Cr\u00e9ditos: Carlos E. Morimoto<\/p>\n
Voc\u00ea pode adicionar uma camada extra de seguran\u00e7a exigindo autentica\u00e7\u00e3o no proxy. Este recurso pode ser usado para controlar quem tem acesso \u00e0 internet e auditar os acessos em caso de necessidade. Quase todos os navegadores oferecem a op\u00e7\u00e3o de salvar a senha, de modo que o usu\u00e1rio precisa digit\u00e1-la apenas uma vez a cada sess\u00e3o:<\/p>\n
A forma mais simples de implementar autentica\u00e7\u00e3o no Squid \u00e9 usando o m\u00f3dulo “ncsa_auth”, que faz parte do pacote principal. Ele utiliza um sistema simples, baseado em um arquivo de senhas, onde voc\u00ea pode cadastrar e bloquear os usu\u00e1rios rapidamente.
\nPara criar o arquivo de senhas, precisamos do script “htpasswd”. Nas distribui\u00e7\u00f5es derivadas do Debian ele faz parte do pacote apache2-utils, que voc\u00ea pode instalar via apt-get:
\n# apt-get install apache2-utils
\nNo CentOS e no Fedora ele faz parte do pacote principal do apache (o pacote “httpd”), que pode ser instalado atrav\u00e9s do yum.
\nEm seguida, crie o arquivo que ser\u00e1 usado para armazenar as senhas, usando o comando “touch” (que simplesmente cria um arquivo de texto vazio):
\n# touch \/etc\/squid\/squid_passwd
\nO pr\u00f3ximo passo \u00e9 cadastrar os logins usando o htpasswd, especificando o arquivo que acabou de criar e o login que ser\u00e1 cadastrado, como em:
\n# htpasswd \/etc\/squid\/squid_passwd gdh
\nDepois de terminar de cadastrar os usu\u00e1rios, adicione as linhas que ativam a autentica\u00e7\u00e3o no squid.conf:
\nauth_param basic realm Squid
\nauth_param basic program \/usr\/lib\/squid\/ncsa_auth \/etc\/squid\/squid_passwd
\nacl autenticados proxy_auth REQUIRED
\nhttp_access allow autenticados
\nO “auth_param basic realm Squid” indica o nome do servidor, da forma como ele aparecer\u00e1 na janela de autentica\u00e7\u00e3o dos clientes; esta \u00e9 na verdade uma op\u00e7\u00e3o meramente est\u00e9tica. O “\/usr\/lib\/squid\/ncsa_auth” \u00e9 a localiza\u00e7\u00e3o da biblioteca respons\u00e1vel pela autentica\u00e7\u00e3o. Eventualmente, ela pode estar em uma pasta diferente dentro da distribui\u00e7\u00e3o que estiver usando; nesse caso, use o comando “locate” ou a busca do sistema para encontrar o arquivo e altere a linha indicando a localiza\u00e7\u00e3o correta. Finalmente, o “\/etc\/squid\/squid_passwd” indica a localiza\u00e7\u00e3o do arquivo de senhas que criamos no passo anterior.
\nEstas quatro linhas criam uma acl chamada “autenticados” (poderia ser outro nome), que cont\u00e9m os usu\u00e1rios que se autenticarem usando um login v\u00e1lido. Estas linhas devem ser colocadas antes de qualquer outra regra que libere o acesso, j\u00e1 que, se o acesso \u00e9 aceito por uma regra anterior, ele n\u00e3o passa pela regra que exige autentica\u00e7\u00e3o.
\nEntretanto, se voc\u00ea usar uma configura\u00e7\u00e3o similar a essa:
\nauth_param basic realm Squid
\nauth_param basic program \/usr\/lib\/squid\/ncsa_auth \/etc\/squid\/squid_passwd
\nacl autenticados proxy_auth REQUIRED
\nhttp_access allow autenticados
\nacl redelocal src 192.168.1.0\/24
\nhttp_access allow localhost
\nhttp_access allow redelocal
\nhttp_access deny all
\n… vai notar que a regra de autentica\u00e7\u00e3o essencialmente desativa a regra que bloqueia o acesso de usu\u00e1rios fora da rede local. Todos os usu\u00e1rios tem acesso ao prompt de autentica\u00e7\u00e3o e todos que se autenticam ganham acesso, mesmo que estejam utilizando endere\u00e7os fora da faixa usada na rede. Para evitar isso, \u00e9 necess\u00e1rio restringir o acesso de usu\u00e1rios fora da rede local antes da regra de autentica\u00e7\u00e3o. Veja um exemplo:
\n# Bloqueia acessos de fora da rede local antes de passar pela autentica\u00e7\u00e3o:
\nacl redelocal src 192.168.1.0\/24
\nhttp_access deny !redelocal
\n# Outras regras de restri\u00e7\u00e3o v\u00e3o aqui, de forma que o acesso seja negado
\n# antes mesmo de passar pela autentica\u00e7\u00e3o:
\nacl bloqueados url_regex -i “\/etc\/squid\/bloqueados”
\nhttp_access deny bloqueados
\n# Autentica o usu\u00e1rio:
\nauth_param basic realm Squid
\nauth_param basic program \/usr\/lib\/squid\/ncsa_auth \/etc\/squid\/squid_passwd
\nacl autenticados proxy_auth REQUIRED
\nhttp_access allow autenticados
\n# Libera o acesso da rede local e do localhost para os autenticados,
\n# bloqueia os demais:
\nhttp_access allow localhost
\nhttp_access allow redelocal
\nhttp_access deny all
\nVeja que agora usamos a regra “http_access deny !redelocal” no in\u00edcio da cadeia. A exclama\u00e7\u00e3o inverte a l\u00f3gica da regra, fazendo com que ela bloqueie todos os endere\u00e7os que n\u00e3o fizerem parte da acl “redelocal”.
