Não há sentido em se conectar a Internet se os seus funcionários não podem ter acesso a ela, por outro lado a utilização da Internet na empresa sem um devido controle acarreta em perda de produção por parte dos funcionários e exposição dos computadores a vírus, ataques e pornografia.
Existem diversos sistemas que controlam o acesso a Internet, tanto livres como pagos, a solução que será apresenta aqui, é de uma ferramenta livre, ou seja, que não é pago, o custo que a empresa terá será apenas de configuração caso não haja um profissional habilitado na própria empresa.
A ferramenta proposta chama-se Squid que pode ser encontrada em http://www.squid-cache.org; essa ferramenta é instalada em um computador que pode ser de baixa capacidade (depende do número de computadores na rede), todos os outros computadores da rede fazem o acesso a Internet através dele onde o Squid faz com que pareça que uma única máquina está acessando a Internet.
O computador cliente se comunica com esse servidor com o Squid ao invés de se comunicar diretamente com a Internet. Esse servidor avalia as solicitações do cliente e decide quais delas irá repassar ao servidor real e quais serão desprezadas. Se uma solicitação for aprovada, o servidor Squid se comunicará com o servidor real em nome da máquina cliente e começará a retransmitir as solicitações do usuário ao servidor real, e também a retransmitir as respostas do servidor real ao cliente. Entenda como servidor real um computador qualquer na Internet que hospede o site que se está procurando e como máquina cliente a máquina que é usada por alguém na sua rede.
As vantagens de uma única máquina fazer acesso a Internet, é de proteger o resto das máquinas da rede de ataques de hacker/crackers .
Com a utilização do Squid é possível controlar o conteúdo da web acessado pelas estações da rede. Esta é uma forma de bloquear acessos a sites pornográficos, musicais, etc. Os controles podem ser baseados em horários de acessos, tamanhos de downloads, extensão de arquivos, autenticação de usuários entre outros.
Outra vantagem é a utilização cache (que são os últimos sites acessados), pois permite que os sites fiquem com acesso mais rápido.
Pode-se também utilizar junto com o Squid outras ferramentas de controle como o Sarg que mostra quem, a que horas e qual site foi acessado, podendo desta forma emitir um relatório semanal ou mensal dos sites acessados na empresa.
Uma maneira mais drástica também utilizável pelo Squid é a negação de acesso a todos os sites e liberação apenas de alguns permitidos pela empresa. Desta forma a Internet ficaria de utilização estritamente comercial, e não para outros fins.
A ferramenta apresentada é uma das mais utilizadas nas empresas e pode-se observar que com a utilização desse tipo de ferramenta, além da empresa estar mais segura, o tempo dos funcionários será usado de forma adequada. Também é importante a conscientização dos funcionários para uma boa utilização da Internet, conscientização essa que se faz com treinamento, palestras e reuniões e em casos extremos documentos, que são chamados de “Políticas de Acesso” que descrevem todas as restrições e permissões de utilização da Internet. Esses documentos devem ser assinados pelos diretores e funcionários e seguidos como uma “receita de bolo”.
Instalação do Squid no Fedora
Primeiramente baixe o squid do site http://www.squid-cache.org/
Para instalar o pacote referente ao SQUID, basta utilizar o seguinte comando:
rpm –ivh squid........................rpm
Em seguida, será criado o seguinte diretório:
/etc/squid
A partir desse momento, o processo de instalação do Squid está finalizado.
Configuração do SQUID
Após a instalação do pacote SQUID, é necessário configurar o arquivo squid.conf que pode ser encontrado no diretório /etc/squid:
Arquivo de configuração SQUID.CONF comentando:
// Define a porta que irá aceitar as requisições
http_port 3128
// Configuração padrão
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
// Configuração de memória cache. Recomenda-se, no mínimo, ¼ da memória
cache_mem 128 MB
// Configuração da memória SWAP. Quanto mais próximo for estes números, menor será a memória SWAP
cache_swap_low 90
cache_swap_high 95
// Define o tamanho máximo de elementos a serem cacheados.
maximum_object_size 8120 KB
// Configuração padrão
cache_dir ufs /var/spool/squid 3000 16 256
// Define onde serão armazenados os logs do SQUID
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
// Configuração padrão
ftp_user Squid@
ftp_telnet_protocol on
// Ativa o SquidGuard
redirect_program /usr/bin/squidGuard
// Define a quantidade de processos a serem estartados. Indica-se 4
redirect_children 4
// Configuração padrão
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
// Definição de ACLS de acesso
// Define a configuração IP da rede
acl all src 172.16.0.0/255.255.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
// Define as portas conhecidas e liberadas
acl SSL_ports port 443 563 # https, snews
acl SSL_ports port 873 # rsync
acl SSL_ports port 23 #telnet
acl Safe_ports port 80 # http
acl Safe_ports port 8080 # https
acl Safe_ports port 21 # ftp
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl Safe_ports port 3001 # Receptor Imprensa Nacional
acl Safe_ports port 8004 # Imprensa Nacional
acl Safe_ports port 1494 # Sigov
acl Safe_ports port 1521 # Siafi Gerencial
acl Safe_ports port 3460 # Serpro EDM
acl Safe_ports port 102 # X400
acl Safe_ports port 16000 # Siscon
acl Safe_ports port 23000 # SerproWeb
acl Safe_ports port 2631 # Sefip
acl Safe_ports port 12010 # Cnpq Curriculo Lates
acl purge method PURGE
// Permite conexão
acl CONNECT method CONNECT
// Define um arquivo, onde serão colocados sites proibidos
acl bad_sites dstdom_regex "/etc/squid/bad_sites"
// Nega acesso a estes sites
http_access deny bad_sites
// Permite acesso às portas conhecidas, citadas anteriormente
http_access allow Safe_ports
http_access allow SSL_ports
// ACLs de Gerência
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all
http_reply_access allow all
icp_access allow all
cache_mgr webmaster
// Define o nome da máquina onde está o servidor proxy
visible_hostname host.orgao.gov.br
// Configuração para o proxy transparente
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
// Define qual será a página de erro
deny_info http://172.16.x.x/proibido.html bad_sites
coredump_dir /var/spool/squid
Arquivo BAD_SITES
// Arquivo onde se definem outras páginas proibidas
// Colocar . no lugar de www
.e-messenger.net
.login.passport.net
.messenger.hotmail.com
.mail.yahoo.com.br
.mail.yahoo.com
.hotmail.com
.msn.com
.msn.com.br
.igmail.com.br
.mymail.com.br
.zipmail.com.br
.zipmail.com
.webmail.click21.com.br
.email.uol.com.br
.correio.uol.com.br
.playboy.com
.playboy.com.br
.orkut.com
.ig.com.br
Nenhum comentário:
Postar um comentário