FACULDADE SALESIANA DE VITÓRIA PÓS-GRADUAÇÃO EM SEGURANÇA DE REDES DE COMPUTADORES ROGÉRIO PEREIRA GUALBERTO ROMMEL BAIA SILVA

Transcrição

1 FACULDADE SALESIANA DE VITÓRIA PÓS-GRADUAÇÃO EM SEGURANÇA DE REDES DE COMPUTADORES ROGÉRIO PEREIRA GUALBERTO ROMMEL BAIA SILVA Proposta de Controle Eficaz do Acesso à Internet VITÓRIA 2007

2 ROGÉRIO PEREIRA GUALBERTO ROMMEL BAIA SILVA Proposta de Controle Eficaz do Acesso à Internet Monografia apresentada ao Curso de Pósgraduação em Segurança de Redes de Computadores da Faculdade Salesiana de Vitória, como requisito parcial para obtenção do título de Especialista em Segurança de Redes de Computadores. Orientador: Prof. M.Sc. Sérgio Teixeira VITÓRIA 2007

3 Dados Internacionais de Catalogação-na-publicação (CIP) (Biblioteca da Faculdade Salesiana de Vitória, Espírito Santo, Brasil) G899p Gualberto, Rogério Pereira, 1966 Proposta de Controle Eficaz do Acesso à Internet / Rogério Pereira Gualberto, Rommel Baia Silva f. : il. Orientador: Sérgio Teixeira. Monografia (pós-graduação em Segurança de Redes de Computadores) Faculdade Salesiana de Vitória. 1.Redes de Computadores - Segurança. 2. Controle de Acesso. 3. Squid. I. Gualberto, Rogério Pereira. II. Teixeira, Sérgio. III. Faculdade Salesiana de Vitória. IV. Título. CDU: 004.7

4 ROGÉRIO PEREIRA GUALBERTO ROMMEL BAIA SILVA PROPOSTA DE CONTROLE EFICAZ DO ACESSO À INTERNET Monografia apresentada ao Curso de Pós-graduação em Segurança de Redes de Computadores da Faculdade Salesiana de Vitória, como requisito parcial para obtenção do título de Especialista em Segurança de Redes de Computadores. Aprovada em 13 de agosto de COMISSÃO EXAMINADORA Prof. M.Sc. Sérgio Teixeira Orientador Prof. D.Sc. Tânia Barbosa Salles Gava Co-orientador Prof. M.Sc. Rodrigo Bonfá Drago Petróleo Brasileiro S.A. (PETROBRAS)

5 AGRADECIMENTOS Ao Prof. Sérgio Teixeira, pela orientação durante esta jornada, à Profª Tânia Barbosa Salles Gava que muito contribuiu na realização deste projeto, aos colegas de curso que de alguma forma também são responsáveis por este trabalho, às nossas esposas pela compreensão e incentivo, aos nossos pais que, mesmo distantes, também foram incentivadores e a todos que direta ou indiretamente contribuíram para que pudéssemos realizar mais esta etapa da nossa vida.

6 RESUMO Este trabalho tem como objetivo apresentar uma proposta de implementação de uma solução eficaz no controle de acesso à Internet, apresentando um conjunto de ferramentas com funções complementares, no intuito de atingir um alto grau de segurança. Além disso, é proposto um sistema hierarquizado de regras de controle de acesso à Internet através de uma estruturação lógica. Palavras-chave: Redes de Computadores - Segurança, Controle de Acesso, Squid.

7 ABSTRACT This paper has as the objective to supply the reader the necessary agreement to allow the implementation of an efficient solution in the access control to the Internet presenting a set of systems with complementary functions between itself, in intention to reach one high degree of security. Moreover we consider a hierarchic system of rules of control of access to the Internet through a logical structure. Keywords: Computer Networks Security, Access Control, Squid.

