Servidor Proxy Squid

Prévia do material em texto

Situação Problema
A empresa X através de seu presidente relatou que notou uma baixa na produtividade de seus funcionários em todos os departamentos, desde que a banda da internet foi aumentada(o consumo da internet aumentou, uso de vídeos, sites de notícias a todo momento, até mesmo pornografia ele já presenciou) e que já tentou de tudo desde advertências, suspenções e até mesmo premiações para aumentar a produtividade e diminuir o uso indiscriminado da internet e nada adiantou.
Ele nos procurou procurando uma solução para o problema! Queria saber se teria alguma forma de limitar/impedir o acesso a determinados sites e liberar alguns para determinados funcionários como o departamento financeiro(bancos por exemplo). Respondi que iria lhe entregar um documento com a proposta de solução para o seu problema em alguns dias, ele saiu ansioso esperando a resposta.
Vamos ajudar o presidente da empresa?
Servidor Proxy Squid
Prof. Esp. Luis Antonio Soares
O que é um Servidor Proxy?
Quais os tipos de Servidores proxy?
Quais as Vantagens de um servidor proxy?
Quais as Desvantagens de um servidor proxy?
Práticas de configuração do servidor Proxy
Roteiro
O que é um Servidor Proxy?
Um proxy é um servidor HTTP com características especiais de filtragem de pacotes que 
tipicamente são executados em uma máquina (com ou sem firewall).
	O objetivo principal de um servidor proxy é possibilitar que máquinas de uma rede privada possam acessar uma rede pública, como a Internet, sem que para isto tenham uma ligação direta com esta.
Quais os tipos de Servidores proxy?
Web Proxy 
É o tipo mais comum de servidor web proxy/cache, uma máquina da rede solicita acessar um site, obviamente com o proxy instalado em um servidor. Esta requisição primeiramente passará pelo proxy, que por sua vez, verificará no diretório de cache se tal página está armazenada. Estando, ele devolve a página armazenada para o cliente local, caso contrário, irá buscar esta página , fará o download, entregará a solicitação para o usuário e guardará a página em cache.
Quais os tipos de Servidores proxy?
Proxy Reverso 
Um proxy reverso é um servidor de rede geralmente instalado para ficar na frente de um servidor Web. Todas as conexões originadas externamente são endereçadas para um dos servidores Web através de um roteamento feito pelo servidor proxy, que pode tratar ele mesmo a requisição ou, encaminhar a requisição toda ou parcialmente a um servidor Web que tratará a requisição.
Quais os tipos de Servidores proxy?
Proxy Transparente
Este é um tipo de proxy onde o cliente está isento de qualquer configuração adicional em função do servidor. Em suma, basta que o cliente tenho o servidor como seu Gateway Padrão, fazendo uma combinação entre o NAT e o Proxy, de fato.
Quais as Vantagens dos Servidores Proxy?
É possível impor restrições de acesso com base no horário, login, endereço IP da máquina e outras informações, além de bloquear páginas com conteúdo indesejado.
O proxy funciona como um cache de páginas e arquivos, armazenando informações já acessadas. 
Todos os acessos feitos através do Proxy são “Logados”, o que posteriormente pode se transformar em relatórios utilizando um outro programa chamado SARG.
Quais as Desvantagens dos Servidores Proxy?
Talvez a principal desvantagem seja a configuração manual que precisa ser feita nos “navegadores” , porém isso pode ser resolvido utilizando o proxy “transparente” que veremos adiante.
Conhecendo as ACLs mais utilizadas no SQUID
As ACLs (Access Control List) são regras para navegação via proxy.
As ACLs são dispostas de seguinte forma:
acl NOME_DA_ACL TIPO_DA_ACL parâmetro 
Nesse tipo de definição de regra todos os parâmetros são em sequência separados por espaço, utilizado para regras com poucos parâmetros.
acl NOME_DA_ACL TIPO_DA_ACL "/caminho/completo/regra.conf" 
Nesse tipo de regra será definido um arquivo para adição dos parâmetros dispostos um por linha, utilizado para regras com muitos parâmetros.
