Hedwio Carvalho e Silva

Soluo de controle de acesso a Internet em ambientes corporativos

Monograa apresentada ao Departamento de Cincia da Computao da Universidade Federal de Lavras, como parte das exigncias do curso de Ps-Graduao Lato Sensu Administrao em Redes Linux, para a obteno do ttulo de especialista.

Orientador Prof. DSc. Gustavo Guimares Parma

Lavras Minas Gerais - Brasil 2005

Hedwio Carvalho e Silva

Soluo de controle de acesso a Internet em ambientes corporativos

Monograa apresentada ao Departamento de Cincia da Computao da Universidade Federal de Lavras, como parte das exigncias do curso de Ps-Graduao Lato Sensu Administrao em Redes Linux, para a obteno do ttulo de especialista.

Aprovada em 17 de Abril de 2005

Prof. Heitor Augustus Xavier Costa

Prof. Sandro Pereira Melo

Prof. DSc. Gustavo Guimares Parma (Orientador)

Lavras Minas Gerais - Brasil

Agradecimentos
Ao Prof. Parma, pela pacincia e pela orientao durante esta jornada. Aos colegas de curso, que de forma silenciosa tambm so responsveis por este trabalho, em especial aos colegas Aldemon e Paulo de Carvalho, pela ajuda nos momentos nais. A meu pai e meus irmos que, a distncia, tambm foram incentivadores. A minha me, que sempre me acompanha em cada importante passo em minha vida.

vi

A minha esposa Milena e a meu lho Caio, sempre presentes.

vii

viii

Resumo
As corporaes tm a necessidade de controlar o acesso a Internet proveniente da sua rede interna a m de aumentar a produtividade da empresa e de dimimuir os riscos associados ao acesso irrestrito a rede mundial de computadores. Esta soluo implementa controle de acesso a Internet atravs de ferramentas que permitem validao dos usuarios na rede sem a necessidade de nova autenticao no servio de proxy. Filtros de contedo tambm so aplicados juntamente com ferramenta de gerao de relatrios estatsticos de acesso.

ix

Sumrio
1 2 Introduo Conceitos Bsicos 2.1 Controle de Acesso . . . 2.2 Filtro de Contedo . . . 2.3 Proxy/Cache . . . . . . . 2.4 Controlador de Domnio 2.5 Autenticao de Usurios 3 5 5 6 7 8 9 11 11 11 13 16 19 21 23 25 26 29 31 32 34 37 40 41

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

Implementao da Soluo de Integrao de Ferramentas 3.1 Ferramentas Utilizadas . . . . . . . . . . . . . . . . . 3.1.1 Squid . . . . . . . . . . . . . . . . . . . . . . 3.1.2 Dansguardian . . . . . . . . . . . . . . . . . . 3.1.3 Samba . . . . . . . . . . . . . . . . . . . . . . 3.1.4 OpenLDAP . . . . . . . . . . . . . . . . . . . 3.1.5 PAM . . . . . . . . . . . . . . . . . . . . . . 3.1.6 SARG . . . . . . . . . . . . . . . . . . . . . . 3.2 Validao de Autenticao no Controlador de Domnio 3.2.1 Mtodos de Autenticao . . . . . . . . . . . . 3.2.2 Uso do winbind . . . . . . . . . . . . . . . . . 3.3 Integrao das Ferramentas . . . . . . . . . . . . . . . 3.3.1 Squid + Autenticao . . . . . . . . . . . . . . 3.3.2 Squid + Dansguardian . . . . . . . . . . . . . 3.3.3 Squid + SARG . . . . . . . . . . . . . . . . . 3.3.4 Inicializao e Reinicializao das Ferramentas Concluses

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

. . . . . . . . . . . . . . .

xi

xii

Lista de Figuras
2.1 3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8 3.9 3.10 3.11 3.12 3.13 3.14 3.15 3.16 3.17 3.18 3.19 3.20 3.21 3.22 3.23 3.24 3.25 3.26 3.27 Funcionamento de Proxy e Cache. . . . . . . . . . . . . . . . . . Fluxo da requisio do cliente via Filtro de Contedo. . . . . . . . rvore LDAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . Estatsticas de acesso no SARG. . . . . . . . . . . . . . . . . . . Grcos gerados pelo SARG. . . . . . . . . . . . . . . . . . . . . Congurao do arquivo nsswitch.conf . . . . . . . . . . . . . . . Comandos de congurao de bibliotecas . . . . . . . . . . . . . Congurao do arquivo smb.conf para suporte a winbind . . . . . Comando para cadastramento do Servidor Samba no domnio . . . Comandos para inicializao e teste do winbind . . . . . . . . . . Compilao do Samba . . . . . . . . . . . . . . . . . . . . . . . Compilao do Squid . . . . . . . . . . . . . . . . . . . . . . . . Compilao do Squid com suporte a LDAP . . . . . . . . . . . . Contedo do arquivo proxy_auth . . . . . . . . . . . . . . . . . . Parmetros relacionados ao mtodos de autenticao . . . . . . . Parmetros relacionados ao mtodos de autenticao usando LDAP ACLs para acesso de usurios autenticados . . . . . . . . . . . . . TAGs para ltragem de contedo . . . . . . . . . . . . . . . . . . Arquivo de congurao do Dansguardian . . . . . . . . . . . . . Domnios bloqueados . . . . . . . . . . . . . . . . . . . . . . . . URLs bloqueadas . . . . . . . . . . . . . . . . . . . . . . . . . . Frases ou termos bloqueados . . . . . . . . . . . . . . . . . . . . Frases ou termos bloqueados por peso . . . . . . . . . . . . . . . Endereos IP bloqueados . . . . . . . . . . . . . . . . . . . . . . Extenses de arquivos bloqueados . . . . . . . . . . . . . . . . . Tipos de arquivos bloqueados . . . . . . . . . . . . . . . . . . . . Tipos de arquivos bloqueados . . . . . . . . . . . . . . . . . . . . Seleo de idioma . . . . . . . . . . . . . . . . . . . . . . . . . . xiii 8 14 20 24 25 30 30 31 31 32 32 32 33 33 33 34 34 35 36 36 36 36 37 37 37 37 38 38

3.28 3.29 3.30 3.31 3.32 3.33 3.34

Seleo de arquivo de registro (log) . . . . . Seleo de Ttulo de Relatrio . . . . . . . . Seleo de diretrio para gerao de relatrio Seleo de usurios excludos . . . . . . . . Seleo de mquinas excludas . . . . . . . . Seleo de formato da data . . . . . . . . . . Comandos de ativao de servios . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

38 39 39 39 39 39 40

Captulo 1

Introduo
A necessidade de controlar o acesso a Internet proveniente da rede interna com o objetivo de aumentar a produtividade da empresa e de dimimuir os riscos associados ao acesso irrestrito a rede mundial de computadores motivou a implementao desta soluo baseada em software livre. Este trabalho o resultado da compilao de um conjunto de ferramentas disponveis na Internet com o objetivo de fornecer ao leitor o entendimento necessrio que permita a implementao de uma soluo de controle de acesso a Internet com ltros de contedo e gerao de relatrios de uso em ambientes corporativos atravs de softwares livres. Os servios de proxy, cache, ltros de contedo, validao de autenticao de usurios possibitam tal implementao. O uso do servio de proxy permite concentrar todo o uxo de acesso a Internet atravs de um nico equipamento, o servidor Proxy. Este servidor, a m de melhorar a performance, tambm implementa o servio de cache, guardando localmente partes dos stios acessados, e retornando esses contedos ao usurio de forma muito mais rpida do que uma nova consulta ao stio. Contudo, faz-se necessrio a implementao de um servio de ltro de contedo para se obter, efetivamente, um controle no acesso a stios considerados indevidos atravs de anlise do contedo destes stios. Outra ferramenta importante, principalmente para o corpo gerencial da corporao, diz respeito a gerao de relatrios dos acessos feitos pelos funcionrios da instituio. As redes em funcionamento nas instituies atualmente j implementam um esquema de autenticao de usurios, quer seja em controladores de domnios proprietrios, quer baseados em software livre. Tais esquemas de autenticao devem ser incorporados a esta soluo de controle de acesso a Internet sem a necessidade do usurio autenticar-se novamente, fazendo assim a validao da autenticao do usurio. Vrios esquemas de autenticao so suportados pelas ferramentas utili3

zadas dentre os quais pode-se destacar: LDAP, NTLM, PAM, SMB e winbind, que sero alvo de estudo no decorrer deste trabalho. As ferramentas utilizadas so bastante conhecidas e largamente utilizadas em ambientes de redes de computadores em diversos lugares espalhados pelo mundo e so licenciadas sob a GPL: Sistema operacional linux; Squid, que se prope a funcionar como proxy e cache para os protocolos HTTP, HTTPS, FTP e GOPHER; Dansguardian1 , que efetua ltros de contedo; SARG, que uma ferramenta de gerao de relatrios de logs do Squid e permite ao administrador identicar os stios acessados pelos usurios na Internet; SAMBA, que permite validao da autenticaco dos usurios no controlador de domnios; OpenLDAP, que permite acesso ao servio de diretrios em execuo atravs do protocolo LDAP; PAM, que atravs de seus vrios mdulos possibilita um controle referente a autenticao de usurios.