8 LISTA DE FIGURAS Figura 1 Total de incidentes reportados ao CERT.br por ano...12 Figura 2 O serviço de Proxy Figura 3 Fluxo da requisição do cliente via Filtro de Conteúdo Figura 4 Arquivos de configuração do Dansguardian Figura 5 Relatório de acesso à Internet...47

9 SUMÁRIO 1 - INTRODUÇÃO MOTIVAÇÃO OBJETIVOS METODOLOGIA ORGANIZAÇÃO DO TRABALHO CONCEITOS BÁSICOS DE PROXY CONTROLE DE ACESSO FILTRO DE CONTEÚDO CONTROLADOR DE DOMÍNIO AUTENTICAÇÃO DE USUÁRIOS O MECANISMO DE CONTROLE DE ACESSO NO SQUID PROPOSTA DE IMPLEMENTAÇÃO DO CONTROLE DE ACESSO NO SQUID CRIAÇÃO DAS ACL S CRIAÇÃO DAS REGRAS DE ACESSO CONFIGURAÇÃO DO FILTRO DE CONTEÚDO NO DANSGUARDIAN IMPLEMENTAÇÃO DA ANÁLISE DE LOGS VIA SARG CONFIGURANDO O SARG EXECUTANDO O SARG CONSIDERAÇÕES FINAIS E TRABALHOS FUTUROS REFERÊNCIAS BIBLIOGRÁFICAS...54

10 INTRODUÇÃO O controle no acesso à Internet proveniente de redes privativas é um tema bastante controverso. Algumas pessoas insistem em dizer que os profissionais contratados por uma empresa têm direito à privacidade no acesso a Internet, sem levar em consideração que um contrato de trabalho foi assinado e que as atividades são exercidas em nome da empresa, em seu ambiente físico, e utilizando-se de recursos da própria empresa. Contudo, a alegação das empresas é bastante convincente: minimizar os riscos de vírus, trojans 1 e outras pragas da Internet e aumentar a produtividade. A fim de obterem uma base legal, as corporações têm adotado fortemente a estratégia de embasarem-se em uma política de segurança ou em um Termo de Compromisso assinado pelo funcionário, quando de sua entrada na empresa, em que toma conhecimento e concorda com o procedimento. Pesquisas realizadas nos últimos anos têm demonstrado pelo tipo de site acessado, que a produtividade dos funcionários com acesso irrestrito à Internet em ambiente de trabalho é baixa. A seguir, algumas estatísticas sobre o mau uso da Internet: - Em média um terço do tempo gasto on-line na Internet nada tem a ver com trabalho; - 75% das empresas citam os empregados como a principal causa, voluntária ou involuntária, das invasões; - 45% dos negócios informaram que acessos não autorizados são feitos de dentro da própria empresa; - Existe mais de 43 milhões de usuários utilizando MSN no horário de trabalho, para os fins da empresa ou para fins pessoais, e apenas um quarto das companhias tem uma política clara para o uso do MSN no trabalho; 1 trojans são arquivos impostores que afirmam ser desejáveis mas, na verdade, são mal-intencionados. Uma distinção muito importante dos verdadeiros vírus é que eles não se reproduzem, como os vírus. São conhecidos também como Cavalo e Tróia. Um exemplo clássico do Cavalo de Tróia é um objeto que faz a autenticação de usuários e grava seu nome e sua senha em um arquivo.

