Tutorial Servidor Proxy com Squid baseado em Linux

Acadmicos : Felipe Zottis e Cleber Pivetta

Servidor Proxy
Um servidor Proxy possui a finalidade de possibilitar que mquinas
contidas em uma determinada rede possam obter acesso a uma rede pblica.
Normalmente este servidor instalado em um computador que possui acesso
direto internet, sendo assim toda solicitao externa a rede deve ser feita a
esta mquina. De modo geral, um servidor proxy realiza solicitaes em nome
de outras mquinas da rede.
Outras funcionalidades podem ser acopladas ao proxy, tais como
caching de pginas da internet. Com isto, as requisies sites j visitados por
mquinas de uma rede so feitas mais rapidamente.
Um servidor proxy tambm pode implementar o NAT (Network Address
Translation - Traduo de Endereos de Rede). A NAT permite que o endereo
de rede interno de uma empresa seja ocultado da Internet. A empresa
representada na Internet como um endereo de IP no relacionado com os
endereos de IP internos.
Uma das principais funcionalidades do proxy impedir o acesso
indevido pginas da internet, geralmente por empresas ou instituies
pblicas. possvel barrar o acesso do usurio a sites inadequados ou que
no sejam de interesse de uma instuio, por exemplo chats, jogos, sexo entre
outros.
Todo o trfego de dentro da empresa destinado Internet enviado
para o servidor proxy. Este atribui a cada pacote um outro endereo de IP
antes de transmit-lo pela Internet. Quando o pacote de resposta chega, o
servidor proxy o envia ao servidor apropriado da empresa que havia feito o
pedido. Este procedimento protege os endereos verdadeiros da rede interna
da Internet, dificultando o ataque de um hacker ao sistema, j que o endereo
do sistema protegido no conhecido e no fica diretamente acessvel a partir
da Internet.

Sobre o Squid
O Squid um proxy-cache de alta performance para clientes web,
suportando protocolos FTP, gopher e HTTP. O Squid mantm meta dados e
especialmente objetos armazenados na RAM, cacheia buscas de DNS e
implementa cache negativo de requisies falhas.
Ele suporta SSL, listas de acesso complexas e logging completo. Por
utilizar o Internet Cache Protocol, o Squid pode ser configurado para trabalhar
de forma hierrquica ou mista para melhor aproveitamento da banda.
Podemos dizer que o Squid consiste em um programa principal squid -
um sistema de busca de resoluo de nomes dnsserver e alguns
programas adicionais para reescrever requisies, fazer autenticao e
gerenciar ferramentas de clientes. Podemos executar o Squid nas principais
plataformas do mercado, como GNU/Linux, Unixes e Windows.

Procedimento para instalao do Servidor Proxy Squid
Para a realizao deste tutorial, fora utilizado a sistema operacional
Linux, sendo a verso 9.0 do Fedora.
Como este experimento fora realizado na rede interna da Universidade
Estadual do Oeste do Paran, necessrio realizar a exportao do proxy
utilizado pela faculdade, para que assim seja possvel realizar o download do
pacote de instalao do Squid.
export http_proxy=htpp://proxy.unioeste.br:8080
Para realizar a instalao de determinados programas, o Linux permite
que o pacote de instalao destes sejam obtidos por download atravs do
comando:
yum install squid
O Squid ser ento instalado no diretrio /etc/squid. Aps isto,
necessrio editar o arquivo squid.conf, localizado dentro do diretrio de
instalao. Porm, necessrio realizar alteraes na permisso de gravao
do arquivo squid.conf, pois este protegido. No linux possvel realizar esta
alterao da seguinte forma:
chmod 777 squid.conf
O comando chmod modifica as pemisses de acessos um
determinado arquivo. O nmero 777 garante os acessos de leitura e gravao
para root e usurios.
Realizado este passo, j possvel editar o arquivo squid.conf, porm
recomendvel realizar um backup do arquivo original. Sendo assim, deve-se
renomear o arquivo squid.conf para squid_backup.conf. Aps isto, j possvel
trabalhar em um arquivo squid.conf novo. Ento:
vi squid.conf

Este comando abrir este arquivo para edio, porm como o mesmo
no existe (pois o original foi renomeado) um novo ser criado. As seguintes
linhas devem ser includas dentro deste arquivo:
# porta padro do squid

http_port 3128
visible_hostname localhost
#definir sites bloqueados
acl blockedsites url_regex -i /etc/squid/sites_bloqueados/block.txt
#definir sites permitidos
acl unblockedsites url_regex -i /etc/squid/sites_desbloqueados/unblock.txt
acl all src 0.0.0.0/0.0.0.0
#proxy pai do squid
cache_peer proxy.unioeste.br parent 8080 3128 proxy-only
#negar acesso HTTP varivel blockedsites e permitir varivel
unblockedsites
http_access deny blockedsites !unblockedsites
http_access allow all

