Implementação de um proxy web com Squid

Do que se trata o artigo:

Neste artigo conheceremos o Squid, que � um servidor Proxy livre de grande utiliza��o no mundo, dada sua robustez, seguran�a e recursos que oferece. Veremos como ele funciona como servidor de web caching e proxy, com exemplos de regras de controle de acesso. Para fins de an�lise de acessos, ser� mostrado como criar relat�rios com o SARG.

Em que situa��o o tema � �til:

O uso do Squid como Proxy/Cache � uma das op��es mais utilizadas em ambientes corporativos que adotam software livre para administrar a rede, seja atrav�s da otimiza��o e melhoria do desempenho da rede atuando como servidor de cache ou como proxy, implementando restri��es de acesso � Internet, que nem sempre � poss�vel fazer atrav�s do firewall.

Resumo DevMan:

Hoje em dia � necess�rio assegurar a boa utiliza��o da internet atrav�s de solu��es que permitam gerenciar com efic�cia o seu uso em ambientes corporativos, impedindo o acesso dos usu�rios a sites e servi�os considerados inapropriados ou potencialmente perigosos para a empresa. Neste artigo, vamos abordar a instala��o e a configura��o de um proxy web utilizando o Squid e a configura��o do SARG, para auditoria de acesso.

Autores: Ivani Nascimento e Pathiene Gerstenberger

Com o crescimento da tecnologia e a conectividade entre as empresas e a internet, cada vez mais um administrador de sistemas se preocupa com as informa��es que est�o dentro da sua rede.

A internet traz facilidades para comunica��o e transmiss�o de informa��es entre empresas ou mesmo para uso pessoal, por�m, existe a preocupa��o com v�rus, roubo de informa��es, m� utiliza��o de recursos e outros tipos de incidentes de seguran�a.

Dessa forma, entende-se que o acesso � web � algo que necessita ser controlado, seja por quest�es de seguran�a ou de produtividade. Aos administradores, � designada a tarefa de implantar solu��es com o objetivo de garantir a seguran�a da rede atrav�s de a��es como: bloqueio de acesso a sites inadequados, controle de navega��o dos usu�rios, cache (armazenamento) de p�ginas mais acessadas para otimizar o uso de recursos, bem como emitir relat�rios de navega��o para an�lise posterior.

Diante desse cen�rio, a Figura 1 demonstra o total de incidentes reportados espontaneamente ao CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Seguran�a no Brasil), no per�odo de 1999 a mar�o de 2012, onde � poss�vel constatar que o n�mero de incidentes reportados � crescente, com destaque para os anos 2009 e 2011, em rela��o ao ano anterior, tendo um aumento consider�vel em 2011.

Figura 1. Total de incidentes reportados ao CERT.br por ano.

No que diz respeito � seguran�a de rede, com o crescimento de incidentes, a configura��o e utiliza��o de um proxy cache � importante para auxiliar o administrador a ter um controle no acesso a recursos como Web, FTP e outros, de um modo seguro, al�m de estar em conformidade com a orienta��o da NBR ISO/IEC 27002:2005, no item 11.4, onde diz que o acesso aos servi�os de rede internos e externos devem ser controlados, sendo que para este �ltimo, o controle pode ser feito pelo proxy.

A fun��o b�sica de um proxy na rede � servir como um ponto intermedi�rio entre a rede local e a internet, atuando na otimiza��o da velocidade de acesso a conte�dos web atrav�s de cache, filtro de sites indesejados e controle de acessos.

Firewall versus Proxy

O firewall � composto por um conjunto de componentes tais como filtros de pacotes, autentica��o, proxies e outros, cada um com uma funcionalidade diferente e desempenhando um papel que influi diretamente no n�vel de seguran�a do sistema. O filtro de pacotes e o proxy s�o configurados no per�metro da rede, atuando como intermedi�rios entre a rede local e a internet, filtrando o tr�fego atrav�s de regras para determinar se certos tipos de pacote ter�o autoriza��o para passar pelo servidor ou se ser�o descartados.

O filtro de pacotes realiza o roteamento de forma seletiva, aceitando ou descartando os pacotes com base no conte�do do seu cabe�alho ou com base no estado das conex�es. Isso quer dizer que, por exemplo, � poss�vel filtrar o tr�fego por servi�o, atrav�s de uma regra que descarte todo tr�fego destinado a portas como Telnet e FTP, ou ainda, filtrar pacotes ICMP por tipo ou c�digo, com o objetivo de auxiliar na prote��o contra ataques de nega��o de servi�os distribu�dos (DDoS � Distributed Denial of Service).

Proxies s�o solu��es que permitem ganho de desempenho e economia de banda implementando um sistema de cache no acesso a sites, armazenando localmente o conte�do requisitado de forma que, em uma segunda requisi��o, n�o precise buscar novamente na internet. Al�m disso, tamb�m � poss�vel trabalhar com alguns filtros de origem e destino, permitindo um controle na navega��o web, bem como bloqueio de conte�dos indesejados.

O proxy atua como um intermedi�rio de conex�es: o usu�rio se conecta a uma porta no firewall que, atrav�s de outra porta, estabelece a conex�o com o destino. Al�m disso, o proxy n�o permite conex�es diretas e mascara os usu�rios internos das conex�es externas.

A Figura 2 ilustra o funcionamento de um proxy.

Figura 2. Funcionamento de um Proxy - Fonte: MELO et al, 2006.

Requisitos do Sistema

O Squid � uma solu��o Open Source que roda em plataformas Unix, Linux e Windows. � utilizado no mercado como acelerador e filtro de conte�do web para diversos tipos de protocolos como, por exemplo, HTTP, HTTPS, FTP e outros. Originalmente baseado no projeto Harvest Cache Daemon, desenvolvido no in�cio da d�cada de 90, suporta opera��es de redirecionamento de URL, controle de banda para protocolos (traffic shaping), lista de controle de acesso (ACL), m�dulos de autentica��o e op��es para armazenamento em disco.

