Servidores Proxy - Segurança da Informação 24.05.16 17:10
INTRODUÇÃO
Atualmente, o principal objetivo de uma "rede moderna" é promover a segurança para todo o sistema, pois com a dinamização da tecnologia da informação, todas as empresas sofrem quer sejam por desvio de dados (informações) ou por brechas de segurança. Muitos desses problemas vêm de acessos indevidos à internet tais como sites pornográficos, jogos, redes sociais, entre outros. Combatendo esse estado atual, a segurança da informação vem desenvolvendo meios de aprimorar o bloqueio a esses acessos.
Um servidor Proxy é uma dessas ferramentas e tem como função principal repassar os dados (pacotes) do cliente (Nó) para "frente", ou seja, quando um cliente se conecta a um servidor Proxy, ele automaticamente solicita a requisição de um serviço por ele gerenciado, como por exemplo, o acesso a um site ou aplicação Web. Ele atua entre a rede e a internet, realmente efetuando um filtro do que entra ou sai, trabalhando assim como um gerenciamento de pacotes.
O profissional que trabalha com esse sistema tem por função mapear todas as políticas do Proxy, tais como o armazenamento de cachê, políticas e filtros Http. Ele atua dentro do protocolo TCP/IP, funcionando como um filtro.
METODOLOGIA
A metodologia adotada nesta pesquisa é a de uma leitura crítica dos fundamentos do sistema, utilizando como base os relatórios uma instituição em o aluno-pesquisador é funcionário no intuito de identificar as principais dificuldades de utilização do Linux. Nessa análise documental foi revelada a necessidade de se produzir um material que possibilitasse a todos que utilizam o servidor Proxy explorar suas potencialidades. Decidiu-se criar um guia para que usuários desse sistema pudessem utilizá-lo de forma simples e eficaz.
Um servidor Proxy tem como função principal repassar os dados (pacotes) do cliente(Nó) para "frente", ou seja:
Quando um cliente se conecta a um servidor Proxy, ele automaticamente faz a requisição de um serviço por ele gerenciado, como um acesso a um site ou aplicação Web.
Portanto o profissional deve mapear todas as políticas do Proxy, como armazenamento de cachê, políticas e filtros Http (protocolos).
Ele atua dentro do protocolo TCP/IP assim funcionamento realmente como um filtro por assim disser, ou ate mesmo anonimato dependendo da sua aplicação, assim já voltando ao que eu falei na introdução, ele é baseado em Linux um sistema livre, o operador do sistema faz o que sua vontade quiser um exemplo disso é bem simples, você pode usar um Proxy em uma empresa como filtro de conteúdo, bloqueio de sites por assim disser, AntiSpam de via protocolos de webmail filtrando diretamente nas portas 110(pop3) e 25/587(smtp), como também pode ser usada para ter "anonimato" ao navegar na internet.
Com certeza você já procurou por servidor Proxy na internet para burlar um bloqueio existente na sua faculdade ou até mesmo no trabalho.
Existem varias aplicações dentro do servidor Proxy que irei explicar como funcionam, assim como Transparência, Proxy aberto, Proxy Anônimo, WebPoxy, Firewall, Segurança etc.
DIFERENÇA ENTRE UM SERVIDOR PROXY E UM FILTRO DE PACOTES
Primeiramente vamos falar se suas similaridades.
Os dois são "colocados" no perímetro da rede, ambos funcionam como um "intermediário entre uma rede local e a famosa internet, ambos possuem a capacidade de filtros o tráfego transmitido para dentro e fora da rede. Ambos utilizam regras para determinar se certos tipos de trafego terão autorização para passar pelo servidor ou se serão descartados.
O conceito principal, o filtro de pacotes não penetra tão dentro no pacote como nosso querido servidor proxy.
O filtro analisa o tráfego na camada de rede(3) e na de transportes(4), como por exemplo um filtro de pacotes determinara se autoriza a passagem de um endereço ou de um certo range na rede, se alguém tentar invadir por envio de pacotes e drops de IP, você pode criar uma regra aonde é criado uma IP tables, que irá excluir esses ranges específicos, assim cancelando o acesso desses ips a certas portas na sua rede.
Já o servidor proxy é capaz de analisar pacotes na camada de aplicação(7), ou seja ofereça uma maior flexibilidade, porque permite que o tráfego dentro de um serviço,como tráfego na porta 80(http) possa ser filtrado.