\nAo implementar a autentica\u00e7\u00e3o, voc\u00ea passa a poder criar regras de acesso com base nos logins dos usu\u00e1rios e n\u00e3o mais apenas com base nos endere\u00e7os IP. Imagine, por exemplo, que voc\u00ea queira que apenas dois usu\u00e1rios da rede tenham acesso irrestrito ao proxy. Os demais (mesmo depois de autenticados), poder\u00e3o acessar apenas no hor\u00e1rio do almo\u00e7o, e quem n\u00e3o tiver login e senha v\u00e1lidos n\u00e3o acessa em hor\u00e1rio nenhum. Neste caso, voc\u00ea poderia usar esta configura\u00e7\u00e3o:
\nauth_param basic program \/usr\/lib\/squid\/ncsa_auth \/etc\/squid\/squid_passwd
\nacl autenticados proxy_auth REQUIRED
\nacl permitidos proxy_auth gdh tux
\nacl almoco time 12:00-13:00
\nhttp_access allow permitidos
\nhttp_access allow autenticados almoco
\nAqui temos os usu\u00e1rios que passaram pela autentica\u00e7\u00e3o divididos em duas regras. A acl “autenticados” inclui todos os usu\u00e1rios, enquanto a acl “permitidos” cont\u00e9m apenas os usu\u00e1rios gdh e tux.
\nGra\u00e7as \u00e0 regra “http_access allow permitidos”, os dois podem acessar em qualquer hor\u00e1rio, enquanto os demais caem na regra “http_access allow autenticados almoco”, que cruza o conte\u00fado das acls “autenticados” e “almo\u00e7o”, permitindo que eles acessem, mas apenas das 12:00 \u00e0s 13:00.
\nAl\u00e9m do m\u00f3dulo ncsa_auth que, como vimos, permite usar um arquivo de senhas separado, v\u00e1lido apenas para o proxy, o Squid suporta tamb\u00e9m um conjunto de m\u00f3dulos que permitem fazer com que o Squid se autentique em um servidor externo, integrando o proxy a um sistema de autentica\u00e7\u00e3o j\u00e1 existente.
\nO mais simples \u00e9 o m\u00f3dulo smb_auth, que permite que o Squid autentique os usu\u00e1rios em um servidor Samba, configurado como PDC. Com isso, os usu\u00e1rios passam a utilizar o mesmo login e senha que utilizam para fazer logon. Para usar o smb_auth, voc\u00ea usaria a configura\u00e7\u00e3o a seguir, especificando o dom\u00ednio (na op\u00e7\u00e3o -W) e o endere\u00e7o do servidor PDC (na op\u00e7\u00e3o -U):
\nauth_param basic realm Squid
\nauthenticate_ip_ttl 5 minutes
\nauth_param basic program \/usr\/lib\/squid\/smb_auth -W dominio -U 192.168.1.254
\nacl autenticados proxy_auth REQUIRED
\nhttp_access allow autenticados
\nCom o m\u00f3dulo smb_auth, o Squid simplesmente repassa o login e senha fornecido pelo usu\u00e1rio ao servidor PDC e autoriza o acesso caso o PDC retorne uma resposta positiva. N\u00e3o \u00e9 necess\u00e1rio que o servidor com o Squid fa\u00e7a parte do dom\u00ednio, nem que exista uma c\u00f3pia do Samba rodando localmente (s\u00e3o necess\u00e1rios apenas os pacotes “samba-client” e “samba-common”, que correspondem ao cliente Samba), por isso a configura\u00e7\u00e3o \u00e9 bastante simples. Naturalmente, para utilizar esta configura\u00e7\u00e3o voc\u00ea deve ter um servidor PDC na sua rede, como aprenderemos a configurar em detalhes no cap\u00edtulo sobre o Samba.
\nOutros m\u00f3dulos que podem ser usados s\u00e3o o “squid_ldap_auth”, que permite que o servidor autentique os usu\u00e1rios em um servidor LDAP e o “ntlm_auth”, que permite integrar o servidor Squid ao Active Directory. <\/p>\n","protected":false},"excerpt":{"rendered":"
Cr\u00e9ditos: Carlos E. Morimoto Voc\u00ea pode adicionar uma camada extra de seguran\u00e7a exigindo autentica\u00e7\u00e3o no proxy. Este recurso pode ser usado para controlar quem tem acesso \u00e0 internet e auditar os acessos em caso de necessidade. Quase todos os navegadores oferecem a op\u00e7\u00e3o de salvar…<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[2],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=\/wp\/v2\/posts\/55"}],"collection":[{"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=55"}],"version-history":[{"count":0,"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=\/wp\/v2\/posts\/55\/revisions"}],"wp:attachment":[{"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=55"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=55"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=55"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}