Em rela��o aos requisitos de hardware para o Squid, disco e mem�ria s�o recursos que devem ser levados em considera��o, pois s�o utilizados para armazenamento de objetos e resposta em cache. Uma p�gina web � formada por v�rios objetos, tais como textos, imagens e sons. O tempo em que um objeto ser� mantido em disco depende de fatores como, por exemplo, a frequ�ncia dos acessos a essa p�gina, espa�o dispon�vel, entre outros; assim, quanto menor o espa�o em disco, menor ser� o tempo de vida de cada p�gina.

O Squid utiliza uma pequena quantidade de mem�ria para cada resposta em cache, assim, existe uma rela��o entre o espa�o em disco e os requisitos de mem�ria. Como regra geral, � necess�rio ter 32 MB de mem�ria para cada Giga de espa�o em disco. Por exemplo, um sistema com 512 MB de RAM pode suportar um cache de disco de 16 GB.

Diretivas do arquivo de configura��o

As configura��es do Squid s�o feitas em seu arquivo squid.conf, localizado no diret�rio /etc/squid. Este arquivo possui cerca de 4900 linhas, mas isto se deve ao fato do arquivo possuir para cada op��o a sua sintaxe e um breve resumo. A Listagem 1 apresenta um exemplo do squid.conf.

Listagem 1. Exemplo de configura��o do squid.conf.


  http_port 3128
  cache_mem 8 MB
  cache_dir ufs /var/spool/squid 100 16 256
  cache_access_log /var/log/squid/access.log
  cache_log /var/log/squid/cache.log
  cache_store_log /var/log/squid/store.log
  pid_filename /var/run/squid.pid
  visible_hostname proxy.myhostname.com.br
  cache_effective_user squid
  cache_effective_group squid
  reference_age 1 week
  no_cache deny SSL_ports
  acl MyNetwork src 192.168.x.x/24
  acl gateway src 192.168.x.254
  acl International dstdomain .com
  acl Google dstdomain .google.com
  http_access allow MyNetwork Google
  http_access deny MyNetwork International
  http_access allow MyNetwork

Antes de partir para a configura��o em si, vejamos as principais diretivas do arquivo squid.conf:

● visible_hostname � Nome do host em rede para exibi��o em poss�veis erros ou informa��es nas solicita��es dos clientes. Caso a op��o seja utilizar o nome completo da m�quina, este dever� ser colocado conforme a configura��o no arquivo /etc/hosts. A Listagem 2 demonstra um exemplo;

Listagem 2. Exemplo do arquivo /etc/hosts.


  # cat /etc/hosts
  127.0.0.1 localhost
  127.0.1.1 squid-lab
  192.168.1.5   squid-lab.org squid-lab

● http_port � Essa diretiva � respons�vel por especificar em qual porta o servidor ir� escutar as requisi��es. A porta padr�o � a 3128, por�m, pode ser especificada outra porta, como por exemplo, a 8080, sem nenhuma complica��o. Ao manter essa configura��o, o servi�o estar� dispon�vel em todas as interfaces de rede da m�quina. Para limitar o servi�o a apenas uma interface, basta configurar o IP e a porta, conforme o exemplo:

http_port 192.168.0.1:3128

● cache_mem � Quantidade de mem�ria RAM disponibilizada para o proxy (valor em MB). � ideal para armazenar arquivos pequenos, como p�ginas HTML e imagens, que ser�o entregues instantaneamente para os clientes;

● cache_dir � Diret�rio que especifica o tipo de armazenamento que o proxy ir� utilizar. O cache na mem�ria RAM � quase sempre menor do que o do cache em disco, que � usado para armazenar arquivos maiores, tais como downloads, arquivos do Windows Update e pacotes baixados via aptitude (Nota do DevMan 1). A sintaxe padr�o dessa diretiva �:

cache_dir ufs /var/spool/squid 100 16 256

Nota do DevMan 1 - Vias de Download

O apt-get � uma ferramenta pr�tica que se encontrado n�o apenas no Debian, Ubuntu e no Kurumin, mas em outras distribui��es baseadas no Debian, como o Xandros, Memphis e at� mesmo no Linspire. Ferramentas como o urpmi, do Mandrake, o synaptic, do Conectiva e o yum, do Fedora tamb�m s�o baseados nele.

O apt-get utiliza um conceito de fontes de atualiza��o. Ele pode obter pacotes de praticamente qualquer lugar, incluindo CD-ROMs do Debian, unidades de rede, etc. Mas o meio mais usado � justamente baixar os pacotes via internet, o que permite obter sempre as vers�es mais recentes dos programas.

Embora o apt-get seja a ferramenta mais tradicional e a mais usada, ele disputa o posto com o aptitude, um "sucessor" que se prop�e a resolver os mesmos problemas, mas oferece algumas vantagens t�cnicas sobre o apt-get. OAptitude� uma interface em modo texto para osistemade pacotes doDebianGNU/Linux. Ele permite que o usu�rio/administrador veja as listas de pacotes e realize opera��es como instala��o, atualiza��o e remo��o de pacotes.

A Tabela 1 ilustra os par�metros dessa diretiva.

cache_dir	Diretiva
Ufs	Tipo de armazenamento a ser utilizado
/var/spool/squid	Diret�rio onde ser� armazenado o cache dos dados
100	Espa�o reservado em disco (em MB) para o cache dos objetos
16	Quantidade de diret�rios de primeiro n�vel a serem criados para a estrutura de cache
256	Quantidade de diret�rios de primeiro n�vel a serem criados para a estrutura de cache

Tabela 1. Par�metros da diretiva cache_dir.