Assim como há falado, isto permite que o nosso proxy analise o tráfego http ou ftp, e determine se deve ou não passar.
Se houver uma regra que impeça a passagem de qualquer endereço WEB que contiver os conjuntos de caracteres "S"."E"."X", será barrado automaticamente.
SERVIDOR PROXY UTILIZANDO SQUID
O servidor Squid, é o puro Proxy, que funciona com código aberto para sistemas operacionais Unix/Linux.
Ele permite que o implementado use o serviço proxy caching para a Web, acrescentando controles e regras, e até mesmo armazenamento de consultas de DNS.
O Squid é um Web proxy cache que atende à especificação HTTP 1.1. É utilizado somente por clientes proxy, tais como navegadores Web que acessem à Internet utilizando HTTP, Gopher e [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] Além disso, ele não trabalha com a maioria dos protocolos Internet. Isto significa que ele não pode ser utilizado com protocolos que suportem aplicativos como vídeo-conferência,newsgroups, RealAudio, ou videogames como o Quake ou Counter Strike. O principal motivo destas limitações é que o Squid não é compatível com programas que utilizem UDP. O Squid usa o UDP somente para comunicação inter-cache.
Qualquer protocolo de cliente suportado pelo Squid deve ser enviado como um pedido de proxy no formato HTTP. A maioria dos navegadores suporta esta função, portanto, os protocolos FTP, HTTP, SSL (Secure Socket Layer), WAIS (Wide Area Information Server) são suportados na maioria das redes que utilizam o Squid.
Os protocolos funcionarão se você os solicitar utilizando o seu navegador e se ele estiver configurado como um cliente proxy para o servidor Web proxy cache.
O Squid também suporta protocolos internos e de administração. Tais protocolos são usados entre os caches que puderem existir em outros no mesmo ou em outros servidores de proxy-caching, ou para a administração de um proxy cache.
Como já havia dito, foi comprovar oque disse sobre a facilidade, de instalação, e também que esses grandes amigos, não dependem de Hardware e sem de Software.
O Squid utiliza mais recursos de sistema do que outros aplicativos. Os dois principais subsistemas de hardware que o Squid utiliza e deve ter um bom desempenho é o tempo de busca aleatória e a quantidade de memória no sistema.
Para um proxy cache, o tempo de busca aleatória deve ser o mais baixo possível. O problema é que os sistemas operacionais procuram aumentar a velocidade de acesso em disco utilizando vários métodos que geralmente reduzem o desempenho do sistema;
A memória RAM é extremamente importante para a utilização de um proxy cache. O Squid mantém uma tabela na memória RAM sobre os seus objetos. Se uma parte dessa tabela tiver que sofrer swapping, o desempenho do Squid será bastante degradado. O Squid é um processo, então qualquer swapping tornará o programa mais lento. Por exemplo, se você tiver 16 GB armazenados no cache, precisará de 96 MB (aproximadamente) de RAM para o índice de objetos.
Outros requisitos do sistema, como velocidade de CPU, não são tão importantes assim. A velocidade do processador somente será notado durante o início do sistema (durante a criação do índice de objetos). Um sistema multiprocessador não costuma fazer diferença no desempenho do proxy cache, pois o Squid contém uma pequena porção de código encadeado.
Assim totalizando minha ideia principal sobre as migrações, e que não há divergência e complicações nas versões.
CONFIGURAÇÃO DO PROXY SQUID
Assim totalizando minha ideia principal sobre as migrações, e que não há divergência e complicações nas versões.
Níveis de um servidor Proxy em base se configuração.
Irei explicar dentro do código fonte de uma configuração zerada de um servidor proxy SQUID.
