado por Anderson Weige Dias às 23:20 Nenhum comentário: Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar no OrkutMarcadores: Ferramentas, Segurança

sexta-feira, 28 de maio de 2010

Squid - proxyO servidor Squid Web Proxy Cache é gratuito e funciona em código aberto para Unix e Linux. Ele permite que os administradores implementem um serviço de proxy caching para Web, acrescentem controles de acesso (regras) e armazenem até mesmo consultas de DNS.Ele surgiu de um projeto entre o governo norte-americano e a a Universidade do Colorado.Muitas das distribuições já vem com o squid instalado, mas caso sua distribuição não tenha o squid instalado visite o sitewww.squid-cache.org - e baixe a versão conforme a sua distribuição. Caso utilize Ubuntu, para instala-lo basta digitar no terminal: apt-get install squidPostado por Anderson Weige Dias às 10:44 Nenhum comentário: Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar no OrkutMarcadores: Ferramentas, Linux

segunda-feira, 24 de maio de 2010

ProxyOs proxies são principalmente usados para permitir acesso à Web através de um firewall (fig. 1). Um proxy é um servidor HTTP especial que tipicamente roda em uma máquina firewall. O proxy espera por uma requisição de dentro do firewall, a repassa para o servidor remoto do outro lado do firewall, lê a resposta e envia de volta ao cliente.

Figura 1: Visão geral de um proxy

O proxy está rodando ou em um servidor firewall ou qualquer outro servidor interno que tenha acesso total a internet - ou em uma máquina dentro do firewall fazendo conexões com o mundo

exterior através de SOCKS ou qualquer outro software firewall.

Normalmente, o mesmo proxy é usado por todos os clientes em uma subrede. Isto torna possível para ele fazer caching eficiente de todos os documentos requisitados.

A habilidade que o proxy tem no uso do cache, o torna atrativo para aqueles que não estão dentro do firewall. Configurar um servidor proxy é fácil e os mais populares programas clientes Web já tem suporte a essa ferramenta. Sendo assim, torna-se simples a tarefa de configurar um grupo de trabalho inteiro para usar o serviço de cache do proxy. Isto reduz os custos com tráfego de rede porque muitos documentos que são requisitados são lidos do cache local.

A metodologia atual é baseada em um código de gateway escrito por Tim Berners-Lee como parte do libwww ( WWW commom Library). Kevin Altis, Ari Luotonen e Lou Montulli foram os principais contribuidores para a padronização do proxy.

Lou Montulli, autor de Lynx, fez as primeiras mudanças no libwww em colaboração com Kevin

Altis. Ari Luotonen mantém o CERN httpd.

Porque proxy fica no nível de aplicação? 

Um nível de aplicação proxy faz um firewall seguramente permeável para os usuários na organização sem criar um furo na segurança onde hackers poderiam entrar na rede da organização.Para clientes Web, as modificações necessárias para suportar um nível de aplicação proxy são menores (leva-se apenas 5 minutos para adicionar suporte proxy para o Emacs Web Browser).Não há necessidade de compilar versões especiais de clientes Web com bibliotecas firewall, o cliente "out-of-the-box" pode ser configurado para ser um cliente proxy. Em outras palavras, quando se usa proxy não necessitamos customizar cada cliente para suportar um tipo ou método especial de firewall: o proxy, em si, é um método padrão para acessar firewalls.

Usuários não têm que ter clientes FTP, Gopher e WAIS separados (muito menos modificados) para acessar um firewall - um simples cliente Web com um servidor proxy trata todos esse casos. O proxy também padroniza a aparência de clientes Gopher e FTP.O proxy permite que os programadores esqueçam as dezenas de milhares de linhas de código necessárias para suportar cada protocolo e se concentrem em coisas mais importantes - é possível ter clientes "peso-leve" que somente compreendam HTTP (nenhum suporte nativo aos protocolos FTP, Gopher, etc) - outros protocolos são manuseados transparentemente pelo proxy. Usando HTTP entre o cliente e o proxy, nenhuma funcionalidade

Clientes sem DNS (Domain Name Service) também podem usar a Web. O endereço IP do proxy é a única informação realmente necessária. Organizações usando endereços, por exemplo, classe A (como 10.*.*.*), em suas redes particulares podem ainda acessar a internet contanto que o proxy seja visível tanto para a rede particular como para a Internet.Proxy permite um alto nível de log das transações de clientes, incluindo endereço IP, data e hora, URL, contagem de bytes e código de sucesso. Qualquer campo (seja de meta-informação ou seja comum) em uma transação HTTP é um candidato para log. Isto não é possível com log no nível IP ou TCP.

Também é possível fazer a filtragem de transações de clientes no nível do protocolo de aplicação. O proxy pode controlar o acesso a serviços por métodos individuais, servidores e domínios, etc.Outra feature interessante do proxy é a cache. O uso de cache é mais efetivo no servidor proxy do que em cada cliente. Isto salva espaço em disco, desde que somente uma cópia é guardada, como também permite um uso de "cache inteligente", onde os documentos frequentemente referenciados por muitos clientes são guardados por um periodo mais longo de tempo pelo cache manager.O uso de cache também torna possível acessar algumas páginas mesmo que servidores estejam fora do ar. Essa facilidade torna o serviço melhor, visto que recursos remotos como um site FTP ocupado que são frequentemente inacessíveis remotamente podem ser agora acessíveis através do cache local. Pode-se citar uma infinidade de usos que podemos fazer com o cache: fazer uma demonstração de algum lugar com uma baixa velocidade de conexão, ler documentos com a máquina não-conectada (obviamente após colocar todos documentos no cache local), etc.

Clientes sem DNS (Domain Name Service) também podem usar a Web. O endereço IP do proxy é a única informação realmente necessária. Organizações usando endereços, por exemplo, classe A (como 10.*.*.*), em suas redes particulares podem ainda acessar a internet contanto que o proxy seja visível tanto para a rede particular como para a Internet.Proxy permite um alto nível de log das transações de clientes, incluindo endereço IP, data e hora, URL, contagem de bytes e código de sucesso. Qualquer campo (seja de meta-informação ou seja comum) em uma transação HTTP é um candidato para log. Isto não é possível com log no nível IP ou TCP.Também é possível fazer a filtragem de transações de clientes no nível do protocolo de aplicação.

O proxy pode controlar o acesso a serviços por métodos individuais, servidores e domínios, etc.Outra feature interessante do proxy é a cache. O uso de cache é mais efetivo no servidor proxy do que em cada cliente. Isto salva espaço em disco, desde que somente uma cópia é guardada, como também permite um uso de "cache inteligente", onde os documentos frequentemente referenciados por muitos clientes são guardados por um periodo mais longo de tempo pelo cache manager.

O uso de cache também torna possível acessar algumas páginas mesmo que servidores estejam fora do ar. Essa facilidade torna o serviço melhor, visto que recursos remotos como um site FTP ocupado que são frequentemente inacessíveis remotamente podem ser agora acessíveis através do cache local. Pode-se citar uma infinidade de usos que podemos fazer com o cache: fazer uma demonstração de algum lugar com uma baixa velocidade de conexão, ler documentos com a máquina não-conectada (obviamente após colocar todos documentos no cache local), etc.

Em geral, autores de clientes Web não tem razão para usar versões de firewalls em seus códigos. O proxy é mais simples para configurar do que SOCKS e trabalha em todas as plataformas, não somente UNIX