11 11 - Próximo de 80% do uso de Mensagens Instantâneas é feito através de Serviços Grátis como o AOL, MSN e Yahoo, expondo empresas a sérios riscos de segurança. Os hackers se aproveitam dessas falhas para uma invasão; - 73% de todas as pesquisas sobre filmes em redes de compartilhamento de arquivos foram voltadas para a pornografia; - 70% de arquivos pornôs são baixados (download) entre 9:00 e 17:00, ou seja, durante o expediente normal de trabalho; - 37% dos usuários de Internet visitaram um Site pornô na Web; - Uma em cada três empresas detectou algum Spyware 2 em suas redes; - Existem mais de programas spywares. Eles são enviados por hacker interessado em obter senhas de acessos a contas bancárias, por exemplo; - 77% dos acessos às Rádios On-line (UOL, TERRA) são feitos entre 5:00 e 17:00 h; - 44% dos empregados usam ativamente Música On-Line; - Apesar de 99% das empresas usarem software antivírus, 82% delas foram atacadas por vírus e worms 3. A maioria dos ataques, com códigos maliciosos, usualmente eram para roubar dados confidenciais. O Gráfico da Figura 1 mostra o total de incidentes ocorridos em redes que foram espontaneamente notificados ao CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil). O CERT.br é responsável por receber, analisar e responder a incidentes de segurança envolvendo redes conectadas à Internet no Brasil. 2 Spyware é um programa mal intencionado que visa a obtenção de dados confidenciais do usuário, muito utilizado para a obtenção de senhas bancárias e coleta de hábitos de navegação 3 worms são programas que podem se propagar de um sistema para outro através de uma rede de computadores sem usar um arquivo hospedeiro.

12 12 Figura 1 Total de incidentes reportados ao CERT.br por ano. Uma análise do gráfico da Figura 1 mostra que o número de incidentes tem aumentado muito nos últimos anos, sendo que em 2006 esse número quase triplicou. Esse fato evidencia a necessidade do aumento dos investimentos feitos em segurança de redes.

13 MOTIVAÇÃO Como visto anteriormente, o acesso irrestrito à Internet pode trazer prejuízos, principalmente no âmbito de empresas. No entanto, existem soluções que podem minimizar ou até mesmo solucionar este problema. Por exemplo, quando se tem um servidor que controla o acesso à Internet, os computadores da rede local não precisam ter nenhuma forma de acesso direto à rede mundial de computadores. Dessa forma, podem-se concentrar os esforços de segurança e administração dos acessos externos nesse mesmo servidor. Além disso, com esse controle centralizado, podem-se criar regras avançadas de restrição de acesso, podendo definir que determinados computadores ou usuários poderão ter acesso irrestrito. Outros poderão acessar apenas um determinado conjunto de sites. É possível restringir um determinado conjunto de sites cuja URL 4 possua uma determinada palavra ou expressão regular. Estas regras podem variar de acordo com o horário, permitindo a criação de regras que restrinjam o tráfego no horário de expediente e liberem nos horários de menor demanda. A necessidade de controlar o acesso à Internet proveniente da rede interna com o objetivo de aumentar a produtividade da empresa e de diminuir os riscos associados ao acesso irrestrito à rede mundial de computadores motivou a implementação desta solução baseada em software livre 1.2 OBJETIVOS O objetivo deste trabalho é propor uma solução de controle de acesso à Internet através da utilização de softwares específicos, bem como a construção de um conjunto de regras hierárquicas para controlar esse acesso de forma eficaz. 4 URL (Uniform Resource Locator) é o endereço de um recurso ou arquivo disponível na Internet