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] da rede que tem acesso ao proxy
acl all src 0.0.0.0/0
Vamos supor que você está configurando um servidor proxy em uma rede local. Então iremos colocar dentro dos números que estamos vendo, assim totalizando:
acl all src 192.168.0.1/24
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] para autenticação
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd
auth_param basic children 5
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] parte vc ira escrever o nome do seu servidor
auth_param basic realm [---Bem Vindo ao Servidor Teste Proxy Server---]
acl autenticados proxy_auth REQUIRED
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] 1 - Arquivo "Liberacao_Administracao", logins cadastrados para navegar no proxy
acl Liberacao_Administracao proxy_auth "/etc/squid/Liberacao_Administracao"
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] 2 - Arquivo "Liberacao_Operadores", logins cadastrados para navegar no proxy
acl Liberacao_Operadores proxy_auth "/etc/squid/Liberacao_Operadores"
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] 3 - Arquivo "Operador_sexo", logins dos usuarios que não podem acessar sites de sexo
acl Operadore_sexo proxy_auth "/etc/squid/Operador_sexol"
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] 4 - Lista de Sites bloqueados para os "Operador"
acl bloqueado_operador url_regex -i "/etc/squid/bloqueado_operador"
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] 5 - Lista de Sites bloqueados para os "Operadores_Sexo"
acl bloqueado_sexo url_regex -i "/etc/squid/bloqueado_sexo"
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] 5 - - Bloqueia acesso aos sites cadastrados em "bloqueado_sexo" para o grupo de usuários cadastrados "Operadores_Sexo"
http_access deny bloqueado_sexo operadores_sexo
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] 4 - Bloqueia acesso aos sites cadastrados em "bloqueado_operadores" para o grupo de usuários cadastrados "operadores"
http_access deny bloqueado_operadores
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] 1 - Liberado acesso para o grupo cadastrado "patrao"
http_access allow "Liberacao_Administracao
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] acesso para os usuários autenticados
http_access allow autenticados
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] o acesso para os usuários sem autenticação
http_access deny all
Tudo liberado para estes usuários:
# vim /etc/squid/"Liberacao_Administracao
Antonio
Reinaldo
admin.adm
Patricia
Suellen
Waldez
Usuários que terão os sites bloqueados pelo arquivo "Liberacao_Operador":
# vim /etc/squid/Liberacao_Operador
maria
rogerio
Usuários que terão os sites bloqueados pelo arquivo "operadores_sexo":
# vim /etc/squid/operadores_sexo
Suellen
Ricardo
Jordani
Obs.: o usuário "Suellen" está sendo bloqueado em 2 níveis.
Arquivos com os sites:
# vim /etc/squid/bloqueado_operadores
google.com.br
youtube.com.br
playboy.com.br
# vim /etc/squid/Operadores_Sexo
x.videos.com
Assim temos o código e a explicação pratica de como ele funciona!
Créditos:
VAOL
Atualmente, o principal objetivo de uma "rede moderna" é promover a segurança para todo o sistema, pois com a dinamização da tecnologia da informação, todas as empresas sofrem quer sejam por desvio de dados (informações) ou por brechas de segurança. Muitos desses problemas vêm de acessos indevidos à internet tais como sites pornográficos, jogos, redes sociais, entre outros. Combatendo esse estado atual, a segurança da informação vem desenvolvendo meios de aprimorar o bloqueio a esses acessos.
Um servidor Proxy é uma dessas ferramentas e tem como função principal repassar os dados (pacotes) do cliente (Nó) para "frente", ou seja, quando um cliente se conecta a um servidor Proxy, ele automaticamente solicita a requisição de um serviço por ele gerenciado, como por exemplo, o acesso a um site ou aplicação Web. Ele atua entre a rede e a internet, realmente efetuando um filtro do que entra ou sai, trabalhando assim como um gerenciamento de pacotes.
O profissional que trabalha com esse sistema tem por função mapear todas as políticas do Proxy, tais como o armazenamento de cachê, políticas e filtros Http. Ele atua dentro do protocolo TCP/IP, funcionando como um filtro.
METODOLOGIA
A metodologia adotada nesta pesquisa é a de uma leitura crítica dos fundamentos do sistema, utilizando como base os relatórios uma instituição em o aluno-pesquisador é funcionário no intuito de identificar as principais dificuldades de utilização do Linux. Nessa análise documental foi revelada a necessidade de se produzir um material que possibilitasse a todos que utilizam o servidor Proxy explorar suas potencialidades. Decidiu-se criar um guia para que usuários desse sistema pudessem utilizá-lo de forma simples e eficaz.
Um servidor Proxy tem como função principal repassar os dados (pacotes) do cliente(Nó) para "frente", ou seja:
Quando um cliente se conecta a um servidor Proxy, ele automaticamente faz a requisição de um serviço por ele gerenciado, como um acesso a um site ou aplicação Web.
Portanto o profissional deve mapear todas as políticas do Proxy, como armazenamento de cachê, políticas e filtros Http (protocolos).
