Curso de extensão em Administração de redes com GNU/Linux

Tamanho: px

Começar a partir da página:

Download "Curso de extensão em Administração de redes com GNU/Linux"

Zilda Benke Bandeira
10 Há anos
Visualizações:

1 Eduardo Júnior Administração de redes com GNU/Linux Curso de extensão em Administração de redes com GNU/Linux Eduardo Júnior - [email protected] Gestores da Rede Acadêmica de Computação Departamento de Ciência da Computação Universidade Federal da Bahia

2 Assuntos abordados - Proxy Server - Tipos de Proxy Server - Objetivos Proxy Server - Squid - Proxy Transparente - Reverse Proxy

3 Proxy Server

4 Proxy Server Programa que fica entre as requisições dos clientes apontando para recursos em outros programas.

5 Proxy Server

6 Proxy Server Um cliente se conecta ao Servidor Proxy requerindo algum serviço de um servidor diferente.

7 Proxy Server

8 Proxy Server Proxy Server avalia a requisição através de regras de filtragem. Pode ser através de endereço IP ou por protocolo.

9 Proxy Server Se a requisição é validada pelo filtro, o proxy fornece os recursos solicitando o serviço ao servidor original em nome do cliente

10 Proxy Server

11 Proxy Server Tipos de Proxy Server: - Caching Proxy - Web Proxy - Filtro de conteúdo Proxy - Anonymizing Proxy - Interception Proxy - Transparent Proxy - Non-Transparent Proxy - Reverse Proxy

12 Proxy Server Caching Proxy Recupera conteúdo salvo de uma requisição feita anteriormente pelo cliente ou por outro Mantém cópias locais de requisições frequentes

13 Proxy Server Caching Proxy: - Acelera requisições (menor tempo de resposta) - HTTP 1.0 e superiores contém diversos tipos de cabeçalhos para indicar que certo tipo de conteúdo é estático, ou seja, cacheável e verificação da consistência do mesmo fazendo consultas mais simples e rápidas com o servidor original - validation tags - If-Modified-Since - Expiry

conteúdo é estático, ou seja, cacheável e verificação da consistência do mesmo fazendo

14 Proxy Server Web Proxy - Foco no tráfego WWW - Uso comum para servir como cache web - Uso de listas de negação (blacklists) para filtrar conteúdo

15 Proxy Server Filtro de conteúdo Proxy - Controle administrativo sobre todo o conteúdo que passa pelo proxy - Assegurar AUP - Métodos para filtrar conteúdo: - URL e DNS Blacklists - Regex URL - Filtro de conteúdo baseado em palavras chave - Controle de acesso através de autenticação - Anti-vírus - Estatísticas de uso de banda

URL e DNS Blacklists - Regex URL - Filtro de conteúdo baseado em palavras chave -

16 Proxy Server Transparent Proxy Não modifica a resposta ou requisição além daquelas requeridas pela autenticação/identificação de uso do proxy Termo usado de maneira incorreta

17 Proxy Server Reverse Proxy - Processo reverso - Instalado na frente de servidores backends - Balanceamento de carga - Encriptação/Aceleração SSL - Cache conteúdo estático - Compressão - Segurança

18 Proxy Server

20 Questionamentos

21 Para que se preocupar com caching? Não bastaria apenas comprar mais banda?

22 Importância para os Websites

23 Importância para os fornecedores de entrega de conteúdo

24 Importância para os ISPs

25 Cenário Rede DCC

27 Squid

28 Squid Servidor proxy e um Web cache Cache de requisições http, ftp, gopher, requisições DNS Atualmente, suporte (limitado) a TLS, SSL, HTTPS Software Livre sob a Licença GPL

29 Squid Por quê usar o Squid? - redução tempo de resposta - redução consumo de banda - melhora da performace - controle de acesso - autorização/autenticação - logging - gerenciamento de tráfego - distribuição e replicação de conteúdo

30 Análise do Ambiente

31 Antes de se implementar um um proxy é preciso fazer alguns levantamentos: - Qual o seu cenário? - Qual o seu objetivo? - Quais os recursos disponíveis? - Como melhorar o desempenho? - Quantidade de memória RAM? - Arquitetura dos discos? - Tipos de sistemas de arquivos e opções de montagem? - Quantidade de espaço utilizado?