14 METODOLOGIA Para a elaboração desse trabalho foi feita uma revisão bibliográfica aprofundada sobre o software squid, que implementa o serviço de Proxy 5 em uma rede de computadores. Em seguida foi feito um estudo sobre os mecanismos existentes de controle de acesso, com ênfase na ACL Access Control List. Com isso, foi possível criar um conjunto de regras e organizá-las de forma hierárquica. Também foi analisada a utilização do software DansGuardian, de análise de conteúdo de páginas web, e definido um conjunto de configurações básicas para seu funcionamento adequado. O objetivo desta análise é detectar o assunto sobre o qual trata a página de Internet solicitada, e classificar se a mesma é compatível com a política da organização. Finalmente, foi exposta a forma adequada de se configurar e utilizar o software Sarg de análise de logs 6 do squid, de forma a se obter relatórios, claros e objetivos, de acesso à Internet. Com o desenvolvimento destas etapas foi possível encontrar uma solução para garantir um acesso eficaz e ao mesmo tempo seguro à Internet. 1.4 ORGANIZAÇÃO DO TRABALHO Esse trabalho segue a seguinte organização: Capítulo 2 Conceitos Básicos - Apresenta alguns conceitos necessários para entender o funcionamento do Proxy na realização do controle de acesso à Internet. São apresentados os conceitos de proxy, mecanismos de controle de acesso e filtro de conteúdo, controlador de domínio e autenticação de usuário. 5 Proxy é um software que centraliza o acesso de todas as estações de uma rede à Internet, podendo assim realizar várias tarefas como: armazenar localmente cópias das páginas mais acessadas para economizar banda; normatizar o acesso por horário, usuário e tipo de página acessada, entre outras possibilidades. 6 Log é um arquivo que guarda informações passadas (registros). Existem registros/logs de erros, páginas visitadas ( Histórico ), entre outros, que podem ajudar na identificação e solução de problemas

15 15 Capítulo 3 Controle de acesso no Squid Apresenta como é feito o controle de acesso no software squid, detalhando a forma de construção e os tipos de ACL s que serão utilizados na solução apresentada. Apresenta também o funcionamento das regras de acesso e como elas devem ser estruturadas. Capítulo 4 Implementação do controle de acesso no Squid Apresenta detalhes da implementação de uma solução que busca ser eficaz no controle de acesso no Squid, através da definição das ACL s e de uma hierarquização de regras. Capítulo 5 Configurando o filtro de conteúdo do Dansguardian Apresenta a configuração do software Dansguardian, que trabalha em conjunto com o Squid, realizando um filtro de conteúdo nas páginas acessadas. Capítulo 6 - Implementando a análise de logs Via Sarg Apresenta a implementação de uma ferramenta para analisar os logs do Squid de forma a fornecer um conjunto de relatórios administrativos sobre a utilização da Internet. Capítulo 7 - Considerações finais e trabalhos futuros apresenta as considerações finais sobre o trabalho e propostas de continuidade ao trabalho proposto. Capítulo 8 - Referências Bibliográficas Referências bibliográficas utilizadas na elaboração do trabalho.

16 16 2 CONCEITOS BÁSICOS DE PROXY Este capítulo apresenta alguns conceitos que são necessários para que se possa entender a proposta deste trabalho em apresentar uma solução para o controle de acesso à Internet, centralizado em um servidor de rede. O proxy tem a função de concentrar todas as requisições das mais diversas origens, canalizando-as por uma mesma saída. Ele é que, efetivamente, faz a requisição ao destino. Funciona como um intermediário entre o cliente e o servidor de destino. Esse intermediário efetua tais requisições segundo regras, ou filtros, implementados pela ferramenta de proxy. Tais filtros têm a função de proibir ou liberar acessos a sites, endereços identificadores de máquinas e redes, strings e até limitar velocidade de acesso. Além disso, são capazes de coibir o acesso através de regras que atuam sobre os clientes da rede interna: nomes de usuários, grupos de usuários, endereços identificadores de máquinas etc. Outra função bastante usual no proxy é o serviço de cache, na qual as páginas acessadas ficam armazenadas em uma memória temporária, de forma que se houver um novo acesso à mesma informação, o proxy fornecerá ao cliente a informação já armazenada, dispensando um novo acesso aos servidores, com conseqüente redução no tempo de resposta. O serviço de cache tem esse propósito: ganho de performance. Soluções presentes no mercado contemplam a utilização dos serviços de proxy e cache juntos, sendo que o tratamento da informação entre tais serviços é realizado automaticamente pela aplicação sem a necessidade de intervenção do administrador. A figura 2 mostra o esquema de funcionamento de um sistema de acesso à Internet baseado em proxy.

