- SERVIDOR PROXY Parte2 Cache, Restries de Acesso e Autenticao Administrao de Redes de Computadores I

Prof.: Sydney Brito sydney.wab@gmail.com

Caruaru, 2012

Agenda

O que Cache e para que serve no proxy?

Configuraes de Cache de pginas e de arquivos;

Restries de Acesso;

Proxy com Autenticao.

O que Cache e para que serve no Proxy?

Visando melhorar o desempenho em uma rede, onde diversos servios utilizam o mesmo meio, utiliza-se uma tcnica chamada Cache. Est presente em muitas camadas da computao, assim como no no dia-a-dia de uma rede.

Seu uso em servidores Proxy no diferente, pois permite que pginas antes requisitadas e carregadas, possam ser utilizadas

para atender as outras requisies destas. E no s pginas

web como download de arquivos tambm.

Configuraes de Cache de pginas e de arquivos

O Squid trabalha com dois tipos de cache:

Que usa parte da memria RAM (mais rpido); Que usa parte do HD (mais lento).

O de RAM serve para armazenar pequenos arquivos, como pginas html e pequenas imagens. uma rea pequena pois a quantidade de Memria RAM bem menor que HD.

O de HD utilizado para armazenar arquivos maiores, como por exemplo, downloads grandes e updates.

Configuraes de Cache de pginas e de arquivos

Vamos comear pela configurao do Cache na memria RAM:

Para Reservar 32 MB da Memria RAM para o cache adicione a seguinte linha: cache_mem 32 MB

Para determinar qual tamanho mximo dos arquivos que sero

guardados no cache da RAM: (maior que isso ir para o cache em HD) maximum_object_size_in_memory 128 KB

Configuraes de Cache de pginas e de arquivos

Agora vamos configurar o Cache feito no HD: cache_dir ufs /var/spool/squid 4096 16 256

cache_dir: parmetro de configura do cache de HD; ufs: forma de armazenamento de cache do squid;

/var/spool/squid: pasta onde sero armazenados os arquivos do

cache;

4096: indica o espao reservado no HD para o cache em MB; 16 256: indicam, respectivamente, o nmero de pastas (16) com

subpastas (256), cada pasta.

Configuraes de Cache de pginas e de arquivos

OBS.: Se a linha cache_dir... no for inserida, o Squid assume a configurao padro, que utilizar o diretrio /var/spool/squid e uma rea de 100 MB reservada no HD.

--------------------------------------------------------------------------------

Ainda sobre Cache em HD, vamos inserir as linhas abaixo: maximum_object_size 512 MB minimum_object_size 0 KB

Configuraes de Cache de pginas e de arquivos

As duas linhas anteriores indicam, respectivamente, o tamanho mximo e mnimo de cada arquivo que ser gravado no Cache em HD.

--------------------------------------------------------------------------------

OBS.: Se no inserir estas linhas, o Squid assume a configurao padro, que so downloads de at 16 MB e mnimo de zero.

Configuraes de Cache de pginas e de arquivos

possvel tambm definir a partir de qual percentagem de uso do cache, o Squid descarte os arquivos mais antigos. O default 95% para comear a descartar at que a percentagem atingir menos que 90%.

cache_swap_low 90 cache_swap_high 95

Configuraes de Cache de pginas e de arquivos

Para definir onde os logs de acesso do Squid fiquem armazenados, devemos inserir a linha abaixo.

cache_access_log /var/log/squid/access.log

---------------------------------------------------------------------------------

Caso a linha acima seja omitida, o Squid assume a configurao Default que gravar os logs no seguinte diretrio/arquivo:

/var/log/squid/access.log

Restries de Acesso

Diante do inevitvel uso da Internet, em ambiente de

trabalho, muitas empresas permitem que seus funcionrios acessem dados pessoais, contudo, muitos abusam dessa liberdade e perdem muito tempo em atividades no

relacionadas ao trabalho. Podendo at colocar em risco a segurana dos dados e recursos da empresa.

Restries de Acesso

Bloqueio por Site(domnios) ou Palavras

Exemplo 1: acl proibidos dstdomain www.globo.com www.gmail.com http_access deny proibidos Exemplo 2: acl proibidos url_regex -i /etc/squid/sites-proibidos http_access deny proibidos
Ex.: www.globo.com globo.com www.gmail.com gmail.com

necessrio criar o referido arquivo e digitar os sites proibidos.