Para maiores informaes sobre licenciamento ver http://dansguardian.org/?page=copyright2

Captulo 2

Conceitos Bsicos
Alguns conceitos so necessrios para o entendimento deste texto. Assim, com o objetivo de contextualizar o leitor, este Captulo trata de algumas denies e explicaes a respeito de Controle de Acesso, Filtro de Contedo, Proxy/Cache, Controlador de Domnio e Autenticao de usurios.

2.1

Controle de Acesso

O controle no acesso a Internet proveniente de redes privativas uma tema bastante controverso. Algumas pessoas insistem em dizer que os prossionais contratados por uma empresa tem direito a privacidade no acesso a Internet. Sem levar em considerao que um contrato de trabalho foi assinado e que as atividades so exercidas em nome da empresa em seu ambiente fsico e utilizando-se de recursos da empresa. Contudo, a alegao das empresas bastante convincente: minimizar os riscos de vrus, trojans e outras pragas da Internet e aumentar a produtividade. A m de obterem uma base legal, as corporaes tm adotado fortemente a estratgia de embasarem-se em uma poltica de segurana ou em um termo de compromisso assinado pelo funcionrio quando de sua entrada na empresa em que toma conhecimento e concorda com o procedimento. Para, efetivamente, controlar o acesso a Internet, so utilizadas vrias ferramentas que permitem identicar que usurio e/ou mquina da rede acessou determinado stio em determinada data e hora, gerando assim informaes que podem ser utilizadas pela gerncia para tomar as devidas providncias. Pesquisas realizadas nos ltimos anos tm demonstrado pelo tipo de stio acessado que a produtividade dos funcionrios que tm acesso irrestrito a Internet em ambiente de trabalho baixa. 5

Segundo o documento "Internet Filtering Alternatives White Paper"(SOFTWARE, 2003), quando trata de estatsticas de abuso na Internet: Acesso a stios de sexo foi reportado por 62% das organizaes (PC Week); Acesso a Internet em ambiente de trabalho gera cerca de 30 a 40% de queda de produtividade (IDC Research); Cerca de 70% de todo o trfego pornogrco na Internet ocorre no horrio de 9h as 17h (SexTracker); 32,6% dos empregados no tem objetivo especco quando acessam a Internet (eMarketer.com); Um em cada cinco homens e uma em cada oito mulheres admitiram utilizar seus computadores do trabalho como principal equipamento em que acessam contedos ligados a sexo (MSNBC); Usurios de Internet no escritrio utilizam-se da vantagem de conexes em alta velocidade para acessar stios de entretenimento como broadcast.com e mp3.com mais frequentemente que em suas casas (Nielsen/Net Ratings); 82% dos executivos de negcios dos Estados Unidos consultados pela empresa de consultoria Dataquest (uma diviso do Gartner Group) acreditam que o uso da Internet deveria ser monitorado em suas companhias (InformationWeek Online).

2.2

Filtro de Contedo

O servio de Proxy funciona muito bem para atender s necessidades para as quais foi criado: intermediar requisies de clientes com destino a servidores na Internet, alm de efetuar ltros baseados em listas de controle de acesso capazes de bloquear o acesso a determinados stios. Contudo, no que diz respeito a proibio de acesso a stios na Internet, uma caracterstica bastante importante no pode ser implementada atravs de servidores proxies exclusivamente. A capacidade de proibir o acesso de acordo com o contedo de cada pgina acessada. Tal necessidade suprida por ferramentas conhecidas como ltros de contedo. Essas ferramentas percorrem cada pgina acessada antes de disponibiliz-la ao usurio e efetuam uma vericao de termos, palavras e frases consideradas inadequadas segundo base de dados de tais contedos. A maioria dessas aplicaes 6

permite ao administrador informar dentre o contedo dessas listas o que, efetivamente, ser considerado termo indevido. Alm de permitir acrscimo de contedo a serem bloqueados. Ainda, segundo "Internet Filtering Alternatives White Paper" (SOFTWARE, 2003), os ltros de contedo podem ser divididos nos seguintes tipos: Appliances dedicados a ltragem Esta categoria inclui dispositivos especicamente projetados para controle e monitorao do acesso a Internet; Servidores pr-congurados para ltragem Esta categoria inclui solues onde os equipamentos servidores de propsito geral so congurados de fbrica com aplicao de ltragem de contedo; Aplicao de ltragem baseada em servidor Esta categoria inclui programas que trabalham com sistemas operacionais em plataforma Windows NT ou Unix, ou como um plugin para aplicaes de servidores proxy; Addons para servio de ltragem nos rewalls Servios que podem ser adicionados ao rewall ou a outros dispositivos de rede; Aplicao de ltragem baseada no cliente Esta categoria inclui aplicaes para Windows e Macintosh e plugins de navegadores que so adicionados as tais caractersticas no computador do usurio. De uma forma mais especca, pode-se denir o ltro de contedo baseado em pesos com uma nova categoria. Assim, possvel informar a aplicao que o simples aparecimento de uma determinada palavra em um stio no suciente para bloque-lo. Mas, um outro termo pode ser considerado indevido somente no caso de aparecer vrias vezes no mesmo stio.

2.3

Proxy/Cache

O contnuo avano tecnolgico tem permitido s empresas experimentarem velocidades cada vez maiores no acesso a Internet. Porm, as necessidades dessas instituies tambm crescem diariamente. Assim, mesmo com um acesso considerado rpido, acrscimos de velocidade, que geram diminuio no tempo de resposta, so sempre bem-vindos. O servio de cache tem esse propsito: ganho de performance. O servio de Proxy por sua vez tem o papel de concentrar todas as requisies das mais diversas origens, canalizando-as por uma mesma saida. Ele que, efetivamente, faz a requisio ao destino. Funciona como um intermedirio entre o 7

cliente e o servidor de destino. Esse intermedirio efetua tais requisies segundo regras, ou ltros, implementados pela ferramenta de Proxy. Tais ltros tm a funo de proibir ou liberar acessos a stios, endereos identicadores de mquinas e redes, strings e at limitar velocidade de acesso. Alm de ser capaz de coibir o acesso atravs de regras que atuam sobre os clientes da rede interna: nomes de usurios, grupos de usurios, endereos identicadores de mquinas, etc. Solues presentes no mercado contemplam a utilizao dos servios de Proxy e Cache juntos. Sendo que o tratamento da informao entre tais servios realizado automaticamente pela aplicao sem a necessidade de interveno do administrador, conforme a Figura 2.1.

Figura 2.1: Funcionamento de Proxy e Cache.

2.4

Controlador de Domnio

O uso de redes de computadores em ambientes de trabalho tem aumentado a cada dia. Isto facilmente percebido ao analisar-se pequenas empresas que no tm a informtica como rea m. Essas empresas, que at bem pouco tempo utilizavamse de mquinas de datilograa, renderam-se a tecnologia. E, hoje, muito difcil uma micro-empresa que no faa uso de computadores no seu dia-a-dia. Mesmo em ambientes mais restritos, com poucos computadores, tem-se percebido que a utilizao de redes ponto-a-ponto no se adequa muito bem, uma vez que as informaes associadas as atividades da empresa no esto localizadas 8

em ponto central, com todos os cuidados necessrios: backup das informaes, controle de acesso, garantia de disponibilidade, dentre outros. A m de prover um ambiente de rede mais adequado s atividades da corporao, alm de equipamentos servidores que mantenham a guarda das informaes, faz-se necessrio a implementao de uma outra soluo capaz de autorizar e autenticar os funcionrios na rede privativa da instituio: o controlador de domnio. A garantia de acesso dos usurios ao ambiente de rede da empresa que permitir associar as aes realizadas na rede ao usurio que, efetivamente, a executou tambm papel do controlador de domnio. Existem algumas solues de controladores de domnio disponveis no mercado. A maioria delas proprietria. Contudo, solues baseadas em software livre tambm esto disponveis para uso e sero consideradas neste trabalho.

