27/05/2011.
Começando este post queria dizer que todas as sextas-feiras irei estar postando um tutorial destinado a usuários mais avançados, e para começar vamos ver como se instala um proxy mais precisamente o squid muito usado no controle de acessos e CACHE, eu particularmente já o utilizo na empresa onde trabalho e ele se mostra muito util e estável no quesito segurança se bem configurado
Mas o que é o Squid?
Basicamente Squid é um proxy-cache de alta performance para clientes web,
suportando protocolos FTP, gopher e HTTP, o Squid mantém meta dados e especialmente objetos armazenados na RAM,
cacheia buscas de DNS e implementa cache negativo de requests falhos.
Instalando...
O squid pode ser instalado em praticamente todas as distribuições do linux logo o requisito básico é ter uma distribuição na máquina.
Instalando em um sistema baseado em Debian:
# apt-get install squid
Limpando o squid.conf
O arquivo de configuração do squid é o squid.conf, normalmente ele se
encontra em /etc/squid.conf ou em /usr/local/squid/etc/squid.conf.
Caso não encontre o seu em nenhum desses lugares, procure-o com:
# locate squid.conf
ou
# find squid.conf
Pode parecer fútil, mas uma limpeza inicial no arquivo squid.conf pode
ser bem útil. O arquivo de configuração original tem, em média, 2000
linhas. pode usar este comando ou apagar manualmente o que levará um certo tempo
# cp squid.conf squid.conf.original
# egrep -v "^#|^$" squid.conf.original > squid.conf
Configurações básicas - ACLs
Como comentado mais tarde, toda a estrutura do Squid é baseada em
listas de acessos. Vamos entrar em detalhes mais para frente. Por hora
vamos criar uma lista de acesso básica para nossos usuários.
Vamos supor que nossa rede interna seja 192.168.5.0/24. Crie a
seguinte linha no squid.conf, na seção de ACLs (TAG: acl):
acl rede_interna src 192.168.5.0/24
E a seguinte linha na seção de acesso (TAG: http_access)
http_access allow rede_interna
Transparent Proxy
Esse recurso é muito útil para evitar que seus usuários "burlem" o
proxy removendo as configurações do browser. Eles serão obrigados a
passar pelo proxy, mesmo que as máquinas não estejam configuradas para
tal. Extremamente recomendado, principalmente em casos de bloqueio de
sites ou limitação de banda.
Experiências pessoais comprovam que usuários com um pouco mais de
conhecimentos irão remover a configuração de proxy assim que o
administrador sair da sala, seja por ignorância das funcionalidades,
seja por medo de ser auditado ou simplesmente por má conduta.
Vamos inserir as seguintes linhas:
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header onesse é um exemplo didático no squid que eu uso essas linhas são um pouco diferente mas nada que vá afetar a funcionabilidade.
Provavelmente você já tenha seu script de inicialização do firewall,
sendo assim a única coisa necessária inserir essa linha nele:
# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
Bloqueando Sites indesejados
A partir de agora vamos começar a trabalhar com ACLs (Access Control
Lists). O conceito de ACL é muito útil, por nos permitir trabalhar com
níveis de acesso baseados em diversas informações.
Não é incomum que em uma instalação de Squid, a diretoria possa
acessar qualquer site, a gerência não possa acessar determinados sites
e os "peões" tenham acesso apenas ao site da empresa e de parceiros.
Graças ao uso de ACLs e um pouco de imaginação e suor, podemos fazer
todas essas restrições.
Todas as configurações de usuários, grupos, horários e SITES são
configuradas em ACLs,
Procure no seu squid.conf onde começam a ser descritas as ACLs.
Geralmente a primeira ACL a aparecer é:
acl all src 0.0.0.0/0.0.0.0
Criando os arquivos necessários
Vamos fazer o seguinte:
# mkdir /etc/squid/bloqueados
ou
# mkdir /usr/local/squid/etc/bloqueados
# touch /etc/squid/bloqueados/block.txt
ou
# touch /usr/local/squid/etc/bloqueados/block.txt
# touch /etc/squid/bloqueados/unblock.txt
ou
# touch /usr/local/squid/etc/bloqueados/unblock.txt
O arquivo block.txt irá conter todos os sites e palavras que você
deseja bloquear e o unblock.txt todas as exceções. "Como assim?", você
pergunta.