Aps isto, deve-se alterar as configuraes padro do navegador de
internet utilizado na mquina, neste exemplo o firefox. Em configuraes
avanadas de rede, deve-se selecionar para obter uma configurao manual
de proxy e ento redirecionar o protocolo HTTP para localhost (o nome definido
em visible_hostname) e porta 3128 (padro do Squid).
No Squid tambm possvel impedir acessos sites com contedo
indevido. Note que em:
#definir sites bloqueados
acl blockedsites url_regex -i /etc/squid/sites_bloqueados/block.txt
#definir sites permitidos
acl unblockedsites url_regex -i /etc/squid/sites_desbloqueados/unblock.txt
definido um caminho para uma lista de sites bloqueados e permitidos.
Sendo assim, deve-se criar um arquivo do tipo .txt dentro de uma pasta
definida sites_bloqueados, contendo uma lista de sites bloqueados, por
exemplo:
www.google.com
www.uol.com
www.orkut.com
orkut
pornografia

Note que possvel bloquear os acessos apenas pelo intermdio de
palavras chaves, vide orkut e pornografia.
Feitos todos estes passos, possvel agora colocar em funcionamento o
servidor Squid. Dentro do diretrio /etc/init.d deve-se entrar com o seguinte
comando:
squid start

Funcionalidades Extras
Restringir acesso por horrio
possvel restringir os acessos internet por horrios
programados. Deve- se inserir os seguintes comandos:
#Horrios
acl expediente time MTWHF 9:00 18:00
acl final_de_semana time SA 8:00 13:00

Onde :
S: Domingo
M: Segunda-Feira
T: Tera-feira
W: Quarta-feira
H: Quinta-feira
F: Sexta-feira
A : Sbado

Exemplo:
Controlar o acesso do computador 192.168.1.71 das 9:00 s
12:00 e das 13:30 s 18:00 de segunda a sexta-feira:
acl microip71 src 192.168.0.71/255.255.255.255
acl manhamicroip71 time M T W H F 9:00-12:00
acl tardemicroip71 time M T W H F 13:30-18:00
Pra LIBERAR acesso:
http_access allow microip71 manhamicroip71
http_access allow microip71 tardemicroip71
pra PROIBIR acesso:
http_access deny microip71 manhamicroip71
http_access deny microip71 tardemicroip71
Exemplo: Pra liberar somente no horrio de almoo, todos os dias das
12 as 13:30 e aps o expediente s 18:00hs:
acl microip71 src 192.168.0.71/255.255.255.255
acl manhamicroip71 time M T W H F 12:00-13:30
acl tardemicroip71 time M T W H F 18:00-24:00
http_access allow microip71 manhamicroip71
http_access allow microip71 tardemicroip71

Limitar o nmero de conexes por usurio
possvel restringir o nmero de sesses que um determinado
usurio pode requisitar de uma nica vez. O recurso mximo de
conexes pode ser atribudo da seguinte forma:
#Mximo de conexes
acl CONEXOES maxconn 5
http_access deny CONEXOES rede_interna

Gerar Relatrios de acesso
O Squid emite um log de acessos internet que pode ser
transformado em relatrios com o uso da ferramenta SARG. Para tanto,
sua instalao e configurao necessria:
wget http://web.onda.com.br/orso/sarg-1.4.tar.gz
tar zxvf sarg-1.4.tar.gz
cd sarg-1.4/
./configure
make
make install
Configurando o SARG:
Por padro o SARG instalado em /usr/local/sarg .Nesse diretrio
encontra-se o arquivo sarg.conf. As seguintes opes so
recomendadas:
# indica o arquivo de log do squid
access_log /var/log/squid/access.log
title Relatrio de uso da Internet
temporary_dir /tmp

# Onde ser gerado o relatrio
output_dir /var/www/squid-reports
resolve_ip no
# Se estiver usando autenticao por usurio deve-se colocar yes
user_ip yes
topuser_sort_field BYTES reverse
topsites_num 100
max_elapsed 28800000
Em seguida, para gerar um relatrio deve-se emitir o comando
sarg


Figura 01: Relatrio emitido pelo SARG

Autenticando usurios
um recurso bem interessante para controle pessoal de usurios,
pois permite que ACLs individuais sejam criadas gerando assim LOGs
de qualidade e preciso superiores. O ncsa_auth a alternativa mais
simples, pois est disponvel junto com o Squid e pode ser
implementado rapidamente.
Procure pela TAG: authenticate_program
insira os seguintes comandos:
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/
auth_param basic children 5
auth_param basic realm Digite seu Login
Para tanto, cada usurio necessitar uma senha de acesso.
Deve-se criar o arquivo que conter todas as senhas dos usurios:
touch /etc/squid/passwd

Para adicionar novos usurios deve-se emitir:
htpasswd /etc/squid/passwd NOVO_USUARIO
Dependendo da distribuio do Squid, o ncsa_auth pode estar em
vrios lugares diferentes.


Comandos teis para o Squid
Reiniciando a cache do Squid:
squid -z
Reiniciando as configuraes do Squid:
squid -k reconfigure
Parar o servio do Squid:
squid stop
Reiniciar o servio do Squid:
squid restart
Verificar status do Squid, se est rodando ou no:
squid status
Para carregar o Squid junto com a inicializao do Linux:
chkconfig squid on

Dicas De Squid:
Edite o arquivo /etc/squid.conf e leia atentamente os comentrios, pois
neles existem explicaes pra configuraes possveis...
Squid para de analizar as regras na primeira que for atentida, quando
precisar de alguma excesso de regra, por exemplo liberar um IP para
no passar pelas regras, esta dever se colocada antes da que proibe.