PROJETO DE IMPLEMENTAO DE UM SERVIDOR PROXY

1 . Introduo
O servio proxy responsvel por prover acesso internet filtrando e registrando o acesso aos stios e servios na Internet. Possibilita maior controle do administrador sobre a poltica de segurana. Entre os recursos disponveis, podemos citar, a imposio de restries e registros de acessos que possibilita eventuais auditorias e estatsticas de acesso.

2 . Objetivo
Este documento descreve os procedimentos de instalao e configurao dos Servidores Proxy (Squid), servidor de filtragem de contedo (SquidGard) e o analisador de registros (Calamaris) no sistema operacional Debian GNU/Linux verso 3.0 testing.

3. SQUID (verso 2.5)

3.1 Instalao
Para instalar o pacote referente ao SQUID, basta utilizar o seguinte comando: apt-get install squid Em seguida, ser criado o seguinte diretrio: /etc/squid A partir desse momento, o processo de instalao do Squid est finalizado.

3.2 Configurao do SQUID

Aps a instalao do pacote SQUID, necessrio configurar o arquivo squid.conf que pode ser encontrado no diretrio /etc/squid:

Arquivo de configurao SQUID.CONF comentando:

// Define a porta que ir aceitar as requisies

http_port 3128 // Configurao padro hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \? no_cache deny QUERY // Configurao de memria cache. Recomenda-se, no mnimo, da memria cache_mem 128 MB // Configurao da memria SWAP. Quanto mais prximo for estes nmeros, menor ser a memria SWAP cache_swap_low 90 cache_swap_high 95 // Define o tamanho mximo de elementos a serem cacheados. maximum_object_size 8120 KB // Configurao padro cache_dir ufs /var/spool/squid 3000 16 256 // Define onde sero armazenados os logs do SQUID cache_access_log /var/log/squid/access.log cache_log /var/log/squid/cache.log // Configurao padro ftp_user Squid@ ftp_telnet_protocol on // Ativa o SquidGuard redirect_program /usr/bin/squidGuard // Define a quantidade de processos a serem estartados. Indica-se 4 redirect_children 4 // Configurao padro refresh_pattern ^ftp: refresh_pattern ^gopher: refresh_pattern . // Definio de ACLS de acesso // Define a configurao IP da rede acl all src 172.16.0.0/255.255.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 1440 1440 0 20% 0% 20% 10080 1440 4320

// Define as portas conhecidas e liberadas acl SSL_ports port 443 563 # https, snews acl SSL_ports port 873 # rsync acl SSL_ports port 23 #telnet acl Safe_ports port 80 # http acl Safe_ports port 8080 # https acl Safe_ports port 21 # ftp acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 631 # cups acl Safe_ports port 873 # rsync acl Safe_ports port 901 # SWAT acl Safe_ports port 3001 # Receptor Imprensa Nacional acl Safe_ports port 8004 # Imprensa Nacional acl Safe_ports port 1494 # Sigov acl Safe_ports port 1521 # Siafi Gerencial acl Safe_ports port 3460 # Serpro EDM acl Safe_ports port 102 # X400 acl Safe_ports port 16000 # Siscon acl Safe_ports port 23000 # SerproWeb acl Safe_ports port 2631 # Sefip acl Safe_ports port 12010 # Cnpq Curriculo Lates acl purge method PURGE // Permite conexo acl CONNECT method CONNECT // Define um arquivo, onde sero colocados sites proibidos acl bad_sites dstdom_regex "/etc/squid/bad_sites" // Nega acesso a estes sites http_access deny bad_sites // Permite acesso s portas conhecidas, citadas anteriormente http_access allow Safe_ports http_access allow SSL_ports // ACLs de Gerncia http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports http_access deny all http_reply_access allow all icp_access allow all cache_mgr webmaster // Define o nome da mquina onde est o servidor proxy visible_hostname host.orgao.gov.br // Configurao para o proxy transparente httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on // Define qual ser a pgina de erro deny_info http://172.16.x.x/proibido.html bad_sites coredump_dir /var/spool/squid