● cache_access_log � Determina a localiza��o do arquivo de log de acesso. Pode ser utilizado para fins de auditoria como, por exemplo, verificar quem acessou o que e quando;

● cache_store_log � Armazena o log detalhado sobre o processo de armazenamento em disco, podendo fornecer informa��es como quais arquivos foram removidos do cache, quais foram mantidos e por quanto tempo;

● cache_log � Arquivo respons�vel pelo log de informa��es relacionadas ao proxy, sendo �til para depura��o de eventuais erros que possam impedir a inicializa��o do servi�o;

● pid_filename � No Linux, todos os processos s�o identificados por um n�mero. Essa diretiva guarda o n�mero do processo do Squid em execu��o;

● cache_effective_user � Usu�rio dono do processo do Squid. Por quest�es de seguran�a, o Squid n�o deve ser executado como root. Se o processo for iniciado como root, o Squid ir� mudar o ID do usu�rio efetivo para um usu�rio sem privil�gios, que deve ter permiss�o de escrita nos diret�rios de cache e do arquivo de log. Por padr�o, o usu�rio sem privil�gios usado � o nobody, mas � poss�vel criar um usu�rio chamado squid, para iniciar o servi�o:

useradd -g squid -s /dev/null squid

● cache_effective_group � Grupo dono do processo do Squid. Por padr�o, o ID do grupo do Squid est� relacionado com o do usu�rio que iniciou o servi�o. Se o usu�rio for o root, ele ir� mudar para o grupo do usu�rio especificado na diretiva cache_effective_user, por�m � poss�vel configurar o Squid para usar o ID de outro grupo. Isso s� � necess�rio caso o Squid seja iniciado como root, se n�o for o caso, essa diretiva ser� ignorada. Para criar o grupo do squid:

groupadd squid

● reference_age � Determina que a limpeza autom�tica do cache seja semanal. Caso essa diretiva n�o esteja habilitada, o padr�o � que isso ocorra mensalmente;

● no_cache deny SSL_ports � Impede a realiza��o de cache de p�ginas seguras para evitar que informa��es din�micas sejam consultadas posteriormente;

● acl � Regras de acesso. As ACLs � Access Control Lists ou Listas de Controle de Acesso � constituem a grande flexibilidade e efici�ncia do Squid. Atrav�s delas s�o criadas as regras para controlar o acesso ou ainda otimizar a utiliza��o da Internet;

● http_access � Permite ou nega clientes (browsers) a acessarem o servi�o HTTP baseado na lista de acesso (acl) definida.

Instala��o

Em fun��o do que foi exposto acima, � poss�vel ter uma ideia do arquivo de configura��o do Squid e de suas diretivas. A pr�xima etapa a ser realizada � a instala��o dos pacotes utilizados para uma configura��o funcional do servidor, que ser� baseado em Debian GNU/Linux 6.0. Vale ressaltar que o Squid tamb�m � encontrado para formato em compila��o ou em outras distribui��es, sendo recomendado o conhecimento no gerenciamento de pacotes para configura��o na distribui��o preferida pelo usu�rio. O mesmo vale para o Windows.

No Debian, o gerenciamento de pacotes ser� feito via aptitude e poder� ser utilizado qualquer reposit�rio que contenha o pacote do servidor Squid abordado nessa configura��o. Para instalar, execute:

# aptitude install squid

Um procedimento de verifica��o em um sistema Debian GNU/Linux para saber se um pacote foi ou n�o instalado pode ser realizado atrav�s do comando dpkg. A Figura 3 demonstra como verificar se o pacote est� instalado corretamente.

Figura 3. Verificando se o pacote squid foi instalado corretamente.

Configura��es iniciais

Antes de serem iniciadas as configura��es, � importante fazer um backup do arquivo de configura��o do Squid. Assim, ser� poss�vel retornar ao original, caso apague alguma linha indevidamente, ou simplesmente queira fazer uma consulta. No Debian GNU/Linux que ser� configurado, o arquivo squid.conf encontra-se no diret�rio /etc/squid, por�m, dependendo da distribui��o, pode estar localizado diretamente sob o /etc. Para fazer uma c�pia, basta utilizar o comando cp:


  # cd /etc/squid/
  # cp squid.conf squid.conf.original

O arquivo de configura��o do Squid � bem extenso devido � documenta��o e pode ser um pouco confuso para trabalhar. Uma vez que foi feito o backup do original, � recomendado criar um arquivo limpo, sem coment�rios. Para isso, pode-se utilizar o comando egrep para remover linhas que s�o iniciadas por um coment�rio (^#), linhas em branco (^$) e colocar a sa�da dentro do arquivo que ser� utilizado para configurar o Squid.

# egrep -v "^#|^$" squid.conf.original > squid.conf

Agora sim, iremos analisar a configura��o do arquivo limpo e aplicar as configura��es iniciais para um servidor proxy cache funcional, sem nenhuma restri��o. Neste artigo, o editor de textos utilizado ser� o vim, por�m, o usu�rio poder� editar o arquivo atrav�s de outros editores de texto. A Listagem 3 demonstra o arquivo limpo que ser� utilizado.

Listagem 3. Arquivo squid.conf.