Restries de Acesso

Bloqueio por IP:

Exemplo: acl ips-proibidos dst 186.192.82.163 74.125.234.213 http_access deny ips-proibidos

Restries de Acesso

Bloqueio por palavras na URL:

Exemplo: acl termos-proibidos dstdom_regex /etc/squid/termos-proibidos http_access deny termos-proibidos

Restries de Acesso

Bloqueio por palavras na URL:

Exemplo: acl proibidos url_regex -i /etc/squid/sites-proibidos http_access deny proibidos acl termos-proibidos dstdom_regex /etc/squid/termos-proibidos http_access deny termos-proibidos

Restries de Acesso

Bloqueio por horrio:

Exemplo1: acl madrugada time 00:00-07:30 http_access deny madrugada

Exemplo2: acl almoco time 12:00-14:00 http_access deny almoco OBS.: essa configurao deve vir antes da acl proibidos url_regex

Restries de Acesso

Bloqueio por horrio (combinando duas regras):

Caso queira permitir acesso a um determinado site apenas no horrio do almoo:

Exemplo: acl almoco time 12:00-14:00 acl globo dstdomain globo.com www.globo.com http_access allow globo almoco http_access deny globo OBS.: os endereos includos na acl globo sero permitidos apenas dentro do horrio definidos na acl almoco. Na sequncia uma regra nega o acesso ao site em outros horrios.

Restries de Acesso

Bloqueio de Downloads por extenses:

Exemplo 1: acl down-proibidos url_regex -i \.mp3 \.exe http_access deny down-proibidos Exemplo 2: acl down-proibidos url_regex -i /etc/squid/down-proibidos http_access deny down-proibidos
Ex.: \.mp3 \.exe \.avi \.wmv

necessrio criar o referido arquivo e digitar as extenses proibidas para download.

Proxy com Autenticao

possvel permitir acesso Internet a determinados

usurios. Para isso basta criar uma lista de usurios, forandoos a se autenticarem para prosseguir com a navegao.

O mdulo responsvel por isso o ncsa_auth e se baseia

em um arquivo de senhas, onde para cadastrar os logins utilizado o script htpasswd (faz parte do pacote do apache2utils).

Proxy com Autenticao

1) crie um arquivo vazio para cadastrar as senhas touch /etc/squid/passwords

2) cadastrando o usuario joao htpasswd /etc/squid/passwords joao

3) edite o arquivo de configurao do Squid nano /etc/squid/squid.conf

Proxy com Autenticao

4) vamos adicionar as linhas de configurao dentro do

arquivo do Squid
auth_param basic realm Squid auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwords acl autenticados proxy_auth REQUIRED http_access allow autenticados

OBS.: Essas linhas acima DEVEM ser colocadas DEPOIS da acl redelocal,
caso contrrio todos que se autenticarem, mesmo sem estar da rede local, ter acesso permitido.

Monitoramento com o SARG

O Sarg um interpretador de logs para o Squid. Usa um

interface de html catalogando, em forma de relatrio, os acessos realizados atravs do Squid.

1) Baixe o Sarg
apt-get install sarg

OBS.: necessrio que o pacote apache2 j esteja instalado.

2) Para gerar relatrio, digite:

sarg

Monitoramento com o SARG

OBS.: Caso ao digitar o comando sarg o seguinte erro ocorra:
SARG: cannot set the locale LC_ALL to the environment variable

... Digita o seguinte comando: export LC_ALL=C ... Em seguida digita novamente o comando sarg. O prompt deve retornar sem erro. A partir da o relatrio foi gerado com sucesso, baseado na data/hora da execuo desse comando (sarg).

Monitoramento com o SARG

3) Digite o seguinte comando para criar um link simblico:

ln s /var/lib/sarg /var/www

4) V no browser do winxp e digite:

http://10.0.0.1/sarg

5) Para habilitar os relatrios dirios, semanais e mensais, digite os trs comandos abaixo:
/usr/sbin/sarg-reports today /usr/sbin/sarg-reports weekly /usr/sbin/sarg-reports monthly

Monitoramento com o SARG

6) Atualize o browser no winxp e surgir uma tela conforme exemplo abaixo:

- SERVIDOR PROXY Parte2 Cache, Restries de Acesso e Autenticao Administrao de Redes de Computadores I
Prof.: Sydney Brito sydney.wab@gmail.com

Caruaru, 2012