17 17 Figura 2 O serviço de Proxy 2.1 CONTROLE DE ACESSO Para controlar, efetivamente, o acesso à Internet, são utilizadas várias ferramentas que permitem identificar que usuário e/ou máquina da rede acessou determinado site em determinada data e hora, gerando, assim, informações que podem ser utilizadas pela gerência para tomar as devidas providências. Os Mecanismos de Controle de Acesso se propõem a definir que usuários ou processos têm acesso a que recursos do Sistema Computacional, e com que permissões. Estes mecanismos podem ser aplicados em qualquer nível, desde a aplicação, definindo os acessos dos usuários, dos processos e suas respectivas páginas de memória. A próxima seção mostra os principais modelos de mecanismos de controle de acesso que são utilizados para prevenir os acessos indevidos por usuários não autorizados.

18 Access Control List O Access Control List, ou simplesmente ACL, é o mecanismo onde é criada uma lista para cada objeto (recurso do sistema), com a identificação do usuário ou processo, e suas permissões para aquele objeto especifico. A ACL é dito um mecanismo orientado a objeto. As ACL s tornam-se sobrecarregadas de forma gradativa à medida que a quantidade de recursos compartilhados de um sistema aumenta. Por isso, é comum o agrupamento de usuários de acordo com o seu perfil funcional. No entanto, isso representa uma flexibilização perigosa no mecanismo de controle de acesso Capabilities Este mecanismo, ao contrário da ACL, cria uma lista para cada usuário ou processo com a identificação do objeto, e as permissões que o usuário ou processo possui sobre este objeto específico. Este mecanismo é conhecido como orientado a usuário. Este mecanismo resolve o problema da sobrecarga das ACL s, tendo em vista que cada usuário ou processo possui uma lista com as Capabilities somente para os objetos compartilhados nos quais têm algum tipo de permissão de acesso Access Control Matriz O Access Control Matriz, ou ACM, é o somatório dos dois mecanismos anteriores formando uma estrutura equivalente a uma matriz, onde as linhas são compostas pelos usuários, as colunas por objetos e os elementos são listas de permissões. Cada coluna de uma ACM é uma ACL e cada linha é uma Capability.

19 FILTRO DE CONTEÚDO O serviço de Proxy funciona muito bem para atender às necessidades para as quais foi criado: intermediar requisições de clientes com destino a servidores na Internet, além de efetuar filtros baseados em listas de controle de acesso capazes de bloquear o acesso a determinados sítios. Contudo, no que diz respeito à proibição de acesso a sítios na Internet, a capacidade de proibir o acesso de acordo com o conteúdo de cada página acessada não pode ser implementada exclusivamente através de servidores proxies. Tal necessidade é suprida por ferramentas conhecidas como filtros de conteúdo. Essas ferramentas percorrem cada página acessada antes de disponibilizá-la ao usuário e efetuam uma verificação de termos, palavras e frases consideradas inadequadas, segundo a base de dados de tais conteúdos. A maioria dessas aplicações permite ao administrador informar dentre o conteúdo dessas listas, o que efetivamente será considerado termo indevido, além de permitir acréscimo de conteúdo a serem bloqueados. Segundo "Internet Filtering Alternatives White Paper" (SOFTWARE, 2003), os filtros de conteúdo podem ser divididos nos seguintes tipos: Appliances dedicados à filtragem : esta categoria inclui dispositivos especificamente projetados para controle e monitoração do acesso à Internet; Servidores pré-configurados para filtragem: esta categoria inclui soluções onde os equipamentos servidores de propósito geral são configurados de fábrica com aplicação de filtragem de conteúdo; Aplicação de filtragem baseada em servidor: esta categoria inclui programas que trabalham com sistemas operacionais em plataforma Windows NT ou Unix, ou como um plugin para aplicações de servidores proxy;