2.5

Autenticao de Usurios

A m de obter acesso a uma rede, o usurio solicita sua autenticao informando nome na rede e a senha de acesso. O sistema efetua a autenticao vericando se nome de usurio e senha informados esto realmente associados quele usurio especco e esto corretos. Quando um usurio obtm acesso a rede, ele foi autenticado. Porm, inmeras aplicaes utilizam-se do conceito de autenticao de usurios para seu funcionamento. Algumas delas utilizam mdulos adicionais para efetivar a autenticao atravs de diferentes protocolos como Kerberos, LDAP e NTLM. Outras aplicaes apenas validam a autenticao efetuada anteriormente garantindo os acessos do usurio. Para que a validao do usurio autenticado funcione a contento, algumas ferramentas adicionais devem ser implementadas, algumas na prpria aplicao e outras nos servidores que executam as aplicaes. Existem vrias opes de ferramentas para validao de usurios que podem ser implementadas no servidor em que a aplicao executada a m de adequar a soluo de autenticao de usurios em produo. Vrias dessas ferramentas esto sendo muito utilizadas atualmente com sucesso, como: PAM, OpenLDAP e Winbind.

10

Captulo 3

Implementao da Soluo de Integrao de Ferramentas

Este Captulo mostra a congurao das ferramentas utilizadas, no esquecendo de denir e detalhar o funcionamento de cada uma delas. Tambm contedo deste Captulo a validao de autenticao de usurios em um controlador de domnio por tratar-se de uma necessidade prtica encontrada nos ambientes corporativos. Por m, trata-se da integrao das ferramentas selecionadas com o objetivo de, efetivamente, controlar o acesso a Internet dos usurios da rede corporativa.

3.1

Ferramentas Utilizadas

Esta Seo trata de questes relativas as ferramentas utilizadas para implementar a soluo de controle de acesso a Internet. So consideradas desde questes de Denio de cada ferramenta at Funcionamento, Caractersticas Adicionais e Concluses as quais se chegou aps os testes e a implementao.

3.1.1

Squid

Denio O Squid1 nasceu do projeto de um servidor HTTP que tambm incorporava Proxy e Cache na dcada de 90. Tendo sido desenvolvido pelo Internet Research Task Force Group on Resource Discovery (IRTF-RD) atravs do projeto Harvest. E,
1

ver http://www.squid-cache.org

11

atualmente, vem sendo melhorado por um grupo considervel de desenvolvedores(WESSELS, 2004). Segundo (WESSELS, 2004), trata-se de uma ferramenta capaz de aceitar requisies HTTP e HTTPS de clientes e capaz de efetuar requisies HTTP, FTP e Gopher para servidores, alm de implementar vrias caractersticas comumente teis em ambientes corporativos: Controle de banda no acesso a Internet; Reduo do tempo de carga de pginas na Internet; Coleta de estatsticas do trfego de acesso a Internet proveniente da rede privativa; Bloqueio de stios considerados de contedo inapropriado; Garantia de que somente os usurios autorizados tero acesso a Internet; Converso de requisies HTTPS de um lado em HTTP do outro lado; Proteo de mquinas internas de acessos externos uma vez que as requisies a stios externos so efetuadas pelo Proxy. Funcionamento O Squid foi escrito com a preocupao de ser portvel, assim ele funciona na maioria dos sistemas operacionais Unix, como: Linux, BSD/OS, FreeBSD, NetBSD, OpenBSD, Solaris, HP-UX, OSF/DUNIX/TRU-64, Mac OS/X, IRIX e AIX, alm de funcionar em ambientes Microsoft Windows(WESSELS, 2004). Os requisitos de hardware necessrios para sua implementao so, em geral, modestos. Mesmo assim, memria o recurso mais importante, uma vez que pouca quantidade de memria degrada consideravelmente a performance. Espao em disco um outro fator importante, pois mais espao em disco signica mais objetos em cache e, portanto, menores tempos de resposta. O fato de ser Proxy permite ao Squid intermediar as transaes entre clientes e servidores. Ele aceita requisies dos clientes, processa e as encaminha ao servidor desejado. Tais requisies podem ser registradas, rejeitadas e modicadas antes do encaminhamento. Por funcionar como Cache, a ferramenta armazena localmente contedo de pginas acessadas recentemente com o objetivo de reutiliz-las, aumentando assim a performance pela diminuio do tempo de resposta. A caracterstica de Cache passvel de desabilitao, o que no ocorre com a funo de Proxy, por ser a essncia do Squid. 12

Caractersticas adicionais A cada nova verso o Squid tem crescido em tamanho e funcionalidade. Uma caracterstica bastante interessante da aplicao a implementao de vrias funcionalidades atravs do uso de ACLs (Access Control List). Esta implementao agrega um poder fabuloso ao software pois permite a criao de listas capazes de ltrar desde simples domnios at tipos de contedo especicados (mime types). Outros pontos fortes so: numerosos mdulos de autenticao, desde NCSA at autenticao baseada em LDAP ou Kerberos, e avanadas opes de armazenamento de disco e interceptao HTTP. Concluses Por m, pode-se referendar o Squid como uma ferramenta poderosa e exvel, capaz de ser implementada em ambientes corporativos sem maiores receios.

3.1.2

Dansguardian

Denio O Dansguardian2 uma ferramenta capaz de ltrar acessos a Internet com base em diferentes critrios (BARRON, 2003b): Filtros de domnios ou URLs com uma performance visivelmente superior a outras ferramentas; Filtros baseados em frases associadas a pornograa ou consideradas inapropriadas; Filtros por guras (PICS) ou por tipo de contedos (MIME); Filtros por extenso de arquivos, como: .exe, .dll, .scr e outros; Filtros do tipo POST, em que possvel bloquear ou limitar upload na Internet. A ferramenta difere da maioria disponvel no mercado pelo fato de no funcionar apenas como ltro de URL, mas tambm como um efetivo ltro de contedos de pginas Web. Pois, faz uma varredura do contedo de cada pgina acessada por seus usurios e no somente uma liberao ou proibio do nome do stio ou da URL acessada.
2

ver http://www.dansguardian.org

13

Funcionamento Este ltro de contedo funciona em conjunto com qualquer Proxy, podendo ser instalado em sistemas operacionais Linux, FreeBSD, OpenBSD, NetBSD, Mac OS X, HP-UX, e Solaris (BARRON, 2003b). O Dansguardian no tem caractersticas de Proxy, portanto obrigatrio o uso de um servidor Proxy para que a ferramenta seja implementada. Nas solues comumente encontradas no mercado, o ltro de contedo recebe as requisies do navegador do usurio, aplica as restries estabelecidas ou as excees conguradas e, em seguida, passa a requisio para o Proxy conforme Figura 3.1. Este faz o seu papel: a intermediao entre o cliente e o servidor a ser acessado.

Figura 3.1: Fluxo da requisio do cliente via Filtro de Contedo.

No processamento interno de arquivos contendo proibies e excees, existe uma ordem pr-estabelecida conforme Tabela 3.1. Assim, importante que o administrador conhea tal uxo de processamento a m de que suas conguraes funcionem a contento. 14

Tabela 3.1: Ordem de processamento dos ltros no Dansguardian

Ordem de Processamento 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17

Arquivo exceptioniplist exceptionuserlist exceptionsitelist exceptionurllist blanket block bannediplist banneduserlist bannedregexpurllist bannedurllist blacket ip block bannedsitelist postupload bannedmimetypelist bannedextensionlist exceptionphraselist bannedphraselist weightedphraselist

15

Caractersticas adicionais O algoritmo de checagem de frases proibidas bem inteligente, sendo capaz de vericar cdigos HTML e espaos em branco. Contm um modo capaz de efetuar apenas o registro dos stios acessados sem efetivar o bloqueio, podendo ser feito sem o conhecimento do usurio. Os registros produzidos tem formato legvel aos olhos humanos, os quais podem ser gerados em formato CSV a m de ser exportado para bancos de dados (BARRON, 2003b), alm de permitir o registro por nome de usurio autenticado. O Dansguardian permite ltragem de URL baseado em expresses regulares ou de requisies HTTPS. Uma ltima funcionalidade considervel a capacidade de implementar tais ltros atravs de um esquema de ponderao em que cada termo, frase, stio ou URL tem um peso associado e o bloqueio pode se dar atravs da soma dos pesos encontrados. Vale lembrar que existem pesos com valores positivos e negativos. Os pesos com valores positivos so somados para gerar um valor total e implementar um ltro, enquanto os pesos com valores negativos quando somados diminuiro o peso total. Assim, possvel liberar determinados acessos atravs do acrscimo de um ltro com peso de valores negativos. Na prtica, tal funcionalidade implementa ltros mais condizentes com a verdade. Concluses Aps intensa pesquisa e realizao de vrios testes de funcionalidade e de performance, notou-se alguns diferenciais do Dansguardian em relao a outras ferramentas licenciadas sob GPL capazes de realizar ltros no acesso a Internet. Em relao aos testes de funcionalidade, no foi encontrada outra soluo com efetivo ltro de contedo, mas somente com ltro de URLs. Quanto aos testes de performance, foi vericado que o algoritmo utilizado no Dansguardian bem mais rpido que as outras ferramentas como o SquidGuard3 .