 
  # vim /etc/squid/squid.conf acl all src all
  http_port 192.168.1.5:3128
  visible_hostname squid-lab.org
  cache_dir ufs /var/spool/squid 512 128 256
  cache_mem 16 MB
  acl all src all
  acl manager proto cache_object
  acl localhost src 127.0.0.1/32
  acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
  acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
  acl localnet src 172.16.0.0/12   # RFC1918 possible internal network
  acl localnet src 192.168.0.0/16  # RFC1918 possible internal network
  acl SSL_ports port 443      # https
  acl SSL_ports port 563      # snews
  acl SSL_ports port 873      # rsync
  acl Safe_ports port 80      # http
  acl Safe_ports port 21      # ftp
  acl Safe_ports port 443     # https
  acl Safe_ports port 70      # gopher
  acl Safe_ports port 210     # wais
  acl Safe_ports port 1025-65535   # unregistered ports
  acl Safe_ports port 280     # http-mgmt
  acl Safe_ports port 488     # gss-http
  acl Safe_ports port 591     # filemaker
  acl Safe_ports port 777     # multiling http
  acl Safe_ports port 631     # cups
  acl Safe_ports port 873     # rsync
  acl Safe_ports port 901     # SWAT
  acl purge method PURGE
  acl CONNECT method CONNECT
  http_access allow manager localhost
  http_access deny manager
  http_access allow purge localhost
  http_access deny purge
  http_access deny !Safe_ports
  http_access deny CONNECT !SSL_ports
  http_access allow localhost
  http_access allow all
  icp_access allow localnet
  icp_access deny all
  hierarchy_stoplist cgi-bin ?
  access_log /var/log/squid/access.log squid
  refresh_pattern ^ftp:       1440 20%  10080
  refresh_pattern ^gopher:    1440 0%   1440
  refresh_pattern -i (/cgi-bin/|\?) 0   0%   0
  refresh_pattern (Release|Packages(.gz)*)$ 0    20%  2880
  refresh_pattern .       0    20%  4320
  acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
  upgrade_http0.9 deny shoutcast
  acl apache rep_header Server ^Apache
  broken_vary_encoding allow apache
  extension_methods REPORT MERGE MKACTIVITY CHECKOUT
  hosts_file /etc/hosts
  coredump_dir /var/spool/squid

Dentro do arquivo squid.conf, a primeira diretiva a ser configurada � a http_port, onde se estabelece que o Squid ir� trabalhar como servidor de cache apenas na rede local, que no nosso caso � a 192.168.1.0. Para isso, deve-se especificar o IP e tamb�m a porta que o Squid ir� ouvir as requisi��es (por padr�o, � a 3128):

http_port 192.168.1.5:3128

Outra diretiva a ser alterada � a visible_hostname, que est� relacionada com o nome que ser� exibido no rodap� da p�gina para o usu�rio quando o Squid retornar algum tipo de informa��o ou erro. Aqui pode ser colocado o nome completo do servidor, que deve ser o mesmo que est� configurado no arquivo /etc/hosts:

visible_hostname squid-lab.org

Nessa configura��o inicial, tamb�m ser�o informadas as diretivas referentes ao cache em disco e cache em mem�ria. Para a diretiva cache_dir, o armazenamento ser� em /var/spool/squid com 512MB de espa�o, 128 diret�rios e 256 subdiret�rios. Para a diretiva cache_mem � definido 16 MB, ficando o arquivo da seguinte forma:


  cache_dir ufs /var/spool/squid 512 128 256
  cache_mem 16 MB

A configura��o padr�o do Squid faz com que o servi�o esteja no ar, por�m todas as requisi��es s�o negadas. Como nesse primeiro momento o objetivo � deixar o Squid funcional, � necess�rio localizar a diretiva http_access que nega (deny) as conex�es para permitir o acesso (allow):

http_access deny all

Para permitir que todos tenham acesso � internet atrav�s do Squid, essa linha deve ser alterada para:

http_access allow all

Nesse primeiro momento, somente essas altera��es s�o necess�rias para se configurar o Squid como um servidor Proxy cache b�sico. Quando o pacote do Squid � instalado, automaticamente o servi�o � iniciado. Assim, ap�s salvar o arquivo, o pr�ximo passo � parar o servi�o, verificar a sintaxe do arquivo de configura��o, gerar o cache e reiniciar o Squid. A Listagem 4 apresenta os comandos para esses procedimentos.

Listagem 4. Procedimentos para iniciar o servi�o.


  Parando o servi�o:
  # invoke-rc.d squid stop
  Stopping Squid HTTP proxy: squid.
   
  Verificando a sintaxe do arquivo:
  # squid -k parse
  Obs.: Caso o comando n�o retorne nada, a sintaxe est� correta.
   
  Criando a estrutura de cache:
  # squid -z
  2012/07/22 00:10:18| Creating Swap Directories
   
  Iniciando o servi�o:
  # invoke-rc.d squid start
  Starting Squid HTTP proxy: squid.

Para conferir se o servi�o est� no ar, � poss�vel adicionar a op��o �status� ao comando invoke-rc.d:


  # invoke-rc.d squid status
  squid is running.

Configura��o dos navegadores

Com as configura��es realizadas, o Squid est� atuando apenas como um servidor proxy cache, ou seja, as esta��es de trabalho da rede 192.168.1.0 ir�o utilizar o servidor Proxy 192.168.1.5 como um intermedi�rio para o acesso � internet. Para isso, a pr�xima etapa � configurar os navegadores das esta��es clientes.

Internet Explorer

De uma maneira geral, os passos para configurar o Internet Explorer para acessar a internet utilizando o servidor proxy configurado consistem em acessar o menu Tools (Ferramentas) e selecionar a op��o Internet Options (Op��es de Internet), conforme apresentado na Figura 4.

Figura 4. Configurando o Internet Explorer � Etapa 1.

Ao abrir a janela de configura��o, � necess�rio clicar na aba Connections (Conex�es) e em seguida, no bot�o LAN Settings (Configura��es da LAN), que ir� apresentar uma janela que permite que seja realizada a configura��o de acesso atrav�s de um servidor proxy (ver Figura 5).

