Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Squid Proxy
Dezembro de 2010
Projeto e Configurac
ao de Firewalls
Dezembro de 2010
1 / 30
Squid
Funcionamento
Squid atua como um agente, recebendo pedidos dos clientes e repassando
estes para os servidores na Internet
Armazena uma copia em disco do conte
udo transferido e faz uso
desta copia em pedidos subsequentes para um mesmo conte
udo
Projeto e Configurac
ao de Firewalls
Dezembro de 2010
2 / 30
Requisitos de hardware
Disco rgido
Velocidade de acesso SAS ou SATA (taxa ate 6Gb/s)
Espaco de armazenamento Ex: dez usuarios com consumo medio
diario de 10Mb ira consumir um espaco no cache de 1 Gb em apenas
10 dias
Mem
oria RAM
Squid guarda em mem
oria a tabela com os objetos armazenados no
cache
Obter tais informac
oes no swap em disco resulta em uma maior demora
Poder de processamento
Squid quando usado somente como cache, sem controle de acesso, nao
exige muito CPU
Ferramentas de relat
orios de acesso consomem intensivamente o CPU
Projeto e Configurac
ao de Firewalls
Dezembro de 2010
3 / 30
# Nome da maquina
visible_hostname webproxy.empresa.com.br
# Ouvira nas portas 3128
http_port 3128
# Local onde armazenara o cache (tamanhoMb Level1_dir Level2_dir)
cache_dir ufs /var/spool/squid3 4000 16 256
# tamanho maximo de um unico objeto no cache em disco
maximum_object_size 16384 KB
# Registro de acessos
access_log /var/log/squid3/access.log squid
# Inclua a linha abaixo antes de 'http_acess deny all' ja' presente no
arquivo padrao
http_access allow localnet
Projeto e Configurac
ao de Firewalls
Dezembro de 2010
4 / 30
Projeto e Configurac
ao de Firewalls
Dezembro de 2010
5 / 30
Projeto e Configurac
ao de Firewalls
Dezembro de 2010
6 / 30
Projeto e Configurac
ao de Firewalls
Dezembro de 2010
6 / 30
Projeto e Configurac
ao de Firewalls
Dezembro de 2010
6 / 30
Projeto e Configurac
ao de Firewalls
Dezembro de 2010
6 / 30
Projeto e Configurac
ao de Firewalls
Dezembro de 2010
7 / 30
Descric
ao
Endereco IP de origem
Endereco IP de destino
Porta contida na URL
N
umero m
aximo de conex
oes de
um mesmo IP
Usu
ario autenticado
N
umero m
aximo de IPs que um
usu
ario pode se autenticar
Tipo do conte
udo da resposta
Hor
ario do acesso
Express
ao regular aplicada `
a
URL
Express
ao regular aplicada `
a URI
Domnio de origem
Express
ao regular ao domnio de
destino
Exemplo
acl rede local src 192.168.1.0/24
acl ifsc dst 200.135.37.64/26
acl portas port 80 443
acl conexoes maxconn 5
acl usuarios proxy auth REQUIRED
acl unico max user ip 1
acl video rep mime type video/mpeg video
acl almoco time MTWHF 12:00-14:00
acl orkut url regex .*orkut.*
http://www.squid-cache.org/Doc/config/acl/
Prof. Emerson R. de Mello (IFSC)
Projeto e Configurac
ao de Firewalls
Dezembro de 2010
8 / 30
ACL Exemplo 1
Nota
Faca uma copia de seguranca do arquivo squid.conf antes de iniciar este
exemplo.