3.1.3

Samba

Denio Os ambientes de redes de computadores atualmente tm uma variedade enorme de sistemas operacionais; UNIX, Windows, Linux so exemplos. Essa heterogenei3

ver http://squidguard.org

16

dade faz os servios de compartilhamento de arquivos e impressoras e de autenticao de usurios contra domnios tornar-se algo complexo. O Samba um conjunto de aplicaes Open Source licenciado sob GPL que prov a funcionalidade CIFS (Common Internet File System)/ SMB (Server Message Block) em ambientes UNIX, tendo se mostrado como uma excelente ferramenta para administrao de tais ambientes heterogneos. Esse conjunto de aplicaes permite aos usurios Windows acessarem arquivos no Linux e vice-versa. Alm de emular caractersticas de compartilhamento de arquivos nativa do Windows. Um equipamento com Samba instalado pode se mostrar como um servidor Microsoft e prover servios como (TERPSTRA, 2004): Compartilhamento de um ou mais sistemas de arquivos; Compartilhamento de impressoras tanto no servidor quanto nos clientes; Uso de ferramentas de visualizao de estaes na rede; Autenticao de clientes contra um domnio Windows congurado no servidor Samba; Funcionamento como um servidor de nomes WINS (Windows Internet Name Service); Funcionamento Dois programas principais compem o Samba: o smbd e o nmbd. O primeiro responsvel pelos de servios de compartilhamento e de impresso. Provendo autorizao e autenticao atravs dos modos user e share. Esses modos so utilizados para proteger os servios de compartilhamento e impresso atravs do uso de senhas. No caso do modo share, uma senha dada a qualquer usurio que possa acessar o compartilhamento. No modo user, a autenticao se d por usurio atravs de nome de usurio e senha. O segundo est envolvido com o gerenciamento e a distribuio de listas de nomes NetBIOS (TERPSTRA, 2004)4 O pacote Samba contm outras ferramentas teis em ambientes de redes heterogneos, a saber:
Network Basic Input Output System um pedao de programa carregado na memria para prover uma interface entre programas e hardwares de rede usado em ambientes Microsoft. Ele inclui um esquema de endereamento usando nomes de 16 bytes para identicar estaes de trabalho e aplicaes na rede.
4

17

 smbclient, cliente FTP-like Unix que pode ser usado para conectar a compartilhamentos Samba; smbtar, programa para efetuar backups em compartilhamentos no estilo do comando tar do Unix; nmblookup, programa que prov resoluo de nomes NetBIOS sobre TCP/IP; smbpasswd, ferramenta que permite ao administrador alterar senhas criptografadas usadas pelo Samba; smbstatus, programa que mostra as conexes de rede ativas nos compartilhamentos no servidor Samba; testparm, aplicao simples que valida o arquivo de congurao do Samba; testprns, programa que testa quando vrias impressoras so reconhecidas pelo smbd. Caractersticas adicionais A verso 3 do Samba acrescenta caractersticas importantes para os ambientes de rede encontrados atualmente, com tecnologias novas que esto sendo utilizadas nas corporaes (TERPSTRA, 2004), conforme itens abaixo: Suporte ao Active Directory, com permisso de cadastramento como servidor membro do domnio Windows e autenticao de usurios atravs de LDAP e Kerberos; Melhoria do suporte a impresso incluindo publicao de atributos de impressora no Active Directory; Suporte para migrao de domnio Windows NT 4.0 para domnio Samba com manuteno de SID de usurio, grupo e domnio; Suporte para estabelecimento de relao de conana com controladores de domnio Windows NT 4.0; Suporte completo para cliente e servidor SMB com garantia de compatibilidade com as caractersticas de segurana padro do Windows 2003. 18

Concluses Trata-se de ferramenta reconhecidamente poderosa utilizada em larga escala quando existe a necessidade de compartilhamento de arquivos e impressoras e/ou autenticao de usurios em redes compostas por sistemas operacionais diferentes entre clientes e servidores. Particularmente no que diz respeito a integrao entre clientes Linux e servidores Windows, ou vice-versa, o conjunto de aplicaes Samba agrega facilidades extremamente importantes em redes mistas.

3.1.4

OpenLDAP

Denio LDAP (Lightweight Directory Access Protocol) um protocolo cliente-servidor, que funciona na pilha TCP/IP, utilizado para acessar um servio de Diretrio. Ele foi inicialmente usado como uma interface para o X.500, mas tambm pode ser usado com autonomia e com outros tipos de servidores de Diretrio. Tecnicamente, LDAP um protocolo de acesso a diretrio para um servio de diretrio X.500, servio de diretrio do modelo OSI. Inicialmente, clientes LDAP acessavam gateways para servios de diretrio X.500. Este gateway funcionava entre o cliente e o DAP (Directory Access Protocol) e entre o gateway e o servidor X.500. O DAP (Directory Access Protocol) um protocolo pesado que opera sobre a pilha de protocolos do modelo OSI (Open Systems Interconnection) e requer uma quantidade signicante de recursos de computao. O LDAP foi projetado para operar sobre a pilha TCP/IP e prover uma maior funcionalidade em relao ao DAP a um custo muito menor (FOUNDATION, 2004). Principais Caractersticas O modelo da informao LDAP baseado em entradas. Uma entrada uma coleo de atributos que tem um identicador nico, Distinguished Name (DN). O DN usado para refenciar entradas de forma a no existirem ambiguidades. Cada atributo de uma entrada tem um tipo e um ou mais valores. Os tipos so tipicamente strings mnemnicas, como cn para common name ou mail para endereos de email. A sintaxe dos valores dependem do tipo de atributo. Assim, um atributo mail pode conter valores como ze@minhaempresa.com. Um atributo jpegphoto poderia conter um fotograa em um formato JPEG. No LDAP, entradas de diretrios so organizadas em forma de rvore. Tradicionalmemte, esta estrutura reete uma hierarquia geogrca ou organizacional. Entradas representando pases no topo da rvore. Abaixo, as entradas representando os estados e as organizaes nacionais. Mais abaixo, entradas representando 19

unidades organizacionais, pessoas, impressoras, documentos ou uma outra informao (FOUNDATION, 2004). A rvore LDAP tambm pode ser organizada por nomes de domnios Internet. Esta organizao mais popular e pode ser vista na Figura 3.2.

Figura 3.2: rvore LDAP.

