WIXLIB

Servidor ProxyProf. Dr. Márcio Andrey TeixeiraInstituto Federal de São Paulo – Campus CatanduvaCatanduva, SPMembro Sênior do ro.br 2019 Márcio Andrey Teixeira

Servidor ProxyInstalação do squidPara instalar o squid, execute o seguinte comando:sudo apt-get install squidO arquivo de configuração do squid está localizado em:/etc/squid/squid.confhttp://marcioandrey.pro.br 2019 Márcio Andrey Teixeira

Servidor ProxyControle de acesso - ACLO squid controla o acesso as páginas da internet através das chamadasACL (Access Control List)As ACLs permitem especificar endereços de origem e destino, domínios,horários, portas ou métodos de conexão ao proxy, que serão utilizados paranegar, permitir ou negar acessos.Sintaxe de uma ACL:acl [nome da acl] [tipo da acl] {argumentos}Exemplos:acl minharede src 192.168.10.1/24httpd access allow minharedehttp://marcioandrey.pro.br 2019 Márcio Andrey Teixeira

Servidor ProxyConfiguração BásicaPara que o squid funcione, as seguintes linhas devem ser inseridas/descomentadano do arquivo de configuração:#Configuração por partes#Parte I# Squid normally listens to port 3128http port 3128cache mem 2000 MBmaximum object size in memory 8 MBmaximum object size 512 MBminimum object size 0 KBcache dir ufs /var/spool/squid 10000 16 256coredump dir /var/spool/squidcache swap low 90cache swap high 93http://marcioandrey.pro.br 2019 Márcio Andrey Teixeira

#Rede Localacl localnet src 192.168.10.0/24#Rede LAN local#Portas que utilizam o protocolo SSLacl SSL ports port 443#Portas consideradas "seguras"acl Safe ports port 80acl Safe ports port 21acl Safe ports port 443acl Safe ports port 70acl Safe ports port 210acl Safe ports port 1025-65535acl Safe ports port 280acl Safe ports port 488acl Safe ports port 591acl Safe ports port 777# http# ftp# https# gopher# wais# unregistered ports# http-mgmt# gss-http# filemaker# multiling httphttp://marcioandrey.pro.br 2019 Márcio Andrey Teixeira

#Métodos que terão permissãoacl CONNECT method CONNECTacl POST method POSTacl GET method GEThttp access allow POSThttp access allow GET#---------------------# Nega requisições para portas consideradas não segurashttp access deny !Safe ports# Nega conexão para portas que utilizam o protocolo SSL e não são consideradassegurashttp access deny CONNECT !SSL ports# Only allow cachemgr access from localhosthttp access allow localhost managerhttp access deny managerhttp://marcioandrey.pro.br 2019 Márcio Andrey Teixeira

#Permite conexão das redes previamente definidashttp access allow localnethttp access allow localhost# Bloqueia o acesso para o restante.http access deny allUma vez tendo feito a configuração, é necessário criar a estrutura da cache.Para tanto, execute o comando:squid -zObs: O comando acima é executado apenas quando for modificar aestrutura da cache.Os comando utilizados para iniciar/reiniciar ou verificar o status do squidsão:sudo /etc/init.d/squid start restart status stopObs: A cada modificação existente no arquivo de configuração, o processodo squid deverá ser reiniciado.http://marcioandrey.pro.br 2019 Márcio Andrey Teixeira

Servidor ProxyBloqueando palavras por domínioUma forma fácil de bloquear sites no Squid é criar uma lista de palavras,um arquivo texto, onde você adiciona palavras e domínios que serãobloquados pelo squid.Bloquear um determinado domínio, como por exemplo, “facebook.com”,não gera muitos problemas, mas deve-se tomar cuidado ao bloquearpalavras específicas, pois o squid irá bloquear qualquer página que conteressa palavra em questão.Se bloquear a palavra “sexo”, por exemplo, qualquer site ou artigo queconter a palavra sexo será bloqueado.Ao bloquear por palavras, é necessário ser expecífico, bloqueando apenas“jargões” e expressões que normalmente se encontra no site que se querbloquear.http://marcioandrey.pro.br 2019 Márcio Andrey Teixeira