20 20 Addons para serviço de filtragem nos firewalls 7 : serviços que podem ser adicionados ao firewall ou a outros dispositivos de rede; Aplicação de filtragem baseada no cliente: esta categoria inclui aplicações para Windows e Macintosh e plugins de navegadores que são adicionados a tais características no computador do usuário. De uma forma mais específica, pode-se definir o filtro de conteúdo baseado em pesos com uma nova categoria. Assim, é possível informar à aplicação que o simples aparecimento de uma determinada palavra em um sítio não é suficiente para bloqueá-lo. No entanto, um outro termo pode ser considerado indevido pelo fato de aparecer várias vezes no mesmo sítio. 2.3 CONTROLADOR DE DOMÍNIO O uso de redes de computadores em ambientes de trabalho tem aumentado a cada dia. Isto é facilmente percebido ao se analisar pequenas empresas que não têm a informática como área fim. Essas empresas, que até bem pouco tempo utilizavam-se de máquinas de datilografia, renderam-se à tecnologia. E, hoje, é muito difícil uma micro-empresa que não faça uso de computadores no seu dia-a-dia. Mesmo em ambientes mais restritos, com poucos computadores, tem-se percebido que a utilização de redes ponto-a-ponto não se adequa muito bem, uma vez que as informações associadas às atividades da empresa não estão localizadas em um ponto central, com todos os cuidados necessários: backup das informações, controle de acesso, garantia de disponibilidade, dentre outros. A fim de prover um ambiente de rede mais adequado às atividades da corporação, além de equipamentos servidores que mantenham a guarda das informações, faz-se necessário a implementação de uma outra solução capaz de autorizar e autenticar os funcionários na rede privativa da instituição: o controlador de domínio. 7 Firewall é o nome dado ao dispositivo de uma rede de computadores que tem por função regular o tráfego entre redes distintas e impedir a transmissão e recepção de dados nocivos ou não autorizados de uma rede a outra.

21 21 A garantia de acesso dos usuários ao ambiente de rede da empresa permitirá associar as ações realizadas na rede ao usuário que efetivamente a executou, sendo esse também o papel do controlador de domínio. Existem algumas soluções de controladores de domínio disponíveis no mercado. A maioria delas é proprietária. Contudo, soluções baseadas em software livre também estão disponíveis para uso e serão consideradas neste trabalho. 2.4 AUTENTICAÇÃO DE USUÁRIOS A fim de obter acesso a uma rede, o usuário solicita sua autenticação informando nome na rede e a senha de acesso. O sistema efetua a autenticação verificando se o nome de usuário e a senha informada estão realmente associados àquele usuário específico e se estão corretos. Quando um usuário obtém acesso à rede, isso significa que ele foi autenticado. Porém, inúmeras aplicações utilizam-se do conceito de autenticação de usuários para seu funcionamento. Algumas delas utilizam módulos adicionais para efetivar a autenticação através de diferentes protocolos como Kerberos, LDAP e NTLM. Outras aplicações apenas validam a autenticação efetuada anteriormente garantindo os acessos do usuário. Para que a validação do usuário autenticado funcione a contento, algumas ferramentas adicionais devem ser implementadas, algumas na própria aplicação e outras nos servidores que executam as aplicações. As redes em funcionamento nas instituições, atualmente, já implementam um esquema de autenticação de usuários, quer seja em controladores de domínios proprietários, quer baseados em software livre. Tais esquemas de autenticação devem ser incorporados a esta solução de controle de acesso à Internet, fazendo, assim, a validação da autenticação do usuário. Vários esquemas de autenticação são suportados pelas ferramentas utilizadas, dentre os quais podemse destacar: LDAP, NTLM, PAM, SMB e winbind.

