MANUAL DO USUÁRIO BRASQUID Saulo Marques FATEC FACULDADE DE TECNOLOGIA DE CARAPICUIBA
Sumário 1 Instalação... 4 2 Configuração inicial... 6 2.1 Scripts e Arquivos Auxiliares... 10 2.2 O Squid e suas configurações... 10 2.3 As listas e palavras chaves... 12 2.4 Expressões Regulares... 13 2.5 As regras e sua sequência... 13 2.6 O SARG... 13 2.7 A Interface web... 14
1 Instalação Ao se pensar em uma ferramenta prática e de ativação rápida, procurou-se automatizar todo o processo de instalação. Deste modo exclui-se a possibilidade de se trabalhar com dois sistemas operacionais na mesma máquina física (Dual Boot). Também é necessário considerar que, qualquer informação contida nos discos rígidos da máquina onde o CD de instalação será executado será permanentemente destruída. Desta maneira, ao se iniciar a máquina com o CD de instalação da solução, o usuário será apresentado à tela inicial de boot onde a opção de instalação está disponível. Figura 1 Tela inicial com as opções para inicialização do sistema A senha de root é brasquid e a senha do administrador do site é 1234 para o usuário admin.
Logo após o início da instalação o assistente irá solicitar as informações de configuração de rede. Figura 2 Este endereço deve ser único para a máquina na rede e será indicado como o endereço do pproxy nos computadores clientes. Figura 31 Configurando a máscara de sub-rede
Figura 4 O gateway da rede poderá ser o firewall ou roteador banda larga que também é identificado na rede por meio de seu endereço de IP único e exclusivo. Geralmente é este endereço que está conectado e tem acesso direto à internet Figura 5 Aqui se recomenda informar no mínimo o endereço IP do servidor controlador de domínio com o serviço de DNS ativo Após esta primeira fase, todo o carregamento dos arquivos, particionamento e formatação dos discos e Instalação do Sistema Básico seguirão de maneira automática e não haverá necessidade da intervenção do usuário. 2 Configuração inicial Após o término desta fase o sistema espera pelo login no console, após o login do usuário root, um novo menu de opções é apresentado.
Figura 6 Tela Inicial de Opções via Console Nesta tela estão presentes algumas opções de operação via console sendo a primeira delas a Configuração do BRASquid para ser usado pela primeira vez. Nesta opção tem-se um passo-a-passo para o ingresso e integração da ferramenta ao domínio Microsoft e, desde que todos os pré-requisitos informados anteriormente tenham sido rigorosamente atendidos, sua ativação como servidor Proxy para todas as estações da rede configuradas para acessar a internet por meio do Proxy. Nas telas e caixas de diálogo que se seguem o usuário/administrador da rede precisará responder às questões que lhe serão apresentadas de forma objetiva, fornecendo as informações referentes a seu domínio local como nome, nome simplificado, endereço IP do controlador de domínio, usuário e senha com poderes administrativos para ingresso no domínio.
Figura 7 Confirmação de execução do script para reconfiguração da ferramenta Figura 8 Inserção do nome completo do domínio do AD Figura 9 Inserção do nome abreviado do domínio
Figura 10 Endereço IP do controlador de domínio Figura 11 Usuário administrador do domínio (qualquer usuário com poderes para ingressar com uma máquina no domínio) Figura 12 A senha digitada neste campo não será exibida, após digita-la, basta ir para a opção Aceitar. Figura 13 Resumo das informações digitadas para última verificação e confirmação. Após estes passos, o servidor BRASquid será automaticamente reiniciado e quando voltar a carregar já será um membro do domínio e estará apto a servir como servidor Proxy da rede local.