Ele atua dentro do protocolo TCP/IP assim funcionamento realmente como um filtro por assim disser, ou ate mesmo anonimato dependendo da sua aplicação, assim já voltando ao que eu falei na introdução, ele é baseado em Linux um sistema livre, o operador do sistema faz o que sua vontade quiser um exemplo disso é bem simples, você pode usar um Proxy em uma empresa como filtro de conteúdo, bloqueio de sites por assim disser, AntiSpam de via protocolos de webmail filtrando diretamente nas portas 110(pop3) e 25/587(smtp), como também pode ser usada para ter "anonimato" ao navegar na internet.
Com certeza você já procurou por servidor Proxy na internet para burlar um bloqueio existente na sua faculdade ou até mesmo no trabalho.
Existem varias aplicações dentro do servidor Proxy que irei explicar como funcionam, assim como Transparência, Proxy aberto, Proxy Anônimo, WebPoxy, Firewall, Segurança etc.
DIFERENÇA ENTRE UM SERVIDOR PROXY E UM FILTRO DE PACOTES
Primeiramente vamos falar se suas similaridades.
Os dois são "colocados" no perímetro da rede, ambos funcionam como um "intermediário entre uma rede local e a famosa internet, ambos possuem a capacidade de filtros o tráfego transmitido para dentro e fora da rede. Ambos utilizam regras para determinar se certos tipos de trafego terão autorização para passar pelo servidor ou se serão descartados.
O conceito principal, o filtro de pacotes não penetra tão dentro no pacote como nosso querido servidor proxy.
O filtro analisa o tráfego na camada de rede(3) e na de transportes(4), como por exemplo um filtro de pacotes determinara se autoriza a passagem de um endereço ou de um certo range na rede, se alguém tentar invadir por envio de pacotes e drops de IP, você pode criar uma regra aonde é criado uma IP tables, que irá excluir esses ranges específicos, assim cancelando o acesso desses ips a certas portas na sua rede.
Já o servidor proxy é capaz de analisar pacotes na camada de aplicação(7), ou seja ofereça uma maior flexibilidade, porque permite que o tráfego dentro de um serviço,como tráfego na porta 80(http) possa ser filtrado.
Assim como há falado, isto permite que o nosso proxy analise o tráfego http ou ftp, e determine se deve ou não passar.
Se houver uma regra que impeça a passagem de qualquer endereço WEB que contiver os conjuntos de caracteres "S"."E"."X", será barrado automaticamente.
SERVIDOR PROXY UTILIZANDO SQUID
O servidor Squid, é o puro Proxy, que funciona com código aberto para sistemas operacionais Unix/Linux.
Ele permite que o implementado use o serviço proxy caching para a Web, acrescentando controles e regras, e até mesmo armazenamento de consultas de DNS.
O Squid é um Web proxy cache que atende à especificação HTTP 1.1. É utilizado somente por clientes proxy, tais como navegadores Web que acessem à Internet utilizando HTTP, Gopher e [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] Além disso, ele não trabalha com a maioria dos protocolos Internet. Isto significa que ele não pode ser utilizado com protocolos que suportem aplicativos como vídeo-conferência,newsgroups, RealAudio, ou videogames como o Quake ou Counter Strike. O principal motivo destas limitações é que o Squid não é compatível com programas que utilizem UDP. O Squid usa o UDP somente para comunicação inter-cache.
Qualquer protocolo de cliente suportado pelo Squid deve ser enviado como um pedido de proxy no formato HTTP. A maioria dos navegadores suporta esta função, portanto, os protocolos FTP, HTTP, SSL (Secure Socket Layer), WAIS (Wide Area Information Server) são suportados na maioria das redes que utilizam o Squid.
Os protocolos funcionarão se você os solicitar utilizando o seu navegador e se ele estiver configurado como um cliente proxy para o servidor Web proxy cache.
O Squid também suporta protocolos internos e de administração. Tais protocolos são usados entre os caches que puderem existir em outros no mesmo ou em outros servidores de proxy-caching, ou para a administração de um proxy cache.
- Internet Cache Protocol (ICP) - Consulta outros caches sobre um determinado objeto;
- Cache Digest - Obtém um índice de objetos de outros caches;
- HTTP - Obtém os objetos de outros caches;
- Hypertext Caching Protocol (HTCP) - Está sendo incluído no Squid;
- Simple Network Management Protocol (SNMP) - Obtém informações sobre o proxy e as envia a uma Network Management Station (NMS) para análise.
Como já havia dito, foi comprovar oque disse sobre a facilidade, de instalação, e também que esses grandes amigos, não dependem de Hardware e sem de Software.
O Squid utiliza mais recursos de sistema do que outros aplicativos. Os dois principais subsistemas de hardware que o Squid utiliza e deve ter um bom desempenho é o tempo de busca aleatória e a quantidade de memória no sistema.