Vamos supor que você tenha bloqueado a palavra sexo. Então você não
poderá entrar em www.sexo.com.br, mas também não poderá entrar em
www.sexoesaude.com.br. Ora, mas esse segundo site é inofensivo,
portanto não deveria ser bloqueado. Basta colocá-lo no unblock.txt.
Editando o squid.conf
Vamos ao squid.conf
Insira as linhas abaixo logo antes de acl all src
acl blockedsites url_regex -i "/etc/squid/bloqueados/block.txt"
acl unblockedsites url_regex -i "/etc/squid/bloqueados/unblock.txt"
ou
acl blockedsites url_regex -i "/usr/local/squid/etc/bloqueados/block.txt"
acl unblockedsites url_regex -i "/usr/local/squid/etc/bloqueados/unblock.txt"
Agora procure no seu squid.conf a linha http_access deny all e coloque
antes dela:
http_access deny blockedsites !unblockedsites
DICA: O "!" Significa sempre negação de alguma coisa.
Controle de banda, aqui iremos controlar a banda atraves da propria ACL de foma a restringir certas extensões que ocupam banda
Editando o squid.conf
Vamos adicionar algumas linhas. A primeira vai evitar que haja
restrição de banda internamente, por isso não deixe de colocá-la.
acl controle1 url_regex -i 192.168.5
acl controle2 url_regex -i ftp .exe .mp3 .tar.gz .gz .zip .rar .avi .mpeg .mpg .qt .ram .rm .iso .raw .wav
delay_pools 2
delay_class 1 2
delay_parameters 1 -1/-1 -1/-1
delay_access 1 allow controle1
delay_class 2 2
delay_access 2 allow rede_interna
delay_access 2 allow controle2
SARG
Desenvolvido pelo brasileiro Pedro Orso, ele transforma o log do squid
em um relatório html legível e completo.
Instalação
# wget http://web.onda.com.br/orso/sarg-1.4.tar.gz
# tar zxvf sarg-1.4.tar.gz
# cd sarg-1.4/
# ./configure
# make
# make install
Configuração
Por padrão o sarg é instalado em /usr/local/sarg. Nesse diretório
encontramos o arquivo sarg.conf entre as muitas opções, recomendo as
seguintes:
- language Portuguese
- access_log /var/log/squid/access.log
- title "Relatório de uso da internet"
- temporary_dir /tmp
- output_dir /var/www/squid-reports
- resolve_ip no
- user_ip yes
- topuser_sort_field BYTES reverse
- topsites_num 100
- max_elapsed 28800000
Sendo importante destacar:
| Comandos | Descrição |
|---|
| access_log | Indica o arquivo de log do squid |
| output_dir | Indica onde será gerado o html. É recomendável que seja em um local acessível pelo seu http server |
| resolve_ip | Evita que o sarg tente fazer resolução de DNS |
| user_ip | Se você não estiver utilizando autenticação por usuário, coloque "no" . Se estiver, coloque "yes" |
| topsites_num | Quantidade de sites que você quer ver como os TOP de acessos |
Gerando os relatórios
Depois de configurar o sarg.conf, basta gerar os relatórios com o
comando
# sarg
Exemplo de relatório do SARG
Dica
Os relatórios do Sarg ocupam um imenso espaço em disco, principalmente pelo falto de não ter um rotate nem comprimir os HTMLS. Podemos contornar isso colocando em nossa crontable:
find /var/www/squid-reports/ -name "*.html" -type f -mtime +30 -exec bzip2 {} \;
find /var/www/squid-reports/ -name "*.bzip2" -type f -mtime +180 -exec rm -rf {} \;
Bom a grosso modo é assim que a coisa flui, dúvidas sugestões criticas estamos ai !!
até sexta que vem como próximo tutorial.