32 Para um ambiente em produção: - Análise do ambiente atual - número de requisições por minuto - número de objetos baixados em um intervalo de tempo pelos clientes

33 Conhecendo o Squid

34 Squid Na Distro Debian: /etc/squid/squid.conf /etc/init.d/squid Logs, flexível, mas: /var/log/squid

35 Squid http_port 3128 visible_hostname gdh acl all src / http_access allow all

36 Squid ACL access control list ACO access control operators Altamente flexível: - impedir uso do proxy sem autenticação - impedir uso do proxy por usuários de outras redes - bloquear por domínio de destino - controlar o que dever cacheado - regras mais complexas

37 Squid Recebendo conexões: # iptables -A INPUT -i eth0 -p tcp --dport j ACCEPT

38 Squid acl all src / acl manager proto cache_object acl localhost src / acl SSL_ports port acl Safe_ports port acl purge method PURGE acl CONNECT method CONNECT http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny!safe_ports http_access deny CONNECT!SSL_ports acl redelocal src /24 http_access allow localhost http_access allow redelocal http_access deny all

39 Squid Site problemático: acl site dstdomain siteproblematico.com always_direct allow site

40 Squid Fazendo Cache: - Memória RAM - Disco cache_mem 32 MB maximum_object_size_in_memory 16 KB maximum_object_size 64 MB minimum_object_size 0 KB

41 Squid Fazendo Cache cache_swap_low 90 cache_swap_high 95 cache_dir ufs /var/spool/squid cache_access_log /var/log/squid/access.log

42 Squid Adicionando Restrições de Acesso: - Bloqueando por domínios ou palavras - Bloqueando por horário - Gerenciando uso de banda

43 Squid Bloqueando por domínios ou palavras: acl bloqueados dstdomain orkut.com playboy.abril.com.br http_access deny bloqueados acl bloqueados dstdomain orkut.com playboy.abril.com.br http_access deny bloqueados

44 Squid Bloqueando por domínios ou palavras: acl bloqueados url_regex -i "/etc/squid/bloqueados" http_access deny bloqueados acl permitidos url_regex -i "/etc/squid/permitidos" http_access allow permitidos http_access deny all acl ips-bloqueados dst http_access deny ips-bloqueados

45 Squid Bloqueando por domínios ou palavras: acl palavrasproibidas dstdom_regex "/etc/squid/palavrasproibidas" http_access deny palavrasproibidas - URL - Falsos positivos

46 Squid Bloqueando por horário: acl almoco time 12:00-14:00 http_access allow almoco acl almoco time 12:00-14:00 acl orkut dstdomain orkut.com http_access allow orkut almoco http_access deny orkut

47 Squid Gerenciando uso de banda: delay_pools 1 delay_class 1 2 delay_parameters / /16348 delay_access 1 allow redelocal Criar exceções!

48 Squid Gerenciando uso de banda: acl extban url_regex -i \.avi \.exe \.mp3 \.torrent http_access deny extban acl extban url_regex -i "/etc/squid/extban" http_access deny extban

49 Squid Configurando Proxy Transparente

50 Squid Prática: - Em trios, escolham a máquina A a ser o proxy transparente e as máquinas B e C os clientes - As máquinas clientes devem trocar seu endereço IP para algum da rede /24 - A máquina A deverá configurar SNAT, sendo a interface virtual eth0:0 o gateway da rede supracitada (última aula) - Máquina A instala o Squid e faz o redirecionamento de portas

51 Squid - Máquina A cria regras de bloqueio baseada em URL, Ips, nomes: - não permitir acesso a uol.com.br - não permitir acesso a não permitir acesso a sites que contenham esporte na URL # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j \ REDIRECT --to-port 3128 http_port 3128 transparent

52 Referências man squid man iptables

Documentos relacionados

Segurança de Redes. Aula extra - Squid. Filipe Raulino [email protected]

Segurança de Redes. Aula extra - Squid. Filipe Raulino filipe.raulino@ifrn.edu.br Segurança de Redes Aula extra - Squid Filipe Raulino [email protected] Instalação Instalando o Squid : # yum install squid Iniciando o serviço: # /etc/init.d/squid start Arquivos/Diretórios: /etc/squid/squid.conf