Atualmente o LDAP vem se tornando um padro e diversos programas tm suporte a este protocolo. Livros de endereos, autenticao e armazenamento de certicados digitais (S/MIME) e de chaves pblicas (PGP) so alguns dos exemplos onde o LDAP amplamente utilizado (SZTOLTZ, 2003). Funcionamento Um Diretrio como um banco de dados, mas tende a conter mais informaes descritivas, baseadas em atributos e organizado em forma de rvore, no de tabela. A informao em um Diretrio geralmente mais lida do que escrita. Como conseqncia, Diretrios normalmente no so usados para implementar transaes complexas, ou esquemas de consultas regulares em bancos de dados, transaes estas que so usadas para fazer um grande volume de atualizaes complexas. Atualizaes em Diretrios so tipicamente simples ou nem so feitas. 20

Diretrios so preparados para dar resposta rpida a um grande volume de consultas ou operaes de busca. Eles tambm podem ter a habilidade de replicar informaes extensamente; isto usado para acrescentar disponibilidade e conabilidade, enquanto reduzem o tempo de resposta. Existem vrias maneiras diferentes para disponibilizar um servio de Diretrio. Mtodos diferentes permitem que diferentes tipos de informaes possam ser armazenadas no Diretrio, colocando requerimentos diferentes, sobre como aquela informao poder ser referenciada, requisitada e atualizada, como ela protegida de acessos no autorizados, etc. Alguns servios de Diretrio so locais, fornecendo o servio para um contexto restrito (exemplo: o servio nger em uma mquina isolada). Outros servios so globais, fornecendo o servio para um contexto muito maior (por exemplo, a prpria Internet). O servio de Diretrio LDAP baseado em um modelo cliente-servidor. Um ou mais servidores LDAP contm os dados criando a rvore de Diretrio LDAP. Um cliente LDAP conecta-se a um servidor e faz uma requisio. O servidor responde com a requisio, ou exibe um ponteiro para um local onde o cliente pode conseguir a informao (tipicamente, outro servidor LDAP). Pode-se fazer novamente uma comparao com o DNS, a diferena que o servidor LDAP no faz buscas recursivas, ou seja, em nome do cliente. O cliente encarregado de procurar pelo servidor at encontrar a informao desejada (CONECTIVA, 2004). Caractersticas adicionais Permite a utilizao de solues baseadas em criptograa com suporte a SSL (Secure Socket Layer) e TLS (Transport Layer Security). Tais conguraes podem ser ativadas atravs do arquivo slapd.conf. Concluses O servio de diretrios LDAP tem se tornado padro nos ltimos anos, portanto o bom entendimento do funcionamento e da possibilidade de implement-lo nas mais diversas funcionalidades atividade crucial e, assim, de responsabilidade do administrador do ambiente de rede.

3.1.5

PAM

Denio PAM (Pluggable Authentication Modules) um conjunto de bibliotecas compartilhadas proposto pela SUN Microsystems e pode ser utilizado em quaisquer distri21

buies Linux, alm de funcionar no FreeBSD. Permitem ao administrador escolher como os usurios sero autenticados nas aplicaes. Tais bibliotecas so chamadas de mdulos e tm seus prprios testes, regras e critrios. O administrador do sistema congura arquivos para vericar usurios e programas. Baseado nas respostas desses mdulos, a autenticao pode ser efetivada ou rejeitada para determinado usurio a um programa especco. Funcionamento Com esse esquema de autenticao o administrador pode escolher qualquer combinao de servios para prover autenticao. Esto listadas abaixo as principais vantagens do PAM para o administrador de sistemas (COMPANY, 2000): Poltica de congurao exvel; Poltica de autenticao por aplicao; Possibilidade de escolha do mecanismo de autenticao padro para aplicaes no especicadas; Facilidade de uso para usurio nal; Mapeamento de senhas, que permite uso de senha nica, mesmo se a senha associada a mtodos de autenticao diferentes; Possibilidade de passar parmetros opcionais para o servio. Os mdulos utilizados pelo PAM so divididos em quatro tipos bsicos de acordo sua funo: autenticao, gerenciamento de conta, gerenciamento de sesso e gerenciamento de senha (MORGAN, 2002). 1. Mdulos de autenticao: provem autenticao para seus usurios e permite que as credenciais sejam ativadas, recarregadas ou destrudas. Estes mdulos permitem ao usurio ser identicado; 2. Mdulos de conta: vericam idade da senha, expirao da conta e restries de horrio de acesso. Uma vez que o usurio foi identicado pelos mdulos de autenticao, os mdulos de conta determinaro se o usurio pode ter acesso. 3. Mdulos de sesso: gerenciam a abertura e fechamento de uma sesso de autenticao; 4. Mdulos de senha: permitem alteraes de senha e atributos relacionados a ela. 22

Caractersticas adicionais Dentre os vrios modos de autenticao suportados pelo PAM, destacam-se o LDAP, Winbind e kerberos. Concluses Esse esquema de autenticao to poderoso que a maioria das aplicaes que rodam em Linux, por exemplo, o utilizam de alguma forma, ou so, pelo menos, compatveis. Portanto, esta a ferramenta recomendada quando se tem a necessidade de fazer um tratamento no esquema de autenticao para um determinado servio.

3.1.6

SARG

Denio O SARG (Squid Analisys Report Generator) um analisador de logs do Squid capaz de informar ao administrador em um formato bastante agradvel por onde os usurios esto navegando na Internet. Funcionamento A ferramenta l os logs do Squid por meio de um agendamento que deve ser congurado pelo administrador. Normalmente executado diariamente no mesmo horrio. gerado um arquivo em formato texto contendo informaes teis sobre a navegao na Internet durante aquele perodo encontrado no arquivo de log. Um script Perl executado com o objetivo de mostrar as informaes do arquivo txt em formato Web conforme pode ser visto na Figura 3.3. Na visualizao na Web, grcos dos acessos tambm podem ser mostrados conforme Figura 3.4. Caractersticas adicionais Est disponvel em mais de vinte lnguas, dentre as quais: portugus, ingls e espanhol; capaz de ler logs do ISA Server, servidor proxy da Microsoft; possvel customizar os relatrios com informaes consideradas relevantes como por exemplo: stios mais visitados, usurios que visitaram determinados stios, stios visitados por determinado usurio, etc (ORSO, ). 23

Figura 3.3: Estatsticas de acesso no SARG.

24

Figura 3.4: Grcos gerados pelo SARG.

Concluses O SARG uma ferramenta simples e de fcil implementao e manuteno, que se integra muito bem ao Squid. Os relatrios gerados por esta aplicao so importantes para o corpo gerencial da corporao uma vez que os dados estatsticos produzidos podem servir como embasamento para tomada de deciso

3.2

Validao de Autenticao no Controlador de Domnio

A identicao do usurio quando do acesso a Internet uma necessidade comum em ambientes corporativos. Muitas empresas consideram importante saber que stios seus usurios acessam. Para suprir tal necessidade, algumas solues podem ser implementadas: 1. Autenticao de usurio para acesso a Internet. Neste modelo, o usurio forado a autenticar-se para obter acesso a Internet. 25

Em alguns ambientes, duas autenticaes so necessrias: uma para ter acesso a rede de computadores da empresa e outra para acesso a Internet. Tal soluo pode ser uma boa opo em determinados ambientes em que importante mostrar ao usurio que o acesso a Internet est sendo monitorado. Esta soluo uma forma de faz-lo. 2. Validao de autenticao de usurio para acesso a Internet. Um segunda opo, considerada mais efetiva, aquela em que a autenticao na rede suciente para dar acesso a Internet. Porm, sem causar perdas nos registros que armazenam informaes de qual usurio acessou qual stio. A validao de autenticao no controlador de domnio enquadra-se no segundo modelo e o mais comum, pois transparente para o usurio e permite controle do acesso por parte dos administradores. Essas solues so implementadas com a ajuda de um servidor Proxy, responsvel pela autenticao ou validao de autenticao do usurio. Para tanto, faz-se necessrio conhecer a funcionalidade do servidor Proxy no que tange a autenticao de usurios em controladores de domnio. O Squid um Proxy capaz de autenticar usurios atravs de trs mtodos (RFC2617, 1999): Mtodo basic; Mtodo digest; Mtodo NTLM5 . Tais mtodos especicam como o Squid recebe o nome de usurio e a senha do cliente e valida esses parmetros. Para cada mtodo o Squid prov mdulos de autenticao tambm chamados de helpers (WESSELS, 2004), conforme Seo 3.2.1.