1
2
21
Projeto e Configurac
ao de Firewalls
Dezembro de 2010
9 / 30
22
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
24
25
26
28
29
30
31
32
33
35
36
37
Projeto e Configurac
ao de Firewalls
Dezembro de 2010
10 / 30
ACL Exemplo 2
Nao permita o acesso a stios de pornografia, compartilhamento de
arquivos, vdeos e garanta o acesso a stios confiaveis
Arquivo texto deve conter uma URL ou uma palavra por linha
bloqueados.txt
38
39
40
liberados.txt
megaupload.com
sexo
batepapo
41
42
43
.uol.com.br
www.folha.com.br
www.g1.com.br
/etc/squid3/squid.conf
44
45
46
47
48
Projeto e Configurac
ao de Firewalls
Dezembro de 2010
11 / 30
Bloqueando conteudo
Fluxos de mdia
49
50
51
52
53
54
55
57
58
MSN Messenger
59
60
61
63
64
65
Projeto e Configurac
ao de Firewalls
Dezembro de 2010
12 / 30
66
67
69
70
72
73
74
Projeto e Configurac
ao de Firewalls
Dezembro de 2010
13 / 30
No arquivo /etc/squid3/squid.conf
76
77
Projeto e Configurac
ao de Firewalls
Dezembro de 2010
14 / 30
Autenticacao de usuarios
Descric
ao
Lightweight Directory Access Protocol
Arquivo com usuario e senha no formato do NCSA
Domnio Windows NT
Modulos PAM do Unix
Servidor SMB (Windows ou Samba)
http://wiki.squid-cache.org/ConfigExamples/#Authentication
Projeto e Configurac
ao de Firewalls
Dezembro de 2010
15 / 30
85
87
81
82
83
84
Projeto e Configurac
ao de Firewalls
Dezembro de 2010
16 / 30
Projeto e Configurac
ao de Firewalls
Dezembro de 2010
17 / 30
NOTA
Se optar por usar o SARG em uma empresa/universidade e imprescindvel
que os usuarios sejam avisados que o acesso deles a web esta sendo
monitorado
Prof. Emerson R. de Mello (IFSC)
Projeto e Configurac
ao de Firewalls
Dezembro de 2010
17 / 30
Executando o sarg
110
Projeto e Configurac
ao de Firewalls
Dezembro de 2010
18 / 30
#!/bin/bash
SAIDA=/var/www/relatorio
SARG=`which sarg`
if [ $# -ne 1 ]; then
echo -e "Sintaxe errada.\n Informe d para diario e s para semanal"
echo "Exemplo: $0 d"
exit 1
fi
case $1 in
d)
DIR=$SAIDA/diario
PERIODO=$(date --date "1 day ago" +%d/%m/%Y)
PERIODO=$PERIODO-$PERIODO
;;
s)
DIR=$SAIDA/semanal
HOJE=$(date --date "1 day ago" +%d/%m/%Y)
PERIODO=$(date --date "1 week ago" +%d/%m/%Y)`echo "-$HOJE"`
;;
esac
mkdir -p $DIR
$SARG -d $PERIODO -o $DIR
Projeto e Configurac
ao de Firewalls
Dezembro de 2010
19 / 30
SARG Configuracao
Aplicativo /usr/sbin/sarg-reports e CRONTAB
/etc/cron.daily, /etc/cron.weekly e /etc/cron.monthly
/etc/sarg/sarg-reports.conf
134
135
136
137
138
139
140
141
142
143
144
SARG=/usr/bin/sarg
CONFIG=/etc/sarg/sarg.conf
HTMLOUT=/var/www/relatorio
PAGETITLE="Relatorio de acesso"
LOGOIMG=/relatorio/images/sarg.png
LOGOLINK="http://$(hostname)/"
DAILY=Diario
WEEKLY=Semanal
MONTHLY=Mensal
EXCLUDELOG1="SARG: No records found"
EXCLUDELOG2="SARG: End"
NOTA
Os relatorios sao compostos de muitos arquivos html e mante-los por
grandes perodos pode esgotar o espaco em disco ou ainda o n
umero de
inodes da particao. (Para verificar inodes: df -i)
Prof. Emerson R. de Mello (IFSC)
Projeto e Configurac
ao de Firewalls
Dezembro de 2010
20 / 30
<Files .htaccess>
order allow,deny
deny from all
</Files>
# Arquivo de senhas NCSA (gerado com aplicativo htpasswd)
AuthUserFile /var/www/usuarios-sarg
AuthName "Acesso Restrito"
AuthType Basic
Require valid-user
Projeto e Configurac
ao de Firewalls
Dezembro de 2010
21 / 30
http://oss.oetiker.ch/rrdtool
Projeto e Configurac
ao de Firewalls
Dezembro de 2010
22 / 30
Munin Configuracao
Master
155
156
157
158
159
160
161
162
163
164
165
Node
166
167
168
169
Projeto e Configurac
ao de Firewalls
Dezembro de 2010
23 / 30
Projeto e Configurac
ao de Firewalls
Dezembro de 2010
24 / 30
Projeto e Configurac
ao de Firewalls
Dezembro de 2010
25 / 30
Projeto e Configurac
ao de Firewalls
Dezembro de 2010
26 / 30
Projeto e Configurac
ao de Firewalls
Dezembro de 2010
27 / 30
Projeto e Configurac
ao de Firewalls
Dezembro de 2010
28 / 30
Projeto e Configurac
ao de Firewalls
Dezembro de 2010
29 / 30
Conclusoes
O Squid atuando como cache consegue diminuir o trafego externo
Bem u
til para arquivos grandes e que sao baixados por diversas
maquinas da rede local
Atualizac
oes de antivrus, de softwares e dos sistemas operacionais
Projeto e Configurac
ao de Firewalls
Dezembro de 2010
30 / 30
Conclusoes
O Squid atuando como cache consegue diminuir o trafego externo
Bem u
til para arquivos grandes e que sao baixados por diversas
maquinas da rede local
Atualizac
oes de antivrus, de softwares e dos sistemas operacionais
Projeto e Configurac
ao de Firewalls
Dezembro de 2010
30 / 30
Conclusoes
O Squid atuando como cache consegue diminuir o trafego externo
Bem u
til para arquivos grandes e que sao baixados por diversas
maquinas da rede local
Atualizac
oes de antivrus, de softwares e dos sistemas operacionais
Projeto e Configurac
ao de Firewalls
Dezembro de 2010
30 / 30