Todas as ACLs são tratadas com CASE-SENSITIVE para definir como case-insensitive utilize a opção -i logo após o tipo de ACL.
Instalando o Squid
Instalando o Squid
Toda configuração do Squid é feita em um único arquivo:
Esse arquivo de configuração é enorme, e é conveniente fazer uma cópia dele e começar a configurar o squid do zero, com uma configuração mínima e ir acrescentando as regras conforme a necessidade.
Fazendo o Backup do Squid.conf
Criando Squid.conf básico
http_port 3128: A porta onde o servidor Squid vai ficar disponível. A porta 3128 é o default, mas muitos administradores preferem utilizar a porta 8080, que soa mais familiar a muitos usuários.
visible_hostname srvSquid: O nome do servidor, o mesmo que foi definido na configuração da rede. Ao usar os modelos desse capítulo, não se esqueça de substituir o “srvSquid" pelo nome correto do seu servidor, como informado pelo comando "hostname".
acl all src 0.0.0.0/0.0.0.0 e http_access allow all: Estas duas linhas criam uma acl (uma política de acesso) chamada "all" (todos), incluindo todos os endereços IP possíveis. Ela permite que qualquer um dentro desta lista use o proxy, ou seja, permite que qualquer um use o proxy, sem limitações.
Criando Squid.conf básico
# Quantidade de memória RAM dedicada ao cache
cache_mem 680 MB
# tamanho dos arquivos guardados no cache da memória RAM(o resto vai para cache em HD)
maximum_object_size_in_memory 512 KB
#se você faz atualizações constantes do windows update por exemplo e quer melhorar o desempenho do download da sua rede mantendo o cache em disco (HD) Windows Update por exemplo.
maximum_object_size 2048 MB
minimum_object_size 0 KB
# Aqui você define a porcentagem em que o Squid começará a descartar arquivos antigos, por padrão sempre que atingir 95% de uso, serão descartados os arquivos mais antigos até que a porcentagem atinga um valor abaixo dos 90%
cache_swap_low 90
cache_swap_high 95
# Cache_dir composta de por 4 valores o primeiro /var/spool/squid indica a pasta onde o squid armazena o cache. O segundo valor 2048 indica a quantidade de espaço em HD(em MB) que será usada para o cache aumente o valor se você tem muito espaço no HD do servidor e quer que o squid guarde donwloads por muito tempo e por ultimo 16 256 são a quantidade de subpastas que serão criadas dentro do diretório, temos 16 pastas com 256 pastas cada. Caso a linha do cache_dir for omitida, é usada a opção defaulf que é de fazer um cache em disco de 100 MB.
cache_dir ufs /var/spool/squid 2048 16 256
Criando Squid.conf básico
# arquivos onde são guardados os logs de acesso
cache_access_log /var/log/squid/access.log
# Essas três linhas precisam ser usadas em conjunto, eliminando uma o Linux ignora as outras, e usa o default os números irá verificar em um intervalo de (15 minutos no exemplo) se um item foi atualizado se o arquivo não mudou ele continua fornecendo o conteúdo do cache economizando banda. O 2280 é o tempo máximo em dias depois do qual o objeto é sempre verificado.
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
Criando Squid.conf básico
#As acls SSL_ports e a Safe_Ports são as responsáveis por limitar as portas que podem ser usadas através do proxy! Nesse exemplo foi utilizada a configuração indicada na documentação do SQuid.
acl SSL_ports port 443 563
acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535 
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
Criando Squid.conf básico
# bloqueando sites 
acl sitesbloqueados url_regex -i "/etc/squid/bloqueados"
http_access deny sitesbloqueados
# Bloqueando palavras
acl palavrasbloqueadas url_regex -i "/etc/squid/palavras_bloqueadas"
http_access deny palavrasbloqueadas
#Liberando sites
acl sitesliberados url_regex -i "/etc/squid/liberados"http_access allow sitesliberados
#Criando a regra para definir o acesso somente a sua rede local
acl redelocal src 192.168.0.0/24
http_access allow localhost
http_access allow redelocal
# vamos bloquear agora todo mundo de fora, para que ninguém tenha acesso ao nosso proxy
http_access deny all
Conclusão