Figura 5. Configurando o Internet Explorer � Etapa 2.

Neste momento, selecione a caixa Use a proxy server for your LAN... (Usar um servidor proxy para a rede local...) e digite o endere�o IP do servidor e a porta na qual o servi�o � oferecido. Marque tamb�m a caixa Bypass proxy Server for local address (N�o usar proxy para endere�os locais), conforme demonstrado na Figura 6.

Figura 6. Configurando o Internet Explorer � Etapa 3.

Ao finalizar a configura��o, clique em OK em todas as telas. Em seguida, feche e abra novamente o navegador.

Para verificar se o Squid est� funcionando, ao abrir o navegador, realize o acesso a algum site. Em seguida, no servidor, verifique os logs de acesso. A Figura 7 demonstra um trecho do access.log. Note que algumas solicita��es de acesso j� est�o sendo tratadas.

Figura 7. Trecho do log access.log.

ACL � Access Control List (Lista de Controle de Acesso)

At� este momento, a configura��o do Squid est� restrita a um servidor proxy cache, por�m, uma das funcionalidades dessa ferramenta � o controle das requisi��es feitas pelos usu�rios atrav�s do uso de ACLs de acordo com a configura��o da regra, permitem bloquear, registrar e autorizar os acessos com diversos par�metros como:

● Origem/Destino da requisi��o;

● Hor�rio da requisi��o;

● Endere�o MAC;

● Disponibilidade de banda de acesso;

● Filtros personalizados baseados em strings ou express�es regulares.

As listas de acesso oferecem flexibilidade no momento de classificar os usu�rios e definir as pol�ticas de seguran�a para utiliza��o. Elas s�o definidas em uma se��o espec�fica do arquivo squid.conf, combinadas com as diretivas http_access, que ser�o demonstradas mais a frente.

Sintaxe da ACL

Um dos itens mais importantes do arquivo de configura��o squid.conf s�o as listas de controle de acesso, ou ACLs. � sobre elas que abordaremos neste t�pico.

� poss�vel criar ACLs com padr�es diferentes de restri��o e acesso como, por exemplo, libera��o e/ou bloqueio de acesso � internet para um determinado computador, rede de computadores ou sites indesejados. Neste artigo, ser�o demonstrados exemplos para as seguintes listas de controle:

● ACLs de origem: s�o as regras que definem os IPs que poder�o ter acesso ou restri��o �s regras definidas;

● ACLs de destino: definem qual destino poder� ser ou n�o acessado. Este controle pode ser realizado informando um site, uma rede ou fazendo uso de express�es regulares;

● ACLs de hor�rio: permitem liberar ou bloquear o acesso de acordo com hor�rios definidos nas regras;

● ACLs utilizando blacklist: permite controle granular no bloqueio de acessos atrav�s de palavras espec�ficas;

● ACLs utilizando whitelist: permite controle granular na libera��o de dom�nios que contenham palavras da blacklist.

A sintaxe para cria��o de uma ACL �:

acl nomeacl tipoacl argumento

Onde:

● acl: nome padr�o para iniciar a regra;

● nomeacl: nome para identifica��o;

● tipoacl: tipo de acl que ser� criada;

● argumento: op��es que podem ser adicionadas.

A Tabela 2 demonstra alguns exemplos de filtros.

src	Filtro que define a origem dos hosts ou rede que ser� considerada na ACL
time	Filtro por hora e dia da semana
urlpath_regex	Filtro de complemento de uma URL que pode ser utilizado para tratar uma URI (\.gif, \.jpg).
url_regex	Filtro de uma string na URL
dstdomain	Filtro de uma �nica URL
proxy_auth	Filtro por usu�rios autenticados
arp	Filtro por MAC address
maxconn	Filtro por conex�es
proto	Filtro por protocolos
port	Filtro por portas de servi�o

Tabela 2. Exemplos de filtro de conte�do.

O arquivo squid.conf original traz uma se��o para que o administrador adicione as suas pr�prias ACLs, indicada pelo coment�rio # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS. Como demonstrado anteriormente, o arquivo utilizado neste artigo est� sem os coment�rios. Assim, as listas de controle personalizadas devem ser inseridas abaixo da linha http_access deny CONNECT !SSL_ports.

Configura��o de ACL

ACL de Origem

Esse tipo de ACL tem por objetivo criar regras que ir�o se basear no endere�o IP ou rede de origem do cliente que solicitou a requisi��o de acesso. Para configurar, � necess�rio abrir o arquivo squid.conf, localizar a se��o das ACLs e inserir as linhas:


  acl MyNetwork src 192.168.1.0/24
  acl gateway src 192.168.1.1

Seguindo essa sintaxe, foi criada uma ACL que ter� como origem de acessos os IPs da rede 192.168.1.0/24. Na segunda linha, foi definido o IP do gateway que essa rede utiliza.

ACL de Destino

Na ACL de destino, as regras ir�o se basear no endere�o IP do servidor solicitado (destino) na requisi��o do cliente. Nessa configura��o, � poss�vel restringir o acesso a outras redes, endere�os de dom�nio ou partes de um dom�nio.

Para isso, ser� necess�rio inserir as ACLs conforme demonstrado abaixo:


  acl MyNetwork src 192.168.1.0/24
  acl International dstdomain .com
  acl Google dstdomain .google.com

Na primeira linha � informada a rede de origem que ser� usada como base para a regra de acesso. Na segunda linha, a ACL International ter� como dom�nios somente os endere�os que tiverem na URL o final .com. Finalmente, na terceira linha, � definido que a ACL Google ter� como destino o site .google.com.