22 22 3 O MECANISMO DE CONTROLE DE ACESSO NO SQUID Uma das melhores formas para se controlar o acesso à Internet é através da utilização de um programa de proxy. Dentre os diversos proxies disponíveis no mercado, um dos mais utilizados em todo o mundo é o Squid, que é um software livre e possui versões para diferentes distribuições linux. Além disso, se destaca seu excelente desempenho e grande flexibilidade de configuração. O Squid tem um eficiente mecanismo de controle de acesso à Internet. Este mecanismo permite a criação de listas capazes de filtrar desde simples domínios até tipos de conteúdos específicos (myme types). Este controle é feito por ACL s que são inseridas dentro do arquivo /etc/squid/squid.conf. As ACL's - (Access Control Lists) ou listas de controle de acesso, constituem-se na grande flexibilidade e eficiência do Squid. É através delas que se podem criar regras para controlar o acesso à Internet das mais diferentes formas. Praticamente todo o processo de controle do Squid é feito com o seu uso. O uso das listas de controle de acesso é a parte mais importante da configuração de um servidor proxy Squid, pois se bem configuradas podem trazer um nível de segurança muito bom para a rede. Entretanto se mal configuradas podem ter o resultado oposto, já que além da falsa sensação de segurança não será aproveitada a principal funcionalidade do Squid. As ACL's são definidas da seguinte forma: acl nome tipo string arquivo onde: - acl é a palavra chave que identifica uma acl; - nome é o identificador único de cada acl; - tipo é a funcionalidade da acl; - string é um conjunto de palavras que farão parte do grupo definido pela acl; - arquivo é o endereço de um arquivo que conterá as palavras que farão parte do grupo definido pela acl.

23 23 Existem vários tipos de ACL que podem ser utilizadas. A seguir serão detalhados os tipos utilizados na proposta desse trabalho. src - tipo utilizado para indicar endereços IP de origem. Pode-se especificar um endereço de rede, como /24, um endereço de um determinado host, como /24 ou uma faixa de endereços, como /24; dst - semelhante ao tipo anterior, mas está relacionada ao endereço de destino; time - usado para especificar dias da semana e horários. Os dias da semana são definidos através de letras que os representam, e os horários através de intervalos na forma hora:minuto_inicial-hora:minuto_final. Os dias da semana são especificados assim: S - Sunday (Domingo), M - Monday (Segunda-Feira), T - Tuesday (Terça-Feira), W - Wednesday (Quarta-Feira), H - Thursday (Quinta-Feira), F - Friday (Sexta-Feira) e A - Saturday (Sábado); url_regex - Este tipo percorre a URL a procura da expressão regular especificada. Deve ser observado que a expressão é case-sensitive, para que seja case-insensitive deve ser usada a opção -i. É o tipo mais comum de ACL dada a flexibilidade proporcionada pelo uso de expressões regulares; urpath_regex - Tipo semelhante a url_regex, mas procura a expressão regular na URL sem levar em conta o nome do servidor e o protocolo, isto quer dizer que a procura vai ser feita apenas na parte da URL após o nome do servidor, como por exemplo, na URL a procura será realizada apenas na parte /pasta/sexo.html. Ela é também case-sensitive, para que seja case-insensitive deve ser usada a opção -i; port - Realiza o controle pela porta de destino do servidor, neste tipo deve ser especificado o número da porta; proto - Serve para especificar o protocolo, como por exemplo FTP ou HTTP;

24 24 method - Especifica o tipo de método usado na requisição, como por exemplo GET, CONNECT ou POST; auth_param basic Especifica o método a ser utilizado pelo squid caso este execute algum tipo de autenticação externa em algum servidor LDAP, AD, entre outros. Nesse trabalho o tipo de autenticação em um servidor AD através do programa msnt_auth. proxy_auth - Tipo usado para implementar autenticação de usuários no proxy. A autenticação é feita com uso de softwares externos. Pode ser passado o nome dos usuários ou usada a opção REQUIRED para que seja autenticado qualquer usuário válido; Se as ACLs do Squid são as listas de definições do squid, os operadores HTTP_ACCESS são as correlações entre estas ACLs, que resultarão na liberação ou no bloqueio de acessos. Existem diversos outros operadores, no entanto, como estes são os mais importantes, apenas eles serão detalhados no texto. A ordenação lógica das HTTP_ACCESS é a chave para que o Squid funcione de modo confiável e seguro. Dessa forma, sua ordenação de maneira ilógica poderá trazer resultados indesejados como bloqueios não necessários, ou pior, liberação de acessos inapropriados. Para entender como ordenar as HTTP_ACCESS faz-se necessário primeiramente compreender seu funcionamento. Sua estrutura geral é: http_access allow deny acl1 acl2 acl3... O Squid faz a análise destas ACLs mediante as seguintes regras: 1. As regras são lidas de cima para baixo, ou da primeira para a última ; 2. Uma vez que uma regra for atendida não haverá a analise das demais, não havendo possibilidade de utilização de case ou if para redirecionar o Squid de uma regra para outra em hipótese de atendimento de uma delas;