3.2.1

Mtodos de Autenticao

Mtodo Basic Do ponto de vista da segurana, o mtodo de autenticao basic considerado muito fraco, pois nome de usurio e senha trafegam em claro pela rede. Contudo, contempla uma grande variedade de possibilidades, listadas abaixo:
5

NT Lan Manager

26

1. NCSA Armazena nome de usurio e senha em um arquivo texto simples, similar ao arquivo de usurios do Unix, /etc/passwd. 2. LDAP As bibliotecas e os arquivos de congurao do OpenLDAP devem ser instalados antes da compilao do squid_ldap_auth helper, sendo necessrio utilizar no mnimo os argumentos DN (Distinguished Name) e o nome do servidor LDAP. 3. MSNT O MSNT interfaceia bases de dados para o domnio Windows NT atravs do protocolo SMB (Server Message Block). Este autenticador permite qualquer usurio validado pelo servidor. Porm, ele tambm tem a caracterstica de permitir ou bloquear usurios especicados. 4. Multi-domain-NTLM Similar ao MSNT. Porm, enquanto o MSNT consulta base de dados em at cinco domnios, o Multi-domain-NTLM faz a consulta de acordo com o domnio que o usurio informa ao autenticador. 5. PAM O PAM a ligao entre os mdulos de autenticao (kerberos, LDAP, smart cards) e as aplicaes que requerem servios de autenticao (ssh, ftp, imap, proxy). 6. SASL A camada de segurana e autenticao simples (SASL) um padro proposto pelo IETF (Internet Engineering Task Force) documentado pela RFC 2222. Trata-se de um protocolo para negociao de parmetros de segurana para protocolos orientados a conexo (FTP, HTTP, SMTP). Entretanto, o autenticador SASL similar ao autenticador PAM. Ele faz a interface com uma biblioteca externa para consultar base de dado de autenticao. Pode-se congurar o autenticador para vericar um arquivo de senhas tradicional, um sistema PAM ou qualquer outra base de dados suportada. 7. SMB 27

SMB um outro autenticador para bases de dados Microsoft. um programa escrito em C, que executa um shell script cada vez que se comunica com o controlador de domnio Windows. O shell script contm comandos do pacote Samba. Assim, necessrio instalar o Samba antes de utilizar o autenticador. 8. YP O autenticador YP6 verica um diretrio NIS (Network Information System). Assim, para utiliz-lo necessrio fornecer o nome de domnio NIS e o nome da base de dados de senhas. 9. getpwnam Este autenticador simplesmente uma interface para a funo getpwnam() encontrada nas bibliotecas de C em sistemas Unix. A funo getpwnam() efetua a vericao no arquivo de senhas para um determinado usurio. Caso utilize-se NIS ou PAM, as bases de dados a eles associadas so vericadas com o objetivo de autenticar o usurio. 10. winbind O autenticador winbind um cliente para o programa winbindd do Samba. Portanto, o Samba deve ter sido instalado e o programa winbindd deve estar em execuo antes de utilizar o autenticador. Mtodo Digest O mtodo de autenticao digest mais robusto, no que diz respeito a segurana, que o mtodo basic. Essa caracterstica ocorre devido ao uso de criptograa para trfego de nome de usurio e senha. password Esta uma implementao de referncia para uso de autenticao Digest para o Squid. Utiliza-se um arquivo de usurios e senhas em texto claro no formato padro de sistemas Unix usurio:senha. O Squid no prov quaisquer ferramentas para manter arquivo de senhas neste formato. Portanto, quando tem-se a necessidade de tratar arquivos de senhas nesse formato, esta uma boa soluo.
6

YP - Yellow Pages foi o primeiro nome dado ao servio NIS

28

Mtodo NTLM Trata-se de um mtodo capaz de comunicar com o protocolo de autenticao de conexo proprietrio da Microsoft. Tambm faz uso de criptograa, porm considerado "pesado"por especialistas devido a forma de comunicao com o controlador de domnio (WESSELS, 2004). 1. SMB O autenticador SMB para NTLM similar quele para autenticao Basic. Os usurio podem simplesmente entrar com domnio, nome de usurio e senha. Este autenticador pode fazer balanceamento de carga entre mltiplos controladores de domnio. 2. winbind Este autenticador similar ao winbind para autenticao Basic. Ambos requerem o programa winbindd instalado e em execuo. Dentre os mdulos de autenticao suportados pelo Squid, alguns so bastante utilizados atualmente devido aos protocolos em funcionamento nos controladores de domnio. Em redes, cujo controlador de domnio o Windows NT/2000, comumente utilizado autenticao atravs do winbind. Algumas solues baseiam-se no protocolo SMB. As implementaes mais recentes tm utilizado protocolos como LDAP ou Kerberos, tambm suportados, nativamente, pelo Windows 2000. Assim, as sees a seguir tratam de dois dos mtodos de autenticao mais utilizados nos dias de hoje: winbind e LDAP.

3.2.2

Uso do winbind

Funcionalidades e benefcios Winbind uma soluo elegante para o problema de logon nico em redes compostas por sistemas operacionas diferentes. Trata-se de um componente do pacote Samba em suas verses mais recentes que utiliza uma implementao Unix das chamadas RPC (Remote Procedure Call) da Microsoft, PAM (Pluggable Authentication Modules) e o NSS (Name Service Switch) para permitir a usurios do domnio Windows NT funcionarem como usurios Unix em equipamentos Unix.(TERPSTRA, 2004) Assim, o winbind prov as seguintes funcionalidades distintas (TERPSTRA, 2004): 29

 Autenticao das credenciais dos usurios (via PAM); Resoluo de identidade (via NSS); Manuteno da base de dados winbind idmap.tdb que armazena os mapeamentos entre os UIDs/GIDs do Unix e SIDs do Windows. Funcionamento O Winbind trabalha em uma arquitetura cliente/servidor. O programa winbindd espera por requisies dos clientes. Essas requisies so geradas pelos clientes NSS e PAM e so processadas sequencialmente. Instalao e congurao Pr-requisitos Samba7 e PAM 8 instalados. Congurao do nsswitch.conf e das bibliotecas do winbind A Figura 3.5 mostra a congurao necessria no arquivo nsswitch.conf para que o servio NSS (Name Service Switch) funcione juntamente com o winbind. passwd : f i l e s w i n b i n d shadow : f i l e s group : f i l e s winbind
Figura 3.5: Congurao do arquivo nsswitch.conf

Contudo, bibliotecas do winbind que comunicam com o NSS tambm so necessrias, conforme Figura 3.6. # cp . . / samba / s o u r c e / n s s w i t c h / l i b n s s \ _ w i n b i n d . s o / l i b # l n s / l i b / l i b n s s w i n b i n d . s o / l i b / l i b n s s w i n b i n d . s o . 2 # / s b i n / l d c o n f i g v | g r e p w i n b i n d
Figura 3.6: Comandos de congurao de bibliotecas
7 8

http://samba.org/ http://www.kernel.org/pub/linux/libs/pam/

30

 Congurao do Samba Conguraes do Samba devem ser implementadas no arquivo smb.conf, inclusive aquelas associadas ao winbind como na Figura 3.7. wo r k g r o u p = MINHAEMPRESA s e c u r i t y = domain password s e r v e r = encrypt passwords = yes winbind s e p a r a t o r = \ \ r e a l m = MINHAEMPRESA winbind use d e f a u l t domain = y e s t e m p l a t e s h e l l = / bin / bash t e m p l a t e h o m e d i r = / home/%D/%U
Figura 3.7: Congurao do arquivo smb.conf para suporte a winbind

Alm disso, o servidor Samba somente ter acesso a base de dados do domnio se for uma mquina pertencente a este domnio. O cadastro do Servidor Samba no domnio mostrado na Figura 3.8. n e t j o i n S PDC U a d m i n i s t r a d o r
Figura 3.8: Comando para cadastramento do Servidor Samba no domnio

Inicializao e teste do winbindd Aps a inicializao do winbind, interessante efetuar alguns testes a m de validar as conguraes efetuadas. A Figura 3.9 mostra os comandos que podem ser utilizados para a inicializao, obteno da lista de usurios e grupos do domnio, obteno de lista unicada de usurios e grupos locais e do domnio, respectivamente.