As demais opções deste menu inicial da console que é exibido todas as vezes que o login é realizado com o usuário root traz as alternativas de se fazer backup e restauração do arquivo principal de configuração do Squid (squid.conf), reinicialização do serviço do Squid ou máquina como um todo, limpeza das páginas e documentos armazenados em disco (cache) e saída do menu para operações via console de comando (opção para usuários avançados). Figura 14 Opções de inicialização do sistema 2.1 Scripts e Arquivos Auxiliares Os scripts e arquivos auxiliares são executados pelas opções do menu acima descrito e fazem essencialmente o trabalho pesado por traz das caixas de diálogo exibidas, finalizando após isso a criação e configuração dos arquivos de configuração do Kerberos e do Samba. 2.2 O Squid e suas configurações O Squid funciona essencialmente seguindo as instruções contidas no arquivo squid.conf. Este arquivo de texto traz em sua estrutura todas as instruções de como o
serviço do Squid deverá se comportar no computador e sistema operacional hospedeiro na mesma camada OSI da pilha de protocolo TCP/IP (conexões, portas, timeout de conexões ou requisições), como ele agirá com o serviço de resolução de nomes, geração dos arquivos de log, utilização de memória RAM e Cache (Disco Rígido), criação e configurações de autenticação, das regras e objetos lidos e carregados na memória da máquina pelo Squid sob os quais serão aplicadas as devidas restrições e liberações contidos nas respectivas ACLErro! Indicador não definido.s (Access Control Lists) que foram povoadas com a lista de usuários dos grupos do Active Directory e demais objetos (listas de palavras, endereços de IP locais ou remotos, expressões regulares e etc.) contidos nos arquivos de categorização e indicados para carregamento no squid.conf. O funcionamento do serviço de monitoramento e controle dos acessos a internet por meio do BRASquid (Squid) assemelha-se a uma grande peneira e funil onde no começo, logo após o sistema ter carregado as ACLErro! Indicador não definido.s e as listas de objetos a serem observados e as regras terem sido aplicadas sobre cada um deles montando como se fosse uma grande peneira bloqueando logo de início os usuários e serviços que são explicitamente proibidos de acessar a internet deixando passar para o funil o conteúdo permitido. Em seguida, como se estivesse dentro do funil, as requisições que passaram pela peneira são submetidas a regras que vão desde as menos restritivas (início ou boca do funil) até as regras mais restritivas que culminam no bloqueio total de determinada requisição (final do funil). A verificação e aplicação das restrições funcionam num esquema topdown, onde as permissões e restrições contidas no conjunto total de regras e verificações do Squid são lidas e aplicadas sobre cada requisição de cima para baixo liberando ou bloqueando de imediato quem de direito e verificando por meio dos filtros e regras aquelas requisições que não foram de imediato tratadas pela peneira ou filtro inicial.
2.3 As listas e palavras chaves O BRASquid trabalha com um conjunto de listas de palavras separados por categorias que servem como base e critérios de aceitação e liberação do acesso a determinado conteúdo na web. Estas categorias e listas de palavras foram criadas com base na monitoração e análise de ambientes reais, podendo ser editadas para adequação decorrente de peculiaridades dos ambientes aonde a ferramenta vier a ser escolhida como solução Proxy. Cada arquivo listado abaixo se encontra no diretório do Squid e é lido toda vez que o serviço do Squid é iniciado e recarregado. Trazem em seu interior uma lista de palavras, os endereços de IP (locais e externos), as URLs e expressões regulares relacionadas aos temas que dão origem ao próprio nome de cada arquivo e que, consequentemente constituem a trama e estrutura da grande peneira e funil aos quais as requisições dos usuários são submetidas: AcessoRemoto.acl BlockDstIp.acl Downloads.acl IpsLivres.acl IpsLivresControlados.acl LiberaSitesEspecificos.acl Mensageria.acl Multimedia.acl Pornografia.acl Relacionamento.acl Servidores.acl SitesLiberados.acl