Servidor Proxy##Regras para bloqueios de ##################acl bloqueados dstdom regex -i "/etc/squid/Sites bloqueados"http access deny ######################http://marcioandrey.pro.br 2019 Márcio Andrey Teixeira

Servidor ProxyExemplosacl bloqueados dstdomain www.globo.comhttp access deny bloqueadosacl proibidos dstdom regex "/etc/squid/proibidos"http access deny proibidoshttp://marcioandrey.pro.br 2019 Márcio Andrey Teixeira

Servidor ProxyExemplosacl palavras bloqueadas url regex -i "/etc/squid/palavras bloqueadas.txt“http access deny palavras bloqueadashttp://marcioandrey.pro.br 2019 Márcio Andrey Teixeira

Servidor ProxyTestando proibição de conteúdo:1 - Dentro do diretório /etc/squid/ crie os seguintes arquivos:Sites bloqueadosSites liberadosPalavras bloqueadasBloquear downloadshttp://marcioandrey.pro.br 2019 Márcio Andrey Teixeira

Servidor ProxyTestando proibição de conteúdo:2 – Vamos utilizar as seguintes regras de acesso:#Regras para bloqueios de ###################acl liberados dstdom regex -i "/etc/squid/Sites liberados"http access allow liberadosacl palavras url regex -i "/etc/squid/Palavras bloqueadas"http access deny palavrasacl bloqueados dstdom regex -i "/etc/squid/Sites bloqueados"http access deny bloqueadosacl block downloads urlpath regex -i "/etc/squid/Bloquear downloads"http access deny block ########################http://marcioandrey.pro.br 2019 Márcio Andrey Teixeira

Servidor ProxyTestando proibição de conteúdo:3 – Insira as palavras/domínios que se deseja bloquear/liberar e faça testes deacesso.#Regras para bloqueios de ###################acl liberados dstdom regex -i "/etc/squid/Sites liberados"http access allow liberadosacl palavras url regex -i "/etc/squid/Palavras bloqueadas"http access deny palavrasacl bloqueados dstdom regex -i "/etc/squid/Sites bloqueados"http access deny bloqueadosacl block downloads urlpath regex -i "/etc/squid/Bloquear downloads"http access deny block ########################http://marcioandrey.pro.br 2019 Márcio Andrey Teixeira

Instalação do SargPara instalar o SARG execute o seguinte comando:sudo apt-get install sargAbra o arquivo de configuração em /etc/sarg/sarg.conf e configure as seguinteslinhas:Access log //Local onde está o arquivo de log do squidgraph font //Local onde está fonte utilizada para gerar o gráficooutput dir//Local onde será publicado o arquivo htmlPara gerar os relatórios, execute o comando: sudo sarg –f /etc/sarg/sarg.confhttp://marcioandrey.pro.br 2019 Márcio Andrey Teixeira

Prof. Dr. Marcio Andrey ey.pro.brhttp://marcioandrey.pro.br 2019 Márcio Andrey Teixeira

BibliografiaSILVA, G. M. Segurança em sistemas Linux. 1. ed. Rio de Janeiro: Ciência Moderna,2008. 240p.THOMPSON, M. A. Windows Server 2012: fundamentos. 1. ed. São Paulo: Érica, 2012.232p.VIANA, E. R. C. Virtualização de servidores Linux para redes corporativas: guia prático.1.ed. Rio de Janeiro: Ciência Moderna, 2008. 342p.6 - BIBLIOGRAFIA COMPLEMENTAR:KUROSE, J. F.; ROSS, K. W. Computer networking: a top-down approach. 6. ed.AddisonWesley, 2012. 864p.SCHRODER, C. Redes Linux: livro de receitas. 1. ed. Rio de Janeiro: Alta Books, 2006.569p.http://marcioandrey.pro.br 2019 Márcio Andrey Teixeira

acl SSL_ports port 443 #Portas consideradas "seguras" . acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http . . THOMPSON, M. A. Windows Server 2012: fundamentos. 1. ed. São Paulo: Érica, 2012. 232p. VIANA, E. R. C. Virtualização de servidores Linux para redes corporativas: guia prático.