Para um proxy cache, o tempo de busca aleatória deve ser o mais baixo possível. O problema é que os sistemas operacionais procuram aumentar a velocidade de acesso em disco utilizando vários métodos que geralmente reduzem o desempenho do sistema;
A memória RAM é extremamente importante para a utilização de um proxy cache. O Squid mantém uma tabela na memória RAM sobre os seus objetos. Se uma parte dessa tabela tiver que sofrer swapping, o desempenho do Squid será bastante degradado. O Squid é um processo, então qualquer swapping tornará o programa mais lento. Por exemplo, se você tiver 16 GB armazenados no cache, precisará de 96 MB (aproximadamente) de RAM para o índice de objetos.
Outros requisitos do sistema, como velocidade de CPU, não são tão importantes assim. A velocidade do processador somente será notado durante o início do sistema (durante a criação do índice de objetos). Um sistema multiprocessador não costuma fazer diferença no desempenho do proxy cache, pois o Squid contém uma pequena porção de código encadeado.
Assim totalizando minha ideia principal sobre as migrações, e que não há divergência e complicações nas versões.
CONFIGURAÇÃO DO PROXY SQUID
Assim totalizando minha ideia principal sobre as migrações, e que não há divergência e complicações nas versões.
Níveis de um servidor Proxy em base se configuração.
Irei explicar dentro do código fonte de uma configuração zerada de um servidor proxy SQUID.
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] da rede que tem acesso ao proxy
acl all src 0.0.0.0/0
Vamos supor que você está configurando um servidor proxy em uma rede local. Então iremos colocar dentro dos números que estamos vendo, assim totalizando:
acl all src 192.168.0.1/24
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] para autenticação
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd
auth_param basic children 5
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] parte vc ira escrever o nome do seu servidor
auth_param basic realm [---Bem Vindo ao Servidor Teste Proxy Server---]
acl autenticados proxy_auth REQUIRED
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] 1 - Arquivo "Liberacao_Administracao", logins cadastrados para navegar no proxy
acl Liberacao_Administracao proxy_auth "/etc/squid/Liberacao_Administracao"
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] 2 - Arquivo "Liberacao_Operadores", logins cadastrados para navegar no proxy
acl Liberacao_Operadores proxy_auth "/etc/squid/Liberacao_Operadores"
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] 3 - Arquivo "Operador_sexo", logins dos usuarios que não podem acessar sites de sexo
acl Operadore_sexo proxy_auth "/etc/squid/Operador_sexol"
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] 4 - Lista de Sites bloqueados para os "Operador"
acl bloqueado_operador url_regex -i "/etc/squid/bloqueado_operador"
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] 5 - Lista de Sites bloqueados para os "Operadores_Sexo"
acl bloqueado_sexo url_regex -i "/etc/squid/bloqueado_sexo"
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] 5 - - Bloqueia acesso aos sites cadastrados em "bloqueado_sexo" para o grupo de usuários cadastrados "Operadores_Sexo"
http_access deny bloqueado_sexo operadores_sexo
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] 4 - Bloqueia acesso aos sites cadastrados em "bloqueado_operadores" para o grupo de usuários cadastrados "operadores"
http_access deny bloqueado_operadores
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] 1 - Liberado acesso para o grupo cadastrado "patrao"
http_access allow "Liberacao_Administracao
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] acesso para os usuários autenticados
http_access allow autenticados
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] o acesso para os usuários sem autenticação
http_access deny all
Tudo liberado para estes usuários:
# vim /etc/squid/"Liberacao_Administracao
Antonio
Reinaldo
admin.adm
Patricia
Suellen
Waldez
Usuários que terão os sites bloqueados pelo arquivo "Liberacao_Operador":
# vim /etc/squid/Liberacao_Operador
maria
rogerio
Usuários que terão os sites bloqueados pelo arquivo "operadores_sexo":
# vim /etc/squid/operadores_sexo
Suellen
Ricardo
Jordani
Obs.: o usuário "Suellen" está sendo bloqueado em 2 níveis.
Arquivos com os sites:
# vim /etc/squid/bloqueado_operadores
google.com.br
youtube.com.br
playboy.com.br
# vim /etc/squid/Operadores_Sexo
x.videos.com
Assim temos o código e a explicação pratica de como ele funciona!
Créditos:
VAOL
Pesc • 03.06.16 15:18