25 25 3. As regras são case sensitive, assim uma simples diferença entre minúsculas e maiúsculas poderá anular a regra, pois não mais irão coincidir. A utilização da opção i contorna esta questão; 4. Caso nenhuma regra seja atendida, o Squid utilizará como regra geral o inverso da última regra, assim, se nenhuma regra for atendida e a última regra for permitida (allow) o Squid procederá a um acesso negado (deny) e vice versa. Como resultado da aplicação das quatro regras acima, pode-se afirmar que numa ordenação lógica do Squid as ACLs constantes de uma mesma regra serão tratadas entre si com um and e as próprias regras serão tratadas entre si com um or, terminando com um else do inverso da última expressão. Pode-se tomar com exemplo as regras abaixo: http_access allow acl1 acl2 http_access deny acl1 acl3 acl4 Neste caso tem-se a seguinte estrutura lógica: If (acl1 and acl2 : allow) or (acl1 and acl3 and acl4 : deny) else allow Esta estruturação torna mais clara a forma como o Squid vai interpretar suas regras e, a partir desta interpretação, pode-se concluir algumas normas fundamentais de ordenação das HTTP_ACCESS: 1. As exceções deverão ser tratadas antes das regras, pois visto que as primeiras estão sempre contidas nas segundas, caso sejam listadas as regras e depois as exceções, estas jamais serão interpretadas; 2. Pelo mesmo motivo, caso haja uma exceção da exceção, esta deverá ser tratada antes da exceção; 3. Regras específicas deverão ser tratadas antes de regras genéricas, mesmo que uma não constitua exceção à outra; 4. Regras principais deverão ser tratadas antes de regras acessórias; 5. A menos que a política de acesso da organização diga o oposto, a última regra deverá ser sempre de negação geral (http_access deny all) para evitar uma liberação indesejada, conforme ocorreu no exemplo acima.

26 26 Vejamos, a seguir, como a inobservância das normas acima pode ocasionar os mais diversos resultados indesejados e como proceder para evitá-los. CASO 1 Supondo uma organização de política restritiva de acesso à Internet onde somente ao corpo gerencial é permitido o acesso, ficando a todos os demais funcionários negado o mesmo. Neste caso, o arquivo de configuração do squid, o squid.conf, teria as seguintes regras: # define os logins dos gerentes acl gerencia fulano beltrano cicrano # solicita a autenticação dos usuários acl usuarios proxy_auth REQUIRED # regras de acesso http_access deny usuarios http_access allow gerência http_access deny all Aparentemente, a estruturação acima esta correta, pois está negando acesso a todos e liberando a gerência. Ocorre que o grupo gerência é uma exceção do grupo de usuários. Assim, se a regra de gerência for colocada após a regra geral dos usuários, a exceção jamais será analisada, pois os gerentes também são autenticados, conseqüentemente, terão seu acesso negado quando da análise da ACL de negação aos usuários. A ordenação correta neste caso seria: # define os logins dos gerentes acl gerencia fulano beltrano cicrano # solicita a autenticação dos usuários acl usuarios proxy_auth REQUIRED # regras de acesso http_access allow gerência