Arquivo BAD_SITES // Arquivo onde se definem outras pginas proibidas // Colocar . no lugar de www
.e-messenger.net .login.passport.net .messenger.hotmail.com .mail.yahoo.com.br .mail.yahoo.com .hotmail.com .msn.com .msn.com.br .igmail.com.br .mymail.com.br .zipmail.com.br .zipmail.com .webmail.click21.com.br .email.uol.com.br .correio.uol.com.br .playboy.com .playboy.com.br .orkut.com .ig.com.br

4. SQUIDGUARD (verso 1.2.0)

4.1 Instalao

Para instalar o pacote SQUIDGUARD, basta utilizar o seguinte comando: apt-get install squidGuard Em seguida, o Linux criar o seguinte arquivo: /etc/squid/squidGuard A partir da, o processo de instalao do SquidGuard est finalizado.

4.2 Configurao do SQUIDGUARD

Aps a instalao do pacote SQUIDGUARD, necessrio a configurar o arquivo squidGuard.conf que se encontra no diretrio /etc/squid: Arquivo de configurao squidGuard.CONF
# # CONFIG FILE FOR SQUIDGUARD # // Define a pasta onde esto as blacklists dbhome /etc/squid/blacklists-full // Define onde sero armazenados os logs do SquidGuard logdir /var/squidGuard/logs

// Define a rede do rgo src orgao { ip }

172.16.0.0/16

// Define o caminho das listas negras dest ads { domainlist ads/domains urllist ads/urls # expressionlist ads/expressions # abaixo coloque o ip do servidor web onde est armazenada a pgina que # exibir a mensagem de erro

redirect http://172.16.x.x/proibido.html } dest adult { domainlist adult/domains urllist adult/urls # expressionlist adult/expressions # abaixo coloque o ip do servidor web onde est armazenada a pgina que # exibir a mensagem de erro redirect http://172.16.x.x/proibido.html } // Nega acesso s listas declaradas acl { orgao { pass !adult !ads all } // Indica a pgina de erro default { pass none # abaixo coloque o ip do servidor web onde est armazenada a pgina que # exibir a mensagem de erro redirect http://172.16.x.x/proibido.html } }

5. CALAMARIS

5.1 Instalao
Para instalar o pacote do sistema CALAMARIS, basta utilizar o seguinte comando: apt-get install calamaris Em seguida, ser criado o seguinte arquivo: /etc/calamaris.conf A partir da, o processo de instalao do calamaris est finalizado.

5.2 Configurao do CALAMARIS

Aps a instalao do pacote CALAMARIS, necessrio configurar o arquivo calamaris.conf que se encontram no diretrio /etc.

Arquivo de configurao CALAMARIS.CONF // Define um relatrio dirio que ser entregue ao administrador@orgao.gov.br
daily:administrador@orgao.gov.br:/var/www/calamaris/diario.html:both:'Relatrio dirio do proxy'

// Define um relatrio semanal que ser entregue ao administrador@orgao.gov.br

weekly:administrador@orgao.gov.br:/var/www/calamaris/semanal.html:both:'Relatrio semanal do proxy'

// Define um relatrio mensal que ser entregue ao administrador@orgao.gov.br

monthly:administrador@orgao.gov.br:/var/www/calamaris/mensal.html:both:Relatrio mensal do proxy' cache=auto

Observaes: O Calamaris um script que configurado em alguma ferramenta para agendamento de tarefas, como o CRON, por exemplo. Isso possibilita o agendamento de relatrios dirios, semanais ou mensais.

7 . Iniciando os servios:
Para iniciar o servio Proxy pela primeira vez, execute os seguintes comandos: 1- /etc/init.d/squid start 2- /etc/squid/squidGuard C squidGuard.conf 3- /etc/sh regras Para verificar possveis mensagens de erros, execute o comando: # tail -f /var/log/syslog Ao realizar eventuais alteraes no Squid ou no SquidGard, execute o comando: # squid K reconfigure

FIM DO DOCUMENTO

Referncias: http://www.squid-cache.org/ http://www.squidguard.org/ http://www.calamaris.com/ O contedo desse documento foi baseado na experincia adquirida em casos de migrao do Governo Federal em 2004.

Autores: Marcos Martis Melo Reviso e correes: Ricardo Bimbo Troccoli Diogo Correia Gonzaga