Essa estrutura foi criada com o intuito de restringir o acesso da rede a um site com o dom�nio .com, exceto para o google.com. Isso quer dizer que, se o usu�rio tentar abrir o site www.amazon.com, por exemplo, n�o ir� conseguir.

Configura��o da diretiva http_access

Atrav�s das ACLs s�o definidos os tipos de controles para a rede onde, por exemplo, o Squid � configurado para analisar tudo que se origina na rede 192.168.1.0. Por�m, ainda nessa etapa, as requisi��es n�o s�o tratadas, sendo necess�rio configurar a diretiva http_access.

Uma vez que as ACLs de origem e destino foram criadas, � necess�rio definir o que ser� liberado (allow) e/ou o que ser� bloqueado (deny) para a rede 192.168.1.0. Para isso, basta localizar a diretiva http_access no arquivo squid.conf e adicionar as linhas:


  http_access allow MyNetwork Google
  http_access deny MyNetwork International
  http_access allow MyNetwork

Na primeira linha do http_access � permitido que a rede interna tenha acesso ao Google. J� na segunda linha � negado o acesso aos dom�nios .com que foram definidos na ACL International e, por fim, na terceira linha, � permitido o acesso normal � rede interna.

Testando a configura��o

Ap�s realizar as configura��es, � hora de testar as regras que foram adicionadas carregando as novas configura��es com os comandos:


  # squid -k parse
  # squid -k reconfigure

Antes de efetuar os testes, � interessante deixar no terminal o comando tail rodando. Ele serve para acompanhar o log de acessos e verificar se as regras foram aplicadas:

# tail -f /var/log/squid/access.log

Com o browser configurado, acesse o site www.google.com e em seguida www.amazon.com. O log mostrar� os testes e o que foi liberado ou bloqueado conforme a Figura 8.

Figura 8. Trecho do log de acesso.

No browser, o site www.google.com abrir� normalmente, mas ao tentar acessar o www.amazon.com ou qualquer outro site com final .com, dever� ser exibida uma mensagem de erro, como demonstrado na Figura 9.

Figura 9. Erro na tentativa de acesso a site n�o permitido.

Para ter certeza de que as regras do Squid est�o sendo aplicadas, pode-se fazer um teste invertendo o cen�rio: ser� permitido o acesso a todos os sites com final .com definido na ACL Internacional, e bloqueado o acesso ao www.google.com definido na ACL Google.

Para isso, as linhas no arquivo squid.conf dever�o ser alteradas conforme o exemplo:


  http_access deny MyNetwork Google  http_access allow MyNetwork International
  http_access allow MyNetwork

Ap�s a altera��o, analise se existe algum erro de sintaxe no arquivo, carregue as novas configura��es e verifique os logs. Isso � feito conforme a sequ�ncia de comandos a seguir:


  # squid -k parse
  # squid -k reconfigure
  # tail -f /var/log/squid/access.log

Na Figura 10 � poss�vel observar que as regras de acesso foram realmente ajustadas.

Figura 10. Novo erro na tentativa de acesso a site n�o permitido.

Restri��es espec�ficas: bloqueio de acesso por hor�rio

A configura��o de uma ACL de hor�rio segue a mesma sintaxe das ACLs demonstradas anteriormente e permite determinar dias e hor�rios em que os acessos ser�o liberados ou bloqueados.

Como exemplo, ser�o criadas tr�s ACLs que ir�o definir o hor�rio da manh�, almo�o e parte da tarde:


  acl manha time 08:00-11:59
  acl almoco time 12:00-14:00
  acl tarde time 14:01-19:00

As ACLs de hor�rio podem ser combinadas com outras, permitindo que os usu�rios acessem alguns sites somente em determinados hor�rios como, por exemplo, a rede MyNetwork ter� acesso ao Facebook somente no hor�rio de almo�o.

A Listagem 5 apresenta a configura��o de uma ACL por hor�rio.

Listagem 5. Exemplo de ACL por hor�rio.


  acl Facebook dstdomain .facebook.com
   
  http_access deny MyNetwork Facebook manha
  http_access allow MyNetwork Facebook almoco
  http_access deny MyNetwork Facebook tarde

No exemplo, foi criada uma ACL para referenciar o dom�nio .facebook.com e, em seguida, esta foi combinada com as ACLs de hor�rio para que a rede tenha acesso ao site somente em hor�rios espec�ficos.

Gerenciando ACLs com BlackLists e WhiteLists

� poss�vel criar muitas combina��es entre as ACLs e, com essa diversidade de informa��es, o arquivo de configura��o pode crescer em termos de quantidade de linhas e ficar desorganizado. Com o objetivo de evitar esse problema, o administrador pode utilizar listas (lists) no Squid reunindo um grupo de palavras ou dom�nios em um arquivo para libera��o e outro para bloqueio.

Esses arquivos podem ser definidos como blacklist e whitelist. Na blacklist s�o adicionados todos os termos que devem ser bloqueados, enquanto na whitelist entram tanto os dom�nios que devem ser liberados, quanto os que podem entrar em conflito com a blacklist, como ser� demonstrado mais a frente.

Para criar a whitelist, execute:


  echo -e �xxx\nsexy\nplayboy\ngirls� > /etc/squid/blacklist
  echo "www.planetgirls.com.br" > /etc/squid/whitelist

Na primeira linha, no comando echo foi utilizado o recurso -e para ativar o modo de edi��o para que ele entenda que a cada \n � necess�rio fazer uma quebra de linha dentro do arquivo /etc/squid/blacklist. Na segunda linha foi apenas adicionada a URL no arquivo /etc/squid/whitelist.