2.4 Expressões Regulares Uma expressão regular é um método formal de se especificar um padrão de texto. É uma combinação de símbolos e caracteres com funções especiais que combinados entre si e com literais formam uma sequencia ou regra que indica a ocorrência de repetições de palavras que atendam a este padrão. (Jargas, Expressões Regulares, 2001) O arquivo ( BlockDstIp.acl ) contendo a seguinte expressão regular ( ([0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}($ :.+ /)) ) merece especial destaque por que é através da regra criada com ele que conseguimos resolver um dos problemas e falhas encontrados em algumas das ferramentas proxy analisadas em nosso estudo. Trata-se dos acessos diretos a sites via endereço de IP válidos, serviços de acesso remoto e comunicação (Skype e TeamViewer) que buscam seus servidores de interconexão por meio de endereços de IP e URLs hardcoded nas aplicações e também sites cujo acesso pode ser feito via HTTPS. 2.5 As regras e sua sequência As regras e a sequência delas dentro do arquivo squid.conf são fundamentais para o monitoramento e controle dos acessos à internet, pois impactam significantemente o resultado da solução. Por este motivo o BRASquid foi concebido com uma série de configurações e arquivos pré estabelecidos baseando nas necessidades das pequenas e médias empresas e no fato de que pessoas não tão experientes poderiam facilmente implementar a ferramenta em seus ambientes de maneira e obter o resultado esperado sem muitas complicações. 2.6 O SARG O SARG (Squid Analysis and Report Generator) é uma ferramenta livre mantida pela comunidade de desenvolvedores que analisa os arquivos de log gerados pelo Squid e também pelo ISA Server (Atual TMG) e gera relatórios que mostram o comportamento dos usuários no uso da internet. Os relatórios são gerados no formato html com diversos campos que que contém os nomes dos usuários, os endereços IP de origem e destino das requisições, os bytes transmitidos, sites visitados e tempo gasto com
navegação. Estes relatórios ficam disponíveis via web para uso dos administradores da ferramenta BRASquid. 2.7 A Interface web Foi criada uma interface web para gerenciamento do BRASquid disponível no menu de inicialização da console que fornecem ao administrador condições mais seguras de manipular as listas de palavras-chave acrescentando palavras, URLs e endereços de IP às listas já existentes, possibilitando certa flexibilidade e confiabilidade na utilização das opções de customização da ferramenta. Além destas funcionalidades foi integrado à interface web o acesso ao SARG e ao monitoramento das condições de funcionamento do servidor. A estrutura do Active Directory, independente de sua organização possuir Unidades Organizacionais (OUs) ou não, conterá obrigatoriamente os seguintes grupos de usuários: InternetAcessoTotal; InternetAcessoIntermediario; LiberaSitesEspecificos; ProibeInternet; Exemplo destes grupos está ilustrado na figura 15 a seguir.
Figura 15 Grupos padrão do BRASquid A estes grupos de usuários deverão ser adicionados todos os usuários de acordo com seu nível de autorização de acessos. Para liberações especificas em servidores, equipamentos de rede ou computadores que não estão no domínio e que necessitem acessar a internet, deverão ser configuradas reservas de endereços IP no servidor DHCP atrelando os endereços físicos de rede (MAC Address) aos endereços IPs destes dispositivos, devendo também ser criadas contas de usuário (serviços) para cada equipamento ou dispositivo em questão. As estações locais deverão ter o Proxy de seus navegadores configurados com o endereço do servidor BRASquid. Esta configuração pode ser feita manualmente na guia Conexões das Propriedades da internet acessíveis via Painel de Controles ou de maneira automática através da criação de uma Política de Grupo (GPO) especifica.
Ao se customizar a distribuição eliminando-se os pacotes e recursos desnecessários, reduziram-se as exigências de hardware para suportar a aplicação. Seguindo as melhores práticas para dimensionamento de um servidor Proxy proposta na página wiki do Squid e levando-se em conta a quantidade de usuários sugere-se dimensionar seguindo as seguintes regras contidas da tabela 3 a seguir: Tabela 1 Configuração sugerida para servidores BRASquid NÚMERO DE USUÁRIOS SERVIDOR SUGERIDO 20 Servidor Single Core de 2 GHz, 1 GB de RAM e 20 GB de Disco e 1 adaptador de rede 20 a 50 Servidor Dual Core de 2 GHz, 2 GB de RAM e 30 GB de Disco e 1 adaptador de rede. 50 a 100 Servidor Dual Core de 2 GHz, 4 GB de RAM e 60 GB de Disco e 1 adaptador de rede. Acima de 100 Servidor Quad Core de 2 GHz, 8 GB de RAM e 100 GB de Disco e 1 adaptador de rede.
Figura 16 Cenário recomendado para uma instalação do BRASquid