3.3

Integrao das Ferramentas

Esta Seo trata dos pontos que necessitam de congurao de mais de uma ferramenta para se atingir um objetivo como a validao da autenticao de um usurio ou a gerao de relatrios estatsticos de acesso a Internet. So mostrados, inclusive, os contedos dos arquivos de congurao que deve ser modicados para se alcanar aa perfeita integrao das ferramentas. 31

# # # # #

/ u s r / l o c a l / samba / b i n / w i n b i n d d / u s r / l o c a l / samba / b i n / w b i n f o u / u s r / l o c a l / samba / b i n / w b i n f o g g e t e n t passwd g e t e n t group

Figura 3.9: Comandos para inicializao e teste do winbind

3.3.1

Squid + Autenticao

Uma vez que o servidor proxy/cache esteja instalado e congurado, a integrao ocorre de forma muito simples. Contudo, a congurao do Squid para validao de autenticao no controlador de domnio requer algumas conguraes mais apuradas que so o foco desta Seo. Pr-requisitos 1. Samba compilado com suporte PAM e a autenticao via winbind conforme Figura 3.10. # . / c o n f i g u r e w i t h a u t o m o u n t w i t h smbmount \ w i t h pam w i t h pam_smbpass \ w i t h a c l s u p p o r t w i t h w i n b i n d \ w i t h w i n b i n d a u t h c h a l l e n g e # make # make i n s t a l l
Figura 3.10: Compilao do Samba

2. Squid compilado com suporte ao mtodo de autenticao NTLM conforme Figura 3.11. # . / c o n f i g u r e e n a b l e a u t h=n t l m , b a s i c # make # make i n s t a l l
Figura 3.11: Compilao do Squid

32

3. Squid compilado com suporte a LDAP conforme Figura 3.12 para o caso em que autenticao for via LDAP. # . / c o n f i g u r e e n a b l e a u t h h e l p e r s =l d a p # make # make i n s t a l l
Figura 3.12: Compilao do Squid com suporte a LDAP

4. Modicaes no controlador de domnio para permitir o acesso do Squid Incluso do arquivo proxy_auth no controlador de domnio para permitir que o Squid verique a autenticao dos usurios. O arquivo proxy_auth deve ser criado no diretrio netlogon do controlador de domnio e ter o contedo mostrado na Figura 3.13. allow
Figura 3.13: Contedo do arquivo proxy_auth

Congurao do arquivo squid.conf A validao de autenticao efetuada pelo Squid no controlador de domnio requer ainda a incluso dos parmetros de congurao. So adicionadas linhas associadas a autenticao pelos mtodos NTLM e Basic conforme Figura 3.14. auth_param ntlm program / u s r / bin / n t l m _ a u t h \ h e l p e r p r o t o c o l = s q u i d 2.5 n t l m s s p a u t h _ p a r a m n t l m c h i l d r e n 30 auth_param ntlm max_challenge_reuses 0 a u t h _ p a r a m n t l m m a x _ c h a l l e n g e _ l i f e t i m e 20 m i n u t e s auth_param b a s i c program / u s r / bin / n t l m _ a u t h \ h e l p e r p r o t o c o l = s q u i d 2.5 b a s i c auth_param b a s i c c h i l d r e n 5 a u t h _ p a r a m b a s i c r e a l m S q u i d proxyc a c h i n g web s e r v e r
Figura 3.14: Parmetros relacionados ao mtodos de autenticao

No caso de optar por autenticao usando o protocolo LDAP, a congurao deve ser efetuada conforme Figura 3.15. 33

auth_param b a s i c program \ / usr / local / squid / libexec / squid_ldap_auth \ b " ou= empregados , dc = empresa , dc =com " \ s r v l d a p . e m p r e s a . com auth_param b a s i c c h i l d r e n 5 a u t h _ p a r a m b a s i c r e a l m S q u i d proxyc a c h i n g web s e r v e r
Figura 3.15: Parmetros relacionados ao mtodos de autenticao usando LDAP

Alm dos parmetros relacionados ao mtodos de autenticao do Squid necessrio criar ACLs (Access Control Lists) para liberao de acesso somente aos usurios que forem validados no controlador de domnio conforme Figura 3.16. # P e r m i t e a c e s s o s o m e n t e ao u s u a r i o s a u t e n t i c a d o s # pertencentes a rede_interna a c l u s u a r i o s _ a u t e n t i c a d o s p r o x y _ a u t h REQUIRED acl rede_interna src 10.0.0.0/255.0.0.0 http_access allow r e d e _ i n t e r n a u s u a r i o s _ a u t e n t i c a d o s
Figura 3.16: ACLs para acesso de usurios autenticados

3.3.2

Squid + Dansguardian

A unio do ltro de contedo com o servidor proxy/cache traz inmeras vantagens para aumentar o controle no ambiente de rede quando do acesso a Internet por parte de seus usurios conforme Seo 2.2. As caractersticas do Squid e do Dansguardian permitem uma integrao bastante eciente. O Squid um proxy extremamente exvel e muito utilizado. Assim, vrias ferramentas tm sido criadas com o objetivo de trabalhar em conjunto com o Squid, o Dansguardian uma delas. Congurao do Squid A integrao do proxy com o ltro de contedo requer o uso de algumas conguraes avanadas do Squid como utilizao das TAGs cache_peer, http_access e always_direct. 34

A Figura 3.17 mostra o uso de TAGs9 do Squid com o objetivo de garantir que as requisies que chegam ao Squid sejam encaminhadas ao Dansguardian para a ltragem do contedo acessado. # E s p e c i f i c a c a c h e s numa h i e r a r q u i a de s e r v i d o r e s , # i n d i c a n d o q u a l s e r a o s e r v i d o r p a r e n t , de b u s c a # para f i l t r a g e m . c a c h e _ p e e r s r v p r o x y p a r e n t 8080 0 noq u e r y d e f a u l t \ l o g i n =: senha # P e r m i t e a c e s s o do DansGuardian sem a u t e n t i c a c a o http_access allow l o c a l h o s t # P e r m i t e que r e q u i s i c o e s v i n d a s do DansGuardian # nao s e j a m r e e n c a m i n h a d a s a e l e always_direct allow l o c a l h o s t # Obriga t o d a s as demais r e q u i s i c o e s a serem # e n c a m i n h a d a s ao DansGuardian a l w a y s _ d i r e c t deny a l l
Figura 3.17: TAGs para ltragem de contedo

Congurao do Dansguardian Na Seo 3.1.2 foram abordadas as caractersticas do Dansguardian, das quais importante ressaltar que no funciona como um proxy, mas integrado a ele. A Figura 3.18 mostra parte do contedo do arquivo dansguardian.conf em que so informados os caminhos para os arquivos contendo os ltros, o valor total considerado adequado para acesso baseado em pesos e outras customizaes. Os arquivos de ltros podem conter os bloqueios efetivos ou apontamentos para arquivos que contenham listas mais completas. Tais listas, contendo milhares de ltros, encontram-se disponveis na Internet (BARRON, 2003a). Os principais ltros so realizados da seguinte forma: site Lista de domnios bloqueados conforme Figura 3.19; url Lista de URLs bloqueados conforme Figura 3.20;
9

So sees dentro do arquivo de congurao do Squid

35

# L o c a l i z a c a o d o s a r q u i v o s com f i l t r o s de c o n t e u d o bannedphraselist = / etc / dansguardian / bannedphraselist bannedurllist = / etc / dansguardian / bannedurllist b a n n e d s i t e l i s t = / etc / dansguardian / bannedsitelist # V a l o r Peso n a u g h t y n e s s l i m i t = 100
Figura 3.18: Arquivo de congurao do Dansguardian

# L i s t a de s i t e s b l o q u e a d o s b a d b o y s . com
Figura 3.19: Domnios bloqueados

# L i s t a de URLs b l o q u e a d a s members . home . n e t / u p o r n

Figura 3.20: URLs bloqueadas

phrase Lista de frases ou termos bloqueados conforme Figura 3.21; # B l o q u e i o da f r a s e " s e x m a g a z i n e " . < s e x magazine > # B l o q u e i o de p g i n a s c o n t e n d o " s e x " e " f e t i s h " . < sex > , < f e t i s h >
Figura 3.21: Frases ou termos bloqueados

weightedphrase Lista de frase ou termos bloqueados segundo pesos, conforme Figura 3.22; ip Lista de endereos IP bloqueados conforme Figura 3.23; extension Lista de extenses de arquivos bloqueados conforme Figura 3.24; mimetype Lista de tipos de arquivos bloqueados conforme Figura 3.25; 36

# L i s t a de f r a s e s com p e s o s a s s o c i a d o s <game f i l e s ><50> < f r e e game demos ><50> <game f i l e s ><50>

Figura 3.22: Frases ou termos bloqueados por peso

# L i s t a de I P s b l o q u e a d o s 192.168.0.1 192.168.0.2
Figura 3.23: Endereos IP bloqueados

# L i s t a de e x t e n s o e s b l o q u e a d a s . asx . bas . bat # Windows Media A u d i o / V i d e o # M i c r o s o f t V i s u a l B a s i c c l a s s module # Batch f i l e