O pr�ximo passo � criar as ACLs com o nome das listas e depois definir as regras com o http_access, conforme o exemplo:


  acl blacklist url_regex -i �/etc/squid/blacklist�
  acl whitelist url_regex -i �/etc/squid/whitelist�
   
  http_access deny MyNetwork blacklist !whitelist

As linhas acl blacklist e acl whitelist indicam o caminho no qual est� o arquivo da lista e a op��o -i faz com que o Squid n�o leve em considera��o o case sensitive das palavras. J� no http_access, tudo o que estiver na blacklist ser� bloqueado, com exce��o (representada pelo ponto de exclama��o) do que estiver na whitelist.

� importante observar que a palavra girls foi adicionada na blacklist, por�m foi liberada a URL www.planetgirls.com.br na whitelist, porque s�o palavras conflitantes, isto �, uma p�gina pode ser bloqueada porque cont�m a palavra �girl�. Da� a necessidade de criar uma exce��o para determinadas URLs.

Ap�s as altera��es, da mesma forma como foi demonstrado anteriormente, � necess�rio realizar a etapa de atualiza��o das configura��es do Squid e acompanhar no terminal o registro nos logs dos resultados de acesso a dois sites que tenham a palavra girls.

A Figura 11 apresenta um trecho do log de acesso ap�s a configura��o das ACLs blacklist e whitelist.

Figura 11. Resultado de acessos ap�s a configura��o de blacklist e whitelist.

O uso de listas pode facilitar o gerenciamento da configura��o de restri��es no Squid. � recomendado que o administrador analise e teste as regras antes de disponibiliz�-las efetivamente na rede.

Logs no Squid

Os arquivos de log s�o as fontes prim�rias de informa��es sobre o funcionamento do Squid. Isto inclui URIs solicitadas pelos usu�rios, objetos que foram salvos em disco, mensagens de advert�ncias e erros.

No que diz respeito a registros das atividades dos usu�rios na rede, a configura��o do Squid tem v�nculo com as orienta��es da NBR ISO/IEC 27002:2005 no item 10.10.1, onde � recomendado que sejam gerados registros (log) de atividades dos usu�rios e que sejam mantidos por um per�odo de tempo determinado pela empresa com o objetivo de auxiliar auditorias, investiga��es e monitoramento de controle de acesso. Assim, para cumprir essa orienta��o, s�o configuradas as diretivas cache_access_log, cache_store_log e cache_log, que indicam os locais onde os logs ser�o armazenados.

Os arquivos cache.log e store.log cont�m informa��es sobre o funcionamento do Squid e objetos que entraram e sa�ram do cache, respectivamente. J� o arquivo access.log registra a��es dos usu�rios que podem produzir relat�rios de quais sites foram acessados, hor�rios, quantos bytes foram baixados, quantas conex�es foram feitas, quais sites foram negados, falha de autentica��o, entre outros.

Auditoria de acesso com SARG

O SARG � Squid Analysis Report Generator � � uma ferramenta que tem como objetivo analisar o arquivo /var/squid/log/access.log e, com base nessa an�lise, gerar um relat�rio de acesso baseado no acesso dos usu�rios.

O pacote SARG n�o est� presente no reposit�rio padr�o do Debian. Para instal�-lo utilizando o aptitude, � necess�rio alterar o arquivo /etc/apt/sources.list, atualiz�-lo e instalar a ferramenta conforme demonstrado na Listagem 6.

Listagem 6. Instala��o do SARG.


  # echo deb http://backports.debian.org/debian-backports squeeze-backports main >> /etc/apt/sources.list
  # aptitude update
  # aptitude install sarg

Podemos verificar se o pacote sarg foi instalado corretamente conforme a Figura 12.

Figura 12. Verifica��o de instala��o de pacote.

O arquivo de configura��o do SARG tamb�m � bem detalhado e com muitos coment�rios, assim como o do Squid. Dessa forma, � interessante fazer um backup do arquivo original e retirar os coment�rios para ficarmos somente com as linhas do arquivo de configura��o:


  # cp /etc/sarg/sarg.cof /etc/sarg.conf.original
  # egrep -v �^#|^$� sarg.conf.original > sarg.conf
  # vim /etc/sarg/sarg.conf

N�o � necess�rio fazer altera��es no arquivo. Mas vale a pena conferir as linhas dos arquivos de configura��o como, por exemplo, a linha output_dir /var/lib/sarg, que � a linha na qual ele definir� qual o caminho que ir� usar para gerar o relat�rio e apresentar as informa��es no SARG.

Os relat�rios do SARG s�o visualizados a partir de uma interface web. Assim, antes de iniciar o servi�o, � necess�rio tamb�m configurar o Apache conforme demonstrado na Listagem 7.

Listagem 7. Configura��o do Apache para visualiza��o dos relat�rios.


  # vim /etc/apache2/httpd.conf
  Alias /squid-reports �/var/lib/sarg/�
  DirectoryIndex index.html
   
  Reiniciando o servi�o do Apache
  # /etc/init.d/apache2 restart
   
  Iniciando o SARG
  # sarg

A linha de Alias define a liga��o entre os relat�rios gerados em /var/lib/sarg que ser�o visualizados via browser na URL http://localhost/squid-reports. J� a segunda linha serve apenas para manter como padr�o o index.html da p�gina. Ap�s adicionar as informa��es, reinicie o Apache e inicie o SARG.

Para visualizar os relat�rios, basta acessar o endere�o no pr�prio servidor Squid e ver o conte�do. O endere�o utilizado neste exemplo � http://localhost/squid-reports. As Figuras 13, 14 e 15 apresentam alguns relat�rios gerados, onde � poss�vel visualizar a lista dos IPs de cada host analisado, as URLs que foram acessadas por este, bem como os acessos negados.

Figura 13. Listagem dos IPs analisados.