Figura 3.24: Extenses de arquivos bloqueados

# L i s t a de MIME t y p e s b l o q u e a d o s a u d i o / mpeg a u d i o / xmpeg v i d e o / mpeg

Figura 3.25: Tipos de arquivos bloqueados

3.3.3

Squid + SARG

A utilizao de um servidor proxy/cache como concentrador das requisies provenientes de clientes da rede interna da organizao traz consigo a necessidade da gerao de relatrios de acesso a Internet, importantes para a administrao da empresa. Esses relatrios podem ser gerados atravs de ferramentas capazes de ler os arquivos de registro (logs) do Squid que disponibilizem tais relatrios automatica37

mente e em formato de fcil leitura. Tambm um pr-requisito dessas ferramentas que os relatrios gerados sejam capazes de identicar usurios/mquinas e os stios acessados. Todas as necessidades citadas so providas pelo SARG quando integrado ao Squid, escopo desta Seo. Congurao do Squid A nica prerrogativa necessria no Squid que os registros (logs) estejam sendo gerados. Para tanto, a TAGs cache_access_log deve ter a congurao mostrada na Figura 3.26 # Logs de r e q u i s i c o e s d o s c l i e n t e s cache_access_log / var / log / squid / access . log
Figura 3.26: Tipos de arquivos bloqueados

Congurao do SARG O SARG busca o arquivo de registro (log) de acesso do Squid no diretrio padro de instalao do Squid, portanto importante conrmar que a localizao do arquivo de registro procurado pelo SARG realmente esteja no lugar de procura. As conguraes adicionais mais importantes a serem realizadas no arquivo sarg.conf esto descritas abaixo (CISNEIROS, 2003): language Idioma utilizado conforme Figura 3.27; # Lingua s e l e c i o n a d a language Portuguese
Figura 3.27: Seleo de idioma

access_log Arquivo de registro (log) do Squid conforme Figura 3.28; # A r q u i v o de LOG do S q u i d que a l i m e n t a r a o SARG access_log / var / log / squid / access . log
Figura 3.28: Seleo de arquivo de registro (log)

38

# T i t u l o da p a g i n a p r i n c i p a l t i t l e " R e l a t o r i o do S q u i d P r o x y "
Figura 3.29: Seleo de Ttulo de Relatrio

title Ttulo da pgina de relatrio conforme Figura 3.29; output_dir Diretrio de sada das pginas de relatrio conforme Figura 3.30; # D i r e t o r i o de S a i d a p a r a a s p a g i n a s de r e l a t o r i o o u t p u t _ d i r / v a r /www/ h t m l / s q u i d r e p o r t s
Figura 3.30: Seleo de diretrio para gerao de relatrio

exclude_users Usurios que no devem estar presentes no relatrio conforme Figura 3.31; # U s u a r i o s que nao devem e s t a r n o s r e l a t o r i o s exclude_users / etc / sarg / exclude . users
Figura 3.31: Seleo de usurios excludos

exclude_hosts Mquinas que no devem estar presentes no relatrio conforme Figura 3.32; # Maquinas que nao devem e s t a r n o s r e l a t o r i o s exclude_hosts / etc / sarg / exclude . hosts
Figura 3.32: Seleo de mquinas excludas

date_format Formato da data conforme Figura 3.33. # Formato da d a t a u s a d a no B r a s i l dd /mm/ aa date_format e

Figura 3.33: Seleo de formato da data

39

3.3.4

Inicializao e Reinicializao das Ferramentas

Importante observar que as ferramentas e os servios abordados neste Captulo devem ser inicializados ou recarregados de acordo com as indicaes da documentao de cada um deles. Neste trabalho, foi utilizado o sistema operacional Fedora Linux Core 3 e as instalaes de programas e servios neste ambiente recomendam a utilizao do comando service conforme Figura 3.34. # Squid service service service inicia squid squid squid , r e i n i c i a e recarrega start restart reload

# Dansguardian i n i c i a , r e i n i c i a e recarrega service dansguardian s t a r t service dansguardian r e s t a r t service dansuardian reload # SARG Geracao de R e l a t o r i o / u s r / s b i n / s a r g f / e t c / s a r g / s a r g . c o n f
Figura 3.34: Comandos de ativao de servios

40

Captulo 4

Concluses
O acesso a Internet nas empresas fato nos dias de hoje. A inteno de disseminar o uso quando as primeiras empresas passaram a utiliz-la levou o pblico corporativo a nveis de aceitao to altos que transformou-se em preocupao por parte da gerncia das instituies. Contudo, uma vez o servio havia sido disponibilizado e bem aceito, gerou a diculdade em retir-lo. Sabe-se que uma poltica de segurana adotada na instituio poderia limitar, ou restringir completamente os acessos. Contudo, existe uma diculdade ainda maior nas empresas de implementar tal poltica, que requer apoio da alta cpula da instituio. Nesse sentido, os setores responsveis pela Informtica nas empresas passaram a buscar solues alternativas capazes de permitir o acesso a rede mundial de computadores com restries reconhecidamente necessrias. A utilizao de ferramentas baseadas em Software Livre, licenciadas sob GPL mostrou-se possvel, econmica e eciente em ambientes corporativos. Estudos aprofundados de ferramentas e solues existentes permitiram resolver problemas complexos sem custos com licenciamento de programas. Este trabalho resultou de tais estudos, passando pela seleo das ferramentas at a implementao em ambientes corporativos. Portanto, espera-se que este trabalho sirva como base para iniciativas nesse sentido. A questo de limitao de acessos a Internet do ponto de vista de privacidade dos funcionrios das empresas que so monitorados pela soluo no foi analisada, uma vez que o escopo do trabalho foi estritamente tcnico. Esta implementao de controle de acesso a Internet em ambientes corporativos contempla o acesso Web, efetuado atravs dos protocolos HTTP, HTTPS e FTP. Entretanto, outros tipos de acessos so realizados constantemente nas empresas: uso de clientes de correio eletrnico, clientes de acesso remoto, ferramentas 41

de scanner de portas e tentativa de acesso a portas de servios. Como trabalho futuro, tem-se o objetivo de acrescentar a soluo implementada capacidade de monitorar outros servios como: Correio Eletrnico Protocolos POP3, IMAP e SMTP;1 . Acesso Remoto Clientes Telnet, SSH 2 , VNC e outros; Vericao de atividade de servios Scanners de vulnerabilidades e portas, pings e traceroutes. Para tanto, a inteno adicionar a soluo a implementao de Firewall integrado a ferramenta de deteco de intruso, utilizando ferramentas como o iptables3 e snort4 .

1 2

Protocolos da camada de aplicao da pilha de protocolos TCPIP Protocolos da camada de aplicao da pilha de protocolos TCPIP 3 http://www.netlter.org 4 http://www.snort.org

42

Referncias Bibliogrcas
BARRON, D. Blacklists. 2003. Http://dansguardian.org/?page=blacklist. Visitado em maro de 2005. BARRON, D. Dansguardian Introduction. 2003. Http://dansguardian.org/?page=introduction. Visitado em janeiro de 2005. CISNEIROS, H. Gerando relatrios do Squid com o SARG. 2003. Http://www.devin.com.br/eitch/sarg/. Visitado em maro de 2005. COMPANY, S. M. C. PAM Administration. 2000. Http://www.sun.com/software/solaris/pam/pam.admin.pdf. Visitado em fevereiro de 2005. CONECTIVA, E. Guia do Servidor Conectiva Linux 10. [S.l.], 2004. Http://www.conectiva.com/doc/livros/online/10.0/servidor/pt_BR/ch13s02.html. Visitado em janeiro de 2005. FOUNDATION, L. OpenLDAP 2.0 Administrators Guide. 2004. Http://www.openldap.org/doc/index.html. Visitado em janeiro de 2005. MORGAN, A. G. Linux-PAM System Administrators Guide. 2002. Http://www.kernel.org/pub/linux/libs/pam/index.html. Visitado em janeiro de 2005. ORSO, P. Squid Analysis Report Generator. Http://sarg.sourceforge.net/. Visitado em maro de 2005. RFC2617. 1999. Http://www.ietf.org/rfc/rfc2617.txt?number=2617. Visitado em maro de 2005. SOFTWARE, S. B. Internet Filtering Alternatives White Paper. 2003. Http://www.stbernard.com/products/docs/Internet_Filtering_Alternatives.pdf. Visitado em fevereiro de 2005. 43

SZTOLTZ, R. S. T. e. E. d. O. F. R. L. Guia do Servidor Conectiva 9. [S.l.], 2003. Http://www.conectiva.com/doc/livros/online/9.0/servidor/autenticacao.html. Visitado em janeiro de 2005. TERPSTRA, J. R. V. J. H. The Ofcial Samba-3 HOWTO and Reference Guide. 2nd. ed. [S.l.]: Prentice Hall PTR, 2004. WESSELS, D. Squid: The Denitive Guide. [S.l.]: OReilly Media, Inc., 2004.

44