Figura 14. Listagem das URLs acessadas pela m�quina.

Figura 15. Listagem das URLs que foram bloqueadas pelo Squid.

Conclus�o

Utilizar o Squid como ferramenta de proxy/cache na rede permite que seja criado um controle sobre o acesso dos usu�rios ao conte�do web ou de outras redes. Esse controle consegue ser limitado atrav�s de dias e hor�rios e controlado atrav�s de logs.

Para uma melhor auditoria do processo de gerenciamento da rede, podemos utilizar o SARG, um software que utilizar� os recursos de log do Squid para criar relat�rios que facilitam a visualiza��o e controle do administrador de redes.

O Squid � um software que est� continuamente em desenvolvimento, com o objetivo de adicionar novas funcionalidades e manter a estabilidade e compatibilidade em v�rias plataformas, al�m da possibilidade de integra��o de ferramentas como firewall e antiv�rus.

Neste artigo, o Squid foi configurado para atuar como servidor de cache e proxy, com exemplos de regras para controle atrav�s de ACLs de origem, destino, hor�rio e cria��o de listas de acesso. Tamb�m foi demonstrado como configurar o SARG para an�lise de logs e extra��o de relat�rios para fins de auditoria.

Por fim, vale ressaltar que a configura��o do Squid n�o se esgota com as informa��es apresentadas neste artigo, sendo um interessante estudo, a integra��o dessa poderosa ferramenta com firewall, antiv�rus e servi�os de autentica��o.

Links

ACLs no Squid
http://wiki.squid-cache.org/SquidFaq/SquidAcl

CERT.br. Sobre o CERT.br
http://www.cert.br/

Squid � Site Oficial
http://www.squid-cache.org/

Livros

MELO, S.; DOMINGOS, C.; CORREIA, L. et al. BS7799 � Da t�tica a pr�tica em servidores Linux. Alta Books. Rio de Janeiro. 2006.

RICCI, B.; MENDON�A, N. Squid: Solu��o Definitiva. Editora Ci�ncia Moderna. Rio de Janeiro. 2006.

WESSELS, D. Squid: The Definitive Guide. O'Reilly Media. 2004.

Tecnologias:

Confira outros conte�dos:

Programa��o x Concurso P�blico

Osvaldo aprendeu programa��o

DevMedia x Netflix: Onde investir meu...

Assista grátis a nossa aula inaugural

Perguntas frequentes

Quem somos?

Por que a programação se tornou a profissão mais promissora da atualidade?

Como faço para começar a estudar?

Em quanto tempo de estudo vou me tornar um programador?

Sim, você pode se tornar um programador e não precisa ter diploma de curso superior!

O que eu irei aprender estudando pela DevMedia?

Principais diferenciais da DevMedia

Qual o investimento financeiro que preciso fazer para me tornar um programador?

Como funciona a forma de pagamento da DevMedia?

Por Devmedia Em 2012

Nossos casos de sucesso

Leonardo Carlos

Eu sabia pouqu�ssimas coisas de programa��o antes de come�ar a estudar com voc�s, fui me especializando em v�rias �reas e ferramentas que tinham na plataforma, e com essa bagagem consegui um est�gio logo no in�cio do meu primeiro per�odo na faculdade.

Lucas Rodrigues

Estudo aqui na Dev desde o meio do ano passado! Nesse per�odo a Dev me ajudou a crescer muito aqui no trampo.
Fui o primeiro desenvolvedor contratado pela minha empresa. Hoje eu lidero um time de desenvolvimento!
Minha meta � continuar estudando e praticando para ser um Full-Stack Dev!

Her�clito J�nior

Economizei 3 meses para assinar a plataforma e sendo sincero valeu muito a pena, pois a plataforma � bem intuitiva e muuuuito did�tica a metodologia de ensino. Sinto que estou EVOLUINDO a cada dia. Muito obrigado!

Julio Cablen

Nossa! Plataforma maravilhosa. To amando o curso de desenvolvimento front-end, tinha coisas que eu ainda n�o tinha visto. A did�tica � do jeito que qualquer pessoa consegue aprender. S�rio, to apaixonado, adorando demais.

Joelberth Sena

Adquiri o curso de voc�s e logo percebi que s�o os melhores do Brasil. � um passo a passo incr�vel. S� n�o aprende quem n�o quer. Foi o melhor investimento da minha vida!

Felipe Nunes

Foi um dos melhores investimentos que j� fiz na vida e tenho aprendido bastante com a plataforma. Voc�s est�o fazendo parte da minha jornada nesse mundo da programa��o, irei assinar meu contrato como programador gra�as a plataforma.

Wanderson Oliveira

Comprei a assinatura tem uma semana, aprendi mais do que 4 meses estudando outros cursos. Exerc�cios pr�ticos que n�o tem como n�o aprender, est�o de parab�ns!

Jos� Lucas

Obrigado DevMedia, nunca presenciei uma plataforma de ensino t�o presente na vida acad�mica de seus alunos, parab�ns!

Eduardo Dorneles

Aprendi React na plataforma da DevMedia h� cerca de 1 ano e meio... Hoje estou h� 1 ano empregado trabalhando 100% com React!

Adauto Junior

J� fiz alguns cursos na �rea e nenhum � t�o bom quanto o de voc�s. Estou aprendendo muito, muito obrigado por existirem. Est�o de parab�ns... Espero um dia conseguir um emprego na �rea.

Ver todos os casos de sucesso

Implementa��o de um proxy web com Squid - Revista Infra Magazine 8

Neste artigo ser�o apresentadas as principais formas de se instalar um ambiente Neste artigo conheceremos o Squid, que � um servidor Proxy livre de grande utiliza��o no mundo, dada sua robustez, seguran�a e recursos que oferece.